daking

Hola, fallst du doch mit VRF machen willst (was du jedoch nicht benötigst) hier die funktionierende Config.. ! ip dhcp use vrf connected ! ip dhcp pool Customer_A import all vrf Customer_A network 10.1.100.0 255.255.255.0 default-router 10.1.100.1 domain-name custA.de ! ip dhcp pool Customer_B vrf Customer_B network 10.1.100.0 255.255.255.0 default-router 10.1.100.1 domain-name custB.de ! ip dhcp pool Customer_C vrf Customer_C network 10.1.100.0 255.255.255.0 default-router 10.1.100.1 domain-name custC.de ! ! ip vrf Customer_A rd 10.1.100.0:1 ! ip vrf Customer_B rd 10.1.100.0:2 ! ip vrf Customer_C rd 10.1.100.0:3 ! nterface FastEthernet0/0 description -->to World ip address 192.168.99.100 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable ! interface FastEthernet0/1.100 description Customer_A encapsulation dot1Q 100 ip vrf forwarding Customer_A ip address 10.1.100.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly ! interface FastEthernet0/1.150 description Customer_C encapsulation dot1Q 150 ip vrf forwarding Customer_B ip address 10.1.100.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly ! interface FastEthernet0/1.200 description Customer_B encapsulation dot1Q 200 ip vrf forwarding Customer_C ip address 10.1.100.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly ! ip route vrf Customer_A 0.0.0.0 0.0.0.0 FastEthernet0/0 192.168.99.1 ip route vrf Customer_B 0.0.0.0 0.0.0.0 FastEthernet0/0 192.168.99.1 ip route vrf Customer_C 0.0.0.0 0.0.0.0 FastEthernet0/0 192.168.99.1 ! ip nat pool insideA 192.168.99.110 192.168.99.110 netmask 255.255.255.0 ip nat pool insideB 192.168.99.111 192.168.99.111 netmask 255.255.255.0 ip nat pool insideC 192.168.99.112 192.168.99.112 netmask 255.255.255.0 ip nat inside source list 1 pool insideA vrf Customer_A overload ip nat inside source list 1 pool insideB vrf Customer_B overload ip nat inside source list 1 pool insideC vrf Customer_C overload ! access-list 1 permit 10.0.0.0 0.255.255.255 ! Gruß Thomas

Hallo, die Konstellation kapier ich nicht ganz. wo gehen die dot1Q Interfaces mit den öffentlichen Addressen hin, wozu benötigst du die ? Kannst doch dann ohne Probleme die Interfaces via Trunk zum router und dann in einen pool Naten via source ohne Trunk richtung INternet (?? wo ist der angeschlossen?). So bleiben auch die öffentlichen IPs immer einem Kunden zugewiesen. Zwischen den Kunden mit ACLs einfach absichern und finito. Denke du benötigst hier kein VRF, da du keine Kunden mit gleichen IP Ranges hast oder irgendwelche anderen überschneidungen. Ciao Thomas

Hola, du kannst die MAC Adressen entweder via switchport port-security => port sec einschalten switchport port-security max <2> => max mac adressen die erlaubt sind switchport port-security violation => was passiert wenn sec nicht eingehalten switchport port-security mac-address <xxxx.xxxx.xxxx.xxx> switchport port-security mac-address <xxxx.xxxx.xxxx.xxx> fest angeben oder du läßt den Switch zwei MAC Adressen lernen und selber in die config schreiben: switchport port-security => port sec einschalten switchport port-security max <2> => max mac adressen die erlaubt sind switchport port-security violation => was passiert wenn sec nicht eingehalten switchport port-security mac-address sticky port sec mit sticky: test#show port-security address Secure Mac Address Table ------------------------------------------------------------------------ Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 100 000f.b541.2a9e SecureSticky Fa0/2 - ------------------------------------------------------------------------ ==> und geht dieses kommando nicht bei allen? <== was meinst du? Ciao

Hola, wie hast du vrfs auf den Subinterfaces konfiguriert? brgds Thomas

Hola, mit vrf klappt das Ciao

Hola, setzt mal global den user K-LNSFA02 mit deinem pw.. ==> scheint vorher schon dabei zu sein ==> war dann wohl eher unproduktiv.... sorry Ciao

