daking

Hola, welche HW benutzt du? Hier am Beispiel des 2970/3750, die Shaped Round Robin benutzen (SRR): Diese HW benutzt ein 1P3Q3T egress Queueing, also: => 1 Priority Queue => 3 "normale" Queues => und 3 drop Thresholds per Queue Außerdem hat diese HW zwei input Queues! -->mls qos srr-queue input buffers 20 80 mit diesem Befehl verteilst du global Puffer der input Queue in Prozent, d.h falls es ingress zu extremer Last kommt, wird die erste input queue als erstes mit Tail drops beginnen. Dies ist sinnvoll, falls die Daten der Queue 1 eher wenig Bandbreite benötigen (wie z.B VoIP => da wird es also nicht zu Drops kommen, da die Puffer reichen sollten!) Nach meiner Meinung hat ingress Queueing eher wenig Sinn, da erst eine Classification geschehen muss und eher egress ein Queueing geschehen sollte. => mls qos srr-queue input priority-queue 2 bandwidth XX per default ist die priority queue bei srr fähigen switches ingress queue 2 (der obige befehl sollte also eher weniger Puffer der queue 2 zuweisen, da Pakete in dieser Queue sofort auf den TX Ring übertragen werden. drops die durch ©wfq oder wred (..) erzeugt werden müssen eher in Q1 abgefangen werden!) Wenn nun die gesamte Bandbreite durch diese Priority Queue "verschwendet" werden würde, dann müssten alle anderen Dienste "bluten". Daher wird hier ein Limit für die verwöhnten Daten erstellt .Nach Cisco Logik sollte das max nicht 33% der gesamt BW verbrauchen! => mls qos queue-set output 2 threshold 2 XXX X XXX XXX => mls qos queue-set output 2 threshold 2 XXX XXX XXX XXX (überflüssig) Hier werden die Auslastungsgrenzen der Queues in egress Richtung definiert (hier sollte denke ich die Q 1 di prio sein!): Die Thresholds werden via DSCP Werte gefüllt! => mls qos queue-set output 2 buffers XX XX X X Like ingress.. Na ja ..

Hola, mit AH wird Autentifiziert. Der Payload ist nicht verschlüsselt.. Ciao

Hola denke hands on wird helfen. Ciao

Hola, das würde ich auch gerne wissen (:-)

Hola, so kannst du Packets eines Ports debuggen: debug list <int> debug int <int> debug ip packet detail <acL> na dann mal die dirty tricks: !! debug eingrenzen => sonst switch tot!! debug list <interface> debug int <interface> debug ip packet dump <acl> !! so jetzt laufen die Daten dann den konsole output mit folgenden Befehl für Ethereal fit machen #!/usr/bin/perl # Convert Cisco dump file format to something text2pcap can read. # Author: Hamish Moffatt hamish(at)cloud.net.au. # License: GPL (see http://www.gnu.org) sub dumppkt () { for ($i = 0; $i < scalar(@pkt); $i++) { if ($i % 16 == 0) { printf "\n%08X", $i; } printf " %02X", $pkt[$i]; } } while(<>) { chomp; unless (m/[0-9A-F]{8}:/) { $new_pkt = 1; dumppkt; undef @pkt; next; } # Strip the offsets and ASCII dump $hex = substr $_, 10, 35; # Remove all spaces $hex =~ s/ //g; # Convert hex bytes on this line while ((length $hex) > 0) { push @pkt, hex (substr $hex, 0, 2, ""); } } dumppkt; print "\n"; ==> perl cisco2txt.pl < cisco.dump | text2pcap – cisco.pcap oder mit RSPAN arbeiten Ciao

