fu123

hi, es gibt Optionen fuer den DNS der es verbietet Clients sich zu registrieren. Es gibt z.B. Secure Updates. Hast du da schon mal nachgesehen? Es besteht z.B. die Moeglichkeit, das ein Client ein Mitglied einer Domain ist. Dann darf er sich unter Umstaenden auch nicht registrieren. Das kommt ganz auf die Einstellungen des DNS an. Ich geh mal davon aus das ihr AD benutzt. Ist aber eher eine MS Frage, wuerde ich tippen. Fu

Also in dem Fall in dem sonst nix geht, bleibt alles normal. Aber wenn STMP ankommt, dann wird dafuer 20% reserviert. Dann wird SMTP eher aus der Queue genommen und fuer maximal 20% der Bandbreite. Die Leitung kann immmer fuer alles andere genommen worden, das tritt auch nur dann in Kraft, wenn Congestion da ist. 20% vom gesamten Anteil der Leitung. Die komplette Leitung macht 100% aus. 75% sind maximal verfuegbar, weil max-reserved bandwidth (25% Reservierung fuer z.B. Routing oder aehnlich wichtiges) auf 75% vorkonfiguriert ist. Wenn du jetzt bandwidth 20% smtp konfigurierst, dann sagst du soviel wie, ich moechte maximal 20% der Leitung bei einer vollen Queue fuer SMTP reservieren. 20% werden nur dann ausgenutzt, wen auch 20% SMTP Traffik da ist. Sonst koennen die 20% auch allgemein benutzt werden. Sobald SMTP ueber 20% geht ist die Erlaubnis da, das auch zu droppen. Fu

Ja, das ist ja auch ein echt heftiges Dingen. Das ist bei Cisco so viel wie drein andere Technologien zusammen. Die meisten Sachen kann man aber denke ich mal mit dem MCQ machen. Wichtig ist zu verstehen, was man machen moechte. shaping Heisst so viel wie moeglich bis zu einer bestimmten Rate ueber das interface bekommen, bei congestion mache ich die Queue voll und versuche alles rueber zu kriegen. policing Ich lasse keine Bursts zu, excess Traffik wird einfach sofort gedroppt, wenn Traffic ueber das Limit geht, egal ob die Leitung dich ist oder nicht, weg damit. bandwith Ich mache eine Reservierung fuer eine bestimmt Klasse. Heisst, ich reserviere z.B. 20% immer fuer SMTP, egal was sonst noch ueber die Leitung geht. Wenn die Leitung voll ist und SMTP ankommt, dann hat das eine Reservierung vor anderem Traffik. priority Bestimmt Traffik bekommt absolute Prio ueber anderem Traffik. Bei Congestion, wird alles andere erst nach dem Prio Traffik durchgelassen. Das ist geht immer an erster Stelle durch, z.B. bei Voice wichtig. Und dann gibt es eben verschiedene Kommandos mit denne sich das umsetzen lasesst. Der MQC Modular QoS CLI ist dafuer da um diese Sachen zu vereinfachen und in ein Schema zu bringen. Aber es gibt eben auch noch die "alten" Sachen, wie queue-list rate-limit priority-list Fu

Configuring Weighted Random Early Detection

Du kannst bei incoming Traffik und Congestion WRED nehmen. Das ist aber auch nur eine Behelfsloesung, weil wie du schon sagst, das nicht wirklich zu regeln ist. Die Daten sind ja dann schon da. WRED droppt einfach zufeallig Traffik, damit insgesamt die Verbindungen nicht abbrechen. Da reicht einfach ein random-detect auf dem Interface. Mann kann aber auch noch Traffik auswaehlen, der eher gedroppt werden soll. Fu

Woran lag es denn? Du bekommst doch immer einen Ausdruck. Fu

Hi, genau. Du matched sip Traffik. Weiss jetzt nicht genau, welche Ports das sind. Wird sich aber rausfinden lassen. Oder als Protokoll in der Class setzen. Und dann machst du dafuer absolute Prio in der Outgoing Queue. Also in etwa so (QBWFQ): class-map match-all CL_RTP match protocol sip ! ! policy-map PL_SIP class CL_RTP priority percent 50 ! ! interface FastEthernet0/0 ip address 192.10.1.1 255.255.255.0 service-policy output PL_SIP Damit hast du dann 50 Prozent der Bandbreite des Interfaces bei Congestion fuer sip Traffik mit Prio 1 vor allem anderem Traffik vergeben. Alles was dann sonst noch drueber will, muss erst mal SIP vorlassen. Fu

Der User bekommt ein Kenntwort und eine telnet addresse. Damit macht er einen Telnet auf die Adresse und meldet sich einmal an mit Benutzernamen und Kennwort. Danach hat er seinen Zugriff selber freigeschaltet. Fu