Hallo, kein Problem. Ciao

Hallo, zu 1. die Anmeldung am Netzwerk passiert mit der Anmeldung am Rechner und nicht automatisch beim booten des Rechners. Ein Hacker kann somit nicht einfach einen Rechner starten und die shared medium 802.1x Problematik ausnutzen. Ist ein User jedoch mal angemeldet wars das dann wieder..... zu 2. Bei Cisco hast du die Möglichkeit ein 802.1X Guest Vlan zu definieren. Jeder nicht 802.1X Client fällt in dieses VLAN. Mit (V)ACLs abgesichert sollte dies die Lösung deines Problems sein.. Ciao

Hola kurze Anmerkung: access-list 100 deny tcp any any eq 139 // nicht nötig => deny ip a a access-list 100 deny udp any eq netbios-ns any //nicht nötig => deny ip a a access-list 100 deny tcp any any eq 1863 //nicht nötig => deny ip a a access-list 100 deny udp any any eq 4000 //nicht nötig => deny ip a a access-list 100 deny udp any eq netbios-dgm any //nicht nötig => deny ip a a access-list 100 deny udp any eq netbios-ss any //nicht nötig => deny ip a a access-list 100 deny udp any range snmp snmptrap any //nicht nötig => deny ip a a access-list 100 deny udp any range bootps bootpc any //nicht nötig => deny ip a a access-list 100 deny tcp any eq 137 any //nicht nötig => deny ip a a access-list 100 deny tcp any eq 138 any //nicht nötig => deny ip a a access-list 100 deny tcp any eq 139 any //nicht nötig => deny ip a a access-list 100 permit icmp any any echo access-list 100 permit icmp any any echo-reply access-list 100 permit udp any any eq domain access-list 100 permit tcp any any eq www access-list 100 permit tcp any any eq ftp-data access-list 100 permit tcp any any eq ftp access-list 100 permit tcp any any eq smtp access-list 100 permit tcp any any eq pop3 access-list 100 deny ip any any log-input //für debugging ok ==> deny any any ist immer am ende ==> log-input verbraucht prozessor zeit... Ciao

Hola, zu 1. wie willst du verschiedene User via Zertifikat an dem gleichen PC am Netzwerk anmelden? Dann ist User Auth sinnvoll. Jedoch gibt es da beim windowsinternen Supplicant Probleme mit DHCP etc.. (@ all : gibt es da Neuigkeiten). Der Einsatz von anderen Supplicants ist meist nötig. zu 2. ist mit non supplicant authentication möglich. Der PXE Client wird via MAC Adresse am Radiusserver autentifiziert und dem PXE VLAN zugewiesen. Der Einsatz von ACLs ist in diesem VLAN sinnvoll, da die MAC Adresse von Netzwerkkomponenten kein Geheimnis ist! Ciao

Hola, wenn es keine Cisco Hardware Lösung geben würde, sollte man wenigstens Alternativen bieten können. Sonst denkt der Kollege noch, dass die Woche im Biergarten verbracht worden ist. Das NAM ist meiner Ansicht nach Cisco Hardware. Ciao Thomas

Hola, wenn du ein proaktives Monitoring der VoIP Sprachqualität in einer Cisco Router Umgebung aufsetzen willst geht das mit dem ip sla monitor (Cisco Router/Switches). Eine Alcatel OmniPCX Enterprise kann dies via IP QOS Tickets oder dem AVISO Tool. Der CCm sollte das laut Aussage des letzen Virtual Team Meetings auch können (mit MOS).. Ein passives Monitoring (nicht ende zu ende) ist da eher schwierig. Die Jitterwerte werden dann z.B. nach RFC 1889 (nicht maximum Jitter) berechnet, was eher ungenau ist. Denke da gibt es auch noch eine Cisco Works Integration (QOS Monitor..) und das NAM... Ciao

Hola, habe den gleichen Testaufbau am Mittwoch gemacht. bei mir klappts. Was sagt der Eventlog auf dem IAS . Was sagt das IAS Logfile. Hast du für den IAS Server von der CA ein Zertifikat austellen lassen?. Ciao

