jussi

ich habe heute die config aktiviert. grundsätzlich geht es, aber es gibt irgendwie ein MTU problem wenn der dialer oben ist aber wegen vorhandener shdsl leitung alle pakete über die atm interfaces fliessen werden besteht ein MTU Problem (zB google.de wird nicht geladen das ist der mtu klassiker) sobald ich den dialer auf shutdown setze (siehe config) geht alle flink. Nur das ist ja als backupleitung ziemlich nutzlos. hat jemand ne idee? Current configuration : 2584 bytes ! version 12.4 service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname xxxxxxxxxxxxxx ! boot-start-marker boot system flash c1700-k9o3sy7-mz.124-12c.bin boot-end-marker ! enable password 7 XXXXXXXXXXXXXXXXXXXXXXXX ! no aaa new-model clock timezone MET 1 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ! ! ! ! ip cef no ip domain lookup ! vpdn enable ! password encryption aes ! ! ! ! ! controller DSL 0 mode atm line-term cpe line-mode 2-wire line-zero dsl-mode shdsl symmetric annex B line-rate auto ! controller DSL 1 mode atm line-term cpe line-mode 2-wire line-zero dsl-mode shdsl symmetric annex B line-rate auto ! ! ! ! interface Loopback0 no ip address ! interface ATM0 no ip address no ip route-cache cef no ip route-cache no atm ilmi-keepalive ! interface ATM0.1 point-to-point ip unnumbered FastEthernet0 no ip redirects no ip unreachables ip load-sharing per-packet no ip route-cache no snmp trap link-status pvc b-dsl2 1/51 ubr 2300 encapsulation aal5snap ! ! interface ATM0.2 point-to-point no ip route-cache no snmp trap link-status pvc noc 0/51 ubr 32 encapsulation aal5snap ! ! interface ATM1 no ip address no ip route-cache cef no ip route-cache no atm ilmi-keepalive ! interface ATM1.1 point-to-point ip unnumbered FastEthernet0 no ip redirects no ip unreachables ip load-sharing per-packet no ip route-cache no snmp trap link-status pvc b-dsl2 1/51 ubr 2300 encapsulation aal5snap ! ! interface ATM1.2 point-to-point no ip route-cache no snmp trap link-status pvc no 0/51 ubr 32 encapsulation aal5snap ! ! interface FastEthernet0 ip address x.y.z.33 255.255.255.192 speed auto pppoe enable group global pppoe-client dial-pool-number 1 no cdp enable ! interface Dialer0 description pppoe nach tdsl ip address negotiated no ip redirects no ip unreachables ip mtu 1412 encapsulation ppp no ip mroute-cache shutdown dialer pool 1 dialer idle-timeout 15 dialer-group 1 no cdp enable ppp authentication pap callin ppp pap sent-username xxxxxxxxxxxxxxxxxx password 7 xxxxxxxxxxxxxxx ! ip route 0.0.0.0 0.0.0.0 ATM0.1 ip route 0.0.0.0 0.0.0.0 ATM1.1 ip route 0.0.0.0 0.0.0.0 Dialer0 150 no ip http server no ip http secure-server ! ! ! logging history size 20 logging facility local2 logging a.b.c.d access-list 50 permit a.b.c.d n.n.n.m access-list 50 deny any no cdp run ! ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 access-class 50 in password 7 xxxxxxxxxxxxxxxxxx login ! end

"4 802.1q VLANs on Advanced IP Services IOS image" hmmm danke...

