DocZenith

Hallo Cisco Experten,

in der PIX 515E Vers. 6.3 ist es möglich, AAA's zu konfigurieren, u.a. auch etwas mit "exempt MAC" und "do not exempt MAC". Ist es möglich, dass ich einwählte User (Einwahl über Cisco VPN Client) damit kontrollieren kann. Also dass ich z.B. die MAC des Notebooks eines Teleworkers eintrage und das er sich dann nur mit diesem NB einwählen kann? Oder geht es nur intern? Habe dazu leider noch keine genaueren Angaben im Internet gefunden :-(

Vielleicht kann einer helfen, einen Tipp geben.

Noch eine weitere Verständnisfrage, wann benutze ich denn AAA Rules und wann Access Rules? Mit den ACL kann ich doch auch so ziemlich alles abfangen Protokoll, IP und Port basierend.

Gruss.

Hallo,

habe die Lösung, ich habe für beide neuen Netzwerkkarten in der Registry die MAC händig eingetragen, also die MACs von den alten Karten, danach die Karten de- und wieder aktiviert und es läuft.

Bleibt nur die Frage, ob man das auch richtig im ISA bzw. Routing RAS etc einstellen kann. Egal, es läuft erstmal.

Danke.

Hallo,

danke für die Antwort. Der ISA Server ist schon konfiguriert, er lief ja jahrelang mit den alten Netzwerkkarten, es wurden NUR die Netzwerkkarten getauscht. Muss ich jetzt extra neue Rules anlegen? Ist vielleicht etwas an die MAC gebunden?

Hallo!

Folgendes passiert, wir mussten an unserem Windows 2000 Server, wo der ISA 2000 läuft, beide (externe und interne) Netzwerkkarten tauschen. Treiber wurden und nicht mehr verwendete Hardware wurden sauber gelöscht.

Jetzt haben wir das große Problem, dass der ISA von extern nicht mehr erreichbar ist, die externen IPs können nicht angepingt werden, RAS Einwahl funktioniert nicht.

wir haben die vermutung, dass irgendwo eine Bindung an die Netzwerkkarten vorgenommen wurden, ich denke dass muss jetzt noch angepasst werden.

ist vielleicht ein dienst von routing und ras oder Isa dienst an die NIC gebunden? oder vielleicht ein registry eintrag?

von intern nach extern funktioniert alles, also unsere User können z.B. surfen.

Wenn ich die alten Karten nochmal einstecke, funktioniert alles direkt :-(

Hat einer eine Idee, Tipp?

Hi,

danke für die Hilfe, hatte das auch schon gefunden, aber leider ist das nicht die Lösung, verwende auch kein Q.sig. :-(

Egal, weiter gehts, setze mich heute nochmal dran, vielleicht finde ich heute die Lösung.

Gruss.

Hi!

Habe folgendes Problem, ein Anruf wird vom Voice Router zum Callmanager geschickt, aber von diesem nicht angenommen. Der CCM bringt folgende Fehlermeldung:

SETUP pd = 8 callref = 0x236D

Bearer Capability i = 0x9090A3

Calling Party Number i = 0x0083, '00160xxxxxxxx'

Called Party Number i = 0xC1, '50601'

User-User i = 0x9B05

IE out of order or end of private IEs --

Net Specific Fac i = 0x060008914A00042800B500001240013C05010000327A4D10CAD311DDA4BE000ED7AF8D6000CD1D828007000A141E04C3611100327A4D10CAD311DDAC23F6FD33A39842809A06130000000C6013800B050001000A141E0442D3001E400000060401004C60138012150001000A141E0442D2000A141E0442D300130000000C2013