Hola, will dein Kollege eine Cisco Callmanager haben (= Telefonanlage) oder ein Tool zur Auswertung von VoIP Qualität? Ciao

Hola, die vlan database wird nicht benötigt! vlan 200 name test vlan 300 name test2 vlan 99 name Mgmt ! interface Vlan99 description MgMT ip add ... ! interface VLANxx haben nicht mit MGMT Vlans zu tun. Diese interface sind einfach virtuelle interfaces like interface BVI, interface Loopback usw.. mit der Ausnahme, dass diese eben an ein Layer 2 VLAN gebunden werden müssen. Die HW Platform die du benutzt unterstützt eben nur ein aktives virtuellles Interface, welches für Telnet SNMP NTP ... genutzt werden kann, sprich um ein managebaren Switch zu ermöglichen ==> wenn du eine interface Vlan auf den 3550 auf shutdown bringt hat das nichts mit dem Layer2 vlan zu tun. Es wird nur die Layer3 Instanz deaktiviert. Innerhalb des Vlans können alle weiter kommunizieren. ciao

Hola, mehere VLAN Interfaces gehen nur wenn du ip routing aktivieren kannst. Hier könnte es sich um einen reinen Layer 2 Switch handeln. Das VLAN INterface ist somit das MGMT INterface / VLAN. Ein VLAN INterface ist nur oben, wenn der Layer 2 Teil oben ist ==> keine Clients im VLAN ==> INterface nicht oben.. was zeigt ip route? @otaku19: die vlan database wird bei den aktuellen Switches nicht mehr benötigt (kommt aus der migrationszeit von CatOS zu IOS). VLANs werden bei 1800 / 2800 Routern via vlan database angelegt (siehe die ersten Native IOS 6k / IOS 4k) Ciao

Hola, denke da kannst du nur mit virt interfaces arbeiten. was spricht dagegen?

Hola, kann die config gerade nicht anschauen (ist noch nicht freigeschalten). hast du global dot1x system-auth aktiviert?? Cia

Hola, warum zwei prozesse? mit zwei mal area 0? ==> macht keinen Sinn ohne die auto-cost reference-bandwidth gilt 100Mbit = 1000Mbit Ciao

Hola, da klappt wohl was mit den certificaten nicht: *Mar 1 01:07:07.786: RADIUS: Received from id 1645/23 192.168.0.1:1812, Access-Accept, ==> *Mar 1 01:07:07.786: dot1x-ev:Received an EAP Fail on FastEthernet0/3 for mac 0008.02d9 .875c *Mar 1 01:07:07.786: dot1x-sm:Posting EAP_FAIL on Client=3585310 wie schaut die config aus? klappts mit eap-md5 ohne certis? Ciao

Hola, sorry. Holzweg. Bitte genauer den Angriff beschreiben. Danke Ciao Thomas

Hola, denke war eher fib - forwarding information base..

Hola, welches Service Pack.. denke da hat es mal Probleme gegeben. Bei mir hat das Häkchen "als Computer authentifizieren" geholfen. Siehst ja im ACS Debug was nicht funzt. Ciao

Hola, hier noch eine kurze Anmerkung zu 802.1Q (aus Cisco sicht und auch Alcatel / Nortel ..): Alle Pakete werden bei einem Switch untagged über die Backplane des Switches geschickt. Da ist es absolut uninteressant, ob der Port trunk oder access ist. Die forwarding decision wird über die forwarding database (fdb) getroffen. somit ist klar wo das frame hin muss. Der VLAN Tag wird am egress Port (falls trunk) wieder neu generiert. Ciao Thomas

Hola, zu dieser Zeit ist man nicht von mehr ausgegangen. Desshalb ist RIP/RIPv2 nicht für grössere Netze geeignet. Die TTL wird pro Hop heruntergezählt um Routingloops zu verhindern. Das hat nichts mit RIP zu tun ==> ist ein IP Feature. Falls du nun RIP mit eine Standardroute am laufen hast werden die Packete mit Sicherheit mehr als 15 Hops weitergeleitet. Ciao