Jump to content

czappb

Members
  • Gesamte Inhalte

    384
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von czappb

  1. Nein, kann man nicht. Denn um die Lösung in Betracht zu ziehen müßten die Firewalls den Tunnel auf den DNS-Namen machen, und den jedes Mal neu auflösen. Die ASA jedoch, schreibt immer die IP-Adresse in die Konfig. Selbst wenn man einen DNS-Namen eingibt wird dieser direkt aufgelöst und als IP gespeichert. Außerdem könnte man sonst auch von intern per HTTP die DynDNS-Einträge aktualisieren. So hätte man wenigstens nicht noch ein Gerät mehr das kaputt gehen kann.
  2. Wieso nicht einfach TightVNC oder ähnliche Varianten? Da kann man einfach einen den Hostausführen und dann über "Add Client" einen neuen Viewer hinzufügen. Vorraussetzung dafür ist das der Viewer im Listenig-Mode läuft. Der Viewer müßte dann bei dir laufen und über TCP 5500 erreichbar sein.
  3. Dann ist NAT ja schonmal raus. Ob der IP-Helper das macht wenn die IP-Adresse des Routers angesprochen wird weiß ich wie gesagt nicht. Vielleicht wäre es doch das einfachste die Telefone anzupassen.
  4. Spannend! Ich gehe davon aus die IP-Telefone sind in einem anderen Subnetz und werden über ein anderes (Sub-)Interface des Routers angesprochen? Falls dem nämlich nicht so ist dürfte NAT schonmal nicht möglich sein. Sonst wäre NAT eine Möglichkeit obgleich man einen recht hohen Aufwand treibt ... Eine andere Sache die mir in den Sinn gekommen ist wäre der IP-Helper. Allerdings bin ich mir nicht sicher ob das funktionieren kann, oder ob der nur Broadcasts weiterleitet.
  5. Mit den 2ern wollte ich auch gerade sagen... Ich meine der 2950 kann nur PAgP (das Cisco-Protokoll) Aber hier gibt es mehr Infos: Catalyst 2950 Desktop Switch Software Configuration Guide, 12.1(9)EA1 - Configuring EtherChannels [Cisco Catalyst 2950 Series Switches] - Cisco Systems
  6. Grundsätzlich ist die Anleitung schon die richtige. An den Abschnitt für 2950 kannst du dich ganz gut halten. Beim Etherchannel werden 2, 4 oder 8 (nicht alle Modelle) zusammengefasst. Dabei werden alle Leitungen parallel benutzt. Wie die Pakete verteilt werden läßt sich (meine ich) konfigurieren. Soweit ich weiß stehen die Parameter -Quell-MAC -Ziel-MAC -Quell-IP -Ziel-IP in verschiedenen Kombinationen dafür zur Verfügung. Leider habe ich den Befehl zur Auswahl des Algorithmus nicht parat.
  7. Also es sieht alles etwas merkwürdig aus. Ich meine Port 21 UDP, Access-list 101 ohne verwendung aber keine Access-list auf dem dialer-interface(?). Aber wie dem auch sei, so kann nur aktives FTP funktionieren, was heute eigentlich niemand mehr macht. Dabei müßte der Server nämlich eine direkte Verbindung zum Client aufbauen dürfen. Ich würde dir empfehlen zusätzlich TCP 20 freizugeben und es mit passivem-ftp zu testen.
  8. czappb

