daking

Hola, wir haben mit DDNS auch viele Probleme gehabt... ab 12.4 mit ein paar Anpassungen hat es sann geklappt. http://www.cisco.com/en/US/partner/products/ps6350/products_configuration_guide_chapter09186a00804550bc.html#wp1194451 habe die config nicht zur hand. will send it asap Ciao

Hallo, ISL encapsulates the Ethernet frame with a 26-byte header and a 4-byte frame check sequence (FCS) for a total of 30 bytes of overhead. ISL requires a minimum Fast Ethernet connection between the two devices. The 15-bit VLAN field in the ISL header allows for the multiplexing of the VLANs on a single wire. ISL supports up to 1024 VLANs because Cisco switches use the lower 10 bits of the 15-bit field. The range of ISL packet sizes is 94 bytes (64-byte minimum Ethernet frame + 30-byte ISL overhead) to 1548 bytes (1518-byte maximum Ethernet frame + 30-byte ISL overhead). Each VLAN will have its own spanning-tree topology in an ISL trunking configuration. For instance, if there are two VLANS configured on an ISL trunk, each VLAN will have its own root and spanning-tree topology layout. zu VLAN Hopping: ==>VLAN Hopping funktioniert an AccessPorts/Trunk Ports mit DTP enabled Cisco 2950 and 3500XL switches do not support DTP and are always in a mode similar to nonegotiate. If you turn trunking on for one of these devices, it will not negotiate with the other end of the link and requires that the other link be configured to on or nonegotiate. ==>Cat6k Cat4k default enabled Du kannst nun durch double tagged frames zwischen den Switches von VLAN A(Source) in VLAN B(Destination) gelangen. Natürlich bekommst du keine Antwort, jedoch ist das für einen DOS ausreichend. If you want to enable trunking and not send any DTP signaling, use the option nonegotiate for switches that support that function. If you want to disable trunking completely, use the off option for a COS switch or the no switchport mode trunk command on an IOS switch. konfigurierst du auf jedem trunk oder access port switchport nonegotiate? --->pcap trace Frame 5 (60 bytes on wire, 60 bytes captured) Ethernet II, Src: 01:01:aa:aa:aa:aa (01:01:aa:aa:aa:aa), Dst: 01:ff:ff:ff:ff:ff (01:ff:ff:ff:ff:ff) 802.1Q Virtual LAN 802.1Q Virtual LAN 802.1Q Virtual LAN 802.1Q Virtual LAN Internet Protocol, Src: 255.255.255.255 (255.255.255.255), Dst: 255.255.255.255 (255.255.255.255) Internet Control Message Protocol --->pcap trace

Hola, das sollte helfen: Trunking Mode Characteristics COS = on IOS = mode trunk Trunking is on for these links. They will also send DTP signals that attempt to initiate a trunk with the other side. This will form a trunk with other ports in the states on, auto, or desirable that are running DTP. A port that is in on mode always tags frames sent out the port. --------------------------------------------------------------------------------------- COS = desirable IOS = mode dynamic desirable These links would like to become trunk links and will send DTP signals that attempt to initiate a trunk. They will only become trunk links if the other side responds to the DTP signal. This will form a trunk with other ports in the states on, auto, or desirable that are running DTP. This is the default mode for the 6000 running Supervisor IOS. -------------------------------------------------------------------------------------- COS = auto IOS = mode dynamic auto These links will only become trunk links if they receive a DTP signal from a link that is already trunking or desires to trunk. This will only form a trunk with other ports in the states on or desirable. This is the default mode for COS switches. ---------------------------------------------------------------------------------------- COS = off IOS = no switchport mode trunk This option sets trunking and DTP capabilities off. This is the recommended setting for any access port because it will prevent any dynamic establishments of trunk links. ----------------------------------------------------------------------------------------- If you want to enable trunking and not send any DTP signaling, use the option nonegotiate for switches that support that function. If you want to disable trunking completely, use the off option for a COS switch or the no switchport mode trunk command on an IOS switch. Ciao

