bookweb

Danke für die Mühe! sh ip route vrf phone Gateway of last resort is not set C 192.168.1.0/24 is directly connected, FastEthernet0/0 sh ip route vrf lan Gateway of last resort is not set C 192.168.2.0/24 is directly connected, FastEthernet0/1 sh ip route vrf incoming Gateway of last resort is 0.0.0.0 to network 0.0.0.0 80.0.0.0/32 is subnetted, 1 subnets C 80.228.102.4 is directly connected, Serial0/0/0:0 212.6.119.0/32 is subnetted, 1 subnets C 212.6.119.208 is directly connected, Serial0/0/0:0 S* 0.0.0.0/0 is directly connected, Serial0/0/0:0 Das ist unser Output. Könntest du deine Config und deine Output bitte posten? Ich bin total verwirrt... Was für ein Gerät und welches IOS nutzt du?

Die Interfaces sind alle up. Cisco_VRF#sh ip int br Interface IP-Address OK? Method Status Protocol FastEthernet0/0 192.168.1.1 YES manual up up FastEthernet0/1 192.168.2.1 YES manual up up Serial0/0/0:0 *** YES IPCP up up Loopback0 10.0.0.1 YES manual up up Loopback1 10.1.0.1 YES manual up up Loopback2 10.2.0.1 YES manual up up

Danke für den Tipp, aber auch das funktioniert noch nicht. Ein an das VRF-Phone angeschlossener Rechner kann nicht das Interface 192.168.2.1 (VRF-LAN) nicht pingen. Sieht jetzt wie folgt aus: ! ! ip vrf incoming description Incoming Interface for Serial E1 rd 3:3 route-target export 3:3 route-target import 1:1 route-target import 2:2 route-target import 3:3 ! ip vrf lan description LAN-Instanz rd 1:1 import map incoming route-target export 1:1 route-target import 1:1 route-target import 2:2 route-target import 3:3 ! ip vrf phone description Phone-Instanz rd 2:2 route-target export 2:2 route-target import 1:1 route-target import 3:3 route-target import 2:2 ! ip name-server 212.6.108.140 ip name-server vrf incoming 212.6.108.140 ip name-server vrf lan 212.6.108.140 ip name-server vrf phone 212.6.108.140 ! ! controller E1 0/0/0 channel-group 0 timeslots 1-31 ! ! ! ! ! interface Loopback0 description VRF-Phone ip vrf forwarding phone ip address 10.0.0.1 255.255.255.0 ! interface Loopback1 description VRF-LAN ip vrf forwarding lan ip address 10.1.0.1 255.255.255.0 ! interface Loopback2 description VRF-Incoming ip vrf forwarding incoming ip address 10.2.0.1 255.255.255.0 ! interface FastEthernet0/0 description Phone ip address 192.168.1.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 description LAN ip vrf forwarding lan ip address 192.168.2.1 255.255.255.0 duplex auto speed auto ! interface Serial0/0/0:0 description LAN ip vrf forwarding incoming ip address negotiated encapsulation ppp no fair-queue ppp pap sent-username *** password 0 *** ! ip route vrf incoming 0.0.0.0 0.0.0.0 Serial0/0/0:0 permanent ! !

Ich erhalte: Cisco_VRF(config)# ip route vrf incoming 192.168.2.0 255.255.255.0 fa0/1 % For VPN routes, must specify a next hop IP address if not a point-to-point interface

! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Cisco_VRF ! boot-start-marker boot-end-marker ! no logging buffered enable secret 5 *** ! no aaa new-model ! resource policy ! clock timezone Germany 1 clock summer-time Germany recurring ip cef ! ! ! ! ip vrf incoming description Incoming Interface for Serial E1 rd 3:3 route-target export 3:3 route-target import 3:3 ! ip vrf lan description LAN-Instanz rd 1:1 route-target export 1:1 route-target import 1:1 ! ip vrf phone description Phone-Instanz rd 0:0 route-target export 0:0 route-target import 0:0 ! ip name-server 212.6.108.140 ip name-server vrf lan 212.6.108.140 ip name-server vrf phone 212.6.108.140 ip name-server vrf incoming 212.6.108.140 ! ! ! username sdm privilege 15 password 0 *** ! ! controller E1 0/0/0 channel-group 0 timeslots 1-31 ! ! ! ! ! interface Loopback0 description VRF-Phone ip vrf forwarding phone ip address 10.0.0.1 255.255.255.0 ! interface Loopback1 description VRF-LAN ip vrf forwarding lan ip address 10.1.0.1 255.255.255.0 ! interface Loopback2 description VRF-Incoming ip vrf forwarding incoming ip address 10.2.0.1 255.255.255.0 ! interface FastEthernet0/0 description Phone ip address 192.168.1.1 255.255.255.0 shutdown duplex auto speed auto ! interface FastEthernet0/1 description LAN ip vrf forwarding lan ip address 192.168.2.1 255.255.255.0 duplex auto speed auto ! interface Serial0/0/0:0 description LAN ip vrf forwarding incoming ip address negotiated encapsulation ppp no fair-queue ppp pap sent-username ***password 0 *** ! ! ! ip http server no ip http secure-server ! disable-eadi ! ! ! ! ! ! control-plane ! ! ! line con 0 line aux 0 line vty 0 4 password *** login transport input telnet ssh ! scheduler allocate 20000 1000 ! webvpn context Default_context ssl authenticate verify all ! no inservice ! end

