DocZenith

Hallo Cisco Experten, in der PIX 515E Vers. 6.3 ist es möglich, AAA's zu konfigurieren, u.a. auch etwas mit "exempt MAC" und "do not exempt MAC". Ist es möglich, dass ich einwählte User (Einwahl über Cisco VPN Client) damit kontrollieren kann. Also dass ich z.B. die MAC des Notebooks eines Teleworkers eintrage und das er sich dann nur mit diesem NB einwählen kann? Oder geht es nur intern? Habe dazu leider noch keine genaueren Angaben im Internet gefunden :-( Vielleicht kann einer helfen, einen Tipp geben. Noch eine weitere Verständnisfrage, wann benutze ich denn AAA Rules und wann Access Rules? Mit den ACL kann ich doch auch so ziemlich alles abfangen Protokoll, IP und Port basierend. Gruss.

Hallo, habe die Lösung, ich habe für beide neuen Netzwerkkarten in der Registry die MAC händig eingetragen, also die MACs von den alten Karten, danach die Karten de- und wieder aktiviert und es läuft. Bleibt nur die Frage, ob man das auch richtig im ISA bzw. Routing RAS etc einstellen kann. Egal, es läuft erstmal. Danke.

Hallo, danke für die Antwort. Der ISA Server ist schon konfiguriert, er lief ja jahrelang mit den alten Netzwerkkarten, es wurden NUR die Netzwerkkarten getauscht. Muss ich jetzt extra neue Rules anlegen? Ist vielleicht etwas an die MAC gebunden?

Hallo! Folgendes passiert, wir mussten an unserem Windows 2000 Server, wo der ISA 2000 läuft, beide (externe und interne) Netzwerkkarten tauschen. Treiber wurden und nicht mehr verwendete Hardware wurden sauber gelöscht. Jetzt haben wir das große Problem, dass der ISA von extern nicht mehr erreichbar ist, die externen IPs können nicht angepingt werden, RAS Einwahl funktioniert nicht. wir haben die vermutung, dass irgendwo eine Bindung an die Netzwerkkarten vorgenommen wurden, ich denke dass muss jetzt noch angepasst werden. ist vielleicht ein dienst von routing und ras oder Isa dienst an die NIC gebunden? oder vielleicht ein registry eintrag? von intern nach extern funktioniert alles, also unsere User können z.B. surfen. Wenn ich die alten Karten nochmal einstecke, funktioniert alles direkt :-( Hat einer eine Idee, Tipp?

Hi, danke für die Hilfe, hatte das auch schon gefunden, aber leider ist das nicht die Lösung, verwende auch kein Q.sig. :-( Egal, weiter gehts, setze mich heute nochmal dran, vielleicht finde ich heute die Lösung. Gruss.

Hi! Habe folgendes Problem, ein Anruf wird vom Voice Router zum Callmanager geschickt, aber von diesem nicht angenommen. Der CCM bringt folgende Fehlermeldung: SETUP pd = 8 callref = 0x236D Bearer Capability i = 0x9090A3 Calling Party Number i = 0x0083, '00160xxxxxxxx' Called Party Number i = 0xC1, '50601' User-User i = 0x9B05 IE out of order or end of private IEs -- Net Specific Fac i = 0x060008914A00042800B500001240013C05010000327A4D10CAD311DDA4BE000ED7AF8D6000CD1D828007000A141E04C3611100327A4D10CAD311DDAC23F6FD33A39842809A06130000000C6013800B050001000A141E0442D3001E400000060401004C60138012150001000A141E0442D2000A141E0442D300130000000C2013 RESERVED = 00x80 IE out of order or end of private IEs -- UNRECOGNIZED VARIABLE (0x0B) i = 0x0001000A14 Progress Ind i = 0x42D3001E - Reserved value Information Rate i = undefined IE out of order or end of private IEs -- Segmented Message i = 0x0401004C2013 RESERVED = 00x80 UNRECOGNIZED VARIABLE (0x12) i = 0x0001000A141E0442D2000A141E0442D30013000000 IE out of order or end of private IEs -- UNRECOGNIZED VARIABLE (0x0D) i = 0x01800B050001000A141E0442D3001E400000060401004D40018012150001000A141E0442D2000A141E0442D300010001000180018001000342003210A8018080 IE 0xF0 IE out of order or end of private IEs -- UNRECOGNIZED VARIABLE: 0x01 i = 0xB500001280E86001010001A180E0A104038090A31801896C0D21833136303936383732383739700AC13338303133353032307D0291811CB69E81000367746400 IE out of order or end of private IEs -- Segmented Message i = undefined IE 0xAB UNRECOGNIZED VARIABLE (0x49) i = 0x4D2C0D0A50524E2C6973646E2A2C2C2C0D0A5553492C726174652C632C732C632C310D0A5553492C6C6179312C616C61770D0A544D522C30300D0A43504E2C3032 IE out of order or end of private IEs -- Keypad Facility i = '1,380135020', 0x0D0A, 'CGN,04,,1,y,4,160xxxxxxxx', 0x0D0A, 'CPC,' UNRECOGNIZED VARIABLE (0x30) i = 0x0D0A4643492C2C2C2C2C2C2C792C0D0A4743492C33323761346431306361643331316464613462653030306564376166386436300D0A0D0A80 Congestion Level = 0x03 (Error: reserved value B3 End to End Delay i = 0x67746401 RESERVED = 00x80 IE 0xAB UNRECOGNIZED VARIABLE (0x49) i = 0x4D2C0D0A50524E2C6973646E2A2C2C2C0D0A5553492C726174652C632C732C632C310D0A5553492C6C6179312C616C61770D0A544D522C30300D0A43504E2C3032 IE out of order or end of private IEs -- Keypad Facility i = '1,380135020', 0x0D0A, 'CGN,04,,1,y,4,160xxxxxxxx', 0x0D0A, 'CPC,' UNRECOGNIZED VARIABLE (0x30) i = 0x0D0A4643492C2C2C2C2C2C2C79 Decode Error: IE Length Error (0x39) Kann jemand hier etwas mit der Fehlermeldung anfangen? Ich kann über mein IP Phone ganz normal raus telefonieren. Gruss.

