fu123

hi,

es gibt Optionen fuer den DNS der es verbietet Clients sich zu registrieren. Es gibt z.B. Secure Updates. Hast du da schon mal nachgesehen? Es besteht z.B. die Moeglichkeit, das ein Client ein Mitglied einer Domain ist. Dann darf er sich unter Umstaenden auch nicht registrieren. Das kommt ganz auf die Einstellungen des DNS an. Ich geh mal davon aus das ihr AD benutzt. Ist aber eher eine MS Frage, wuerde ich tippen.

Fu

Reservierung? Ich dachte da wird radikal 80% freigegeben egal ob SMTP grad ueber die Leitung geht oder nicht.

Also in dem Fall in dem sonst nix geht, bleibt alles normal. Aber wenn STMP ankommt, dann wird dafuer 20% reserviert. Dann wird SMTP eher aus der Queue genommen und fuer maximal 20% der Bandbreite.

Die Leitung kann immmer fuer alles andere genommen worden, das tritt auch nur dann in Kraft, wenn Congestion da ist.

20% vom gesamten Anteil der Leitung. Die komplette Leitung macht 100% aus. 75% sind maximal verfuegbar, weil max-reserved bandwidth (25% Reservierung fuer z.B. Routing oder aehnlich wichtiges) auf 75% vorkonfiguriert ist. Wenn du jetzt bandwidth 20% smtp konfigurierst, dann sagst du soviel wie, ich moechte maximal 20% der Leitung bei einer vollen Queue fuer SMTP reservieren. 20% werden nur dann ausgenutzt, wen auch 20% SMTP Traffik da ist. Sonst koennen die 20% auch allgemein benutzt werden.

Sobald SMTP ueber 20% geht ist die Erlaubnis da, das auch zu droppen.

Fu

Ja, das ist ja auch ein echt heftiges Dingen. Das ist bei Cisco so viel wie drein andere Technologien zusammen. Die meisten Sachen kann man aber denke ich mal mit dem MCQ machen. Wichtig ist zu verstehen, was man machen moechte.

shaping

Heisst so viel wie moeglich bis zu einer bestimmten Rate ueber das interface bekommen, bei congestion mache ich die Queue voll und versuche alles rueber zu kriegen.

policing

Ich lasse keine Bursts zu, excess Traffik wird einfach sofort gedroppt, wenn Traffic ueber das Limit geht, egal ob die Leitung dich ist oder nicht, weg damit.

bandwith

Ich mache eine Reservierung fuer eine bestimmt Klasse. Heisst, ich reserviere z.B. 20% immer fuer SMTP, egal was sonst noch ueber die Leitung geht. Wenn die Leitung voll ist und SMTP ankommt, dann hat das eine Reservierung vor anderem Traffik.

priority

Bestimmt Traffik bekommt absolute Prio ueber anderem Traffik. Bei Congestion, wird alles andere erst nach dem Prio Traffik durchgelassen. Das ist geht immer an erster Stelle durch, z.B. bei Voice wichtig.

Und dann gibt es eben verschiedene Kommandos mit denne sich das umsetzen lasesst.

Der MQC Modular QoS CLI ist dafuer da um diese Sachen zu vereinfachen und in ein Schema zu bringen. Aber es gibt eben auch noch die "alten" Sachen, wie

queue-list

rate-limit

priority-list

Fu

Das gilt aber nur fuer den Upstream, wenn du (xcooldj) das auch fuer Downstream haben willst musst du mal mit deinem Provider reden.

Du kannst bei incoming Traffik und Congestion WRED nehmen. Das ist aber auch nur eine Behelfsloesung, weil wie du schon sagst, das nicht wirklich zu regeln ist. Die Daten sind ja dann schon da.

WRED droppt einfach zufeallig Traffik, damit insgesamt die Verbindungen nicht abbrechen.

Da reicht einfach ein

random-detect

auf dem Interface. Mann kann aber auch noch Traffik auswaehlen, der eher gedroppt werden soll.

Fu

Woran lag es denn? Du bekommst doch immer einen Ausdruck.

Fu

Hi,

genau. Du matched sip Traffik. Weiss jetzt nicht genau, welche Ports das sind. Wird sich aber rausfinden lassen. Oder als Protokoll in der Class setzen. Und dann machst du dafuer absolute Prio in der Outgoing Queue.

Also in etwa so (QBWFQ):

class-map match-all CL_RTP

match protocol sip

!

!

policy-map PL_SIP

class CL_RTP

priority percent 50

!

!

interface FastEthernet0/0

ip address 192.10.1.1 255.255.255.0

service-policy output PL_SIP

Damit hast du dann 50 Prozent der Bandbreite des Interfaces bei Congestion fuer sip Traffik mit Prio 1 vor allem anderem Traffik vergeben.

Alles was dann sonst noch drueber will, muss erst mal SIP vorlassen.