Hallo, hier noch abschliessend ein paarAnmerkungen: zu 1: (wers braucht) --> richtig ISL: maximal 1000 VLANs 1Q: maximal 4096 VLANs zu 2: --> In computer networking, encapsulation is to include data from an upper layer protocol into a lower layer protocol. This is a method of abstraction for networking by allowing different layers to add features/functionality. <-- ISL packt also den gesamten Ethernet Frame ein. 802.1Q packt also das gesamte IP Paket ein. IP packt also das gesamten TCP /UDP Segment ein. Das Einpacken eines Protokolls in ein anderes nennt man dann encapsulation (das Auspacken decapsulation). Cisco Seite: Introduction This document provides the basic information and a summary of the frame fields for Inter-Switch Link (ISL) and IEEE 802.1Q encapsulation. Trunks are used to carry traffic that belongs to multiple VLANs between devices over the same link. A device can determine which VLAN the traffic belongs to by its VLAN identifier. The VLAN identifier is a tag that is encapsulated with the data. ISL and 802.1Q are two types of encapsulation that are used to carry data from multiple VLANs over trunk links. ISL is a Cisco proprietary protocol for the interconnection of multiple switches and maintenance of VLAN information as traffic goes between switches. ISL provides VLAN trunking capabilities while it maintains full wire-speed performance on Ethernet links in full-duplex or half-duplex mode. ISL operates in a point-to-point environment and can support up to 1000 VLANs. In ISL, the original frame is encapsulated and an additional header is added before the frame is carried over a trunk link. At the receiving end, the header is removed and the frame is forwarded to the assigned VLAN. ISL uses Per VLAN Spanning Tree (PVST), which runs one instance of Spanning Tree Protocol (STP) per VLAN. PVST allows the optimization of root switch placement for each VLAN and supports the load balancing of VLANs over multiple trunk links. 802.1Q is the IEEE standard for tagging frames on a trunk and supports up to 4096 VLANs. In 802.1Q, the trunking device inserts a 4-byte tag into the original frame and recomputes the frame check sequence (FCS) before the device sends the frame over the trunk link. At the receiving end, the tag is removed and the frame is forwarded to the assigned VLAN. 802.1Q does not tag frames on the native VLAN. It tags all other frames that are transmitted and received on the trunk. When you configure an 802.1Q trunk, you must make sure that you configure the same native VLAN on both sides of the trunk. IEEE 802.1Q defines a single instance of spanning tree that runs on the native VLAN for all the VLANs in the network. This is called Mono Spanning Tree (MST). This lacks the flexibility and load balancing capability of PVST that is available with ISL. However, PVST+ offers the capability to retain multiple spanning tree topologies with 802.1Q trunking. http://www.cisco.com/en/US/tech/tk389/tk390/technologies_tech_note09186a0080094665.shtml zu 3: Basic VLAN Hopping Attack: • A station can spoof as a switch with ISL or 802.1Q signaling (DTP signaling is usually required as well) • The station is then member of all VLANs • Requires a trunking favorable setting on the port (the SANS paper is two years old) Best practises: • Always use a dedicated VLAN ID for all trunk ports • Disable unused ports and put them in an unused VLAN • Be paranoid: Do not use VLAN 1 for anything • Set all user ports to non-trunking (DTP Off) Ciao

Hola, Denke da gibt es ein Problem mit der Form der Vendor Encapsulated Option. -> Die Option 43 muss mit FF Terminiert werden -> Wo steht deine VLAN ID. Wie ist Option 43 bei Siemens aufegschlüselt? Beispiel Alcatel (ist in ethereal 1.0 (0.99.x) eingepflegt): 2B 05 3A 02 004D FF 2B => DHCP Option 43 05 => Länge der Vendor Option in Byte 3A => alcatel VLAN Assignment 004D => Voice VLAn ID ist 77 (wo ist das bei dir gesetzt?) FF => Option End Ciao