Hallo, Router C871 IOS Version 12.4(4)T6 Ein weiteres Vlan mag der Router nicht: "Vlan can not be added. Maximum number of 1 vlan(s) in the database." Ist das ein IOS problem? Danke im voraus

aber es heist doch "mypubkey" ich dachte das seien meine publics

Nachtrag: kann mir jemand sagen wie ich im 12.4x IOS das statement "no crypto isakmp mmc" abbilde?

hallo habe im debug log folgenden fehler: Mar 5 09:16:29: ISAKMP (0:268435654): received packet from X.Y.X.Y dport 500 sport 500 Global (I) MM_KEY_EXCH Mar 5 09:16:29: %CRYPTO-6-IKMP_NOT_ENCRYPTED: IKE packet from X.Y.X.Y was not encrypted and it should've been. Danach fällt alles auseinander. Alles davor Zertifikate etc sieht gut aus. "nur" MM_KEY_EXCH geht schief. läuft auf nen timeout, wird 5 mal wiederholt und dann startet alles von vorne. Cisco Doku sagt, ich solle die gegenstelle mal fragen was die im log haben. Der Kontakt ist zZ schwierig, daher fische ich bis dahin im Trüben: ich finde unter: sh crypto key mypubkey rsa 3 pub keys die alle mit "Key is not exportable." bezeichtnet werden. Ist das normal oder evtl ein/das Problem oder muss das da stehen?

danke sehr, stelle gerade fest, ich muss erst mal ios upgraden (kein vpdn), leider ist das gerät schon produktiv. sobald ich deine lösung anwenden kann gebe ich nochmal bescheid.

Hallo, ich habe eine 1721 mit 2 SHDSL Wics (für gebündelte Wan Leitung) und 1x ETH fürs LAN! das eth IF habe ich auf einen hub gelegt, um gleichzeitig pppoe für eine adsl backup leitung zu machen. woran muss ich nun den dialer binden, bzw was für ein "virtuelles" interface muss ich nun konfigurieren? danke für mögliche vorschläge?

Hallo, kann mir jemand sagen (linken) wo ich verlässliche Angaben dazu finde, welche Aironets (zb 1200er mit 1300er) in welchen IOS ständen untereinander bridgen können?

Hallo, kann mir jemand nen Tipp geben was die HArdware angeht? Ursprünglich wollte ich mit einer 1841 + 2x WIC 1SHDSL ne gebündelte Leitung basteln. das feste enet interface geht richtung firewall. Nun ist der wunsch nach einem ADSL backup aufgekommen? Sollte ich ein 2port SHDSL WIC nehmen und eine wic 1Enet oder evtl die hw wie oben beschrieben lassen und nen kleinen switch an das feste enet hängen um pppoe und fw seite an einem (pysikalischen) routerinterface zu betreiben. gibt es 2port SHDSL auch als normale WICs oder kann die 1841 auch HWICS? Oder muss ich evtl doch einen 2811 nehmen?

mls qos cos 6 mls qos cos override und das problemwar gegessen, danke (wiedereinmal)

oder anders gefragt wie sage ich einem catalyst 35xx: was aus port 1, 3 und 45 reinkommt ist immer "Gold" alles andere ist silber oder schlechter. edit: das wäre dann im jeweiligen interface mls qos cos 5 (oder höher) ?! Korrekt?

fu, jein! es gibt etliche voip phones die eben den datenport durchgeschliffen haben. dort gilt ein voice vlan und mls qos trust cos, d.h. mache was die telefone sagen, das hast du mir damals empfohlen. aber es gibt ca 15 dect stationen für drahtlose telephone die sind an verschiedenen switchports, aber an eben diesen ports wird nichts durchgeschliffen, die sind einfach nur im voicevlan und eben diese ports wollte ich beschleunigen weil hier das symtom auftritt, dass die ersten 3 worte des gesprächs nicht beim dect teilnehmer ankommen. aber ihr habt recht kann auch an zig anderen umgebungsvariablen liegen. nur die port wollte ich auf jeden fall priorisieren um das mal auszuschliessen.

habe nun manuell die ports auf höchste prio gesetzt. switchport priority extend cos 7 hift aber nicht, die ersten 0,5 sekunden des gesprächs sind weiter nicht zu verstehen, evtl auch ein problem der dect statinen an den ports

