mturba

Je nach Modell (weiß grad nicht, ob der 2950 noch was anderes unterstützt) fehlen auf der Cisco-Seite eventuell noch folgende Zeilen in der Konfiguration deiner Trunkports:

switchport trunk encapsulation dot1q

switchport trunk native vlan 2 (oder irgendein anderes, muss auf beiden Seiten das gleiche sein)

HP-seitig sieht die Konfiguration dann ungefähr so aus:

vlan 2

name "VLAN02"

untagged 1-12,24

exit

vlan 3

name "VLAN03"

untagged 13-23

tagged 24

exit

In diesem Fall sind die Ports 1-12 in VLAN02 und die Ports 13-23 in VLAN03. Port 24 wird als Trunk konfiguriert. Das Native-VLAN wird untagged über den Port übertragen, alle anderen VLANs, die über den Trunk gehen sollen, müssen getagged übertragen werden.

Gruß,

Martin

Das scheint wohl ein Problem mit deinen NAT-Rules zu sein. Kannst du mal deine PIX-Konfiguration posten, bzw. den Teil, der was mit NAT zu tun hat?

Hm, das einzige, was mir dazu einfällt wäre, das mit nem manuellen Binding für jeden Host zu lösen. Siehe z.B. hier:

Configuring DHCP

Oder alternativ schon an anderer Stelle verhindern, dass unbekannte Clients überhaupt in dieses Netz kommen, z.B. dot1x/vmps.

Nee, das Kommando existiert nicht mal im Unterkonfigurationsmenü des Vlan-Interfaces... ;) Aber wenn's da generell Einschränkungen gibt, wie der Link ja zeigt, dann betrifft das so nen kleinen Router wie den 876 wohl auf jeden Fall.

Ersteres ;)

Hey, super Idee - irgendwie kam ich noch nicht auf die Idee, auf dem SVI zu filtern... das funktioniert auch alles super... leider kann man aber an ein Vlan-Interface keine service-policy binden, traffic-shaping, -policing und rate-limiting allerdings sind möglich. Weiß jemand, woran das liegt, dass man das nur auf physikalischen Interfaces verwenden kann?

Danke, mein Problem ist jedenfalls schonmal gelöst :)

Gruß, Martin

Genau das ist mein Problem - die Input-Accessliste wird gecheckt, bevor NAT passiert, entsprechend kann ich also auch nicht die interne Adresse als Destination in der Accessliste verwenden, um eingehenden Traffic zu einem bestimmten Host zu erfassen. Aber wie kann man das Problem in Hinblick auf funktionierende Bandbreitenbegrenzung lösen, wenn es überhaupt lösbar ist?

Das Buch kenne ich nicht, kann aber die folgenden Bücher empfehlen:

* Cisco ASA and PIX Firewall Handbook, Cisco Press

* Securing Your Business with Cisco ASA and PIX Firewalls, Cisco Press

Ansonsten denke ich (grundlegende Netzwerkkenntnisse vorausgesetzt), dass der PIX Firewall Configuration Guide von der Cisco-Webseite auch einiges hergibt, mit dem man lernen kann, dort findet man auch Konfigurationsbeispiele und Erläuterungen.

Gruß,

Martin

Hi,

mit den neuen Prüfungen habe ich noch keine Erfahrungen - allerdings hatte ich für die alten CCNP-Prüfungen folgende Reihenfolge geplant:

* BCMSN

* BCRAN

* BSCI

* CIT

Die BCMSN habe ich letztes Jahr schon geschrieben, BCRAN werde ich jetzt demnächst schreiben... deswegen würde ich persönlich für die neuen Prüfungen auch diese Reihenfolge der entsprechenden Ablöseprüfungen vorschlagen:

* BCMSN

* ISCW

* BSCI

* ONT

Viele Grüße,

Martin

Hi,

der 2950 kann das meines Wissens nicht, aber neuere Cisco-Switche. Auto-MDI/MDIX ist standardmässig aus, kann aber aktiviert werden durch

conf t
 int <interface>
 mdix auto

Gruß,

Martin

1.

