glady

Hallo, weiß jemand ob die die XL-Switches (z.B. C3548-XL) auch RSTP unterstützen? Den Befehl "spanning-tree mode" gibt es jedenfalls nicht. Heißt der Befehl vielleicht auf der Plattform anders? Glady

VTP Domain und Passwort ist gesetzt. Gibt es eine Möglichkeit das VTP auf dem Port, an dem der Fremdswitch angeschlossen wird, einfach abzuschalten? Dann kann es mir egal sein, ob er zufällig die gleiche vtp domain/password setzt. Gibt es sonst was zu beachten?

Hallo, in einem neuen Projekt lässt es sich wahrscheinlich nicht vermeiden, einen Trunk zu einem Fremdswitch herzustellen. Auf unserern Switches haben wir VTP am Laufen. Wie sichere ich am besten den Trunkport zu dem Fremdswitch ab? So dass man darauf konfigurieren kann, was man will, aber unser Netzwerk wird nicht beeinträchtigt? Ist das überhaupt möglich? Grundsätzlich hätte ich diese Befehle eigegeben: switchport trunk allowed vlan 1,2,3,4,5, usw. switchport mode trunk switchport nonegotiate spanning-tree portfast disable Ziel ist es, dass auf dem Fremdswitch nur die VLANs sichtbar sind, die ich vorgebe. Das funktioniert glaube ich mit dem Befehl "switchport trunk allowed vlan". Ist das aber ausreichen? Und wie kann das VTP auf dem Trunkport zum Fremdswitch abschalten? Bin auf eure Anworten gespannt... Glady

Hi, mich würde interessieren, was dafür spricht, das Preshared-Key bei einem VPN-Tunnel (Site-to-Site) "sicher" zu gestalten (ellenlang, große/kleine Buchstaben, Zahlen, Sonderzeichen). Theoretisch könnte man das Preshred-Key einfach lassen, weil ja immer zur IP-Adresse gebunden wird. Wenn jemand die IP spooft, gehen die Rückantwortpakete trotzdem zur Original-IP. Wer kennt sich da aus und kann mir Tips geben? Gruß Glady

Genial, Danke :)

Ich versuche erfolglos im Web eine Beschreibung zu finden, welches die Unterschiede zwischen den einzelnen IOS Versionen beschreibt. z.B. IP Base, Advanced Security, Advanced IP Services, Advanced Enterprise Services, usw. Kann mir jemand einen Tip geben? Gruß, Glady

@Baden Auf welchem Interface hast Du nun "ip tcp adjust-mss 1452" und auf welchen "ip mtu 1452" stehen? Oder verwendest Du den Befehl "ip tcp adjust-mss" gar nicht mehr? @Wordo Welche Einstellungen sind bei VPN über DSL von QSC vorzunehmen? Laut QSC ist MTU 1492 am Router einzustellen. Gruß, Glady

Habe nun einen C876, auf dem ich das testen konnte. ES FUNKTIONIERT!!! Konfig. Auszug: vpdn enable ! vpdn-group 1 interface FastEthernet0 ! interface FastEthernet1 switchport access vlan 2 interface Vlan1 ip address 10.5.1.1 255.255.255.255 ip tcp adjust-mss 1452 ip policy route-map Clear-DF hold-queue 100 out interface Vlan2 no ip address pppoe enable pppoe-client dial-pool-number 1 interface Dialer1 ip address negotiated ip access-group 111 in ip mtu 1492 ip nat outside ip inspect myfw out ip virtual-reassembly encapsulation ppp dialer pool 1 dialer-group 1 ppp authentication chap pap callin ppp chap hostname xxx ppp chap password 7 xxx ppp pap sent-username xxx password 7 xxx ppp ipcp dns request ppp ipcp wins request ip route 0.0.0.0 0.0.0.0 Dialer1 Wie gesagt, wenn nichts dagegen spricht, ist man mit dieser Lösung flexibler, als mit einem C871. Denn so kann man auch ISDN-Backup für alle Internet-anschlüsse mit Esthernetschnittstelle einsetzen. Gruß, Glady

Ich möchte das ATM Modem nicht verwenden. Auf Fastethernet2 möchte ich direkt eine öffentliche IP eintragen oder einen Dialer mappen (je nachdem wie das vorgeben bei T-Systems InternetConnect).