Suche verständliche online verfügbare Lektüre zum Thema Portpriorisierung Cisco Catalyst Ich möchte den traffic von geräte (voip dect telefonen) an verschiedenen ports als wichtiger priorisieren... und das so einfach wie möglich

wie wordo sagte immer das gw im lokalen netz, soltest du das der "aussenseite" benutzen findet der router ja gar nicht dorthin. wegen des verteilens der df route: in deinem test mag das alles noch überschaubar sein, aber in der freien wildbahn sollten df routen selten und nur mit grosser sorgfalt distributiert werden, ansonsten drohen loops. in deinem beispiel muss die df route des - wie du ihn nennst - border routers natürlich in das simulierte internet zeigen (also zb aufs interface oder auf die gegenstellen ip). ansonsten sihe oben bzw bei wordo testen ob ein paket genattet wird oder nicht kannst du entweder mit entsprechenden debug einträgen oder ganz simpel indem du beim "ping" befehl mal die extended options benutzt und eben bis zum punkt quell ip /quellinterface

hallo tom, ja ich kann alle drei router managen, Das Problem ist inzwischen gelöst. Grundsätzlich geht es so wie ich oben geschrieben habe, aber meine Wildcard war flasch und die Am Radius übergebene Route (des ADSL Logins) ist nicht conected sondern static. also so: router ospf 10 router-id 1.2.3.4 redistribute static subnets route-map das_darf_raus access-list 1 deny 111.222.222.0 0.0.0.31 access-list 1 permit any route map das_darf_raus permit 10 match ip address 1

track reachability steht an dem ospf router wegen ios stand nicht zur verfügung, aber grundsätzlich kann man das machen, stimmt. Problem verengt sich meiner meinung nach inzwischen tatsächlich darauf, dass der ospf router die route weiter distributiert. die von mir angedachte syntax oben ist wahrscheinlich falsch, da ich keine distribute list sondern das statement redistribute brauche, kann das ein OSPF meister bitte mal prüfen? router ospf 10 router-id 1.2.3.4 redistribute connected subnets route-map das_darf_raus access-list 1 deny 111.222.222.0 0.0.0.63 access-list 1 permit any route map das_darf_raus permit 10 match ip address 1 stimmt das?

ok ich denke meine lösung wäre den ospf router daran zu hindern eine bestimmte route zu distributieren, wie sieht dazu die config aus? access-list 1 deny <meine.route.zum.backup> <maske.maske.maske.maske> access list 1 permit any any router ospf <nummer> distribute-list 1 in

Ich habe folghendes Szenario Ein Router treibt eine Festverbindung und eine Backup ADSL Verbindung. Die Festverbindung ist vom Carrier in SHDSL geführt, was dazu führt, das das Interface am Router auch bei ausgefallener Leitung nicht runterfällt. Ausserdem fällt die ADSL Leitung auch nicht runter. Um nun ein dynamisches Fallbackrouting hinzubekommen habe ich folgendes gemacht. Der betroffene Router (A) tauscht mittels EIGRP zu seiner Standleitungsgegenstelle (Router B) Routing infos aus. Bleiben diese aus, weil Leitung weg, ist das df gw nicht mehr zu erreichen, es greift die df route mit der schlechteren metric auf den ADSL Dialer, der zu Router C eine verbindung aufgebaut hat. Soweit funktioniert das alles. Am Router A wird ausserdem ein offzielles Netz gefahren, welches unbedingt im Ausfallsfall mitschwenken muss. Router B spricht nur EIGRP , Router C nur OSPF. mit ein paar statischen Hilfsrouten habe ich es leidlich dynamisch hinbekommen. Allerdings besteht nun im nicht Ausfallsfall (beide WAN-Interfaces an Router A oben und Eigrp mit Router B wird ausgetauscht) die Unschärfe, dass leicht asymmetrisch geroutet wird. Was offenbar auf dem Lan hinter Router A zu diversen Folgefehlern führt. Meine Fragen: 1. Kennt jemand einen Weg ausser dialer idle-timeout um das ungenutzte Adsl Interface runterfallen zulassen? Mit scheint dass dort ständige pppoe messages die Verbindung offen halten. 2. Gibt es einen quick and dirty way wie ich analog zum policy based routing zb Interfaces shutdown setzen kann? 3. Kann ich ohne grosses Verständnis von OSPF einzelne Routen vom Distributieren ausnehmen? Und kann ich diese Distribution ggf noch an Bedingungen knüpfen? Danke für eure Zeit.

