adowoMAC

Jungs, wenn man zwei Pfade zu einem Ziel hat, z.B. via fa0/0 direkt und über fa0/1 und einen weiteren Router: Pfad 1 - Router A - Router C Pfad 2 - Router A - Router B - Router C wie kann man das ganze dann so konfigurieren, das beide Pfade zeitgleich benutzt werden (ECMP)? Wenn ich eine kombination von ip ospf cost ausprobiere die in Addition für beide Pfade das selbe ergibt, dann scheint es als würde er die Pfadkosten nicht addieren, sondern auf Router A anhand der Kosten der beiden Interface entscheiden. Es soll aber ja anhand der kombinierten Costs entschieden werden .. Weiss jemand wo mein denkfehler ist? EDIT: Habe jetzt zwei Pfade mit gleicher Metric, die Daten werden aber trotzdem zu 99% über den einen und nur 1% über den anderen Pfad übertragen. Wenn ich mir die Routen anschaue sehe ich folgendes: A#sh ip route 10.10.1.20 Routing entry for 10.10.1.0/24 Known via "ospf 1", distance 110, metric 12, type intra area Last update from 10.10.0.2 on FastEthernet0/0, 00:00:20 ago Routing Descriptor Blocks: * 20.20.0.2, from 30.30.0.2, 00:00:20 ago, via FastEthernet0/1 Route metric is 12, traffic share count is 1 10.10.0.2, from 30.30.0.2, 00:00:20 ago, via FastEthernet0/0 Route metric is 12, traffic share count is 1 Die Route mit dem Sternchen ist aktiv, kann man das beeinflussen und die beiden gleichberechtigt laufen lassen oder so?

Kann ich VLANs über L2TP übertragen? Ich muss eine direkte Verbindung von fa0/0 auf fa0/0 mit entsprechenden Subinterfacen für VLAN durch einen L2TP-Tunnel ersetzen. Möglich?

Ja das weiss ich, brauche die Sachen aber per SNMP. Habe in keiner MIB die entsprechenden OIDs gefunden.

Hm ich finde da nichts passendes ;) Ich kann mir zwar die Bandbreitenbegrenzung ansehen, nicht aber wieviele Pakete bereits in diese Klasse eingeordnet wurden ..

Okay. Ich habe nun mal testweise LLQ implementiert. Kann man die Bandbreite der einzelnen Klassen per snmp auslesen?

Okay, jetzt muss ich aber ja statisch angeben wieviel Bandbreite für welche Klasse, wollte das ja eigentlich nur Priorisieren. Wenn ich aber die maximale Länge des Queue wie gewünscht angeben möchte, sagt er mir ich muss auch bandwidth angeben.

Das Problem sind ja IMHO nicht die Policy-Maps sondern die Queues. Ich muss auf dem ausgehenden Interface 5 Queues haben, in die ich dann die entsprechenden Arten von Traffic reinschuster. Voice: Queue 1 (Prio 1) HTTP: Queue 2 (Prio 2) .. .. .. Gibt es da eine Lösung? Man kann es ja auch über priority-lists machen, aber da habe ich nur vier Stufen zur Verfügung ;)

Kann mir jemand sagen, wo ich hier den Fehler gemacht habe? Ich möchte, das alle Pakete, die auf fa0/0 reinkommen und auf fa0/1 rausgehen gegen die Policy-Map qos geprüft werden. Leider werden aber alle Pakete in die Default-Klasse gepackt .. EDIT: Es war ein einfacher Denkfehler. EDIT: Kann ich auf einem Interface mehrere Queues einrichten, die dann priorisiert werden was den Traffic angeht?

Hallo, ich möchte zwischen zwei Cisco-Routern einen dauerhaften L2TP-Tunnel aufbauen. Kann mir jemand kurz sagen wie ich das am einfachsten mache? In der Doku finde ich leider nur sehr aufgeblähte Szenarien.

Hallo, in meinem Cisco AS5400 befinden sich drei E1-Controller und vier DFCs (Dial Feature Cards). Benötige ich diese Dial-Feature Cards für die ISDN Einwahl oder kann ich in diesen Slots zusätzliche E1-Controller einsetzen? Hendrik

Also ohne das Produktportfolio von Nortel genau zu kennen wage ich zu behaupten, dass Cisco für jede Anwendung egal in welcher größe ein passendes und leistungsfähiges System anbietet. Zudem ist Cisco (meist) hervorragend dokumentiert und du findest an vielen Stellen gute Hilfe (siehe z.B. MCSEBoard). Bei Nortel ist mir eine solche Verteilung des Wissens nicht bekannt.