Hola, denke du kannst die cisco beispielconfig nehmen. siehe link. ciao

Hola, wenn du einen Switch von VTP mode server|client auf transparent umstellst, verliert diser die VTP gelernten VLANs und leitet auch keine VTP Messages weiter! Die Einträge in der Config sind komisch: The tb-vlan1 and tb-vlan2 keywords are used to configure translational bridge VLANs of a specified type of VLAN and are not allowed in other types of VLANs. Translational bridge VLANs must be of a differing VLAN type as the affected VLAN; if two VLANs are specified, the two must be of differing VLAN types. A translational bridge VLAN will reset to the default if the translational bridge VLAN is deleted or the media keyword changes the VLAN type or the VLAN type of the corresponding translational bridge VLAN. Welches IOS verwendest du? Ciao

Hola, config posten. was sagt route print auf dem pc? Ciao

Hola conf t ip http server exit wr Ciao

Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 17 permit 10.0.0.0 0.255.255.255 Router(config)#access-list 18 permit 10.0.0.0 0.255.255.255 Router(config)#ip nat pool OUTPOOL 11.0.0.1 11.255.255.254 netmask 255.0.0.0 type match-host Router(config)#ip nat pool INPOOL 12.0.0.1 12.255.255.254 netmask 255.0.0.0 type match-host Router(config)#ip nat inside source list 17 pool INPOOL Router(config)#ip nat outside source list 18 pool OUTPOOL Router(config)#ip route 11.0.0.0 255.0.0.0 Ethernet0/0 Router(config)#ip route 12.0.0.0 255.0.0.0 FastEthernet1/0 Router(config)#interface FastEthernet1/0 Router(config-if)#ip address 10.1.1.1 255.255.255.0 Router(config-if)#ip nat inside Router(config-if)#exit Router(config)#interface Ethernet0/0 Router(config-if)#ip address 10.2.1.2 255.255.255.0 Router(config-if)#ip nat outside Router(config-if)#end Router# Note that we have used the match-host keyword in the NAT pool definitions: Router(config)#ip nat pool OUTPOOL 11.0.0.1 11.255.255.254 netmask 255.0.0.0 type match-host When you use this option, the router will translate the network prefixes and leave the host portions of the address intact. So, in this example, the arbitrary IP address 10.1.2.3 would become 11.1.2.3. Only the first byte would be changed. The key advantage of this method is that the translations are always the same, so you can reliably make connections between any internal and external devices in either direction. You cannot do this with the ordinary dynamic address pools that we have discussed so far. Note that the overload option makes no sense in this configuration. There are a few important things to watch out for when using NAT in both directions. First, the router must have routing table entries for the fictitious IP addresses. It is quite likely that the translated addresses used for external devices will not be part of a physical IP network that the router knows how to reach. This is why we have configured a static route directing traffic for this range out through the external interface: Router(config)#ip route 11.0.0.0 255.255.255.0 Ethernet0/0 The second important thing to remember is that with dynamic NAT, the router does not create a translation for each device until it needs to. If you want to connect through the router to a particular translated address, you must make sure that the router retains the translation table information. This means that if you want any-to-any connections in either direction, you must use either static mappings or the match-host keyword. Dynamic NAT will not allow access in both directions. The third important thing to remember is that all of the other routers must know how to reach the translated addresses. So, if the external network is translated from 10.0.0.0/8 to 11.0.0.0/8, then you need to make sure that the internal routers all know that they can reach this fictitious 11.0.0.0/8 network through the NAT router. The best way to do this is by simply redistributing the static routes for the fictitious networks through your dynamic routing protocol. Recipe 21.6 shows a somewhat better way to solve this overlapping address problem. Instead of doing simultaneous translation in both directions on the same router, it is better to do it on two routers with a different, nonconflicting address range in the middle. One router will simply translate the prefix for one of these networks from 10.0.0.0/8 to 11.0.0.0/8. The other router will translate the addresses on the other network from 10.0.0.0/8 to 12.0.0.0/8. This is a much more stable solution, and it does not suffer from the problems of dynamic NAT mentioned earlier. Ciao