ich wollte das hier mal auflösen, alles war meine schuld ich hatte doch tatsächlich no ip classless gesetzt. manchmal sieht man den Wald vor Bäumen nicht mehr. Und ja ihr hattet recht. hätte ich die geamte konfig gepostet, hättet ihr das problem evtl auch gesehen. Ich gelobe Besserung! :-P edit: ich sehe gerade, dass ich den befehl: no ip classless sogar gepostet habe. Dann bin ich wenigstens alleine nicht blind, hehe

Danke für die Antworten. Das Problem ist inzwischen behoben.

ich habe an einer stelle asymmetrisches routing konfiguriert, nun scheint sich das bei grossen paketen (solchen die fragmentiert werden) nachteilig auszuwirken OBWOHL alle pfade die gleiche MTU haben... kann mir jemand sagen wo ich den grund dafür nachlesen kann? danke im voraus

ich lese, dass sie es nicht tut, bin mir aber relativ sicher schon mal eine solche config verbaut zu haben... danke im voraus

@wordo, wenn nur der Ping nicht ginge wäre ja zu verkraften aber ohne die von mir an Router A hinzugefügte statische route zum Ziel nach Router C war keine kommunikation möglich Auf router A existieren folgende acls: 1. im EIGRP soll keine DF route distributiert werden, sondern nur ein Netz access-list 23 deny 0.0.0.0 access-list 23 permit any access-list 24 permit 213.164.137.0 0.0.0.31 access-list 24 deny any 2. Über die Backupleitung (ISDN) soll niemals EIGRP distributiert werden access-list 100 deny eigrp any any access-list 100 permit ip any any dialer-list 1 protocol ip list 100 router eigrp XXXX redistribute connected redistribute static network xxx.yyy.zzz.aaa network bbb.ccc.ddd.eee [...] distribute-list 24 out distribute-list 23 in distance eigrp 90 95 no auto-summary @/#9370 die gesamte routingtabelle setzt sich halt aus statischen und dynamischen routen zusammen. ich denke halt dass das kommando sh ip route "route Y" schon präzise zeigt was man sehen muss, um das Problem zu debuggen. denn es zeigt ja immer die kleinste relevante route. Von router A (dem Problembär) poste ich dir mal den konfigurierten Teil der konfig mit den statischen routen. Bevor jetzt alle schreien, das da nicht geht: das dfgw wird per eigrp übergeben, wenn EIGRP wegbricht, weil festverbindung weg greift eben die route mit der schlechten metric. Dies war nötig, da leider SFV der DTAG seit geraumer zeit auch zwischendrin als ATM Leitungen geführt werden. Das hat den Effekt, dass die Leitung down geht, das Interface aber nicht runterfällt und daher die default route auf interface sonst nie schlecht werden würde. So wie es jetzt konfiguriert ist, zeitet irgendwann die eigrp route aufs df gw aus und der router wählt sich per isdn ein. ich scheue mich etwas hier die komplette architektur offen zu legen, aber vielleicht bin ich auch nur paranoid. wenn ich dich/euch missverstehe und du/ihr trotzdem noch was brauch(s)t können wir auch was per PN machen. no ip classless ip route 0.0.0.0 0.0.0.0 213.164.131.107 ip route 213.164.131.96 255.255.255.240 BRI0 200 ip route 213.164.131.152 255.255.255.248 213.164.131.98 no ip http server Wie gesagt, die letzte der 3 routen habe ich als hotfix hinzugefpgt, aber ich begreife nicht wieso das nicht per df route abgefackelt wird. Danke für eure Vorschläge soweit