Meine derzeitige Lösung sieht vor, insgesamt drei VRF-Instanzen zu betreiben. Eine "Incoming" für die E1-Anbindung und dann LAN und Phone. Jetzt müsste ich zwischen der Incoming-Instanz und den anderen beiden Instanzen intern routen. Leider bekomm ich das nicht auf Reihe. Wenn ich "ip route vrf incoming 192.168.2.0 255.255.255.0 192.168.2.1" absetze, wird der Befehl akzeptiert, aber er wird nicht in die Routing-Table aufgenommen. Hat jemand nen heißen Tipp?

Sorry, ich meinte natürlich VRF-Lite... Das ganze soll ohne MPLS funktionieren, vorläufig zumindest. Die virtuellen Router für Phone und LAN sind Vorgabe, da gibts nichts dran zu rütteln.

Hallo zusammen, ich darf folgendes konfigurieren und bräuchte ein bisschen Unterstützung: Wir haben einen Cisco 1841, der mittels E1 (einmal 2 Mbit/s) angebunden ist. Nun müssen auf dem Gerät zwei VRF-Instanzen laufen, einen für Telephonie und eine für LAN. So weit so gut. Die VRF-LAN-Instanz soll eine PPPoE-Einwahl zum Provider durchführen, während sie die VRF-Phone-Instanz über eine zweite PPPoE-Einwahl in ein seperates VPN einwählt. Wichtig zu beachten ist, dass die Art der Anbindung flexibel sein soll. Also neben E1 auch Ethernet, DSL usw. ermöglichen soll. Meinen Fragen: 1) Klappt das mit den zwei PPPoE-Sessions über eine Anbindung? 2) Die konfiguriere ich das am besten? Damit wäre mir ersteinmal sehr geholfen! Danke schön, Christian

Mit der Kombination IP SLA und Cacti deckst du ziemlich alles ab. Das lässt sich bequem per IP SLA überwachen und die Ergebnisse via SMTP an Cacti übermitteln. Das sollte direkt via SNMP abfragbar sein, im Board von cacti.net gibts vielleicht sogar entsprechende Templates. Das spart dir einigen Konfigurationsaufwand. Auch das müsste via SNMP Traps erfassbar sein. Cacti kann mit einem Plug-In (Thold) bei solchen Events auch E-Mail-Alarmierungen durchführen. Ich stößt die Lösung an ihre Grenzen. IP SLA ist reines Cisco-Feature. ICMP-Erreichbarkeit usw. ist auch herstellerübergreifend möglich, aber Performance-Daten (Auslastung etc.) müsstest du dann jeweils auch per SNMP direkt von den Geräten bekommen. Gruß Christian

Gegenstelle ist ein lokaler Provider.