Falls do doch den steinigen Weg gehen willst sollte das helfen: Recipe 21.5 Translating in Both Directions Simultaneously 21.5.1 Problem You want to translate both internal and external addresses. 21.5.2 Solution In some cases, you might need to translate IP addresses on both sides of your router: Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 15 deny 192.168.1.15 Router(config)#access-list 15 permit 192.168.0.0 0.0.255.255 Router(config)#access-list 16 deny 172.16.5.25 Router(config)#access-list 16 permit 172.16.0.0 0.0.255.255 Router(config)#ip nat pool NATPOOL 172.16.1.100 172.16.1.150 netmask 255.255.255.0 Router(config)#ip nat pool INBOUNDNAT 192.168.15.100 192.168.15.200 netmask 255.255.255.0 Router(config)#ip nat inside source list 15 pool NATPOOL overload Router(config)#ip nat inside source list 16 pool INBOUNDNAT overload Router(config)#ip nat inside source static 192.168.1.15 172.16.1.10 Router(config)#ip nat outside source static 172.16.5.25 192.168.15.5 Router(config)#ip route 192.168.15.0 255.255.255.0 Ethernet0/0 Router(config)#interface FastEthernet 0/0 Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#ip nat inside Router(config-if)#exit Router(config)#interface FastEthernet 0/1 Router(config-if)#ip address 192.168.2.1 255.255.255.0 Router(config-if)#ip nat inside Router(config-if)#interface Ethernet0/0 Router(config-if)#ip address 172.16.1.2 255.255.255.0 Router(config-if)#ip nat outside Router(config-if)#end Router# 21.5.3 Discussion Sometimes you need to translate IP addresses on both the inside and the outside interfaces. This might happen, for example, when you need to connect to another network that uses an overlapping range of unregistered addresses. Cisco routers can do NAT translations of addresses on both the external and internal interfaces at the same time. In this case, the router will rewrite external addresses in the range 172.16.0.0/16 so that they appear to be on the 192.168.15.0/24 subnet in the range specified by the INBOUNDNAT pool. And, at the same time, it will rewrite internal addresses that are part of the 192.168.0.0/16 subnet so that they will appear on the outside to be part of 172.16.1.0/24 in the range specified by the NATPOOL pool. Note that the access lists defining which addresses should use the dynamic address pool both refer to the real addresses (inside local and outside global). So, for internal devices, the access list should refer to the real internal addresses, while the list for external devices should refer to the real external addresses. The most significant reason for using this feature is to remove a conflict due to overlapping address ranges. The following example shows how to remove an address conflict at the router between two networks that both use the ubiquitous 10.0.0.0/8 address range. We will map the outside network to 11.0.0.0/8 and the inside network to 12.0.0.0/8. Note that these two address ranges are both registered network numbers, so doing this will cause some problems for Internet access. We recommend doing this only as a temporary measure to resolve an IP address conflict caused by merging two networks with overlapping IP address ranges:

Hola, Bridging ist in diesem Fall (VPN) eher sehr gewagt! Da sollte man doch eher auf many to many NAT setzen um gleiche Netze zu verbinden! Die einfachere Lösung ist in diesem Fall mit Sicherheit ein Redesign des Netzwerks. Ciao

Hola, für die Anmeldung benötigst du keine IP Adresse, dass läuft auf L2. Die IP Adresse bekommst du über DHCP aus dem VLAN, dass dir nach der erfolgreichen Anmeldung am Switch über den Radius Server zugeteilt wurde (bei erfolgreicher Anmeldung wirst du also nie im Gast VLAN sein!) Falls es Probleme mit Windowsrechner gibt liegt dies an einem Bug, der verhindert, dass sich der Rechner vor allen Aktionen am Netzwerk anmeldet. 802.1X mit Vlan vergabe ist auch mit dem Freeware radiusd für Linux möglich... Ciao.

Hola, dot1X ist hier im Forum endlos diskutiert worden. Benutze also erst mal die Boardsuche. Falls es dann Probleme gibt bitte melden!