Hallo, probiere es mit debug ip ddns update. Wenn du über Telnet auf deinen Router zugreifst, musst du daran denken, das in deiner VTY Session monitoring aktiviert ist. Gruss.

Stimmt, x.x.7.255 muss es heißen. Habe mich in einem Oktett verlesen.

z.B. ip nat inside source list 102 interface Dialer0 overload access-list 102 permit ip 10.250.1.49 0.0.0.7 any ip route 0.0.0.0 0.0.0.0 Dialer0 Gruss.

Hi Daking, bei mir scheint das QoS jetzt einwandfrei zu laufen, allerdings hatte ich noch keine Pakete wegen Engpässen in einer Queue. Wegen den unregistrierten Devices in der CCM Log, das lag am IOS! Hab das neuste vom 02.12.08 drauf gepackt und siehe da, der Router und die IPPs laufen seitdem ohne Probleme! Danke nochmals! Gruss.

Hi, schau meinen 5# Beitrag. Bei mir kam ich nur mit CHAP ins Internet, ohne Witz, war T-Online Zugang mit fester IP. Gruss.

Beschreibe mal bitte genau die vorgehensweise, wie du das IOS drauf gespielt hast. Gab es evtl. CRC Fehler beim kopieren? Gruss.

Hi! um unter anderem an die IOS dranzukommen brauchst du ein CCO Account. (kostenpflichtig) Gruss.

Nabend! die Modemfirmware bekommst du raus mit Ausgabe sh dsl int atm 0. Denke das könntest du posten. Ich würde auf jeden Fall ein IOS Update machen, ein neues IOS beinhaltet meist auch ein neues Modemfirmware, danach wird dein Router bestimmt synchron! Ich verwende z.B. diese IOS: c870-adventerprisek9-mz.124-15.T8.bin Aber werfe doch nochmals ein Blick in dieses Topic, da gehts um genau das selbe Problem ;-) http://www.mcseboard.de/cisco-forum-allgemein-38/cisco-876er-adsl2-16-000-kein-sync-134531.html Gruss.

Hi! Hi prüfe doch mal deine IOS Version bzw. deine Modem Version im Router. Bei mir was es damals die Firmware vom Modem! Hast du dir das folgende Thema auch schon angeschaut? http://www.mcseboard.de/cisco-forum-allgemein-38/cisco-876er-adsl2-16-000-kein-sync-134531.html Gruss.

der 876er hat integriertes modem, du musst nichts groß noch dran hängen.

achja, und später bei dem atm inteface auf "no shut" stellen, sonst kommt es nocht online.

Hallo, bei DSL 16.000 musst du wohl CHAP Authentifizierung machen, so war es zumindest bei mir mit dem 876er: interface Dialer1 description TDSL ip mtu 149 encapsulation ppp ip tcp adjust-mss 1300 load-interval 30 dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname xxx/xxx@t-online-com.de ppp chap password 0 12345678 ppp pap sent-username xxx/xxx@t-online-com.de password 0 12345678 ppp ipcp dns request gruss.