Hallo, na ja die Erklärung warum das jetzt funktioniert fehlt noch. Wie lange hast du nach dem Verbinden der beiden Router gewartet? Bei 802.1D benötigt der SPT ca. 50 bis 60 Sekunden bis der Port auf FWD geht. Mit dem default BPDU Guard deaktivierst du den SPT auf allen Ports. Deaktiviere den BPDU Guard wieder und checke mit sh spanning-tree (oder sh bridge) den Status der Ports (Listening, Learning, Forwarding, Blocking). Auch mit sh mac-address kannst du den Status der Ports überprüfen. Wie hast du die Subinterfaces konfiguriert? Ciao

Hola, mit den VLANs hast du Recht ( wird jedoch nichts bringen, da die internen SPT Instanzen so wie der CAM da Probleme haben wird). Auch ISL ist ein Protokoll wie .1Q und packt (encapsuliert) andere Protokolle ein. Auch .1q unterstützt ein getaggtes native vlan, da sonst double tagged frames (also .1q in .1q Tunnel) unmöglich währen. Warum sollte ISL nicht VLAN Hopping unterstützen? Cisao

Hola, nein die Linie wird nicht unten hinzugefügt. Desshalb sind zwischen den Einträge jeweils 9 Zeilen frei. Willst du nun in Zeile 3 etwas hinzufügen: (acl-ext)5 permit ip any any oder Zeile löschen: (acl-ext) no 5 ==> du kannst auch numbered (not named) ACLs, die like access-list 101 perm..., mit ip access-list .. bearbeiten. (;-) Ciao

Hola, sollte wenn alles richtig schon tun. Hast STP auf den Routers aktiviert? Ciao

Hola, ISL bietet dir keine Vorteile. ISL ist ein pre 802.1Q cisco propiertäres Protokoll. Der Standard heisst nun 802.1Q ==> use dot1Q Ciao

Hola, mit ip access-list extended <Nummer> kannst du die ACLs auch linienweise bearbeiten. Ciao

Hola, -->sind beide Seiten gleich konfiguriert? -->stimmt das Kabel? == Crossover -->siehts du mac adressen in den VLANS (sh arp, sh mac-address) --> was sagt sh controllers int <dein interface> --> gleiches native vlan auf beide Seiten? Ciao

Hola, GLBP bringt dir nur etwas wenn beide Router auf denen GLBP aktiviert ist einen aktiven Pfad ins z.B. INternet haben ==> Lastverteilung. Wenn nur einer der Switches einen aktiven Pfad in ein Zielnetz der Clients hat bringt dir GLBP nichts! Ciao

Hallo, welche Funktion soll der zweite Prozess übernehmen? Wie willst du zwischen den beiden Rouingprozessen unterscheiden? ospf <PID> muss nicht gleich sein.. sondern eine verbindung via area 0 muss bestehen (außer du willst mit virtual links basteln). Ciao Thomas

Hola, 1. an den ersten drei Bit der Adresse wird die Klasse durch den Stack ermittelt => verschiedene Klassen Packet dropped. 2. Falls Klasse gleich, wird dann Anhand der Subnetmaske + IP Adresse (empfänger) verglichen. => nicht gleiches Netzwerk => drop the Packet.. 3. Falls Broadcast. Stack => send to CPU Vielleicht hilft das. Ciao

Hallo, ich weiß, dass es die von dir beschriebenen Probleme bei .1X gibt (Einer meldet sich an => alle anderen kommen auch rein). Bei VMPS sollte es jedoch (CATOS) klappen. Das muss jedoch mal validiert werden... (let's setup the lab).. Bis bald. Ciao

