glady
-
Gesamte Inhalte
189 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von glady
-
-
VTP Domain und Passwort ist gesetzt. Gibt es eine Möglichkeit das VTP auf dem Port, an dem der Fremdswitch angeschlossen wird, einfach abzuschalten? Dann kann es mir egal sein, ob er zufällig die gleiche vtp domain/password setzt.
Gibt es sonst was zu beachten?
-
Hallo,
in einem neuen Projekt lässt es sich wahrscheinlich nicht vermeiden, einen Trunk zu einem Fremdswitch herzustellen. Auf unserern Switches haben wir VTP am Laufen.
Wie sichere ich am besten den Trunkport zu dem Fremdswitch ab? So dass man darauf konfigurieren kann, was man will, aber unser Netzwerk wird nicht beeinträchtigt?
Ist das überhaupt möglich?
Grundsätzlich hätte ich diese Befehle eigegeben:
switchport trunk allowed vlan 1,2,3,4,5, usw.
switchport mode trunk
switchport nonegotiate
spanning-tree portfast disable
Ziel ist es, dass auf dem Fremdswitch nur die VLANs sichtbar sind, die ich vorgebe. Das funktioniert glaube ich mit dem Befehl "switchport trunk allowed vlan". Ist das aber ausreichen?
Und wie kann das VTP auf dem Trunkport zum Fremdswitch abschalten?
Bin auf eure Anworten gespannt...
Glady
-
Hi,
mich würde interessieren, was dafür spricht, das Preshared-Key bei einem VPN-Tunnel (Site-to-Site) "sicher" zu gestalten (ellenlang, große/kleine Buchstaben, Zahlen, Sonderzeichen). Theoretisch könnte man das Preshred-Key einfach lassen, weil ja immer zur IP-Adresse gebunden wird. Wenn jemand die IP spooft, gehen die Rückantwortpakete trotzdem zur Original-IP.
Wer kennt sich da aus und kann mir Tips geben?
Gruß
Glady
-
Genial, Danke :)
-
Ich versuche erfolglos im Web eine Beschreibung zu finden, welches die Unterschiede zwischen den einzelnen IOS Versionen beschreibt.
z.B. IP Base, Advanced Security, Advanced IP Services, Advanced Enterprise Services, usw.
Kann mir jemand einen Tip geben?
Gruß, Glady
-
@Baden
Auf welchem Interface hast Du nun "ip tcp adjust-mss 1452" und auf welchen "ip mtu 1452" stehen? Oder verwendest Du den Befehl "ip tcp adjust-mss" gar nicht mehr?
@Wordo
Welche Einstellungen sind bei VPN über DSL von QSC vorzunehmen? Laut QSC ist MTU 1492 am Router einzustellen.
Gruß, Glady
-
Habe nun einen C876, auf dem ich das testen konnte. ES FUNKTIONIERT!!!
Konfig. Auszug:
vpdn enable
!
vpdn-group 1
interface FastEthernet0
!
interface FastEthernet1
switchport access vlan 2
interface Vlan1
ip address 10.5.1.1 255.255.255.255
ip tcp adjust-mss 1452
ip policy route-map Clear-DF
hold-queue 100 out
interface Vlan2
no ip address
pppoe enable
pppoe-client dial-pool-number 1
interface Dialer1
ip address negotiated
ip access-group 111 in
ip mtu 1492
ip nat outside
ip inspect myfw out
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname xxx
ppp chap password 7 xxx
ppp pap sent-username xxx password 7 xxx
ppp ipcp dns request
ppp ipcp wins request
ip route 0.0.0.0 0.0.0.0 Dialer1
Wie gesagt, wenn nichts dagegen spricht, ist man mit dieser Lösung flexibler, als mit einem C871. Denn so kann man auch ISDN-Backup für alle Internet-anschlüsse mit Esthernetschnittstelle einsetzen.
Gruß, Glady
-
Ich möchte das ATM Modem nicht verwenden. Auf Fastethernet2 möchte ich direkt eine öffentliche IP eintragen oder einen Dialer mappen (je nachdem wie das vorgeben bei T-Systems InternetConnect).
