adowoMAC

Jungs,

wenn man zwei Pfade zu einem Ziel hat, z.B. via fa0/0 direkt und über fa0/1 und einen weiteren Router:

Pfad 1 - Router A - Router C

Pfad 2 - Router A - Router B - Router C

wie kann man das ganze dann so konfigurieren, das beide Pfade zeitgleich benutzt werden (ECMP)? Wenn ich eine kombination von ip ospf cost ausprobiere die in Addition für beide Pfade das selbe ergibt, dann scheint es als würde er die Pfadkosten nicht addieren, sondern auf Router A anhand der Kosten der beiden Interface entscheiden. Es soll aber ja anhand der kombinierten Costs entschieden werden ..

Weiss jemand wo mein denkfehler ist?

EDIT: Habe jetzt zwei Pfade mit gleicher Metric, die Daten werden aber trotzdem zu 99% über den einen und nur 1% über den anderen Pfad übertragen.

Wenn ich mir die Routen anschaue sehe ich folgendes:

A#sh ip route 10.10.1.20
Routing entry for 10.10.1.0/24
 Known via "ospf 1", distance 110, metric 12, type intra area
 Last update from 10.10.0.2 on FastEthernet0/0, 00:00:20 ago
 Routing Descriptor Blocks:
 * 20.20.0.2, from 30.30.0.2, 00:00:20 ago, via FastEthernet0/1
     Route metric is 12, traffic share count is 1
   10.10.0.2, from 30.30.0.2, 00:00:20 ago, via FastEthernet0/0
     Route metric is 12, traffic share count is 1

Die Route mit dem Sternchen ist aktiv, kann man das beeinflussen und die beiden gleichberechtigt laufen lassen oder so?

Kann ich VLANs über L2TP übertragen?

Ich muss eine direkte Verbindung von fa0/0 auf fa0/0 mit entsprechenden Subinterfacen für VLAN durch einen L2TP-Tunnel ersetzen. Möglich?

Ja das weiss ich, brauche die Sachen aber per SNMP. Habe in keiner MIB die entsprechenden OIDs gefunden.

Hm ich finde da nichts passendes ;) Ich kann mir zwar die Bandbreitenbegrenzung ansehen, nicht aber wieviele Pakete bereits in diese Klasse eingeordnet wurden ..

Okay. Ich habe nun mal testweise LLQ implementiert. Kann man die Bandbreite der einzelnen Klassen per snmp auslesen?

Okay, jetzt muss ich aber ja statisch angeben wieviel Bandbreite für welche Klasse, wollte das ja eigentlich nur Priorisieren. Wenn ich aber die maximale Länge des Queue wie gewünscht angeben möchte, sagt er mir ich muss auch bandwidth angeben.

Das Problem sind ja IMHO nicht die Policy-Maps sondern die Queues. Ich muss auf dem ausgehenden Interface 5 Queues haben, in die ich dann die entsprechenden Arten von Traffic reinschuster.

Voice: Queue 1 (Prio 1)

HTTP: Queue 2 (Prio 2)

..

..

..

Gibt es da eine Lösung?

Man kann es ja auch über priority-lists machen, aber da habe ich nur vier Stufen zur Verfügung ;)

Kann mir jemand sagen, wo ich hier den Fehler gemacht habe? Ich möchte, das alle Pakete, die auf fa0/0 reinkommen und auf fa0/1 rausgehen gegen die Policy-Map qos geprüft werden. Leider werden aber alle Pakete in die Default-Klasse gepackt ..

EDIT: Es war ein einfacher Denkfehler.

EDIT: Kann ich auf einem Interface mehrere Queues einrichten, die dann priorisiert werden was den Traffic angeht?

Hallo,

ich möchte zwischen zwei Cisco-Routern einen dauerhaften L2TP-Tunnel aufbauen. Kann mir jemand kurz sagen wie ich das am einfachsten mache? In der Doku finde ich leider nur sehr aufgeblähte Szenarien.

Hallo,

in meinem Cisco AS5400 befinden sich drei E1-Controller und vier DFCs (Dial Feature Cards). Benötige ich diese Dial-Feature Cards für die ISDN Einwahl oder kann ich in diesen Slots zusätzliche E1-Controller einsetzen?

Hendrik

Also ohne das Produktportfolio von Nortel genau zu kennen wage ich zu behaupten, dass Cisco für jede Anwendung egal in welcher größe ein passendes und leistungsfähiges System anbietet. Zudem ist Cisco (meist) hervorragend dokumentiert und du findest an vielen Stellen gute Hilfe (siehe z.B. MCSEBoard). Bei Nortel ist mir eine solche Verteilung des Wissens nicht bekannt.

Dazu bleibt zu sagen dass einige alte IOS Versionen diese "matches"-Anzeige nicht bereitstellen. Das kann einen schon irritieren wenn man sich wundert dass die ACL nicht zuschlägt, weil da einfach keine Zahlen auftauchen.