Versuch mal ein show controllers s0/0 | inc X.21 auf dem Interface. Fu

Um alles auszuschliessen wuere ich immer schauen, das ich verschiedenes Test. Also auf der Pix und auf den Clients auch. Kann ja sein, das du immer vom gleich Client aus testest und der das Problem mit der Karte hat. Aber ich meine das hast du schon ausgeschlossen, indem du geschrieben hast, das ist fuer alle Clients gleich. Fu

Mach ein sh int Dann bekommst du errors und resets angezeigt. Fu

Schau doch mal bitte nach ob Duplex/Autosensing richtig eingestellt ist. War schon oefter der Fall bei aehnlichen Verbindungseinbruechen oder mal da mal nicht da Verbindungen. Und wenn du gerade dabei ist und die Einstellungen richtig sind, dann schau auch nach Interface resets oder errors. Kann auch ein Kabel sein, das defekt ist. Fu

Hi, Lock und Key (Dynamic Access Lists) ist auch kein schlechtes Feature. Ich weiss allerdings nicht ob das deine Pix, oder auf welchem Geraet du das konfigurieren moechtest, unterstuezt. Da wir eine Access Liste nur nach vorheriger Authentifizierung freigeschaltet. Es ist dann auch moeglich einen Timeout fuer die gesamte Dauer oder als idle timeout. Facto kannst du so ueber einen Useraccount und ein Passwort eine Accessliste freigeben. Wenn sich der User auf dem Router anmeldet wird die entsprechende Accessliste freigeschaltet. Du kannst also z.B. etwas grunsaetzlich verbieten, aber einem Benutzer ein Passwort ausgeben und den selber darueber seinen Zugang freischalten lassen. Configuring Lock-and-Key Security (Dynamic Access Lists) Fu

Da hat er wohl pech gehabt. Ohne gehts nicht. Answer Fu

Hi, 1. Ja. Versteh die Frage nicht so ganz. 2. Schau dir mal an ob die encapulation uebereinstimm auf beiden Seiten und ob die einzelnen Channel-group member auch oben sind. Sonst kann der Etherchannel natuelrich auch nicht oben sein. Und wie gesagt, das Negotiationprotokoll muss das gleich sein. Da der Etherchannel keine MAC Addresse hat, hast du anscheinend eine Etherchannelinterface angelegt aber keine member hinzugefuegt. Ich hoffe es ist klar, das die Nummer Portchannel Po[1..] mit dem Befehl "channel-group [1...] mode ... zusammenhaengt. Du hast dann ein interface Po1 das deinen Etherchannel bildet. Deine zweite Frage deutet eher darauf hin, das du keine Ports hinzugefuegt hast. Fu

Hi, show etherchannel [detail] oder mach mal ein show run | inc inter|chan Dann hast du auch als Ausgabe die Ports auf denen du einen channel konfiguriert hast. Was passen sollte ist auf beiden Seiten das gleich Protokoll (PAgP/LACP) oder gar keins, dann einfach mit "on", das geht auch. Fu

Hi, moechtest du einen Layer 2 oder Layer 3 Etherchannel? Du kannst einen Etherchannel mit IP Addressierung versehen oder du machst einen Etherchannel der Vlans transportiert. Ohne pruning werden defaultmaessig alle Vlans ueber den Trunk geschickt. Trunk Encapsulation gibt es dot1q und isl. Beide taggen, wobei nur dot1q das nativ vlan nicht taggt. Du kannst einzelne Vlans vom Trunk nehmen, sodas sie nicht ruebergehen duerfen. Damit dein Vlan ueber den Trunk geht, musst du kein SVI( switched virtual interface) konfigurieren. Das Vlan muss dazu nur in der VTP domain angelegt sein. Ich nehme an, du moechtest nur die beiden Switches ueber einen Etherchannel verbinden und dann die Vlans daruber laufen lassen. Dazu musst du nur den Etherchannel konfigurieren. Auf beiden Seiten: Rack1SW4(config)#int ra f0/13 - 15 Rack1SW4(config-if-range)#channel-group 3 mode on Rack1SW4(config)#int po3 Rack1SW4(config-if)#switchport trunk encapsulation dot1q Rack1SW4(config-if)#switchport mode trunk Rack1SW4(config-if)#do sh int tru Port Mode Encapsulation Status Native vlan Po3 on 802.1q trunking 1 Port Vlans allowed on trunk Po3 1-4094 Port Vlans allowed and active in management domain Po3 1,3,5,8,10,26,33,52,255,783 Port Vlans in spanning tree forwarding state and not pruned Po3 none Fu