RESERVED = 00x80

IE out of order or end of private IEs --

UNRECOGNIZED VARIABLE (0x0B) i = 0x0001000A14

Progress Ind i = 0x42D3001E - Reserved value

Information Rate i = undefined

IE out of order or end of private IEs --

Segmented Message i = 0x0401004C2013

RESERVED = 00x80

UNRECOGNIZED VARIABLE (0x12) i = 0x0001000A141E0442D2000A141E0442D30013000000

IE out of order or end of private IEs --

UNRECOGNIZED VARIABLE (0x0D) i = 0x01800B050001000A141E0442D3001E400000060401004D40018012150001000A141E0442D2000A141E0442D300010001000180018001000342003210A8018080

IE 0xF0

IE out of order or end of private IEs --

UNRECOGNIZED VARIABLE: 0x01 i = 0xB500001280E86001010001A180E0A104038090A31801896C0D21833136303936383732383739700AC13338303133353032307D0291811CB69E81000367746400

IE out of order or end of private IEs --

Segmented Message i = undefined

IE 0xAB

UNRECOGNIZED VARIABLE (0x49) i = 0x4D2C0D0A50524E2C6973646E2A2C2C2C0D0A5553492C726174652C632C732C632C310D0A5553492C6C6179312C616C61770D0A544D522C30300D0A43504E2C3032

IE out of order or end of private IEs --

Keypad Facility i = '1,380135020', 0x0D0A, 'CGN,04,,1,y,4,160xxxxxxxx', 0x0D0A, 'CPC,'

UNRECOGNIZED VARIABLE (0x30) i = 0x0D0A4643492C2C2C2C2C2C2C792C0D0A4743492C33323761346431306361643331316464613462653030306564376166386436300D0A0D0A80

Congestion Level = 0x03 (Error: reserved value B3

End to End Delay i = 0x67746401

RESERVED = 00x80

IE 0xAB

UNRECOGNIZED VARIABLE (0x49) i = 0x4D2C0D0A50524E2C6973646E2A2C2C2C0D0A5553492C726174652C632C732C632C310D0A5553492C6C6179312C616C61770D0A544D522C30300D0A43504E2C3032

IE out of order or end of private IEs --

Keypad Facility i = '1,380135020', 0x0D0A, 'CGN,04,,1,y,4,160xxxxxxxx', 0x0D0A, 'CPC,'

UNRECOGNIZED VARIABLE (0x30) i = 0x0D0A4643492C2C2C2C2C2C2C79

Decode Error: IE Length Error (0x39)

Kann jemand hier etwas mit der Fehlermeldung anfangen? Ich kann über mein IP Phone ganz normal raus telefonieren.

Gruss.

Hallo,

probiere es mit debug ip ddns update. Wenn du über Telnet auf deinen Router zugreifst, musst du daran denken, das in deiner VTY Session monitoring aktiviert ist.

Gruss.

Wenn Cisco aus dem 15er Zweig von T ein MD draus macht, ist das rock solid!

 

 

 

10.250.1.49 0.0.0.7

 

Wobei die ACL nicht ganz richtig ist.

 

10.250.0.0 0.0.7.255 muss es sein. Dein internes Netz halt. Am Vlan1 fehlt noch ein "ip nat inside".

Stimmt, x.x.7.255 muss es heißen. Habe mich in einem Oktett verlesen.

Habe ja keine Feste IP is normaler T-DSL 16000 Anschluss

–

 

 

Also was muss genau machen das es geht???

 

Wäre echt dankbar

z.B.

ip nat inside source list 102 interface Dialer0 overload

access-list 102 permit ip 10.250.1.49 0.0.0.7 any

ip route 0.0.0.0 0.0.0.0 Dialer0

Gruss.

Hi Daking,

bei mir scheint das QoS jetzt einwandfrei zu laufen, allerdings hatte ich noch keine Pakete wegen Engpässen in einer Queue. Wegen den unregistrierten Devices in der CCM Log, das lag am IOS! Hab das neuste vom 02.12.08 drauf gepackt und siehe da, der Router und die IPPs laufen seitdem ohne Probleme!