Hallo, auf dem C876 kann ich vlan1 und vlan2 konfigurieren, Fastethernet1 ist schon vlan1 zugewiesen, auf Fastethernet2 gebe ich den Befehl "switchport access vlan 2" ein. Somit hätte ich theoretisch 2 unabhängige Ethernet-Beine. Hat das so schon jemand im Einsatz und kann mir sagen, ob es irgendwelche Einschränkungen/Nachteile gibt? Ich möchte auf Fastethernet2/VLAN2 einen 2MBit Internetanschluss mit Ethernet-Schnittstelle betreiben und darüber VPN konfigurieren. Mit einem C871 würde das definitiv funktionieren. Wenn nichts dagegen spricht das so zu konfigurieren, kann man ja grundsätzlich den 876 nehmen und ist dadurch viel flexibler: 1. Router kann Internet per DSL und Standleitung 2. ISDN Backup zu VPN-Tunnel ist über DSL und Standleitung möglich Für jeden Hinweis bin ich sehr dankbar! Gruß, Glady

@Wordo :) Danke für den Link. Habe das nun erfolgreich durchgeführt. Mit TerraTerm hatte ich allerdings ganz komische Phänomene. Mit Hyperterminal ging das gleich auf anhieb. Gruß, Glady

Hi Rob, kannst Du mir beschreiben, wie ich den Router mit IOS vom TFTP-Server starten kann? Mit xmodem kenne ich mich nicht aus, habe das noch nie gemacht. Gruß, Glady

Hallo, nach IOS Update kommt der Router nicht mehr hoch: Error : compressed image checksum is incorrect 0xDC5AB361 Expected a checksum of 0x72F11B6E *** System received a Software forced crash *** signal= 0x17, code= 0x5, context= 0x8000eb80 PC = 0x800080d4, Cause = 0xf0020, Status Reg = 0x3041e803 Speicher ist mehr als Genug vorhanden (256MB DRAM) Nun wollte ich ein anderes IOS über ROMMON laden. Ich gebe alle Informationen ein (IP, Mask, Defaultg., tftp-ip, ios). Nur den letzten Befehl "tftpdnld" nimmt der Router nicht. wenn ich help eigebe, werden mir folgende Optionen angezeigt: rommon 2 > help alias set and display aliases command boot boot up an external process break set/show/clear the breakpoint confreg configuration register utility cont continue executing a downloaded image context display the context of a loaded image cookie display contents of motherboard cookie PROM in hex dev list the device table dir list files in file system dis disassemble instruction stream dnld serial download a program module frame print out a selected stack frame help monitor builtin command help history monitor command history iomemdef set IO mem to a default 25% meminfo main memory information repeat repeat a monitor command reset system reset rommon-pref Select ROMMON set display the monitor variables showmon display currently selected ROM monitor stack produce a stack trace sync write monitor environment to NVRAM sysret print out info from last system return unalias unset an alias unset unset a monitor variable xmodem x/ymodem image download Kann mir jemand weiterhelfen? Gruß, Glady

Stimmt das Interesting-Traffic auf beiden Seiten 1:1 überein? Gruß, Glady

Wer kennt das Feature "VRF aware IPSEC" bzw. hat vielleicht sogar konfiguriert? Ich suche nach einer Lösung, um mehrere Standorte per VPN anzubinden, die die gleichen IP-Netze haben (z.B. alle 192.168.1.0/24). "VTI" geht nicht, weil das keine Cisco sind an den Standorten. Nur Zentrale ist Cisco. Könnte das Feature dafür geeignet sein? Habe zur Zeit leider nicht die Hardware, um das selber auszutesten. Danke und Gruß Glady

