czappb

Nein, kann man nicht.

Denn um die Lösung in Betracht zu ziehen müßten die Firewalls den Tunnel auf den DNS-Namen machen, und den jedes Mal neu auflösen.

Die ASA jedoch, schreibt immer die IP-Adresse in die Konfig. Selbst wenn man einen DNS-Namen eingibt wird dieser direkt aufgelöst und als IP gespeichert.

Außerdem könnte man sonst auch von intern per HTTP die DynDNS-Einträge aktualisieren. So hätte man wenigstens nicht noch ein Gerät mehr das kaputt gehen kann.

Wieso nicht einfach TightVNC oder ähnliche Varianten? Da kann man einfach einen den Hostausführen und dann über "Add Client" einen neuen Viewer hinzufügen.

Vorraussetzung dafür ist das der Viewer im Listenig-Mode läuft.

Der Viewer müßte dann bei dir laufen und über TCP 5500 erreichbar sein.

Dann ist NAT ja schonmal raus.

Ob der IP-Helper das macht wenn die IP-Adresse des Routers angesprochen wird weiß ich wie gesagt nicht.

Vielleicht wäre es doch das einfachste die Telefone anzupassen.

Spannend!

Ich gehe davon aus die IP-Telefone sind in einem anderen Subnetz und werden über ein anderes (Sub-)Interface des Routers angesprochen?

Falls dem nämlich nicht so ist dürfte NAT schonmal nicht möglich sein.

Sonst wäre NAT eine Möglichkeit obgleich man einen recht hohen Aufwand treibt ...

Eine andere Sache die mir in den Sinn gekommen ist wäre der IP-Helper. Allerdings bin ich mir nicht sicher ob das funktionieren kann, oder ob der nur Broadcasts weiterleitet.

Mit den 2ern wollte ich auch gerade sagen...

Ich meine der 2950 kann nur PAgP (das Cisco-Protokoll)

Aber hier gibt es mehr Infos:

Catalyst 2950 Desktop Switch Software Configuration Guide, 12.1(9)EA1 - Configuring EtherChannels  [Cisco Catalyst 2950 Series Switches] - Cisco Systems

Grundsätzlich ist die Anleitung schon die richtige. An den Abschnitt für 2950 kannst du dich ganz gut halten.

Beim Etherchannel werden 2, 4 oder 8 (nicht alle Modelle) zusammengefasst. Dabei werden alle Leitungen parallel benutzt.

Wie die Pakete verteilt werden läßt sich (meine ich) konfigurieren. Soweit ich weiß stehen die Parameter

-Quell-MAC

-Ziel-MAC

-Quell-IP

-Ziel-IP

in verschiedenen Kombinationen dafür zur Verfügung. Leider habe ich den Befehl zur Auswahl des Algorithmus nicht parat.

Also es sieht alles etwas merkwürdig aus.

Ich meine Port 21 UDP, Access-list 101 ohne verwendung aber keine Access-list auf dem dialer-interface(?). Aber wie dem auch sei, so kann nur aktives FTP funktionieren, was heute eigentlich niemand mehr macht. Dabei müßte der Server nämlich eine direkte Verbindung zum Client aufbauen dürfen. Ich würde dir empfehlen zusätzlich TCP 20 freizugeben und es mit passivem-ftp zu testen.

Die WDS ist doch nur für die Servergestützten authentifizierungen wichtig.

Was verwendet ihr denn? PEAP, LEAP,...?

Normalerweise laufen alle Authetifizierungsanfragen für das WLAN dann zum WDS-Master und von diesem dann an den RADIUS/TACACS-Server.

Es gibt aber von Cisco recht gute Anleitungen dazu. Jedoch habe ich die Verweise gerade nicht parat.

Sicher?

Steht recht versteckt mitten drin. Direkt unter

Last software reset by user:

Kommt dann soetwas:

Last Exception occurred on Dec 07 2007 11:41:46 ...
   Software version = 8.4(5)
   Error Msg:
   SysAD Parity Error Exception occurred

Es gibt ein crashinfo file, wo und ob das geschrieben werden soll kann man in der running-config sehen. (sh runn all)

Auf jeden Fall sollte aber unter "show log" zu sehen sein weshalb der gebootet hat.

Das der AP TKIP-Replays feststellt hatte ich auch schon von Clients die eigentlich den korrekten Schlüssel hatten. In meinem Fall handelte es sich um ein Dell-Notebook und ich meine das auch bei anderen WLAN-Karten von drittherstellern im Kombination mit einem 1100er beobachtet zu haben. Die Clients verbunden.

