fu123
-
Gesamte Inhalte
618 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von fu123
-
-
Hallo,
mit einem aktuellen Rechner und dem richtigen idlepc Wert sollter der CPU Load gegen Null gehen oder zumindest recht klein sein.
Fu
-
Also, es funktioniert folgende Konfiguration:
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.252
duplex auto
speed auto
crypto map aesmap
interface Tunnel0
ip unnumbered FastEthernet0/0
tunnel source FastEthernet0/0
tunnel destination 192.168.1.2
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
crypto isakmp key 123456 address 192.168.1.2
!
!
crypto ipsec transform-set aesset esp-aes 256 esp-sha-hmac
!
crypto map aesmap 10 ipsec-isakmp
set peer 192.168.1.2
set transform-set aesset
match address 100
!
access-list 100 permit ip 192.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
Ich kann über debug Crypto Engine Packet sehen, das pings über den Tunnel
gecrypted werden. Bei den OSPF hello kann ich es aber nicht wirklich sagen. Ansonsten
würde sie nicht auf der anderen Seite ankommen, wenn eine crypto map auf dem interface ist.
Ich hab nicht genau verstanden wie die andere Konfig funktionieren soll.
Da ist noch ein Profil dabei und das wird zusätzlich an den Tunnel gebunden. Und als tunnel mode ist ipsec angegeben.
Vielleicht kann noch mal jemand kurz den Unterschied aufzeigen...
Fu
-
Jep, allerdings bekommt er das irgendwie dann nicht über den VPN Tunnel oder sollte das auf jedenfall klappen? Also mit tunnel geht's ohne Probleme.
Ich habe das als "ip ospf network non-broadcast" und dem neighbor command ausprobiert. Da passiert nur gar nix.
Mal noch eine Frage. Klappt eigentlich QoS genauso auf einem Interface auf dem ein crypto map ist? Kann ich da ganz normal drauf schapen oder CBWFQ einrichten wie auf einem "normal" interface?
Fu
-
Hallo Leute,
wie macht man einen ipsec Tunnel mcast fähig? Macht man da einfach einen GRE Tunnel für auf oder gibt es da noch andere Möglichkeiten.
Fu
-
Hi,
ich hab da was empfohlen ... hoffentlich nur richtiges. Sorry, ist schon länger her. Kann mich nicht mehr dran erinnern. Nur noch vage... :-)
Also, Cisco Phones liefern dir immer COS 5 für Voice Bearer Traffic und COS 3 für Signaling Traffic. Das extend würd ich auf 0 setzen, damit niedrige Prio.
Du musst dann einen Trust COS auf das Interface setzen. Damit sagts du dem Switch erstmal überhaupt, das du auf die Werte achten willst. Dann wird auch entsprechend gequeued, wenn du z.B. eine Prio queue für Voice einrichtest.
Es gibt ein overide...
Also, ich würd kein auto qos einrichten. Da hat man ja gar keinen Überblick mehr.
Fu
-
switchport priority extend
Setzt COS 7 für die Dataports an den Telefonen, sprich die PC's. COS 5 haben per default die Telefone. Du setzt aber COS 7 für die Dataports....
Lies mal den Design Guide für Voip und QOS von Cisco.
http://www.cisco.com/application/pdf/en/us/guest/netsol/ns432/c649/ccmigration_09186a008049b062.pdf
Oder such dir die Doku zu deinem Switch raus. Da steht immer schon eine Menge drin.
Fu
-
HA auch mit 2 Routern auf jeder Seite oder nur die Leitung? Die Performancetests wurden mit nur einem Tunnel gemacht. Wenn du also auf jeder Seite einen Router mit 2 Leitungen betreibst hast du 2 Tunnel + OSPF (naja bei 2 stabilen Leitungen eher langweilig).
Ich denke das bekraeftigt die Entscheidung fuer eine 3825
Sorry, hab das nicht klar genug geschrieben. Zwei Leitungen bei vier Routern.
Wie sieht es aus mit einem eventuellen Leitungsupgrade? Der 3825 geht bis 160? Gibt es so eine Staffelung? was kommt nach 100 MBit? Sollte man ja heute auch immer gleich miteinbeziehen, sonst kann man das in einem Jahr gleich wieder ersetzen.
Fu
-
Hi Wordo,
danke für die schnelle Antwort.