Weiss jemand, ob es mit den Switches der Baureihen C2900XL/C3500XL möglich ist 802.1X zu konfigurieren? Danke und Gruß, Glady

Die Software heißt "STCIE.EXE" Hier mehr Infos dazu: VPN 3000 Series Concentrator Reference Volume I: Configuration, Release 4.7 - Tunneling and Security [Cisco VPN 3000 Series Concentrators] - Cisco Systems Wenn Dir http Zugriffe reichen, kannst Du auch WEBVPN ohne SVC konfigurieren. Dabei fugiert Dein Gerät (z.B. ASA, Concentrator) als Reverseproxy.

Kannst in Zukunft auch neuere Versionen des SVC ohne Adminrechte installieren. Also einmalig diese andere Software installieren, anschließend kann man jede SVC-Software ohne Adminrechte installieren. Gruß, Glady

Habe jetzt herausbekommen, dass man für die Installation des SVC (SSL VPN CLient) Adminrechte benötigt. Alternativ kann man sich eine Software installieren, anschließend hat kann man das SVC auch ohne Adminrechte installieren.

Hallo, ich setze den Cisco SSL VPN Client mit dem Concentrator ein. Solange der User Adminrechte auf dem PC/Notebook hat, klappt das einwandfrei. Er greift per Browser zu, nach Auth. wird automatisch einmalig die SSL VPN Software installiert. Allerdings nur, wenn der auf dem PC angemeldete User Adminrechte hat. Ansonsten bricht der Vorgang ab. Nun habe ich gehört, es gibt auch die Möglichkeit, das ohne Adminrechte zu installieren. Dann wird die Software bei jeder Anmeldung erneut übertragen. Ich finde nur nichts dazu, weder bei Cisco noch über Google. Kann mir jemand einen Tip geben? Oder gibt es noch andere Verfahren? Gruß Glady

In der Skizze ist unter Punkt1 eine tarditionelle Switchanbindung von Access-Switches an Distribution-Switches zu sehen. Beide Access-Switches sind mit beiden Distriswitches verbunden, alles Trunkports, STP regelt dass einer von den beiden Uplinks zum Distriswitch geblockt wird. Theor. könnte man, Punkt2, die Accessswitches nur einmal per Uplink mit dem Distriswitch verbinden und die Accessswitches untereinander stacken. Wenn einer der Distriswitches ausfällt, müssten die Server den Weg über den Stack und Uplink des anderen Switches gehen. Wie funktioniert hier das STP? Ist die Stackverbindung vom STP geblockt? Hat das jemand schon so im Einsatz? Kann man das so machen und hat irgendeinen Nachteil gegenüber Punkt1? Ist etwas besonderes zu beachten, vor allem was das STP angeht? Ausserdem würde man einen Uplink-Port am großen Switch sparen... Würde die Konfiguration, die Aufteilung der VLANs mit STP-Prio und HRSP-Prio weiterhin funktionieren unter Punkt2 Bin auf eure Meinungen gespannt! Glady

Wer hat den Kurs BSCI in letzter Zeit besucht und kann mir sagen was in den 5 Tagen im Lab alles gemacht wird? Gruß, Glady

>...bis zu 3min Ausfallzeit bedeuten würde (wegen STP Algorithmus, der die "Routen" neuberechnen muss) Default ist als Spanningtree-Protokoll PVST bzw. PVST+ aktiv. Da musst Du ca. 50 Sek. auf die Neuberechnung rechnen. Sofern Deine Switches RPVST (Rapid PVST) unterstützen, würde ich das aktivieren. Damit geht das nämlich unterbrechungsfrei. Grüße, Glady

Muss ich auf der Firewall icmp any any freigeben? Man muss das doch hinkriegen, mit einer gewissen Einschränkung. Wäre toll, wenn mir da jemand Licht ins Dunkle bringen könnte. Danke!

ICMP ist zwischen Client und Server definitiv freigegeben. Zwischen welchen Bereichen muss das noch freigegeben werden?