Hi, ich habe das Gerät gewechselt und nutze nun einen 1841. Das IOS ist Version 12.4(15)T5. Mein Problem ist: wie baut man so eine Verbindung auf? Ich habe den Controller konfiguriert und auch das Serial 0/0/0:1. Der Status ist up/down. Ich versuchs zum ersten Mal und finde leider seitens Cisco auch keine vielsagende Doku, die mir hilft. ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname IDP-1841 ! boot-start-marker boot-end-marker ! enable secret 5 *** ! no aaa new-model dot11 syslog ip cef ! ! ! ! ip auth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3 ! multilink bundle-name authenticated isdn switch-type primary-net5 ! ! ! ! archive log config hidekeys ! ! ! ! controller E1 0/0/0 channel-group 1 timeslots 1-31 ! ! ! ! interface FastEthernet0/0 description Lokales Netz ip address 10.10.1.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0:1 ip address *.*.*.* 255.255.0.0 encapsulation ppp ! ip forward-protocol nd ! ! ip http server no ip http secure-server ! disable-eadi ! ! ! ! ! ! control-plane ! ! banner login ^C ---IDP-Testsystem 1841--- Login: sdm Passwort: *** Enable: *** ^C ! line con 0 line aux 0 line vty 0 4 password *** login ! scheduler allocate 20000 1000 end Danke schön! – So, es läuft. ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname IDP-1841 ! boot-start-marker boot-end-marker ! enable secret 5 *** ! no aaa new-model ! resource policy ! ip cef ! ! ! ! ! isdn switch-type primary-net5 ! ! archive log config hidekeys ! ! controller E1 0/0/0 channel-group 0 timeslots 1-31 ! ! ! ! ! interface FastEthernet0/0 description Lokales Netz ip address 10.10.1.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0:0 ip address negotiated encapsulation ppp no fair-queue ppp pap sent-username ***@*** password 0 *** ! ip route 0.0.0.0 0.0.0.0 Serial0/0/0:0 ! ! ip http server no ip http secure-server ! disable-eadi ! ! ! ! ! ! control-plane ! ! banner login ^C ---IDP-Testsystem 1841--- Login: *** Passwort: *** Enable: *** ^C ! line con 0 line aux 0 line vty 0 4 password *** login ! scheduler allocate 20000 1000 ! webvpn context Default_context ssl authenticate verify all ! no inservice ! end

Wow, auf diese Ursache wäre ich in den nächsten 8000 bis 10000 Jahren nicht gekommen. Ich werde es mal mit dem vorgeschlagenen Image probieren. DANKE SCHÖN!

sh vers Cisco IOS Software, 2801 Software (C2801-ADVIPSERVICESK9-M), Version 12.4(15)T5, RELEASE SOFTWARE (fc4) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2008 by Cisco Systems, Inc. Compiled Wed 30-Apr-08 15:15 by prod_rel_team ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1) 2801-IDP uptime is 7 hours, 42 minutes System returned to ROM by power-on System image file is "flash:c2801-advipservicesk9-mz.124-15.T5.bin" This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. Cisco 2801 (revision 7.0) with 119808K/11264K bytes of memory. Processor board ID FCZ114511AP 2 FastEthernet interfaces 1 Channelized E1/PRI port 1 Virtual Private Network (VPN) Module DRAM configuration is 64 bits wide with parity disabled. 191K bytes of NVRAM. 62720K bytes of ATA CompactFlash (Read/Write) Configuration register is 0x2102

Doch, ich war gerade im "Labor" und habs mir angesehen: Cisco 2801 mit 1MFT-E1 drin.

Danke für die schnellen Antworten! Ja, wird vollständig geladen. Hab mich beim Gerät vertan, derzeit arbeiten wir an einem 2801. Wenn wir "pri-group timeslots 1-31" eingeben, erhalten wir "%ISDN switch-type must be set first." Serial ist nicht konfigurierbar, es ist leider kein serielles Interface verbaut. Geht das auch mit FastEthernet-Ports? Danke, Christian

Hallo zusammen, wir versuchen derzeit eine E1-Anbindung zu realisieren. Dazu steht ein Cisco 2801 (IOS 124-15.T5) zur Verfügung, der eine Controller-Karte 1MFT-E1 besitzt. Bei der Konfiguration der Controller-Karte kommt es bei dem Erstellen von Channel-Groups [channel-group 0 timeslots 1-31] zu einem Fehler [%Insufficient resources to create channel group]. Nun stehen wir wie Ochs vorm Berg und fragen uns, wie der Router zu konfigurieren ist, damit diese Anbindung funktioniert. Hat jemand Tipps oder vielleicht sogar eine Beispielkonfiguration? Danke, Christian

Danke, das hat geklappt!

