Jump to content

fu123

Board Veteran
  • Content Count

    618
  • Joined

  • Last visited

Community Reputation

10 Neutral

About fu123

  • Rank
    Board Veteran
  • Birthday 07/14/1970
  1. Experteach gibt es auch noch. Sehr gute organisation und eine vielzahl von verfügbaren Kursen. Fu
  2. Hallo, mit einem aktuellen Rechner und dem richtigen idlepc Wert sollter der CPU Load gegen Null gehen oder zumindest recht klein sein. Fu
  3. Also, es funktioniert folgende Konfiguration: interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.252 duplex auto speed auto crypto map aesmap interface Tunnel0 ip unnumbered FastEthernet0/0 tunnel source FastEthernet0/0 tunnel destination 192.168.1.2 ! crypto isakmp policy 10 encr aes 256 authentication pre-share crypto isakmp key 123456 address 192.168.1.2 ! ! crypto ipsec transform-set aesset esp-aes 256 esp-sha-hmac ! crypto map aesmap 10 ipsec-isakmp set peer 192.168.1.2 set transform-set aesset match address 100 ! access-list 100 permit ip 192.0.0.0 0.255.255.255 any access-list 100 permit ip any any Ich kann über debug Crypto Engine Packet sehen, das pings über den Tunnel gecrypted werden. Bei den OSPF hello kann ich es aber nicht wirklich sagen. Ansonsten würde sie nicht auf der anderen Seite ankommen, wenn eine crypto map auf dem interface ist. Ich hab nicht genau verstanden wie die andere Konfig funktionieren soll. Da ist noch ein Profil dabei und das wird zusätzlich an den Tunnel gebunden. Und als tunnel mode ist ipsec angegeben. Vielleicht kann noch mal jemand kurz den Unterschied aufzeigen... Fu
  4. Jep, allerdings bekommt er das irgendwie dann nicht über den VPN Tunnel oder sollte das auf jedenfall klappen? Also mit tunnel geht's ohne Probleme. Ich habe das als "ip ospf network non-broadcast" und dem neighbor command ausprobiert. Da passiert nur gar nix. Mal noch eine Frage. Klappt eigentlich QoS genauso auf einem Interface auf dem ein crypto map ist? Kann ich da ganz normal drauf schapen oder CBWFQ einrichten wie auf einem "normal" interface? Fu
  5. Hallo Leute, wie macht man einen ipsec Tunnel mcast fähig? Macht man da einfach einen GRE Tunnel für auf oder gibt es da noch andere Möglichkeiten. Fu
  6. Hi, ich hab da was empfohlen ... hoffentlich nur richtiges. Sorry, ist schon länger her. Kann mich nicht mehr dran erinnern. Nur noch vage... :-) Also, Cisco Phones liefern dir immer COS 5 für Voice Bearer Traffic und COS 3 für Signaling Traffic. Das extend würd ich auf 0 setzen, damit niedrige Prio. Du musst dann einen Trust COS auf das Interface setzen. Damit sagts du dem Switch erstmal überhaupt, das du auf die Werte achten willst. Dann wird auch entsprechend gequeued, wenn du z.B. eine Prio queue für Voice einrichtest. Es gibt ein overide... Catalyst 3560 Switch Software Configuration Guide, Rel. 12.2(25)SEE - Configuring QoS [Cisco Catalyst 3560 Series Switches] - Cisco Systems Also, ich würd kein auto qos einrichten. Da hat man ja gar keinen Überblick mehr. Fu
  7. switchport priority extend Setzt COS 7 für die Dataports an den Telefonen, sprich die PC's. COS 5 haben per default die Telefone. Du setzt aber COS 7 für die Dataports.... Lies mal den Design Guide für Voip und QOS von Cisco. http://www.cisco.com/application/pdf/en/us/guest/netsol/ns432/c649/ccmigration_09186a008049b062.pdf Oder such dir die Doku zu deinem Switch raus. Da steht immer schon eine Menge drin. Fu
  8. Sorry, hab das nicht klar genug geschrieben. Zwei Leitungen bei vier Routern. Wie sieht es aus mit einem eventuellen Leitungsupgrade? Der 3825 geht bis 160? Gibt es so eine Staffelung? was kommt nach 100 MBit? Sollte man ja heute auch immer gleich miteinbeziehen, sonst kann man das in einem Jahr gleich wieder ersetzen. Fu
  9. Hi Wordo, danke für die schnelle Antwort. Hab das hier aus nem Confidential Doc von Cisco und hier: VPN AIM for the Cisco 1841, 2800 and 3800 Integrated Services Routers [Cisco 2800 Series Integrated Services Routers] - Cisco Systems … The Cisco 2800 Series Module (AIM-VPN/SSL-2) can provide hardware-based IPSec encryption services of 100 and 150 Mbps in the Cisco 2851 (IPSec IMIX and 1400-byte packets).1 The Cisco 3800 Series Module (AIM-VPN/SSL-3) can provide hardware-based IPSec encryption services of 160 and 185 Mbps in the Cisco 3825 … Ich tendiere auch eher zum 3825. Ist hier nur ein Site to Site VPN über zwei getrennte Standleitungen und HA gefordert. Da passt der Router besser würde ich sagen. Firewallfunktionalität wird nicht wirklich benötigt, allerdings echtes Load Balancing über OSPF. Preislich mag das allerdings ein Unterschied sein. Fu
  10. Hi, es sollen 100 MBit über eine Standleitung verschlüsselt werden. Laut einer Doku ist der 2851 dabei mit einem VPN-AIM Modul an seiner Grenze. Macht es hier sein eventuell schon den 3825 zu nehmen um noch etwas Spiel nach oben zu haben? Fu
  11. Hi, hier gleiches Thema. Auch in die Falle getappt. Läuft jetzt erstmal als Active/Standby und wird später wahrscheinlich mit zwei Routern ersetzt und dann über OSPF laufen. Habe es gerade hinbekommen und getestet. Problem ist nur das wenn eine Seite auf Standby ist und das andere remote Ende auch, gibt es ein Deadlock Problem. Fu
  12. Schau mal in der Doku, es gibt da eine Tabelle in der es auch drin steht. Ansonsten probier es einfach aus. Mach ein "mode multiple" und schau ob du deine crypto Befehle noch absetzen kannst. Das ist dann nämlich nicht mehr der Fall. Den VPN Wizard gibt es dann auch nicht mehr im ASDM. Ich denk mal das ist eine wichtige Info hier. Für alle die mal eben Active/Active machen, aber ein VPN auch gerne laufen lassen wollen. Fu
  13. Zur Info: Active/Active Konfig mit VPN (IPSec) geht nicht. Also die Ausgangsvorausetzung wird nicht erfüllt. Ein wichtiger Punkt. Active/Active ist nur im Multiple Context möglich und dann geht kein VPN. Also nur als Active/Standby möglich. Somitist eine Router Lösung mit VPN und z.B. OSPF besser. Fu
  14. Hi, hat den jemand mal einen Tip zu Kontexten? Am besten mal etws Hintergrund zur Implementation. Fu
  15. Ne, 7.2(2) kann das auch. Cisco Security Appliance Command Line Configuration Guide, Version 7.2 - Sample Configurations [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems Fu
×
×
  • Create New...