Danke nochmals!

Gruss.

Hi,

schau meinen 5# Beitrag. Bei mir kam ich nur mit CHAP ins Internet, ohne Witz, war T-Online Zugang mit fester IP.

Gruss.

Beschreibe mal bitte genau die vorgehensweise, wie du das IOS drauf gespielt hast. Gab es evtl. CRC Fehler beim kopieren?

Gruss.

Hi!

um unter anderem an die IOS dranzukommen brauchst du ein CCO Account. (kostenpflichtig)

Gruss.

Nabend!

die Modemfirmware bekommst du raus mit Ausgabe sh dsl int atm 0. Denke das könntest du posten.

Ich würde auf jeden Fall ein IOS Update machen, ein neues IOS beinhaltet meist auch ein neues Modemfirmware, danach wird dein Router bestimmt synchron! Ich verwende z.B. diese IOS: c870-adventerprisek9-mz.124-15.T8.bin

Aber werfe doch nochmals ein Blick in dieses Topic, da gehts um genau das selbe Problem ;-)

http://www.mcseboard.de/cisco-forum-allgemein-38/cisco-876er-adsl2-16-000-kein-sync-134531.html

Gruss.

Hi!

Hi prüfe doch mal deine IOS Version bzw. deine Modem Version im Router. Bei mir was es damals die Firmware vom Modem!

Hast du dir das folgende Thema auch schon angeschaut?

http://www.mcseboard.de/cisco-forum-allgemein-38/cisco-876er-adsl2-16-000-kein-sync-134531.html

Gruss.

Ja wie gesagt CD LED blinkt nur vor sich hin

 

An was könnte des liegen??

 

Mit einer Fritzbox rennt des Modem ohne Problme

 

bin für jeden Vorschlag dankbar.

 

Werde nachher auf jedenfall gleich mal die ATM einstellungen mal sehen was dann passiert.

Wäre schon froh wenn das Ding Sycron wird. Hat ja einen A... von Geld gekostet.

 

Gruß

Madbest

 

--keiner ist prfekt--

der 876er hat integriertes modem, du musst nichts groß noch dran hängen.

achja, und später bei dem atm inteface auf "no shut" stellen, sonst kommt es nocht online.

Hallo,

bei DSL 16.000 musst du wohl CHAP Authentifizierung machen, so war es zumindest bei mir mit dem 876er:

interface Dialer1

description TDSL

ip mtu 149

encapsulation ppp

ip tcp adjust-mss 1300

load-interval 30

dialer pool 1

dialer-group 1

no cdp enable

ppp authentication chap pap callin

ppp chap hostname xxx/xxx@t-online-com.de

ppp chap password 0 12345678

ppp pap sent-username xxx/xxx@t-online-com.de password 0 12345678

ppp ipcp dns request

gruss.

Servus!

Hab eine kurze Frage, kann es hier zu Problemen führen?

Auf dem Dialer Interface des Routers ist eingetragen ip mtu 1492. Auf den LAN Interfaces liegt ein Vlan und in der Vlan Database ist eingetragen

VLAN ISL Id: 200

Name: VLAN0200

Media Type: Ethernet

VLAN 802.10 Id: 100200

State: Operational

MTU: 1500

Sollte ich den Wert auf dem Dialer Int korrigieren?

Gruss.

Natürlich meine ich den MTU Wert, nicht MPU....tz tz tz :-)

Hier mal noch einen interessanten Link zum ganzen Thema:

Cisco - Branch Router QoS

Gruss.

–

Hallo,

ich wieder.

Habe folgende Anpassung vorgenommen:

class-map match-all SKINNY

match access-group name VOICE

match dscp cs af31

match protocol skinny

!

class-map match-all VOICE

match access-group name VOICE

match dscp ef

!

class-map match-any CALL-SIGNALING

match ip dscp cs3

!

policy-map MARK

class VOICE

set dscp ef

class SKINNY

set dscp af31

class CALL-SIGNALING

set dscp cs3

!

policy-map QoS

class VOICE

priority 300

class SKINNY

bandwidth percent 5

class CALL-SIGNALING

bandwidth percent 5

class class-default

fair-queue

set dscp default

!