Danke für schnelle Hilfe. Ich habs mit dem Object Tracking probiert und habe folgenden Stand: bricht die Verbindung weg, schaltet er auf die zweite Leitung um. Leider findet der Rückschwenk nicht statt, wenn die primäre Verbindung wieder steht. Da ich zum Testen kein ISDN-Equipment habe, läuft das zur Zeit alles über Ethernet, aber vielleicht könnt ihr mir ja nochmal helfen: ! ip sla 1 icmp-echo 10.0.0.2 timeout 1000 threshold 2 frequency 3 ip sla schedule 1 life forever start-time now ! ! track 222 rtr 1 reachability delay down 2 up 2 ! ! interface FastEthernet0/0 ip address 10.0.0.1 255.0.0.0 speed auto half-duplex no mop enabled no shutdown ! interface FastEthernet0/1 ip address 192.168.1.1 255.255.255.0 duplex auto speed auto no shutdown ! router ospf 1 log-adjacency-changes network 10.0.0.0 0.255.255.255 area 0 network 192.168.3.0 0.0.0.255 area 0 network 192.168.1.0 0.0.0.255 area 0 ! ip local policy route-map TRACK ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 track 222 ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 100 ! ! ip http server no ip http secure-server ! ! access-list 101 permit icmp any host 10.0.0.2 echo ! route-map TRACK permit 10 match ip address 101 set interface FastEthernet0/0 ! Das Problem liegt wohl darin, dass die Route zum Zielrechner (192.168.3.2) nicht durch OSPF zurückgesetzt wird und daher der Datenverkehr weiterhin über die Backup-Leitung läuft. Für Tipps wäre ich dankbar! Gruß Christian

Hallo zusammen, ich bastel gerade an folgendem Szenario: Wir haben einen Router (C870), der über ADSL angebunden ist. Als Backup steht eine ISDN-Wählverbindung bereit. Fällt die ADSL-Verbindung weg, soll die ISDN-Verbindung aufgebaut werden und der gesamte Traffic darüber laufen. Sobald die primäre Verbindung wieder steht, soll wieder zurückgeschwenkt werden. Meine Ideen dazu waren: 1. Dialer Watch-Lists -> laut C870 Configuration Guide funktioniert dieses Verfahren nur beim Einsatz von EIGRP (Cisco: "The dialer watch method only supports the Extended Interior Gateway Routing Protocol (EIGRP) link-state dynamic routing protocols.") 2. Floating Static Routes waren auf den ersten Blick die Lösung dieses Problems, aber da haben wir das Problem, dass es dank OSPF über den Backup-Weg dann natürlich auch eine Route zur Gegenseite der primären Verbindung gibt und damit ein Rückschwenk unmöglich ist. 3. Einen Tunnel, der zwischen unserem Router und der Gegenseite der primären Verbindung aufgebaut wird und in dem EIGRP gesprochen wird. Fällt die Verbindung weg, ist auch der Tunnel tot und dank Dialer Watch-Lists würde man solange den kompletten Traffic über den Backup-Weg schicken, bis der Tunnel und damit auch die normale Verbindung wieder steht. Leider können wir diese Methode nicht nutzen, da der Overhead zu groß wäre. So, mir gehen die Ideen aus, habt ihr noch Vorschläge? Danke Christian

Guten morgen, heute gehts bei Nimrod wieder, dafür seit gestern Abend sowohl von zuhause als auch hier im Büro nicht...

Guteg Morgen zusammen, das Problem kam plötzlich, unerwartet und von alleine und genauso ging es auch wieder. Als ich heute morgen den Rechner hochfuhr habe ich routinemäßig auf den Link zum Outlook Webaccess geöffnet und siehe da, Seite baut sich auf und keine Probleme mehr. Aber: Der o. g. Kollege zur Rechten hat jetzt genau dieses Problem, welches ich gestern hatte. Wir haben seit Feierabend gestern nichts geändert, aber das Problem ist von mir zu ihm "gewandert". Hilfe, ich verstehs nicht!?! Gruß Christian

Sorry, ich habe mich unklar ausgedrückt: Wenn ich Webmail schreibe, meine ich OWA... --> der Server ist scheinbar gar nicht erreichbar, egal welcher Dienst.

Angepingt werden sollte die Adresse des Exchange-Servers, über die er über das WWW erreichbar ist. In den Firewall-Logs sehe ich auch die Ping-Versuche, die gedroped wurden. Die Kollegin aus der Firewall-Sektion kann auch keine Fehler dort feststellen...

Der Server ist nicht pingbar, es kommt immer "Zeitüberschreitung bei Anforderung" zurück.

Es scheint nur clientseitig und nur bei mir vorzuliegen. Da ich DHCP-Nutze, schließe ich ein DNS-Problem aus. Mein Kollege bekommt ja entsprechend die selben Einstellungen zugewiesen. Am Rande: Ich hatte gestern aufgrund eines Fehlers an einem Terminal-Server den Registry-Key "MSLicensing" gelöscht, dieses aber heute morgen durch die Systemwiederherstellung wieder zurückgeholt.