-
Hallo,
auf dem C876 kann ich vlan1 und vlan2 konfigurieren, Fastethernet1 ist schon vlan1 zugewiesen, auf Fastethernet2 gebe ich den Befehl "switchport access vlan 2" ein.
Somit hätte ich theoretisch 2 unabhängige Ethernet-Beine. Hat das so schon jemand im Einsatz und kann mir sagen, ob es irgendwelche Einschränkungen/Nachteile gibt?
Ich möchte auf Fastethernet2/VLAN2 einen 2MBit Internetanschluss mit Ethernet-Schnittstelle betreiben und darüber VPN konfigurieren. Mit einem C871 würde das definitiv funktionieren.
Wenn nichts dagegen spricht das so zu konfigurieren, kann man ja grundsätzlich den 876 nehmen und ist dadurch viel flexibler:
1. Router kann Internet per DSL und Standleitung
2. ISDN Backup zu VPN-Tunnel ist über DSL und Standleitung möglich
Für jeden Hinweis bin ich sehr dankbar!
Gruß, Glady
-
@Wordo :)
Danke für den Link. Habe das nun erfolgreich durchgeführt. Mit TerraTerm hatte ich allerdings ganz komische Phänomene. Mit Hyperterminal ging das gleich auf anhieb.
Gruß, Glady
-
Hi Rob,
kannst Du mir beschreiben, wie ich den Router mit IOS vom TFTP-Server starten kann? Mit xmodem kenne ich mich nicht aus, habe das noch nie gemacht.
Gruß, Glady
-
Hallo,
nach IOS Update kommt der Router nicht mehr hoch:
Error : compressed image checksum is incorrect 0xDC5AB361
Expected a checksum of 0x72F11B6E
*** System received a Software forced crash ***
signal= 0x17, code= 0x5, context= 0x8000eb80
PC = 0x800080d4, Cause = 0xf0020, Status Reg = 0x3041e803
Speicher ist mehr als Genug vorhanden (256MB DRAM)
Nun wollte ich ein anderes IOS über ROMMON laden. Ich gebe alle Informationen ein (IP, Mask, Defaultg., tftp-ip, ios). Nur den letzten Befehl "tftpdnld" nimmt der Router nicht. wenn ich help eigebe, werden mir folgende Optionen angezeigt:
rommon 2 > help
alias set and display aliases command
boot boot up an external process
break set/show/clear the breakpoint
confreg configuration register utility
cont continue executing a downloaded image
context display the context of a loaded image
cookie display contents of motherboard cookie PROM in hex
dev list the device table
dir list files in file system
dis disassemble instruction stream
dnld serial download a program module
frame print out a selected stack frame
help monitor builtin command help
history monitor command history
iomemdef set IO mem to a default 25%
meminfo main memory information
repeat repeat a monitor command
reset system reset
rommon-pref Select ROMMON
set display the monitor variables
showmon display currently selected ROM monitor
stack produce a stack trace
sync write monitor environment to NVRAM
sysret print out info from last system return
unalias unset an alias
unset unset a monitor variable
xmodem x/ymodem image download
Kann mir jemand weiterhelfen?
Gruß, Glady
-
Stimmt das Interesting-Traffic auf beiden Seiten 1:1 überein?
Gruß, Glady
-
Wer kennt das Feature "VRF aware IPSEC" bzw. hat vielleicht sogar konfiguriert?
Ich suche nach einer Lösung, um mehrere Standorte per VPN anzubinden, die die gleichen IP-Netze haben (z.B. alle 192.168.1.0/24). "VTI" geht nicht, weil das keine Cisco sind an den Standorten. Nur Zentrale ist Cisco. Könnte das Feature dafür geeignet sein?
Habe zur Zeit leider nicht die Hardware, um das selber auszutesten.
Danke und Gruß
Glady
-
Weiss jemand, ob es mit den Switches der Baureihen C2900XL/C3500XL möglich ist 802.1X zu konfigurieren?
