fu123

Experteach gibt es auch noch. Sehr gute organisation und eine vielzahl von verfügbaren Kursen. Fu

Hallo, mit einem aktuellen Rechner und dem richtigen idlepc Wert sollter der CPU Load gegen Null gehen oder zumindest recht klein sein. Fu

Also, es funktioniert folgende Konfiguration: interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.252 duplex auto speed auto crypto map aesmap interface Tunnel0 ip unnumbered FastEthernet0/0 tunnel source FastEthernet0/0 tunnel destination 192.168.1.2 ! crypto isakmp policy 10 encr aes 256 authentication pre-share crypto isakmp key 123456 address 192.168.1.2 ! ! crypto ipsec transform-set aesset esp-aes 256 esp-sha-hmac ! crypto map aesmap 10 ipsec-isakmp set peer 192.168.1.2 set transform-set aesset match address 100 ! access-list 100 permit ip 192.0.0.0 0.255.255.255 any access-list 100 permit ip any any Ich kann über debug Crypto Engine Packet sehen, das pings über den Tunnel gecrypted werden. Bei den OSPF hello kann ich es aber nicht wirklich sagen. Ansonsten würde sie nicht auf der anderen Seite ankommen, wenn eine crypto map auf dem interface ist. Ich hab nicht genau verstanden wie die andere Konfig funktionieren soll. Da ist noch ein Profil dabei und das wird zusätzlich an den Tunnel gebunden. Und als tunnel mode ist ipsec angegeben. Vielleicht kann noch mal jemand kurz den Unterschied aufzeigen... Fu

Jep, allerdings bekommt er das irgendwie dann nicht über den VPN Tunnel oder sollte das auf jedenfall klappen? Also mit tunnel geht's ohne Probleme. Ich habe das als "ip ospf network non-broadcast" und dem neighbor command ausprobiert. Da passiert nur gar nix. Mal noch eine Frage. Klappt eigentlich QoS genauso auf einem Interface auf dem ein crypto map ist? Kann ich da ganz normal drauf schapen oder CBWFQ einrichten wie auf einem "normal" interface? Fu

Hallo Leute, wie macht man einen ipsec Tunnel mcast fähig? Macht man da einfach einen GRE Tunnel für auf oder gibt es da noch andere Möglichkeiten. Fu

Hi, ich hab da was empfohlen ... hoffentlich nur richtiges. Sorry, ist schon länger her. Kann mich nicht mehr dran erinnern. Nur noch vage... :-) Also, Cisco Phones liefern dir immer COS 5 für Voice Bearer Traffic und COS 3 für Signaling Traffic. Das extend würd ich auf 0 setzen, damit niedrige Prio. Du musst dann einen Trust COS auf das Interface setzen. Damit sagts du dem Switch erstmal überhaupt, das du auf die Werte achten willst. Dann wird auch entsprechend gequeued, wenn du z.B. eine Prio queue für Voice einrichtest. Es gibt ein overide... Catalyst 3560 Switch Software Configuration Guide, Rel. 12.2(25)SEE - Configuring QoS [Cisco Catalyst 3560 Series Switches] - Cisco Systems Also, ich würd kein auto qos einrichten. Da hat man ja gar keinen Überblick mehr. Fu

switchport priority extend Setzt COS 7 für die Dataports an den Telefonen, sprich die PC's. COS 5 haben per default die Telefone. Du setzt aber COS 7 für die Dataports.... Lies mal den Design Guide für Voip und QOS von Cisco. http://www.cisco.com/application/pdf/en/us/guest/netsol/ns432/c649/ccmigration_09186a008049b062.pdf Oder such dir die Doku zu deinem Switch raus. Da steht immer schon eine Menge drin. Fu

Sorry, hab das nicht klar genug geschrieben. Zwei Leitungen bei vier Routern. Wie sieht es aus mit einem eventuellen Leitungsupgrade? Der 3825 geht bis 160? Gibt es so eine Staffelung? was kommt nach 100 MBit? Sollte man ja heute auch immer gleich miteinbeziehen, sonst kann man das in einem Jahr gleich wieder ersetzen. Fu

Hi Wordo, danke für die schnelle Antwort. Hab das hier aus nem Confidential Doc von Cisco und hier: VPN AIM for the Cisco 1841, 2800 and 3800 Integrated Services Routers [Cisco 2800 Series Integrated Services Routers] - Cisco Systems … The Cisco 2800 Series Module (AIM-VPN/SSL-2) can provide hardware-based IPSec encryption services of 100 and 150 Mbps in the Cisco 2851 (IPSec IMIX and 1400-byte packets).1 The Cisco 3800 Series Module (AIM-VPN/SSL-3) can provide hardware-based IPSec encryption services of 160 and 185 Mbps in the Cisco 3825 … Ich tendiere auch eher zum 3825. Ist hier nur ein Site to Site VPN über zwei getrennte Standleitungen und HA gefordert. Da passt der Router besser würde ich sagen. Firewallfunktionalität wird nicht wirklich benötigt, allerdings echtes Load Balancing über OSPF. Preislich mag das allerdings ein Unterschied sein. Fu

Hi, es sollen 100 MBit über eine Standleitung verschlüsselt werden. Laut einer Doku ist der 2851 dabei mit einem VPN-AIM Modul an seiner Grenze. Macht es hier sein eventuell schon den 3825 zu nehmen um noch etwas Spiel nach oben zu haben? Fu

Hi, hier gleiches Thema. Auch in die Falle getappt. Läuft jetzt erstmal als Active/Standby und wird später wahrscheinlich mit zwei Routern ersetzt und dann über OSPF laufen. Habe es gerade hinbekommen und getestet. Problem ist nur das wenn eine Seite auf Standby ist und das andere remote Ende auch, gibt es ein Deadlock Problem. Fu