Mit einer Cisco WLAN-Karte hatte ich die Meldung nicht.

Für ein paar Infos über den TKIP Replay:

heise Netze - WLAN-Verschlüsselung

Die Konfig der WGB:

!
! Last configuration change at 18:42:22 MET Wed Dec 5 2007 by xxx
! NVRAM config last updated at 18:42:23 MET Wed Dec 5 2007 by xxx
!
version 12.3
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname ap2
!
no logging console
!
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
ip subnet-zero
ip domain name czapp.local
ip name-server 80.69.98.110
ip name-server 62.143.254.4
!
!
aaa new-model
!
!
aaa group server radius rad_eap
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login default local
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authorization exec default local 
aaa accounting network acct_methods start-stop group rad_acct
aaa session-id common
!
dot11 ssid Ascorbinsaeure
  authentication open 
  authentication key-management wpa
  infrastructure-ssid
  wpa-psk ascii 7 ***
!
dot11 arp-cache optional
!
username MAC-ADDR password 7 MAC-ADDR
username MAC-ADDR autocommand exit
username MAC-ADDR password 7 MAC-ADDR
username MAC-ADDR autocommand exit
username xxx privilege 15 secret 5 ***
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm 
!
broadcast-key change 600 membership-termination capability-change
!
!
ssid Ascorbinsaeure
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
packet retries 128
station-role workgroup-bridge
rts retries 128
world-mode dot11d country DE indoor
no cdp enable
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
no cdp enable
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface BVI1
ip address 192.168.1.4 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.1.1
no ip http server
ip http authentication aaa
ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1 
!
access-list 111 permit tcp any any neq telnet
no cdp run
radius-server attribute 32 include-in-access-req format %h
radius-server vsa send accounting
bridge 1 route ip
!
!
!
line con 0
access-class 111 in
line vty 0 4
access-class 111 in
exec-timeout 0 0
!
sntp server 192.53.103.104
end

Zuerst mal das Szenario:

Es geht um die Kopplung 2er Netzwerke.

Das eine Netzwerk besteht aus einer Firewall(Internet) und einem 1100er Accesspoint (als Accesspoint). An dieses Netz soll ein Switch aus einem anderen Zimmer mittels eines weiteren 1100er als Workgroup Bridge(WGB) angebunden werden und somit die Verbindung zum Internet herstellen.

Klingt einfach aber ich finde den Fehler nicht, der verhindert das die WGB sich am AP anmeldet. Das Dot11Radio0 bleibt im Status Reset - scheint keinen Link zu bekommen.

Die Hardware:

2x 1100er Accesspoints mit 12.3(8)JEC (befinden sich zum Test im gleichen Zimmer)

Hat jemand eine Idee was ich vergessen habe oder wie ich weitere Informationen zur Diagnose erhalte?

Hier die Konfig vom AP:

!
! Last configuration change at 19:08:42 MET Wed Dec 5 2007 by xxx
! NVRAM config last updated at 19:02:38 MET Wed Dec 5 2007 by xxx
!
version 12.3
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname ap1
!
no logging console
!
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
ip subnet-zero
ip domain name czapp.local
ip name-server 80.69.98.110
ip name-server 62.143.254.4
!
!
aaa new-model
!
!
aaa group server radius rad_eap
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login default local
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authorization exec default local 
aaa accounting network acct_methods start-stop group rad_acct
aaa session-id common
!
dot11 ssid Ascorbinsaeure
  authentication open 
  authentication key-management wpa
  infrastructure-ssid
  wpa-psk ascii 7 ***
!
dot11 arp-cache optional
!
crypto pki trustpoint TP-self-signed-1697696348
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1697696348
revocation-check none
rsakeypair TP-self-signed-1697696348
!
!
crypto ca certificate chain TP-self-signed-1697696348
certificate self-signed 01
 xxx
 quit
username MAC-ADDR password 7 MAC-ADDR
username MAC-ADDR autocommand exit
username MAC-ADDR password 7 MAC-ADDR
username MAC-ADDR autocommand exit
username xxx privilege 15 secret 5 ***
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm 
!
broadcast-key change 600 membership-termination capability-change
!
!
ssid Ascorbinsaeure
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
packet retries 128
station-role root access-point
rts retries 128
world-mode dot11d country DE indoor
no cdp enable
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
no cdp enable
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface BVI1
ip address 192.168.1.2 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.1.1
no ip http server
ip http authentication aaa
ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1 
!
access-list 111 permit tcp any any neq telnet
no cdp run
radius-server attribute 32 include-in-access-req format %h
radius-server vsa send accounting
bridge 1 route ip
!
!
!
line con 0
access-class 111 in
line vty 0 4
access-class 111 in
exec-timeout 0 0
!
sntp server 192.53.103.104
end

Ich finde die Frage falsch gestellt.