Danke und Gruß, Glady
-
Die Software heißt "STCIE.EXE"
Hier mehr Infos dazu:
Wenn Dir http Zugriffe reichen, kannst Du auch WEBVPN ohne SVC konfigurieren. Dabei fugiert Dein Gerät (z.B. ASA, Concentrator) als Reverseproxy.
-
Kannst in Zukunft auch neuere Versionen des SVC ohne Adminrechte installieren. Also einmalig diese andere Software installieren, anschließend kann man jede SVC-Software ohne Adminrechte installieren.
Gruß, Glady
-
Habe jetzt herausbekommen, dass man für die Installation des SVC (SSL VPN CLient) Adminrechte benötigt. Alternativ kann man sich eine Software installieren, anschließend hat kann man das SVC auch ohne Adminrechte installieren.
-
Hallo,
ich setze den Cisco SSL VPN Client mit dem Concentrator ein. Solange der User Adminrechte auf dem PC/Notebook hat, klappt das einwandfrei. Er greift per Browser zu, nach Auth. wird automatisch einmalig die SSL VPN Software installiert. Allerdings nur, wenn der auf dem PC angemeldete User Adminrechte hat. Ansonsten bricht der Vorgang ab.
Nun habe ich gehört, es gibt auch die Möglichkeit, das ohne Adminrechte zu installieren. Dann wird die Software bei jeder Anmeldung erneut übertragen. Ich finde nur nichts dazu, weder bei Cisco noch über Google. Kann mir jemand einen Tip geben?
Oder gibt es noch andere Verfahren?
Gruß
Glady
-
In der Skizze ist unter Punkt1 eine tarditionelle Switchanbindung von Access-Switches an Distribution-Switches zu sehen. Beide Access-Switches sind mit beiden Distriswitches verbunden, alles Trunkports, STP regelt dass einer von den beiden Uplinks zum Distriswitch geblockt wird.
Theor. könnte man, Punkt2, die Accessswitches nur einmal per Uplink mit dem Distriswitch verbinden und die Accessswitches untereinander stacken. Wenn einer der Distriswitches ausfällt, müssten die Server den Weg über den Stack und Uplink des anderen Switches gehen. Wie funktioniert hier das STP? Ist die Stackverbindung vom STP geblockt? Hat das jemand schon so im Einsatz? Kann man das so machen und hat irgendeinen Nachteil gegenüber Punkt1? Ist etwas besonderes zu beachten, vor allem was das STP angeht? Ausserdem würde man einen Uplink-Port am großen Switch sparen...
Würde die Konfiguration, die Aufteilung der VLANs mit STP-Prio und HRSP-Prio weiterhin funktionieren unter Punkt2
Bin auf eure Meinungen gespannt!
Glady
-
Wer hat den Kurs BSCI in letzter Zeit besucht und kann mir sagen was in den 5 Tagen im Lab alles gemacht wird?
Gruß, Glady
-
>...bis zu 3min Ausfallzeit bedeuten würde (wegen STP Algorithmus, der die "Routen" neuberechnen muss)
Default ist als Spanningtree-Protokoll PVST bzw. PVST+ aktiv. Da musst Du ca. 50 Sek. auf die Neuberechnung rechnen. Sofern Deine Switches RPVST (Rapid PVST) unterstützen, würde ich das aktivieren. Damit geht das nämlich unterbrechungsfrei.
Grüße, Glady
-
Muss ich auf der Firewall icmp any any freigeben? Man muss das doch hinkriegen, mit einer gewissen Einschränkung. Wäre toll, wenn mir da jemand Licht ins Dunkle bringen könnte. Danke!
-
ICMP ist zwischen Client und Server definitiv freigegeben. Zwischen welchen Bereichen muss das noch freigegeben werden?
RSTP auf alten XL Switches möglich?
in Cisco Forum — Allgemein
Geschrieben
Hallo,
weiß jemand ob die die XL-Switches (z.B. C3548-XL) auch RSTP unterstützen?
Den Befehl "spanning-tree mode" gibt es jedenfalls nicht. Heißt der Befehl vielleicht auf der Plattform anders?
Glady