Servus! Hab eine kurze Frage, kann es hier zu Problemen führen? Auf dem Dialer Interface des Routers ist eingetragen ip mtu 1492. Auf den LAN Interfaces liegt ein Vlan und in der Vlan Database ist eingetragen VLAN ISL Id: 200 Name: VLAN0200 Media Type: Ethernet VLAN 802.10 Id: 100200 State: Operational MTU: 1500 Sollte ich den Wert auf dem Dialer Int korrigieren? Gruss. Natürlich meine ich den MTU Wert, nicht MPU....tz tz tz :-)

Hier mal noch einen interessanten Link zum ganzen Thema: Cisco - Branch Router QoS Gruss. – Hallo, ich wieder. Habe folgende Anpassung vorgenommen: Füge ich nun die Service-Policy auf dem Interface Vlan 200 ein, also service-policy in MARK, dann ist der Router kurze Zeit später nicht mehr erreichbar. Ich nehme an das Int geht shut und kommt nicht mehr hoch. Oder was anderes läuft schief. Habe den Router jetzt mal ohne den Int Vlan200 Eintrag laufen. Hier mal noch ein sh policy-map int atm0: Gruss.

Was muss ich dir beachten? Woran erkenne ich das H.323 genutzt wird? Gruss.

Hallo Daking, ich habe mir nochmals den Thread von damals durchgelesen ( http://www.mcseboard.de/cisco-forum-allgemein-38/876-router-133453.html ), da haben wir auch schon lange über das QoS diskutiert, im Prinzip dasselbe. Daraufhin habe ich jetzt eine Teilconfig zusammengestellt. Wäre super, wenn du ein Feedback gibst. Ziel ist hier, die Pakete intern im Router zu markieren, am LAN Int, also über mein VLAN. Dann danach bewerten am externen Int, also ATM oder Tunnel Int. Wie siehts denn hier aus, sollte ich die service-policy auf das Tunnel Int legen? Desweiteren hast du das Signaling angesprochen, also wenn das fehl schlägt, dass die IPPs ins Fallback fallen (deregistriert werden im CCM), dafür gabs einen Ansatz einer SCCP Klasse. Kann ich hier auch Skinny nutzen? Oder hier getrennt halten? Ich frage wegen der festgelegten Bandbreite in der Skinny Klasse ==> Bandwidth 49. Frage nebenher, wie könnte ich prüfen, ob der CCM oder das IPP die Pakete mit RTP oder Skinny markiert? Wireshark oder ähnliches an einem Spiegelport? Gruss.

Guten Morgen! Ja, IPSec VPN und die Zwangstrennung nachts um zwei Uhr, beides wird verwendet. Liegt das wohl am IP Sec Protocol, dass die markierten Pakete nicht erkannt werden? Heute morgen gab es wieder Fallbacks der IPPs, hab ATM konfiguriert wie du geschrieben hast. Es läuft denke ich nur im Zusammenspiel mit den QoS Klassen richtig. Gruss

Hallo Daking! Danke für deine Infos. Du schreibst, dass ich non realtime vbr einstellen sollte. Wird hier der maximale Upload bei meiner DSL Leitung genommen? Habe den Wert im Test wiefolgt eingetragen: router(config-if-atm-vc)#vbr-nrt 967 967 oder doch anders? Ist alles leider etwas Neuland für mich. Bezüglich des SCCP Signaling, hier habe ich jetzt eine extra Klasse angelegt. Allerings wenn ich mir das auf dem Int anschaue, landet nichts in der Klasse. Sie scheint nicht zu arbeiten. Kann das daran liegen, dass die Pakete vom IPP bzw. CCM nicht markiert werden? Kann ich das entsprechend einstellen? Gruss.

Hi! habe das sp auf das atm int gelegt. jetzt muss ich mir noch einen kopf machen wegen der der service-policy, kompliziert kompliziert... --> Wie viele Calls sollen möglich sein (welcher Codes / welches Framing)? denke mal das maximal drei calls gleichzeitig möglich sein sollen. codec ist G.711a-law. was meinst du mit framing? --> Wie viele Phones/Atas sind onsite (auch der Sig Traffic muss geschützt werden ==> soll nach wählen einer Nummer nicht x s dauern bis vermittelt wird - auch dein beschriebener Fehler sollte nicht die ganze Zeit kommen.) Im LAN sitzen stehen drei bis vier IPP, ein ATA. --> Der TCP Sig Traffic kann nicht in die LLQ IP Phones oder ATAs deregistrieren sich / werden als "verloren" definiert, wenn: ==> TCP Sig Session wird getrennt. ==> TCP / Skinny Keepalives kommen nicht an. Können nicht beantwortet werden. Wie kann ich hier gegenwirken? Auch mit einer Definition in der Service-Policy? Danke + Gruss.