Hola, via 802.1X müssen sich die User authentifizieren. Bei erfolgreicher Auth wird das VLAN zugewiesen.. Ciao

Hola, mit 802.1X wird den SE mitarbeitern dynamisch das SE VLAN zugewiesen. Alle anderen landen im Guest VLAN, dass z.B. via ACLs gesichert ist. Zusätlich kann man die Sache dann mit port-security absichern. Ciao

Hola, mit 802.1X sollte das Problem lösbar sein.

Hola startup IOS Sicherung = Backup Ciao

Hola, @czappb: Ich habe bis jetzt keine sinnvolle Anwendung für MST+ gefunden. Auch bei großen Projekten nicht (mit Cisco Komponenten). Nur bei Switches die keinen Cisco PVST+ können (like Alcatel Switches) habe ich mal MST+ konfiguriert. Wo hast du MST+ eingesetzt? Welchen Vorteil hat MST+ hier? Welchen Nachteil hätte in deiner Konstellation RSTP? Danke Ciao Thomas

Hallo, bei IOS Switches sowie bei CatOS Switches steht die gesamte Config in der startup-config oder running-config. Default Werte, wie z.B. nicht konfigurierte VTP Einstellungen werden natürlich nicht angezeigt! Bei Uralt Releases musst du vielleicht noch die vlan database speichern. Befehle wie term mon, term hist werden nicht gespeichert, da diese unter Betrieb gesetzt werden (Terminal Settings). Du kannst also einen Switch mit einem einigermaßen actuellen IOS mit einer Sicherung der Statup + sicherung des IOS wieder fit machen! Ciao

Hallo, warum empfielst du MST+ ? Eine STP Instanz für alle Vlans = wenn es ein Problem (STP Change) in einem VLAN gibt sind alle betroffen! MST benutzt zwar den gleichen Algo, wie RSTP, jedoch wird eine Instanz für alle Switches schnell unüberschaulich und problematisch. Wenn du eine sinnvolle Struktur hast (Access Layer, Distribution Layer, Core Layer), wirst du in den Backbone routen und kannst falls es die Topologie erlaubt den STP ausschalten (mit loop guard...); sprich zwischen den beiden Distribution Switches routen. Wenn "sehr" viele Switches in ein VLAN stecks, ist dein LAN falsch segmentiert / designed! Falls du STP benutzen willst solltest du RSTP benutzen, Vorraussetzung: - point to point links - nur FDX Links Diese Vorraussetzungen gelten auch für MST+. Ciao

Hola, für .1x benötigst du Radius und nicht Tacacs+. Ciao

@rob_67: mit OIR Events? Ciao

Hola, Router Configuration Procedure Complete these steps to configure your router: 1. Configure the router with the configure terminal command. 2. Type exception dump n.n.n.n, where n.n.n.n is the IP address of the remote Trivial File Transfer Protocol (TFTP) server host. 3. Exit the configuration mode. TFTP Server Host Configuration Procedure Complete these steps to configure a TFTP server host: 1. Create a file under the /tftpboot directory on the remote host with the help of an editor of your choice. The file name is the Cisco router hostname-core. 2. On UNIX systems, change the permission mode of the "hostname-core" file to be globally compatible (666). You can check the TFTP setup through the copy running-config tftp command on that file. 3. Make sure you have more than 16 MB of free disk space under /tftpboot. If the system crashes, the exception dump command creates its output to the above file. If the router has more than 16 MB of main memory, use File Transfer Protocol (FTP) or Remote Copy Protocol (RCP) to get the core dump. On the router, configure this: exception protocol ftp exception dump n.n.n.n ip ftp username <string> ip ftp password <string> ip ftp source-interface <slot/port/interface> exception core-file <core-filename> When you have collected a core dump, upload it to ftp://ftp-sj.cisco.com/incoming (in UNIX, type pftp ftp-sj.cisco.com and then cd incoming), and notify the owner of your case and include the filename. ciao

Hola, der Link ist komplett...... klick it (;-) Ciao