Hi Wordo, gute Idee. Ich wollte es gerade schon nachsehen..., ich speicher ja alles ab. :-) Hab also gerade geschaut und hatte es wohl nicht mehr so ganz richtig in Erinnerung. Ich brauchte einen Gast Zugang. Man muss sich da mit einer Emailadresse registrieren, damit man Zugang zum den Technsupportseiten bekommt. Registrieren geht hier: Cisco Systems - Redirect to Wer einen Service Contract abschliessen moechte und wissen will was das kostet, schaut hier: Cisco - Service Contract Center Ich hab jetzt aber nicht wieder herausgefunden, wie ich an den Support gekommen bin, weil normalerweise geht es nur ueber TAC und mit Vertrag. Vielleicht hatte ich auch an den Customersupport gemailt. Die koennen einem dann vielleicht auch sagen, was man machen kann. Hier ist die Liste mit ersten Anlaufaddressen: Customer Service Contacts-Customer Service Information - Cisco Systems Kann sein, das ich so dann zum TAC Case geworden bin. Es gibt auf der Seite auch einen Zugang zu einem "Customer Service Case Management tool". Einfach sagen: "Und wat soll ich jetzt mit dem Ding machen, ich kann es dich nicht bedienen, es ja gar nix?" ;) Fu

Hi, stimmt. Ich hab das mal gemacht als ich wegen einem PDM Bug (Pix 501) mich nicht mit der aktuellen Browserversion und Javaversion anmelden konnte. Ich hab dann auch ohne bazahlten Cisco Zugang ein Update auf Version 3.04 bekommen. Die Files waren drei Tage zum download verfuegbar. Waren auch sehr freundlich und es ging zuegig. Kann also gut sein, das es bei deinem Problem aehnlich ist. Fu

Hi nochmal, es gibt auch Multicastadressen die von Routingprotokollen benutzt werden. Aber die hatte ich in deiner Liste auch nicht gesehen. * 224.0.0.1 all hosts on a subnet * 224.0.0.2 all routers on a subnet * 224.0.0.4 Distance Vector Multicast Routing Protocols (DVMRP) * 224.0.0.5 OSPF routers * 224.0.0.6 OSPF designated routers * 224.0.0.9 RIP Version 2 routers * 224.0.0.10 EIGRP * 224.0.0.13 Protocol independent Multicast (PIM) Fu

Hi glady, alles von 224.0.0.0 - 239.255.255.255 ist Multicast. Wenn du davon etwas brauchst musst du es natuerlich erlauben. Machst du Multicast? igmp, pim sind Multicastprotokolle. 137,138 ist doch Microsoft Traffic. Ist das nicht Netbios? 67 und 68 sind bootp requests. Also Hosts die per DHCP versuchen eine Adresse zu bekommen. Fu

Hi, ich hab gerade noch mal nachgeschaut. In der Liste steht es ab 1700 aufwaerts. Und dann wieder auf 2610XM. Das ist ja auch das neuere 2610'er Modell. Ich selber hab das Beispiel auf einem 3640 konfiguriert. Die 800'er mit einem advipservices stehen aber auch in der Liste. Fu

Hi, ne route-map musste nehmen. So: interface FastEthernet0/0 ip policy route-map RM_FTP ip access-list extended ACL_FTP permit tcp any any eq ftp permit tcp any any eq ftp-data route-map RM_FTP permit 10 match ip address ACL_FTP set ip next-hop 1.1.1.1 f0/0 ist dein ausgehendes Interface. Gematched wird Traffik der nach aussen hin FTP ist und der wird ueber den next-hop gesondert behandelt. debug ip policy ist informativ um zu sehen ob es so klappt wie es soll. Fu

Hallo mturba, jo danke. Ne, nur in Belgien ist es teurer, weil da noch Steuern dazugekommen. Keine Ahnung warum das ausgerechnet nur da so ist. Sonst sind es ueberall 1250$ da hast du schon recht mit deinen 960 Euro. Der Dollarkurs steht ja immer noch recht gut. Nur haben se den Kurs in Bruessel hoeher gesetzt. Fu

Hi, das wuerde so aussehen: ip sla monitor 1 type echo protocol ipIcmpEcho 145.1.36.6 timeout 1000 threshold 2 frequency 3 ip sla monitor schedule 1 life forever start-time now ip route 0.0.0.0 0.0.0.0 145.1.36.7 252 track 1 ip route 0.0.0.0 0.0.0.0 145.1.36.8 253 Im Test: Rack1R3#sh track 1 Track 1 Response Time Reporter 1 reachability Reachability is Up 9 changes, last change 00:00:06 Latest operation return code: OK Latest RTT (millisecs) 1 Tracked by: STATIC-IP-ROUTING 0 Rack1R3#sh ip route static S* 0.0.0.0/0 [252/0] via 145.1.36.7 Dann nehme ich das Interface 145.1.36.6 raus. Rack1R3#sh track 1 Track 1 Response Time Reporter 1 reachability Reachability is Down 10 changes, last change 00:00:07 Latest operation return code: Timeout Tracked by: STATIC-IP-ROUTING 0 Rack1R3#sh ip route static S* 0.0.0.0/0 [253/0] via 145.1.36.8 Rack1R3# Vielleicht baust du dir dann noch einen delay in das track object, weil sonst unter Umstaenden staendig deine Routen hin und her wechseln. Und eventuell noch den Ping etwas hoeher. Fu