Füge ich nun die Service-Policy auf dem Interface Vlan 200 ein, also service-policy in MARK, dann ist der Router kurze Zeit später nicht mehr erreichbar. Ich nehme an das Int geht shut und kommt nicht mehr hoch. Oder was anderes läuft schief. Habe den Router jetzt mal ohne den Int Vlan200 Eintrag laufen. Hier mal noch ein sh policy-map int atm0:

ATM0

 

Service-policy output: QoS

 

Class-map: VOICE (match-all)

0 packets, 0 bytes

5 minute offered rate 0 bps, drop rate 0 bps

Match: access-group name VOICE

Match: dscp ef (46)

Queueing

Strict Priority

Output Queue: Conversation 264

Bandwidth 300 (kbps) Burst 7500 (Bytes)

(pkts matched/bytes matched) 0/0

(total drops/bytes drops) 0/0

 

Class-map: SKINNY (match-all)

1 packets, 132 bytes

5 minute offered rate 0 bps, drop rate 0 bps

Match: access-group name VOICE

Match: protocol skinny

Queueing

Output Queue: Conversation 265

Bandwidth 5 (%)

Bandwidth 230 (kbps)Max Threshold 64 (packets)

(pkts matched/bytes matched) 0/0

(depth/total drops/no-buffer drops) 0/0/0

 

Class-map: CALL-SIGNALING (match-any)

732 packets, 120120 bytes

5 minute offered rate 0 bps, drop rate 0 bps

Match: ip dscp cs3 (24)

732 packets, 120120 bytes

5 minute rate 0 bps

Queueing

Output Queue: Conversation 266

Bandwidth 5 (%)

Bandwidth 230 (kbps)Max Threshold 64 (packets)

(pkts matched/bytes matched) 0/0

(depth/total drops/no-buffer drops) 0/0/0

 

Class-map: class-default (match-any)

20253 packets, 3866349 bytes

5 minute offered rate 45000 bps, drop rate 0 bps

Match: any

Queueing

Flow Based Fair Queueing

Maximum Number of Hashed Queues 256

(total queued/total drops/no-buffer drops) 0/0/0

QoS Set

dscp default

Packets marked 20121

Gruss.

Halllo,

 

- Falls hier H.323 verwendet wird muss die beachtet werden.

 

Ciao

Was muss ich dir beachten? Woran erkenne ich das H.323 genutzt wird?

Gruss.

Hallo Daking,

ich habe mir nochmals den Thread von damals durchgelesen ( http://www.mcseboard.de/cisco-forum-allgemein-38/876-router-133453.html ), da haben wir auch schon lange über das QoS diskutiert, im Prinzip dasselbe. Daraufhin habe ich jetzt eine Teilconfig zusammengestellt. Wäre super, wenn du ein Feedback gibst.

class-map match-all SKINNY

match access-group name VOICE

match dscp cs af31

match protocol skinny

class-map match-all VOICE

match access-group name VOICE

match dscp ef

!

class-map match-all RTP

match protocol rtp

!

policy-map MARK

class RTP

set dscp ef

class SKINNY

set dscp af31

!

policy-map QoS

class VOICE

priority 300

class SKINNY

bandwidth 49

class class-default

fair-queue

set dscp default

!

interface Tunnel1

description vpn-ipsec aussenstelle - zentrale

bandwidth 967

qos pre-classify

service-policy output QoS

...

...

!

interface Vlan200

description daten-lan

ip tcp adjust-mss 1300

load-interval 30

service-policy in MARK

...

...

!