Hendrik

Das is ein Bug des Kartentreibers auf deinem Rechner oder du hast einen schlechten Patchlevel was Servicepacks und Bulletins angeht. Hatte das Problem auch mal, bis ich einen neuen treiber für die Karte und die original Software für die WLAN-Verwaltung eingespielt habe.

Hendrik

Immer gerne, bin froh wenn auch ich mal helfen kann ;)

Eigentlich müsstest du dir das Lightweight Image für den AP runterladen und draufpacken können. Damit kannst du den dann in den LWAP Mode bringen. Habe unten eine Referenz für den umgekehrten weg angegeben.

Referenz: Upgrading Autonomous Cisco Aironet Access Points to Lightweight Mode - Cisco Systems

I have an autonomous Cisco IOS Software-based AP. Can I convert it to lightweight mode?

 

A. Yes, but not all the autonomous Cisco IOS Software-based AP models can be converted. These are the models that you can convert to Lightweight AP Protocol (LWAPP) mode:

 

* All Cisco Aironet 1130 AG APs

* All Aironet 1240 AG APs

* For all Cisco IOS Software-based Aironet 1200 Series modular AP

Referenz: Lightweight Access Point FAQ - Cisco Systems

Dazu wäre interessant zu wissen, welches Produkt als WLAN-AP eingesetzt wird.

# SHOW IP ROUTE VRF YELLOW

    30.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
C       30.30.0.1/32 is directly connected, Loopback3
C       30.30.1.0/24 is directly connected, FastEthernet0/0.3
C       30.30.0.10/32 is directly connected, Virtual-Access1

Es muss damit doch möglich sein das ich einen PING vom ISDN-Client (30.30.0.10) an das Loopback (30.30.0.1) abzusenden oder? Klappt einfach nicht. Wenn ich die beiden aber aus dem VRF rausnehme, klappt es wieder...

Die Virtual-Access-Interface werden nun korrekt mit dem "ip vrf forwarding yellow" gebracht. Wie kann ich den Traffic, der von diesen Interfacen kommt nun nach außen weiterführen, wo noch weitere Bereiche dieses VRF/VPN vorhanden sind? Ich habe es mir so gedacht über ein Subinterface von fa0/0 rauszugehen (VLAN)..

Kann es sein dass das totaler Quatsch ist?

EDIT: Wieso kann ich keinen erfolgreichen PING vom ISDN-Client an den Router (30.30.0.10 an 30.30.0.1) absenden, sobald virtual-profile aaa eingeschaltet ist??? Wenn ich es ausschalte wird der Client wiederum nicht erfolgreich mit dem VRF verknüpft...

Current configuration : 4218 bytes
!
!
version 12.1
no service single-slot-reload-enable
service timestamps debug datetime localtime
service timestamps log uptime
service password-encryption
!
hostname AS5400-lab
!
no boot startup-test
logging rate-limit console 10 except errors
aaa new-model
aaa authentication login default local
aaa authentication ppp default group radius
aaa authorization network default group radius 
!
!
resource-pool disable
clock timezone berlin 1
clock summer-time berlin recurring
!
!
!
!
voice-fastpath enable
ip subnet-zero
no ip finger
no ip domain-lookup
!
!
ip vrf red
rd 2:2
route-target export 2:2
route-target import 2:2
!
ip vrf yellow
rd 3:3
route-target export 3:3
route-target import 3:3
virtual-profile virtual-template 1
virtual-profile aaa
isdn switch-type primary-net5
call rsvp-sync
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
!
controller E1 4/0
pri-group timeslots 1-31
!
!
interface Loopback2
ip address 20.20.0.1 255.255.255.255
!
interface Loopback3
description *** Aggregation Loopback for VRF YELLOW ***
ip address 30.30.0.1 255.255.255.0
!
interface FastEthernet0/0
description *** Anbindung Internet ***
ip address xx.xx.xx.xx 255.255.255.128
duplex auto
speed auto
!
interface FastEthernet0/0.2
encapsulation dot1Q 200
ip vrf forwarding red
ip address 20.20.1.1 255.255.255.0
!
interface FastEthernet0/0.3
encapsulation dot1Q 300
ip vrf forwarding yellow
ip address 30.30.1.1 255.255.255.0
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface Serial0/0
no ip address
shutdown
clockrate 2000000
!
interface Serial0/1
no ip address
shutdown
clockrate 2000000
!
interface Serial4/0:15
description *** Serial 4/0 Timeslot 15: Steuerungskanal ***
no ip address
encapsulation ppp
dialer rotary-group 1
isdn switch-type primary-net5
isdn not-end-to-end 64
isdn incoming-voice modem
isdn calling-number 04413507690
isdn outgoing-voice info-transfer-capability 3.1kHz-audio
no peer default ip address
no fair-queue
no cdp enable
ppp authentication pap chap callin
!
interface Virtual-Template1
ip unnumbered Loopback3
ppp authentication pap chap
ppp multilink
!
interface Group-Async0
no ip address
group-range 1/00 5/107
!
interface Dialer1
description *** Interface zur Aggregation von ISDN Clients ***
no ip address
encapsulation ppp
no ip mroute-cache
dialer in-band
dialer idle-timeout 300
dialer-group 1
no peer default ip address
no fair-queue
no cdp enable
ppp authentication pap chap callin
ppp multilink
!
ip classless
ip route profile
no ip http server
!
dialer-list 1 protocol ip permit
!
radius-server host xx.xx.xx.xx auth-port 1812 acct-port 1813
radius-server retransmit 3
radius-server key 7 xxx
!
voice-port 4/0:D
!
alias exec rt show ip route
!
line con 0
transport input none
line aux 0
line vty 0 4
access-class 10 in
transport input telnet
line 1/00 3/107
no flush-at-activation
modem InOut
line 5/00 5/107
no flush-at-activation
modem InOut
!
scheduler allocate 10000 400
ntp clock-period 17180010
ntp update-calendar
ntp server xx.xx.xx.xx
end