RIP routet gar keine Pakete, und verwirft daher natürlich auch keine. RIP sorgt für den Austausch der Routen zwischen den RIP-Routern.

Wenn ein Router nun ein Paket für ein Zielnetz erhält wird er mittels der Routingtabelle mögliche Routen zum Ziel suchen und falls welche vorhanden sind das Paket routen.

Sollte man ein Default Gateway haben wird der Router es dementsprechend nutzen wenn keine andere Route zutrifft.

Zuerst was ist denn das für eine ASA und welche Lizenz/Software? (Nicht zufällig eine 5505-ohne Sec-Plus?)

Wie meinst du?

Über Subinterface oder einen PPPoE-Dialer?

Wie dem auch sei, die ASA soll mit der Security-Plus-Lizenz Stateless A/S bieten.

Edit:

Das ist dann zwar eine hochverfügbare Lösung, die VPN-Tunnel müssen nach einem Switch neu Aufgebaut werden, und alle anderen Verbindungen durch die ASA auch. Meine ich...

ganz entschieden: Jain!

Es gibt eine 90-Tage-Testversion, die ist kostenlos.

Also 4503 und 4507R, da hinkt der Vergleich aber.

Der 4503 hat (wie der Name sagt) 3 Einschübe, wovon eine für die Supervisor ist. Die beiden anderen sind für Linecards (einfach Netzwerkanschlüsse).

Wenn man auch die Supervisor im Switch redundant machen möchte muss ein 4507R (bzw. 4510R) Chassi her. 2x Supervisor und 5 (bzw. 8) Linecards. Wobei die Frage ob das sinnvoll ist oder nicht natürlich für jeden Fall neu beantwortet werden muss.

Generell würde ich das Chassi nicht zu klein wählen denn sonst ist man bei ggf. nötigen Erweiterungen schnell an der Grenze.

Für die Supervisory gibt es wie ja auch bei Cisco zu sehen ist verschiedene Varianten:

II-Plus, IV und V.

Die II-Plus ist die kleinste und kann einfaches Routing und Switching, zudem ist sie für die 4503er als TS-Version mit mehr Ports erhältlich.

IV und V können dann auch Routingprotokolle und V gibts auch als 10GBit/s-Version.

Da es einfach ein zu umfangreiches Thema ist würde ich dir empfehlen bei einem Cisco-Partner anzufragen und dich weiter auf der Webseite zu informieren, auch wenn die Datasheets recht umfangreich sind.

Bist du sicher im privileged-Mode?

"delete ?

/noconfirm Do not prompt for confirmation

/recursive Recursive delete

disk0: File to be deleted

disk1: File to be deleted

flash: File to be deleted"

delete?

Um welches Gerät handelt es sich denn überhaupt? So Modell und SW?

Also soweit ich weiß ist nur der Master per IP erreichbar. Trotzdem solltest du mit WhatsUp die Ports der anderen Switche im Stack über den Master überwachen können.

Also Wordo hat recht, das mit den MAC-Adressen und Switche koppeln - vergiss lieber.

Zu deinem Problem:

Nein, es passiert genau das richtige. Nur PC1 kann über diesen Port kommunizieren!

Schließlich ist schon eine MAC-Adresse auf dem Port "kleben"geblieben und mehr als eine ist ja nicht erlaubt.

Wenn du möchtest das der 2. Rechner auch drüber darf mußt du das "switchport portsecurity maximum" auf die Zahl der gewünschten MAC-Adressen hochsetzen.

(Achtung: Manche Switche -falls du welche da dran packst- senden selber auch Frames mit ihrer MAC-Adresse)

Alternativ könntest du "aging" für die sticky-adressen aktivieren, dann vergisst der die nach gewisser Zeit inaktivität. Die Frage ist nur: Ist das der Sinn der Sache?

Bitte alles lesen!

Deswegen frage ich ob du den : (Doppelpunkt) mitgeschrieben hast.

Also NICHT "resetall" sonder ":resetall", ok?