Schau mal in der Doku, es gibt da eine Tabelle in der es auch drin steht. Ansonsten probier es einfach aus. Mach ein "mode multiple" und schau ob du deine crypto Befehle noch absetzen kannst. Das ist dann nämlich nicht mehr der Fall. Den VPN Wizard gibt es dann auch nicht mehr im ASDM. Ich denk mal das ist eine wichtige Info hier. Für alle die mal eben Active/Active machen, aber ein VPN auch gerne laufen lassen wollen. Fu

Zur Info: Active/Active Konfig mit VPN (IPSec) geht nicht. Also die Ausgangsvorausetzung wird nicht erfüllt. Ein wichtiger Punkt. Active/Active ist nur im Multiple Context möglich und dann geht kein VPN. Also nur als Active/Standby möglich. Somitist eine Router Lösung mit VPN und z.B. OSPF besser. Fu

Hi, hat den jemand mal einen Tip zu Kontexten? Am besten mal etws Hintergrund zur Implementation. Fu

Ne, 7.2(2) kann das auch. Cisco Security Appliance Command Line Configuration Guide, Version 7.2 - Sample Configurations [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems Fu

Ich hab das mit den unterschiedlichen Kontexten noch nicht verstanden? Ist das wie bei HSRP? Das beide ein Gateway zur Verfügung stellen und dann z.B. abwechselnd auf ARP Requests antworten, wenn beide Active/Active sind? Fu

Configuring ASA and PIX Security Appliances - Training Resources - Cisco Systems Hier steht was Nettes. Mit Flashanimationen zu verschiedenen Themen.

Hi, in deiner Tabelle steht sogar das die es kann. Ist im Sec Plus enthalten. Also Hintergrund, zwei Standleitungen und jeweils zwei Firewalls auf einer Seite. Dann beide sollen gleichzeitig benutzt werden und im Failover eingesetzt werden. Ich habe das Szenario schon gesehen. Ist von der Umsetzung nicht so einfach. Meld mich vielleicht noch mal, wenn ich mehr im Thema bin. Bin mir noch nicht ganz klar wie das letztendlich auch in der Hardwareconfig aussehen soll. Such noch nach einem Link. Fu

Hi, hab gerade mal ne Frage., weil ich nicht der große ASA Spezi bin. Ich soll eine Failover active/active Konfiguration mit vier 5510 machen Version 7.2(2). Zwei Standleitungen mit jeweils VLANs drauf. Die VLANs sollen auf den ASA's terminieren. Frage für mich jetzt mal gleich an der Stelle, wie kann man das umsetzten? Kann die ASA trunken? Die ASA's müssen untereinander über eine Leitung verbunden werden? Die Site to Site VPN Tunnel lassen sich sicherlich über das Applet konfigurieren. Muss man das erst noch registrieren oder kann man gleich loslegen? Irgendwas auf das man besonders achten sollte? Fu

Hallo Jörg, kein Thema. Ich wollt nur nachfragen. Also, das ist wohl auch so eine Wort, Definitions und Auslegungssache. Eine Priority Queue hat er bei Realtime Traffic. Und was er da mit den COS Werten vor hat ist nicht unbedingt per Definition alles gleich RTP. Allerdings spricht ja auch nix dagegen die Werte alle in die Prio Queue zu legen. Das war ja nicht vorgegeben. Demnach Shaping für COS0 und eine Prio Queue für COS1,3,5. wobei COS1 meist eher Scavenger Class ist, was zumindest per Definition dann nicht in die Prio Queue gehört. "Normalerweise" wäre das nur COS5. Hier ist noch eine ganz gute Doku zum QoS im Campus/Switching auf verschiedener Hardware umgesetzt (2960/4000/4500/6500). Wobei die Config hier bestimmt eher von einem Router stammt. Enterprise QoS Solution Reference Network Design Guide Version 3.3 (ca. 4MB) http://www.cisco.com/application/pdf/en/us/guest/netsol/ns432/c649/ccmigration_09186a008049b062.pdf Als Pfad auch zu einigen anderen Design Guides und interessanten Docs benutze ich mir immer den Quicklink über: Cisco Systems - Redirect to Solution Reference Network Designs (cisco.com/go/srnd) Fu

Hallo Joerg, gefragt war doch Traffic zu priorisieren. Was ist an "priority" falsch? Damit wird dem "Match" absolute prio zugeordnet. Ob jetzt für Voice oder icmp spielt doch keine Rolle. Fu

Hi, mit dem MQC hast du die Möglichkeit der Priorisierung über "priority". class-map match-all CL_P match protocol icmp ! ! policy-map PL_P class CL_P priority percent 10 ! Es gibt z.B. shaping, bandwidth und priority. Such mal hier im Forum. Das wurde schon mal auseinandergedröselt. Fu

Hi, hast du vielleicht nach einem IOS update in der startup-config ein Image drin, das nicht mehr auf dem Flash liegt? Was kommt als Bootmeldung genau? Wenn dann solltest du das aus der Config löschen. Das wird dann der Grund sein, warum er nach dem Image sucht und es nicht findet und dann den Bootprozess abbricht. Fu

Hi, das ist wie bei "ip sla", eine Möglichkeit damit ein "Service Level Agreement" zu überprüfen, wie z.B. eine Leitung (IP) mit 99,99% Verfügbarkeit zu testen. Oder zum Tracken von Erreichbarkeit in Verbindung mit statischen Routen geeignet. Oder auch als Lasttest. Grüße, Fu

Hi, es gibt die Abkürzungen zu den Links über z.B.: www . cisco . com / go/ccna oder go/ccnp Fu