    WDS on AP1231

    Die WDS ist doch nur für die Servergestützten authentifizierungen wichtig. Was verwendet ihr denn? PEAP, LEAP,...? Normalerweise laufen alle Authetifizierungsanfragen für das WLAN dann zum WDS-Master und von diesem dann an den RADIUS/TACACS-Server. Es gibt aber von Cisco recht gute Anleitungen dazu. Jedoch habe ich die Verweise gerade nicht parat.
  9. Sicher? Steht recht versteckt mitten drin. Direkt unter Last software reset by user: Kommt dann soetwas: Last Exception occurred on Dec 07 2007 11:41:46 ... Software version = 8.4(5) Error Msg: SysAD Parity Error Exception occurred
  10. Es gibt ein crashinfo file, wo und ob das geschrieben werden soll kann man in der running-config sehen. (sh runn all) Auf jeden Fall sollte aber unter "show log" zu sehen sein weshalb der gebootet hat.
  11. Das der AP TKIP-Replays feststellt hatte ich auch schon von Clients die eigentlich den korrekten Schlüssel hatten. In meinem Fall handelte es sich um ein Dell-Notebook und ich meine das auch bei anderen WLAN-Karten von drittherstellern im Kombination mit einem 1100er beobachtet zu haben. Die Clients verbunden. Mit einer Cisco WLAN-Karte hatte ich die Meldung nicht. Für ein paar Infos über den TKIP Replay: heise Netze - WLAN-Verschlüsselung
  12. Die Konfig der WGB: ! ! Last configuration change at 18:42:22 MET Wed Dec 5 2007 by xxx ! NVRAM config last updated at 18:42:23 MET Wed Dec 5 2007 by xxx ! version 12.3 no service pad service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption ! hostname ap2 ! no logging console ! clock timezone MET 1 clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00 ip subnet-zero ip domain name czapp.local ip name-server 80.69.98.110 ip name-server 62.143.254.4 ! ! aaa new-model ! ! aaa group server radius rad_eap ! aaa group server radius rad_mac ! aaa group server radius rad_acct ! aaa group server radius rad_admin ! aaa group server tacacs+ tac_admin ! aaa group server radius rad_pmip ! aaa group server radius dummy ! aaa authentication login default local aaa authentication login eap_methods group rad_eap aaa authentication login mac_methods local aaa authorization exec default local aaa accounting network acct_methods start-stop group rad_acct aaa session-id common ! dot11 ssid Ascorbinsaeure authentication open authentication key-management wpa infrastructure-ssid wpa-psk ascii 7 *** ! dot11 arp-cache optional ! username MAC-ADDR password 7 MAC-ADDR username MAC-ADDR autocommand exit username MAC-ADDR password 7 MAC-ADDR username MAC-ADDR autocommand exit username xxx privilege 15 secret 5 *** ! bridge irb ! ! interface Dot11Radio0 no ip address no ip route-cache ! encryption mode ciphers aes-ccm ! broadcast-key change 600 membership-termination capability-change ! ! ssid Ascorbinsaeure ! speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0 packet retries 128 station-role workgroup-bridge rts retries 128 world-mode dot11d country DE indoor no cdp enable bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled ! interface FastEthernet0 no ip address no ip route-cache duplex auto speed auto no cdp enable bridge-group 1 no bridge-group 1 source-learning bridge-group 1 spanning-disabled ! interface BVI1 ip address 192.168.1.4 255.255.255.0 no ip route-cache ! ip default-gateway 192.168.1.1 no ip http server ip http authentication aaa ip http secure-server ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag ip radius source-interface BVI1 ! access-list 111 permit tcp any any neq telnet no cdp run radius-server attribute 32 include-in-access-req format %h radius-server vsa send accounting bridge 1 route ip ! ! ! line con 0 access-class 111 in line vty 0 4 access-class 111 in exec-timeout 0 0 ! sntp server 192.53.103.104 end
  13. Zuerst mal das Szenario: Es geht um die Kopplung 2er Netzwerke. Das eine Netzwerk besteht aus einer Firewall(Internet) und einem 1100er Accesspoint (als Accesspoint). An dieses Netz soll ein Switch aus einem anderen Zimmer mittels eines weiteren 1100er als Workgroup Bridge(WGB) angebunden werden und somit die Verbindung zum Internet herstellen. Klingt einfach aber ich finde den Fehler nicht, der verhindert das die WGB sich am AP anmeldet. Das Dot11Radio0 bleibt im Status Reset - scheint keinen Link zu bekommen. Die Hardware: 2x 1100er Accesspoints mit 12.3(8)JEC (befinden sich zum Test im gleichen Zimmer) Hat jemand eine Idee was ich vergessen habe oder wie ich weitere Informationen zur Diagnose erhalte? Hier die Konfig vom AP: ! ! Last configuration change at 19:08:42 MET Wed Dec 5 2007 by xxx ! NVRAM config last updated at 19:02:38 MET Wed Dec 5 2007 by xxx ! version 12.3 no service pad service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption ! hostname ap1 ! no logging console ! clock timezone MET 1 clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00 ip subnet-zero ip domain name czapp.local ip name-server 80.69.98.110 ip name-server 62.143.254.4 ! ! aaa new-model ! ! aaa group server radius rad_eap ! aaa group server radius rad_mac ! aaa group server radius rad_acct ! aaa group server radius rad_admin ! aaa group server tacacs+ tac_admin ! aaa group server radius rad_pmip ! aaa group server radius dummy ! aaa authentication login default local aaa authentication login eap_methods group rad_eap aaa authentication login mac_methods local aaa authorization exec default local aaa accounting network acct_methods start-stop group rad_acct aaa session-id common ! dot11 ssid Ascorbinsaeure authentication open authentication key-management wpa infrastructure-ssid wpa-psk ascii 7 *** ! dot11 arp-cache optional ! crypto pki trustpoint TP-self-signed-1697696348 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-1697696348 revocation-check none rsakeypair TP-self-signed-1697696348 ! ! crypto ca certificate chain TP-self-signed-1697696348 certificate self-signed 01 xxx quit username MAC-ADDR password 7 MAC-ADDR username MAC-ADDR autocommand exit username MAC-ADDR password 7 MAC-ADDR username MAC-ADDR autocommand exit username xxx privilege 15 secret 5 *** ! bridge irb ! ! interface Dot11Radio0 no ip address no ip route-cache ! encryption mode ciphers aes-ccm ! broadcast-key change 600 membership-termination capability-change ! ! ssid Ascorbinsaeure ! speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0 packet retries 128 station-role root access-point rts retries 128 world-mode dot11d country DE indoor no cdp enable bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled ! interface FastEthernet0 no ip address no ip route-cache duplex auto speed auto no cdp enable bridge-group 1 no bridge-group 1 source-learning bridge-group 1 spanning-disabled ! interface BVI1 ip address 192.168.1.2 255.255.255.0 no ip route-cache ! ip default-gateway 192.168.1.1 no ip http server ip http authentication aaa ip http secure-server ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag ip radius source-interface BVI1 ! access-list 111 permit tcp any any neq telnet no cdp run radius-server attribute 32 include-in-access-req format %h radius-server vsa send accounting bridge 1 route ip ! ! ! line con 0 access-class 111 in line vty 0 4 access-class 111 in exec-timeout 0 0 ! sntp server 192.53.103.104 end
  14. czappb

