maho

Hi,

jeder Accessswitch hat 2 Gigabituplinks zu den 6000'er Switches. Für jeden Kunden ist ein VLAN konfiguriert. Der Zugriff zwischen den VLAN's wird durch ACL's auf den 6000'er Switches verhindert.

Was genau würde das bedeuten, die hart zu konfigurieren?

Auf den 6000'er ist PVST konfiguriert. Was mich interessieren würde:

- Gibt es eine bessere Topologie in Verbindung mit den Switches, die nur 64 VLAN's können?

- Wenn wir in Zukunft die alten Switches austauschen sollten, welches Switches und welche Topologie wäre zu empfehlen?

Grüße, Maho

Hallo,

in einem Netzwerk sind viele "XL" Switches im Einsatz, die nur 64 VLAN's können. Nehmen wir an, es werden auf den Coreswitches mehr wie 64 VLAN's angelegt. Was passiert auf den Accessswitches, die nur 64 VLAN's können?

Grüße, Maho

Der Befehl heisst "spanning-tree portfast". An dem Port, wo dieser Befehl steht, solltest Du aber keinen Switch anschließen.

Hallo,

mich würde interessieren, ob jemand so oder ähnlich schon was am Laufen hat. Anbindung mehrerer Kunden per VPN und Backupverbindung. Falls VPN-Tunnel ausfällt, soll Backup per ISDN bzw. ein Paar Kanäle von PMUX automatisch zu diesem Kunden aufgebaut werden.

Sowohl beim Kunden als auch in der Zentrale (Rechenzentrum) gibt es einen Router für VPN-Tunnel und einen separaten Router für die Backupverbindung. Zwischen den VPN- und Backuprouter soll HSRP laufen, für redundantes Gateway.

Adressüberschneidungen beim Kunden sollen über die Router in der Zentrale gelöst werden.

Hat jemand eine Idee, wie man das am Besten konfiguriert? Anbei noch eine Skizze.

Für jeden Tip bin ich sehr dankbar!

Weil ich eine Skizze in einer vernünftigen Größe hier nicht uploaden konnte, hier ein Link zur Skizze:

Skizze

Maho

Im Eventlog steht leider auch nichts :-(

Hi,

unter Delegation bin ich eingetragen. Allowed Permissions: Read (from Security Filtering)

Ich stehe im Feld "Security Filtering" drin, falls DU das meinst. Aber per "gpupdate /force" funktioniert das doch auch?!

Hi,

Prio 1 (Link Order=1), Enforced Yes, Link Enabled Yes, GPO Status Yes, WMI Filter None

Definiert ist sie in der OU wo die User sind.

Hallo,

wir haben eingestellt, dass wenn sich der User in der Domäne anmeldet, automatisch die Proxyadresse per GPO im Browser eingetragen wird.

Wenn ich mich anmelde, funktioniert das nicht (mehrmals probiert). Aber wenn ich angemeldet bin und das Commando "gpupdate /force" absetze, wird daraufhin die Proxyadresse im Browser eingetragen.

Kann mir jemand bei diesem Problem Tips geben?

Infos: W2k3 Domäne (AD), GPO wird erzwungen, Client-PC ist WinXP Prof.

Danke schon mal im Voraus!

Maho

Ist vielleicht DHCP auf irgendeinem Server aktiviert worden?

Ist vielleicht DHCP auf rigendeinem Server aktiviert worden?

Zur Info, mit dem Befehl "service compress-config" kann man die Konfig. komprimieren.

maho

Hi,

hier eine aktuelle, funktionierende Konfig. von einem C836 mit dyn. IP. Die Gegenstelle ist zwar ein Concentrator, dürfte aber kein Unterschied machen. Vielleicht hilft Dir das weiter.

Habe nur den Teil Interneteinwahl und VPN rauskopiert. ACL/CBAC solltest Du konfigurieren.

crypto ipsec client ezvpn vpn1

connect auto

group ezvpn_user1 key xxxx

mode network-extension

peer 1.1.1.1

username user1 password xxxx

interface Ethernet0

ip address 192.168.1.1 255.255.255.0

no cdp enable

crypto ipsec client ezvpn vpn1 inside

interface ATM0

no ip address

no atm ilmi-keepalive

dsl operating-mode auto

hold-queue 224 in

pvc 1/32

pppoe-client dial-pool-number 1

interface Dialer1

mtu 1492

ip address negotiated

encapsulation ppp

dialer pool 1

dialer idle-timeout 0

dialer-group 1

ppp authentication pap callin

ppp pap sent-username 12345#0001@t-online.de password xxxx

ppp ipcp dns request

crypto ipsec client ezvpn vpn1

ip route 0.0.0.0 0.0.0.0 Dialer1

maho

Hi,

ich kann Dir sagen, dass wir C4506 mit IOS im Einsatz haben, der die VMPS Befehle schluckt, im Gegensatz zu unserem C6006 mit IOS.