Ziel ist hier, die Pakete intern im Router zu markieren, am LAN Int, also über mein VLAN. Dann danach bewerten am externen Int, also ATM oder Tunnel Int. Wie siehts denn hier aus, sollte ich die service-policy auf das Tunnel Int legen? Desweiteren hast du das Signaling angesprochen, also wenn das fehl schlägt, dass die IPPs ins Fallback fallen (deregistriert werden im CCM), dafür gabs einen Ansatz einer SCCP Klasse. Kann ich hier auch Skinny nutzen? Oder hier getrennt halten? Ich frage wegen der festgelegten Bandbreite in der Skinny Klasse ==> Bandwidth 49.

Frage nebenher, wie könnte ich prüfen, ob der CCM oder das IPP die Pakete mit RTP oder Skinny markiert? Wireshark oder ähnliches an einem Spiegelport?

Gruss.

Guten Morgen!

Ja, IPSec VPN und die Zwangstrennung nachts um zwei Uhr, beides wird verwendet. Liegt das wohl am IP Sec Protocol, dass die markierten Pakete nicht erkannt werden? Heute morgen gab es wieder Fallbacks der IPPs, hab ATM konfiguriert wie du geschrieben hast. Es läuft denke ich nur im Zusammenspiel mit den QoS Klassen richtig.

Gruss

 

Für Sig sollte 5% der Bandbreite erst mal ein guter Einstieg sein..

 

-->ATM Tuning

 

interface ATM

pvc 1/32

vbr-nrt x x

tx-ring-limit x

 

==> der pvc sollte als no realtime mit variabler bitrate konf sein (vbr-nrt)

==> hier muss noch die aktuelle upstream PVC Bandbreite rein

==> Falls sich die Bandbreite beim Sync ändert ... (;-)

==> Die Reaktionszeit des Queueings kann über den tx-ring gesteuert werden.

==> kleiner tx-ring = schnelles Queueing

==> kleiner tx-ring = weniger Delay

==> kleiner tx-ring = mehr arbeit für den router..

==> Für Voice sollte 3 optimal sein.

 

Hallo Daking!

Danke für deine Infos. Du schreibst, dass ich non realtime vbr einstellen sollte. Wird hier der maximale Upload bei meiner DSL Leitung genommen? Habe den Wert im Test wiefolgt eingetragen:

router(config-if-atm-vc)#vbr-nrt 967 967

oder doch anders? Ist alles leider etwas Neuland für mich.

Bezüglich des SCCP Signaling, hier habe ich jetzt eine extra Klasse angelegt. Allerings wenn ich mir das auf dem Int anschaue, landet nichts in der Klasse. Sie scheint nicht zu arbeiten. Kann das daran liegen, dass die Pakete vom IPP bzw. CCM nicht markiert werden? Kann ich das entsprechend einstellen?

Gruss.

Hi!

habe das sp auf das atm int gelegt. jetzt muss ich mir noch einen kopf machen wegen der der service-policy, kompliziert kompliziert...

--> Wie viele Calls sollen möglich sein (welcher Codes / welches Framing)?

denke mal das maximal drei calls gleichzeitig möglich sein sollen. codec ist G.711a-law. was meinst du mit framing?

--> Wie viele Phones/Atas sind onsite (auch der Sig Traffic muss geschützt werden ==> soll nach wählen einer Nummer nicht x s dauern bis vermittelt wird - auch dein beschriebener Fehler sollte nicht die ganze Zeit kommen.)

Im LAN sitzen stehen drei bis vier IPP, ein ATA.

--> Der TCP Sig Traffic kann nicht in die LLQ

IP Phones oder ATAs deregistrieren sich / werden als "verloren" definiert, wenn:

==> TCP Sig Session wird getrennt.

==> TCP / Skinny Keepalives kommen nicht an. Können nicht beantwortet werden.

Wie kann ich hier gegenwirken? Auch mit einer Definition in der Service-Policy?

Danke + Gruss.