Hola, Nach der Cisco Logik ist das natürlich einfach, da das Telefon das Voice VLAN via CDP gesteckt bekommt (in "Kürze" wird das nur nach Validierung des Ip Phone Zertifikats geschehen). Das Telefon muss somit, da es sich hier um einen Trunk handelt die richtigen Cos Werte setzen. Durch den COS Wert wird durch die interne Mapping Table (Cos zu DSCP) wieder ein DSCP Wert generiert. Die DSCP Werte des PCs sind also bei einem (.. trust cos) Trunk not interessting. Falls DSCP Werte vom PC ( oder auch Telefon) gesetzt werden, werden diese am Switch zürückgesetzt, da ja dem COS Wert vertraut wird ( der COS Wert des IP Phones wird wieder in einen DSCP Wert gewandelt) Avaya verwendet wie Cisco DSCP/ COS 46 / 5 für Voice und DSCP / COS 26 / 3 für Signalling ( so viel ist nun bekannt). Avaya Phones verwenden somit auch TCP für Signalling. Meine Frage ist nun (wie schon oben). - ist in den Avaya Phones ein Policer / Shaper integriert. - ist in den Avaya Phones eine Trusted Boundary implementiert. Catalyst 2950 Queuing The Catalyst 2950 supports four egress queues but no drop thresholds (besides the tail of the queue). These queues can be configured to schedule using one of two algorithms: weighted round-robin (WRR) scheduling (4Q1T) or strict-priority scheduling (1P3Q1T). => The default scheduling algorithm is strict priority. <= Finally, CoS values must be assigned to the desired queues. By default, CoS 0 and 1 are assigned to queue 1, CoS 2 and 3 are assigned to queue 2, CoS 4 and 5 are assigned to queue 3, and CoS 6 and 7 are assigned to queue 4. Usually, however, it is desirable to send only CoS 5 (voice) to the expedite queue (queue 4), reassigning CoS 6 and 7 to queue 3. This modification of the CoS-to-queue mapping can be made with the wrr-queue cos-map command. => Ich denke auch, dass ich bei den meisten Installation von 4Q1T auf 1P3Q1T umgestellt habe ... muss noch weiter validieren.

Hola, Host 1 ist in einem anderen Netzwerk / Subnet (nicht Klasse), wie die anderen Hosts..: Subnet Mask Subnet Size Host Range Broadcast 192.168.1.0 255.255.255.0 254 192.168.1.1 to 192.168.1.254 192.168.1.255 ------------------------------------------------------------------------------------------------ Subnet Mask Subnet Size Host Range Broadcast 192.168.0.0 255.255.255.0 254 192.168.0.1 to 192.168.0.254 192.168.0.255 Du benötigst einen Router (L3 Device), um die Kommunikation zu realisieren! Ciao

Hola Maho, du kannst das Native VLAN nicht weglassen, da es nach Standard auf jeden .1Q Trunk vorhanden sein muss. Das einzige was wichtig ist, dass das Native VLAN auf beiden Seiten gleich ist. IMHO macht das Native VLAN in 100% der (sinnvoll geplanten) Umgebungen keine Probleme. Gruß Thomas

Hola, das ist IOS abhängig sowie HW abhängig. Denke jedoch, dass du für den 26er eine SW finden solltetst die .1Q kann. Die aktuellen Router / Switches können .1Q. Ciao Thomas

Hola Maho, Das VLAN 1 wird nicht benötigt (obe jetzt VLAN 1 ,2,3x = wurst). Vom Design her ist es sinnvoll das Inter VLAN Routing am CoreSwitch 6K zu lösen und nur eine default Route für externe Netze zum Router zu setzen. Ist dies nicht möglich, da der CoreSwitch wirklich nur switched und nicht routen kann, ist ein 802.1Q Trunk zum Router nötig: Router: interface FastEthernet0/0 no ip address duplex full speed 100 ! ip cef ! -->VLAN A (MGMT) interface FastEternet0/0.100 description --> Management VLAN encapsulation dot1Q 100 native ip address x.x.x.x x.x.x.x no ip proxy-arp no ip unreachables no ip directed-broadcast no ip redirects ! -->VLAN B (Data) interface FastEternet0/0.10 description --> Data VLAN encapsulation dot1Q 10 ip address x.x.x.x x.x.x.x no ip proxy-arp no ip unreachables no ip directed-broadcast no ip redirects ! -->VLAN B (Data) interface FastEternet0/0.20 description --> Voice VLAN encapsulation dot1Q 20 ip address x.x.x.x x.x.x.x no ip proxy-arp no ip unreachables no ip directed-broadcast no ip redirects ! ------------------------------------------------------------------------- Switch: interface FastEthernet 0/10 description --> Uplink to Router XX switchport trunk encapsulation dot1q switchport mode trunk switchport trunk native vlan 100 switchport trunk allowed vlan 10,20,x.. switchport nonegotiate speed 100 duplex full spanning-tree link-type point-to-point ! Gruß Thomas