Das ist aber ja die andere Richtung. Die wollten ja für jede VRF Instanz ein eigenes AAA-Konzept fahren. Was ich vorhabe ist ja die andere Richtung.

Anhand des RADIUS-Profils soll der User in eine VRF-Instanz eingeordnet werden. Ich denke ich liege mit dem cisco-avpair = "template:ip-vrf=yellow" schon richtig, aber er sagt eben jedes mal "not applied to ip" und "not applied to lcp"

Jul  9 14:36:20: RADIUS: cisco AVPair "template:ip-vrf=yellow" not applied for lcp
Jul  9 14:36:20: RADIUS: cisco AVPair "template:ip-vrf=yellow" not applied for ip

Hmm das scheint so nicht zu gehen. Kann ich denn stattdessen den Usern eine Framed-Router verpassen, die z.B. auf Loopback 1 zeigt und dann Loopback 1 in das VRF yellow packen?

Ich habe jetzt wieder ein neues Problem bezüglich des RADIUS-Profils. Ich habe ein Interface Virtual-Template 1, welches seine Einstellungen von dem RADIUS-Profil bekommen soll. Hierzu habe ich folgendes RADIUS-Profil erstellt:

yellow_testuser Auth-Type := Local, User-Password == "gelbgelb"
Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-IP-Address = 30.30.0.15,
Framed-IP-Netmask = 255.255.255.0,
Cisco-AVPair = "lcp:interface-config=ip vrf forwarding yellow",
Cisco-AVPair = "lcp:interface-config=peer default ip address pool yellowpool",
Cisco-AVPair = "lcp:interface-config=ip unnumbered loopback 3"

Leider werden diese angegebenen Einstellungen nicht von dem Virtual-Access Interface adaptiert was bei der Einwahl erstellt wird. Wo liegt der Fehler? Komischerweise sehe ich im Log auch nur den ersten Befehl der drei Cisco-Befehle.

Jul  9 11:35:27: RADIUS: cisco AVPair "lcp:interface-config=ip vrf forwarding yellow"
3d02h: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up
Jul  9 11:35:27: RADIUS: Authorize IP address 30.30.0.15
Jul  9 11:35:27: RADIUS: Framed-IP-Netmask 255.255.255.0
Jul  9 11:35:27: RADIUS: framed-route 30.30.0.0 255.255.255.0
Jul  9 11:35:27: RADIUS: cisco AVPair "lcp:interface-config=ip vrf forwarding yellow" not applied for ip

Was bedeutet die letzte Aussage: not applied for IP?

Hendrik

Oder mit einem Sniffer wie z.B. Wireshark oder dem Packetyzer lauschen während du mit einem Cross-Kabel mit dem AP verbunden bist. Früher oder später trudelt bei dir auf dem Schirm ein Paket ein, was seine IP-Adresse verrät.

Hendrik

35er Serie unterstützt definitiv VLANs

Ein reiner Traum würde ich sagen ;) Kann man da auch einen Rasenmäher anbinden? Vielleicht sogar einen Rasenmäher-Trunk?

Eigentlich ist das keine besonders saubere Lösung. Man sollte eigentlich dafür sorgen dass dieser Host bei diesem Zweck mit zwei Interfacen an zwei verschiedenen Switchports hängt. Damit wäre das Problem dann auch sehr einfach und performant gelöst.

Wenn du es allerdings so machen möchtest, dann solltest du einfach den Switchport eine Mitgliedschaft in den beiden VLANs besorgen, indem du das Interface am Switch in zwei Subinterface aufteilst, auf denen du dann Dot1Q sprichst. Ich kann es leider gerade nicht testet, sollte aber funktionieren.

Edit: Funktioniert nicht ;)