Hab das hier aus nem Confidential Doc von Cisco und hier:
…
The Cisco 2800 Series Module (AIM-VPN/SSL-2) can provide hardware-based IPSec encryption services of 100 and 150 Mbps in the Cisco 2851 (IPSec IMIX and 1400-byte packets).1
The Cisco 3800 Series Module (AIM-VPN/SSL-3) can provide hardware-based IPSec encryption services of 160 and 185 Mbps in the Cisco 3825
…
Ich tendiere auch eher zum 3825.
Ist hier nur ein Site to Site VPN über zwei getrennte Standleitungen und HA gefordert. Da passt der Router besser würde ich sagen. Firewallfunktionalität wird nicht wirklich benötigt, allerdings echtes Load Balancing über OSPF. Preislich mag das allerdings ein Unterschied sein.
Fu
-
Hi,
es sollen 100 MBit über eine Standleitung verschlüsselt werden. Laut einer Doku ist der 2851 dabei mit einem VPN-AIM Modul an seiner Grenze. Macht es hier sein eventuell schon den 3825 zu nehmen um noch etwas Spiel nach oben zu haben?
Fu
-
Hi,
hier gleiches Thema. Auch in die Falle getappt.
Läuft jetzt erstmal als Active/Standby und wird später wahrscheinlich mit zwei Routern ersetzt und dann über OSPF laufen. Habe es gerade hinbekommen und getestet. Problem ist nur das wenn eine Seite auf Standby ist und das andere remote Ende auch, gibt es ein Deadlock Problem.
Fu
-
Schau mal in der Doku, es gibt da eine Tabelle in der es auch drin steht. Ansonsten probier es einfach aus. Mach ein "mode multiple" und schau ob du deine crypto Befehle noch absetzen kannst. Das ist dann nämlich nicht mehr der Fall. Den VPN Wizard gibt es dann auch nicht mehr im ASDM.
Ich denk mal das ist eine wichtige Info hier. Für alle die mal eben Active/Active machen, aber ein VPN auch gerne laufen lassen wollen.
Fu
-
Zur Info: Active/Active Konfig mit VPN (IPSec) geht nicht. Also die Ausgangsvorausetzung wird nicht erfüllt. Ein wichtiger Punkt. Active/Active ist nur im Multiple Context möglich und dann geht kein VPN. Also nur als Active/Standby möglich. Somitist eine Router Lösung mit VPN und z.B. OSPF besser.
Fu
-
Hi,
hat den jemand mal einen Tip zu Kontexten? Am besten mal etws Hintergrund zur Implementation.
Fu
-
Ich hab´s bis jetzt auch nur einmal im Kurs gemacht. Bei meiner config bin ich noch nicht so weit und deshalb auch nicht so im Thema.
Mit der 5510 Security Plus hast Du recht, solange Du die Version 8 einsetzt. Mit 7.X gabs nur active/standby.
Ne, 7.2(2) kann das auch.
Fu
-
Ich hab das mit den unterschiedlichen Kontexten noch nicht verstanden?
Ist das wie bei HSRP? Das beide ein Gateway zur Verfügung stellen und dann z.B. abwechselnd auf ARP Requests antworten, wenn beide Active/Active sind?
Fu
-
Configuring ASA and PIX Security Appliances - Training Resources - Cisco Systems
Hier steht was Nettes. Mit Flashanimationen zu verschiedenen Themen.
-
Hi,
in deiner Tabelle steht sogar das die es kann. Ist im Sec Plus enthalten.
Also Hintergrund, zwei Standleitungen und jeweils zwei Firewalls auf einer Seite.
Dann beide sollen gleichzeitig benutzt werden und im Failover eingesetzt werden.
Ich habe das Szenario schon gesehen. Ist von der Umsetzung nicht so einfach.
Meld mich vielleicht noch mal, wenn ich mehr im Thema bin.
Bin mir noch nicht ganz klar wie das letztendlich auch in der Hardwareconfig aussehen soll. Such noch nach einem Link.
Fu
-
Hi,
hab gerade mal ne Frage., weil ich nicht der große ASA Spezi bin.
Ich soll eine Failover active/active Konfiguration mit vier 5510 machen Version 7.2(2).
Zwei Standleitungen mit jeweils VLANs drauf. Die VLANs sollen auf den ASA's terminieren.
Frage für mich jetzt mal gleich an der Stelle, wie kann man das umsetzten?