Habe ich also genau diese Version der PIX515E von Ciscovor mir liegen?

Ja, genau so ein Teil ist das.

2.

Auf Version 7.0 sollte man also nur updaten, wenn man 128 MB RAM hat?

Wenn ein Unrestricted Image auf dem Teil läuft, sind von Cisco als Mindestvoraussetzung 128 MB angegeben für die 515E (siehe Users Upgrade Guide, Guide for Cisco PIX 6.2 and 6.3 Users Upgrading to Cisco PIX Software Version 7.0 [Cisco PIX Firewall Software] - Cisco Systems), ansonsten reichen 64 MB aus. Ich habe auch schonmal mit 64 MB ein erfolgreiches Upgrade durchgeführt, aber für den Produktivbetrieb ist sicher davon abzuraten.

1.000,-- Dollar für die 4FE. Sry was heisst FE?

Das heißt FastEthernet.

Gruß,

Martin

Hi,

noch ein anderes Problem, was ich bisher noch nicht in den Griff bekommen habe...

Die Hardware ist ein Cisco 876 mit Advanced IP Services Feature Set. WAN-Anbindung ist eine DSL-Leitung mit (z.Zt. noch) 1 MBit Down- und 160 KBit Upstream. Ich möchte nun den 876 derart konfigurieren, dass bestimmten Rechnern im internen Netz sowohl inbound als auch outbound eine geringere Bandbreite als anderen zur Verfügung steht.

Erster Ansatz, das zu realisieren, war mit den Kommandos

rate-limit input access-list 100 

bzw.

rate-limit output access-list 100 

sowohl an interface atm0, atm0.1 als auch am Dialer-Interface, allerdings ohne Erfolg.

show interfaces <interface> rate-limit

zeigte auch, dass da nix limitiert wurde. Evtl. unterstützt der 876 kein rate-limiting auf ATM-Ebene in Zusammenhang mit DSL-Signalisierung.

Der nächste Ansatz war, das ganze mit der Modular Quality of Service CLI zu erledigen. Das funktioniert auch wunderbar für den Outbound-Traffic. Ich lege eine Accessliste an, die z.B. lautet

ip access-list extended match_test
  permit ip host 192.168.2.10 any

und dann eine class-map, die diese Accessliste verwendet und eine policy-map, die dafür sorgt, dass der Traffic policed bzw. geshaped wird. Noch eine eintsprechende service-policy und soweit ist alles klar, funktioniert.

Für den eingehenden Traffic zu einem bestimmten Rechner geht das dann leider nicht mehr so einfach, da ich in der Accessliste als Destination nur die Destinationadresse des Dialer-Interfaces verwenden kann, denn die Accessliste wird ausgewertet, bevor NAT passiert. Sie matched nicht, wenn man dort die Destinationadresse nach NAT angibt. So ist ist dann natürlich nicht möglich, Inbound-Traffic für verschiedene interne Rechner zu unterscheiden.

Fällt irgendjemandem eine Möglichkeit ein, das zu realisieren? Die notwendigen Informationen dazu hat der Router ja eigentlich parat, steht ja alles in der xlate-table, die ich mir mit

show ip nat translations

anschauen kann.

Danke und viele Grüße,

Martin

Hallo,

kennt jemand eine Möglichkeit, das SEEPROM einer Supervisor Engine IV neu zu programmieren? Es scheint wohl laut Google eine Möglichkeit zu geben, aber niemand hat wirklich entsprechende Kommandos angegeben. Die Hilfe im ROMMON zeigt auch nur Kommandos, mit denen das Supervisor-SEEPROM gelesen, aber nicht geschrieben werden kann. Problem ist, dass das Teil sämtl. Informationen verloren hat, also auch unter anderem seine MAC-Adresse, und ohne die geht recht wenig.

Grüße,

Martin