Dazu bleibt zu sagen dass einige alte IOS Versionen diese "matches"-Anzeige nicht bereitstellen. Das kann einen schon irritieren wenn man sich wundert dass die ACL nicht zuschlägt, weil da einfach keine Zahlen auftauchen. Hendrik

Das is ein Bug des Kartentreibers auf deinem Rechner oder du hast einen schlechten Patchlevel was Servicepacks und Bulletins angeht. Hatte das Problem auch mal, bis ich einen neuen treiber für die Karte und die original Software für die WLAN-Verwaltung eingespielt habe. Hendrik

Immer gerne, bin froh wenn auch ich mal helfen kann ;)

Eigentlich müsstest du dir das Lightweight Image für den AP runterladen und draufpacken können. Damit kannst du den dann in den LWAP Mode bringen. Habe unten eine Referenz für den umgekehrten weg angegeben. Referenz: Upgrading Autonomous Cisco Aironet Access Points to Lightweight Mode - Cisco Systems Referenz: Lightweight Access Point FAQ - Cisco Systems

Dazu wäre interessant zu wissen, welches Produkt als WLAN-AP eingesetzt wird.

# SHOW IP ROUTE VRF YELLOW 30.0.0.0/8 is variably subnetted, 3 subnets, 2 masks C 30.30.0.1/32 is directly connected, Loopback3 C 30.30.1.0/24 is directly connected, FastEthernet0/0.3 C 30.30.0.10/32 is directly connected, Virtual-Access1 Es muss damit doch möglich sein das ich einen PING vom ISDN-Client (30.30.0.10) an das Loopback (30.30.0.1) abzusenden oder? Klappt einfach nicht. Wenn ich die beiden aber aus dem VRF rausnehme, klappt es wieder...

Die Virtual-Access-Interface werden nun korrekt mit dem "ip vrf forwarding yellow" gebracht. Wie kann ich den Traffic, der von diesen Interfacen kommt nun nach außen weiterführen, wo noch weitere Bereiche dieses VRF/VPN vorhanden sind? Ich habe es mir so gedacht über ein Subinterface von fa0/0 rauszugehen (VLAN).. Kann es sein dass das totaler Quatsch ist? EDIT: Wieso kann ich keinen erfolgreichen PING vom ISDN-Client an den Router (30.30.0.10 an 30.30.0.1) absenden, sobald virtual-profile aaa eingeschaltet ist??? Wenn ich es ausschalte wird der Client wiederum nicht erfolgreich mit dem VRF verknüpft... Current configuration : 4218 bytes ! ! version 12.1 no service single-slot-reload-enable service timestamps debug datetime localtime service timestamps log uptime service password-encryption ! hostname AS5400-lab ! no boot startup-test logging rate-limit console 10 except errors aaa new-model aaa authentication login default local aaa authentication ppp default group radius aaa authorization network default group radius ! ! resource-pool disable clock timezone berlin 1 clock summer-time berlin recurring ! ! ! ! voice-fastpath enable ip subnet-zero no ip finger no ip domain-lookup ! ! ip vrf red rd 2:2 route-target export 2:2 route-target import 2:2 ! ip vrf yellow rd 3:3 route-target export 3:3 route-target import 3:3 virtual-profile virtual-template 1 virtual-profile aaa isdn switch-type primary-net5 call rsvp-sync ! ! fax interface-type modem mta receive maximum-recipients 0 ! ! controller E1 4/0 pri-group timeslots 1-31 ! ! interface Loopback2 ip address 20.20.0.1 255.255.255.255 ! interface Loopback3 description *** Aggregation Loopback for VRF YELLOW *** ip address 30.30.0.1 255.255.255.0 ! interface FastEthernet0/0 description *** Anbindung Internet *** ip address xx.xx.xx.xx 255.255.255.128 duplex auto speed auto ! interface FastEthernet0/0.2 encapsulation dot1Q 200 ip vrf forwarding red ip address 20.20.1.1 255.255.255.0 ! interface FastEthernet0/0.3 encapsulation dot1Q 300 ip vrf forwarding yellow ip address 30.30.1.1 255.255.255.0 ! interface FastEthernet0/1 no ip address duplex auto speed auto ! interface Serial0/0 no ip address shutdown clockrate 2000000 ! interface Serial0/1 no ip address shutdown clockrate 2000000 ! interface Serial4/0:15 description *** Serial 4/0 Timeslot 15: Steuerungskanal *** no ip address encapsulation ppp dialer rotary-group 1 isdn switch-type primary-net5 isdn not-end-to-end 64 isdn incoming-voice modem isdn calling-number 04413507690 isdn outgoing-voice info-transfer-capability 3.1kHz-audio no peer default ip address no fair-queue no cdp enable ppp authentication pap chap callin ! interface Virtual-Template1 ip unnumbered Loopback3 ppp authentication pap chap ppp multilink ! interface Group-Async0 no ip address group-range 1/00 5/107 ! interface Dialer1 description *** Interface zur Aggregation von ISDN Clients *** no ip address encapsulation ppp no ip mroute-cache dialer in-band dialer idle-timeout 300 dialer-group 1 no peer default ip address no fair-queue no cdp enable ppp authentication pap chap callin ppp multilink ! ip classless ip route profile no ip http server ! dialer-list 1 protocol ip permit ! radius-server host xx.xx.xx.xx auth-port 1812 acct-port 1813 radius-server retransmit 3 radius-server key 7 xxx ! voice-port 4/0:D ! alias exec rt show ip route ! line con 0 transport input none line aux 0 line vty 0 4 access-class 10 in transport input telnet line 1/00 3/107 no flush-at-activation modem InOut line 5/00 5/107 no flush-at-activation modem InOut ! scheduler allocate 10000 400 ntp clock-period 17180010 ntp update-calendar ntp server xx.xx.xx.xx end