Hola Maho, hier ein Versuch. Das Native VLAN definiert ein nicht getaggtes VLAN auf einem 802.1Q Trunk. Dieses VLAN wurde nach IEEE Standard definiert, da immer eine Abwährtkompabilität mit "alten" (in diesem Fall nicht 802.1Q devices) bestehen muss. In diesen Fall geht man von einem shared Medium aus, dass in einer geswitchten Umgebung so nicht mehr existiert. ==> Because 802.1Q is defined as a type of Ethernet frame, it does not require that every device on a link speaks the 802.1Q protocol. Because Ethernet is a shared media and more than two device could be connected on this media, all devices on the link must still be capable of communicating even if they do not speak the 802.1Q protocol. For this reason, 802.1Q also defines a Native VLAN. <== Das Native VLAN kann jedoch auch getagged werden (set dot1q-all-tagged | vlan dot1q tag native). Dies ist sinnvoll, wenn ein Q-in-Q Tagging oder 802.1Q Tunnel gebildet werden soll, der z.B. zwei Firmen über einen 802.1Q Trunk mit den gleichen VLANs transportieren kann. Ciao Thomas

Hola, @xyCruiseryx and ALL - realisiert das Avaya Phone eine Trusted Boundary (werden DSCP Werte des PCs (am Telefon angeschlossen) am Telefon zurückgesetzt? - Ist im Avaya Phone ein Shaper/Policer für den PC Traffic implementiert ( wird der Traffic des PCs bei hoher Last runtergehandelt/gedroppt)? - Wird bei Avaya zwischen Signalling und RTP/RTCP Traffic unterschieden (verschiedene DSCP Werte für Sig and RTP)? TIA

Hallo, vielleicht noch ein paar Anmerkungen. - Wenn du VoIP in das bestehende Netzwerk integrieren willst, solltest du auf jeden Fall die beien Dienste via VLANs trennen. => die Trennung der VLANs erhöt einerseits die Sicherheit (MITM Attacks abhören) und hält nicht gewollten Traffic (Multicast, Broadcast) von den Telefonen fern. => mit [mls] qos trust dscp vertraut der Switch dem DSCP Wert des eingehenden Traffics, d.h. falls ein PC am IP Phone angeschlossen ist, muss das IP Phone muss in diesem Fall die Trusted Boundary herstellen. Manche Phones realisieren dies nicht. Ein PC der Traffic mit gesetzten DSCP Werten generiert kann somit in die high prio queue gelangen. @mr._oiso wrr-queue bandwidth 20 1 80 0 wrr-queue cos-map 1 0 1 2 4 wrr-queue cos-map 3 3 6 7 wrr-queue cos-map 4 5 Warum setzt du das Drop Limit der ersten Queue (hier läuft der meiste Traffic) auf 20%? Denke auch, dass 80 für die dritte Queue etwas unpassend ist, da HSRP, STP, OSPF und Cisco SCCP diese "Bandbreite" nicht benötigen. Ciao

Hallo zusammen, gibt es beim Microsoft DHCP Server eine Möglichkeit für DHCP Vendor IDs (Option 60) keine Lease zu vergeben. Beispiel: Option 60 = test.hersteller.ja Falls nun ein Client mit test.hersteller.ja als Option 60 eine IP Adresse haben will, soll der Windows DHCP Server nicht antworten. Bei einem Linux DHCP Server währe das kein Problem ..... TIA