Kann die ASA trunken? Die ASA's müssen untereinander über eine Leitung verbunden werden?
Die Site to Site VPN Tunnel lassen sich sicherlich über das Applet konfigurieren.
Muss man das erst noch registrieren oder kann man gleich loslegen? Irgendwas auf das man besonders achten sollte?
Fu
-
Hallo Jörg,
kein Thema. Ich wollt nur nachfragen.
Also, das ist wohl auch so eine Wort, Definitions und Auslegungssache. Eine Priority Queue hat er bei Realtime Traffic. Und was er da mit den COS Werten vor hat ist nicht unbedingt per Definition alles gleich RTP. Allerdings spricht ja auch nix dagegen die Werte alle in die Prio Queue zu legen. Das war ja nicht vorgegeben.
Demnach Shaping für COS0 und eine Prio Queue für COS1,3,5. wobei COS1 meist eher Scavenger Class ist, was zumindest per Definition dann nicht in die Prio Queue gehört. "Normalerweise" wäre das nur COS5.
Hier ist noch eine ganz gute Doku zum QoS im Campus/Switching auf verschiedener Hardware umgesetzt (2960/4000/4500/6500). Wobei die Config hier bestimmt eher von einem Router stammt.
Enterprise QoS Solution Reference Network Design Guide Version 3.3 (ca. 4MB)
http://www.cisco.com/application/pdf/en/us/guest/netsol/ns432/c649/ccmigration_09186a008049b062.pdf
Als Pfad auch zu einigen anderen Design Guides und interessanten Docs benutze ich mir immer den Quicklink über:
Cisco Systems - Redirect to Solution Reference Network Designs (cisco.com/go/srnd)
Fu
-
Ola,
...
Der Hinweiß von Fu zum "priority" Statement stimmt nicht ganz. Durch die Verwendung dieses Statements kommt automatisch LLQ Low Latency Queing zum Einsatz, das allerdings keine Auswirkung für Deine Problemstellung hat. LLQ ist dazu da z.B. bei Voice viele kleine Packte zu bevorzugen.
Hallo Joerg,
gefragt war doch Traffic zu priorisieren. Was ist an "priority" falsch? Damit wird dem "Match" absolute prio zugeordnet. Ob jetzt für Voice oder icmp spielt doch keine Rolle.
Fu
-
Hi,
mit dem MQC hast du die Möglichkeit der Priorisierung über "priority".
class-map match-all CL_P
match protocol icmp
!
!
policy-map PL_P
class CL_P
priority percent 10
!
Es gibt z.B. shaping, bandwidth und priority. Such mal hier im Forum. Das wurde schon mal auseinandergedröselt.
Fu
-
Hallo,
ich habe hier einen 3560g der bereits im Auslieferungszustand folgende Eigenschaft aufweist:
Nach dem Anschließen der Stromversorgung fährt der Lüfter hoch und die System-LED blinkt, mehr tut sich aber nicht. Erst wenn ich per cli "boot" eingebe lädt er das Standard Image. Wie kann ich dies automatisieren?
mfg, Shrek
Hi,
hast du vielleicht nach einem IOS update in der startup-config ein Image drin, das nicht mehr auf dem Flash liegt? Was kommt als Bootmeldung genau?
Wenn dann solltest du das aus der Config löschen. Das wird dann der Grund sein, warum er nach dem Image sucht und es nicht findet und dann den Bootprozess abbricht.
Fu
-
Kann mir jemand einen kurzen Hinweis geben, was ich mir unter RTR (realtime response) vorstellen muss? Stehe da irgendwie aufm Schlauch.
Was ist es, welche Auswirkungen hat es performancetechnisch?
Hendrik
Hi,
das ist wie bei "ip sla", eine Möglichkeit damit ein "Service Level Agreement" zu überprüfen, wie z.B. eine Leitung (IP) mit 99,99% Verfügbarkeit zu testen.
Oder zum Tracken von Erreichbarkeit in Verbindung mit statischen Routen geeignet. Oder auch als Lasttest.
Grüße,
Fu
-
Hi,
es gibt die Abkürzungen zu den Links über z.B.:
www . cisco . com / go/ccna
oder
go/ccnp
Fu
Erfahrungen mit Fast Lane?
in Cisco Forum — Allgemein
Geschrieben
Experteach gibt es auch noch. Sehr gute organisation und eine vielzahl von verfügbaren Kursen.
Fu