Würde mich auch interessieren, ob die nicht Cisco-Lösungen stabil funktionieren. Das lässt sich auch auf ****** installieren, oder?

Maho

Ok, verstanden. Nochmals besten Dank für die Informationen Martin!

Habe im Web recherchiert. Das Source-NAT ist seit der Softwareversion 6.3 möglich. Es sind einige nette Features dazu gekommen. Und sogar Policy-NAT ist möglich!!!

Hier eine Seite, die relativ gut beschreibt:

http://www.cisco.com/en/US/products/sw/secursw/ps2120/products_configuration_guide_chapter09186a0080172786.html#wp1113601

Meinst Du etwa die Menge des Traffics?

>Ich habe das ganze gestern im Office nachgestellt und es hat funktioniert.

WOW, VIELEN DANK FÜR DEINE MÜHE!!!!!

Mit dem Routing ist es mir noch ganz klar.

Ich route ja nach outside das Netz 192.168.1.0/24 zum Kunden B. Nun müsste ich doch, ebenfalls ins outside, das Netz 10.168.1.0/24 zum Kunden A routen. Oder nicht?

Dass ich das Netz 10.168.1.0/24 zur PIX routen muss habe ich verstanden. Aber was spielt sich auf der PIX ab?

Viele Grüße

Maho

Hallo,

weiss jemand, ob ich auf einem Router einen VPN-Tunnel mit dem verfahren VTI (Virtual Tunnel Intefaces) konfigurieren kann, wenn auf der anderen Seite ein Concentrator 3005 steht?

Danke schon mal im Voraus!

Maho

>Die 192.168.1.1 soll auf die 10.168.1.1 genattet werden ,wenn der Zugriff auf 10.33.22.50 erfolgen soll. Richtig?

korrekt

>static (inside,outside) 10.33.22.50 10.33.22.50 netmask 255.255.255.255 0 0

+ access-list am outside-interface

(ich gehe mal davon aus, dass der server hinten und vorne die selbe ip-adresse hat)

Ist auch korrekt

Wie sieht das Routing aus, route ich die genattete Adresse und parallel die 192.168.1.0?

Was hast Du für einen Internetanschluss? Evtl. baut Dein Router erst die Verbindung ins Internet auf (Idle-Timeout).

Hallo,

immer wieder macht der ISA den Internetanschluss dicht. D.h., ich habe dann Ping Antwortzeiten von 3000-4000ms und kann nicht mehr vernünftig auf Internetseiten zugreifen.

Habe schon ausgeschlossen, dass es ein Client ist, in dem ich eine Rule erstellt habe, das den Trafiic von Inside zum ISA verbietet (auch getestet). Trotzdem war das Problem da.

Erst wenn ich den ISA durchstarte, bzw. das Netzwerkkabel aus-/einstecke behebe ich das Problem.

Hat jemand eine Idee was das Problem sein kann?

Maho

Hallo Martin,

static ist doch dazu da, um Zugriffe von unsicheren Netzwerken (outside, bzw. niedrigere Prio) auf gesicherte Netzerke frei zu geben?

Wie müsste die Konfig. Deiner Meinung nach aussehen, wenn 192.168.1.1 aus dem unsicheren Bereich (also niedrigere Prio) kommt, bevor er auf die IP 10.33.22.50 im sicheren Bereich zugreift soll er umgesetzt werden in 10.168.1.1.

Quellle Ziel

192.168.1.1 10.33.22.50

NAT

Quellle Ziel

10.168.1.1 10.33.22.50

Grüße

Maho

Ist das ein unmöglicher Wunsch?

Weiß wirklich niemand eine Lösung? Falls jemand mit meiner Beschreibung nicht klar kommt, bitte melden.

Mit Static setzt du von inside nach outside um.