Das ist aber ja die andere Richtung. Die wollten ja für jede VRF Instanz ein eigenes AAA-Konzept fahren. Was ich vorhabe ist ja die andere Richtung. Anhand des RADIUS-Profils soll der User in eine VRF-Instanz eingeordnet werden. Ich denke ich liege mit dem cisco-avpair = "template:ip-vrf=yellow" schon richtig, aber er sagt eben jedes mal "not applied to ip" und "not applied to lcp" Jul 9 14:36:20: RADIUS: cisco AVPair "template:ip-vrf=yellow" not applied for lcp Jul 9 14:36:20: RADIUS: cisco AVPair "template:ip-vrf=yellow" not applied for ip

Hmm das scheint so nicht zu gehen. Kann ich denn stattdessen den Usern eine Framed-Router verpassen, die z.B. auf Loopback 1 zeigt und dann Loopback 1 in das VRF yellow packen?

Ich habe jetzt wieder ein neues Problem bezüglich des RADIUS-Profils. Ich habe ein Interface Virtual-Template 1, welches seine Einstellungen von dem RADIUS-Profil bekommen soll. Hierzu habe ich folgendes RADIUS-Profil erstellt: yellow_testuser Auth-Type := Local, User-Password == "gelbgelb" Service-Type = Framed-User, Framed-Protocol = PPP, Framed-IP-Address = 30.30.0.15, Framed-IP-Netmask = 255.255.255.0, Cisco-AVPair = "lcp:interface-config=ip vrf forwarding yellow", Cisco-AVPair = "lcp:interface-config=peer default ip address pool yellowpool", Cisco-AVPair = "lcp:interface-config=ip unnumbered loopback 3" Leider werden diese angegebenen Einstellungen nicht von dem Virtual-Access Interface adaptiert was bei der Einwahl erstellt wird. Wo liegt der Fehler? Komischerweise sehe ich im Log auch nur den ersten Befehl der drei Cisco-Befehle. Jul 9 11:35:27: RADIUS: cisco AVPair "lcp:interface-config=ip vrf forwarding yellow" 3d02h: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up Jul 9 11:35:27: RADIUS: Authorize IP address 30.30.0.15 Jul 9 11:35:27: RADIUS: Framed-IP-Netmask 255.255.255.0 Jul 9 11:35:27: RADIUS: framed-route 30.30.0.0 255.255.255.0 Jul 9 11:35:27: RADIUS: cisco AVPair "lcp:interface-config=ip vrf forwarding yellow" not applied for ip Was bedeutet die letzte Aussage: not applied for IP? Hendrik

Oder mit einem Sniffer wie z.B. Wireshark oder dem Packetyzer lauschen während du mit einem Cross-Kabel mit dem AP verbunden bist. Früher oder später trudelt bei dir auf dem Schirm ein Paket ein, was seine IP-Adresse verrät. Hendrik

35er Serie unterstützt definitiv VLANs

Ein reiner Traum würde ich sagen ;) Kann man da auch einen Rasenmäher anbinden? Vielleicht sogar einen Rasenmäher-Trunk?

Eigentlich ist das keine besonders saubere Lösung. Man sollte eigentlich dafür sorgen dass dieser Host bei diesem Zweck mit zwei Interfacen an zwei verschiedenen Switchports hängt. Damit wäre das Problem dann auch sehr einfach und performant gelöst. Wenn du es allerdings so machen möchtest, dann solltest du einfach den Switchport eine Mitgliedschaft in den beiden VLANs besorgen, indem du das Interface am Switch in zwei Subinterface aufteilst, auf denen du dann Dot1Q sprichst. Ich kann es leider gerade nicht testet, sollte aber funktionieren. Edit: Funktioniert nicht ;)