    RIP Hop Count

    Ich finde die Frage falsch gestellt. RIP routet gar keine Pakete, und verwirft daher natürlich auch keine. RIP sorgt für den Austausch der Routen zwischen den RIP-Routern. Wenn ein Router nun ein Paket für ein Zielnetz erhält wird er mittels der Routingtabelle mögliche Routen zum Ziel suchen und falls welche vorhanden sind das Paket routen. Sollte man ein Default Gateway haben wird der Router es dementsprechend nutzen wenn keine andere Route zutrifft.
  15. Zuerst was ist denn das für eine ASA und welche Lizenz/Software? (Nicht zufällig eine 5505-ohne Sec-Plus?)
  16. Wie meinst du? Über Subinterface oder einen PPPoE-Dialer?
  17. Wie dem auch sei, die ASA soll mit der Security-Plus-Lizenz Stateless A/S bieten. Edit: Das ist dann zwar eine hochverfügbare Lösung, die VPN-Tunnel müssen nach einem Switch neu Aufgebaut werden, und alle anderen Verbindungen durch die ASA auch. Meine ich...
  18. czappb

    acs

    ganz entschieden: Jain! Es gibt eine 90-Tage-Testversion, die ist kostenlos.
  19. Also 4503 und 4507R, da hinkt der Vergleich aber. Der 4503 hat (wie der Name sagt) 3 Einschübe, wovon eine für die Supervisor ist. Die beiden anderen sind für Linecards (einfach Netzwerkanschlüsse). Wenn man auch die Supervisor im Switch redundant machen möchte muss ein 4507R (bzw. 4510R) Chassi her. 2x Supervisor und 5 (bzw. 8) Linecards. Wobei die Frage ob das sinnvoll ist oder nicht natürlich für jeden Fall neu beantwortet werden muss. Generell würde ich das Chassi nicht zu klein wählen denn sonst ist man bei ggf. nötigen Erweiterungen schnell an der Grenze. Für die Supervisory gibt es wie ja auch bei Cisco zu sehen ist verschiedene Varianten: II-Plus, IV und V. Die II-Plus ist die kleinste und kann einfaches Routing und Switching, zudem ist sie für die 4503er als TS-Version mit mehr Ports erhältlich. IV und V können dann auch Routingprotokolle und V gibts auch als 10GBit/s-Version. Da es einfach ein zu umfangreiches Thema ist würde ich dir empfehlen bei einem Cisco-Partner anzufragen und dich weiter auf der Webseite zu informieren, auch wenn die Datasheets recht umfangreich sind.
  20. Bist du sicher im privileged-Mode? "delete ? /noconfirm Do not prompt for confirmation /recursive Recursive delete disk0: File to be deleted disk1: File to be deleted flash: File to be deleted"
  21. czappb

    QoS

    Um welches Gerät handelt es sich denn überhaupt? So Modell und SW?
  22. Also soweit ich weiß ist nur der Master per IP erreichbar. Trotzdem solltest du mit WhatsUp die Ports der anderen Switche im Stack über den Master überwachen können.
  23. czappb

    Port security

    Also Wordo hat recht, das mit den MAC-Adressen und Switche koppeln - vergiss lieber. Zu deinem Problem: Nein, es passiert genau das richtige. Nur PC1 kann über diesen Port kommunizieren! Schließlich ist schon eine MAC-Adresse auf dem Port "kleben"geblieben und mehr als eine ist ja nicht erlaubt. Wenn du möchtest das der 2. Rechner auch drüber darf mußt du das "switchport portsecurity maximum" auf die Zahl der gewünschten MAC-Adressen hochsetzen. (Achtung: Manche Switche -falls du welche da dran packst- senden selber auch Frames mit ihrer MAC-Adresse) Alternativ könntest du "aging" für die sticky-adressen aktivieren, dann vergisst der die nach gewisser Zeit inaktivität. Die Frage ist nur: Ist das der Sinn der Sache?
  24. Bitte alles lesen! Deswegen frage ich ob du den : (Doppelpunkt) mitgeschrieben hast. Also NICHT "resetall" sonder ":resetall", ok?
×
×
  • Neu erstellen...