Fu

Lock and Key ist auch zu umständlich. Wenn ich das richtig gelsen habe, muss der User sich erst via telnet mit der Firewall verbinden usw....

Der User bekommt ein Kenntwort und eine telnet addresse. Damit macht er einen Telnet auf die Adresse und meldet sich einmal an mit Benutzernamen und Kennwort. Danach hat er seinen Zugriff selber freigeschaltet.

Fu

Versuch mal ein

show controllers s0/0 | inc X.21

auf dem Interface.

Fu

An welchen NICs soll ich das Autosensing überprüfen, an den der PIXen, intern oder extern, oder an den lokalen NIC der Clients oder des Servers??

 

Und surfen geht flott, auch der Zugriff per RemoteVPN auf die PIXen und dann auf den Server oder einen Client in beiden Netzen geht flott.

 

ALLES geht flott, nur die Net-to-Net VPN-Verbindung macht Ärger.

Um alles auszuschliessen wuere ich immer schauen, das ich verschiedenes Test. Also auf der Pix und auf den Clients auch. Kann ja sein, das du immer vom gleich Client aus testest und der das Problem mit der Karte hat. Aber ich meine das hast du schon ausgeschlossen, indem du geschrieben hast, das ist fuer alle Clients gleich.

Fu

und wo kann ich die NIC-Fehler überprüfen?? von wegen kapuutes Interface??

Mach ein

sh int

Dann bekommst du errors und resets angezeigt.

Fu

Schau doch mal bitte nach ob Duplex/Autosensing richtig eingestellt ist. War schon oefter der Fall bei aehnlichen Verbindungseinbruechen oder mal da mal nicht da Verbindungen. Und wenn du gerade dabei ist und die Einstellungen richtig sind, dann schau auch nach Interface resets oder errors. Kann auch ein Kabel sein, das defekt ist.

Fu

Hi,

Lock und Key (Dynamic Access Lists) ist auch kein schlechtes Feature. Ich weiss

allerdings nicht ob das deine Pix, oder auf welchem Geraet du das konfigurieren moechtest, unterstuezt. Da wir eine Access Liste nur nach vorheriger Authentifizierung freigeschaltet. Es ist dann auch moeglich einen Timeout fuer die gesamte Dauer oder als idle timeout.

Facto kannst du so ueber einen Useraccount und ein Passwort eine Accessliste freigeben. Wenn sich der User auf dem Router anmeldet wird die entsprechende Accessliste freigeschaltet. Du kannst also z.B. etwas grunsaetzlich verbieten, aber einem Benutzer ein Passwort ausgeben und den selber darueber seinen Zugang freischalten lassen.

Configuring Lock-and-Key Security (Dynamic Access Lists)

Fu

Danke, danke für die vielen Infos.

Ein Kollege will die Prüfung mit mir machen. Sein CCNA ist leider schon abgelaufen. Ist eine gültige CCNA Prüfung erforderlich?

Da hat er wohl pech gehabt. Ohne gehts nicht.

Answer

Fu

2 fragen noch,

 

1 was genau bedeutet diese adresse?

Hardware is EtherChannel, address is 0015.c6c1.3003

was soll ich mir darunter vorstellen. die MAC Adresse?

 

 

2 mein interface ist down auf einem switch.

Hardware is EtherChannel, address is 0000.0000.0000 (bia 0000.0000.0000)

MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec,

reliability 255/255, txload 1/255, rxload 1/255

Hi,

1. Ja. Versteh die Frage nicht so ganz.

2. Schau dir mal an ob die encapulation uebereinstimm auf beiden Seiten und ob die einzelnen Channel-group member auch oben sind. Sonst kann der Etherchannel natuelrich auch nicht oben sein. Und wie gesagt, das Negotiationprotokoll muss das gleich sein.

Da der Etherchannel keine MAC Addresse hat, hast du anscheinend eine Etherchannelinterface angelegt aber keine member hinzugefuegt.

Ich hoffe es ist klar, das die Nummer Portchannel Po[1..] mit dem Befehl "channel-group [1...] mode ... zusammenhaengt.

Du hast dann ein interface Po1 das deinen Etherchannel bildet. Deine zweite Frage deutet eher darauf hin, das du keine Ports hinzugefuegt hast.

Fu

Hi,

show etherchannel [detail]

oder mach mal ein

show run | inc inter|chan

Dann hast du auch als Ausgabe die Ports auf denen du einen channel konfiguriert hast.

Was passen sollte ist auf beiden Seiten das gleich Protokoll (PAgP/LACP) oder gar keins, dann einfach mit "on", das geht auch.

Fu

Hi,

moechtest du einen Layer 2 oder Layer 3 Etherchannel?

Du kannst einen Etherchannel mit IP Addressierung versehen oder du machst einen Etherchannel der Vlans transportiert.

Ohne pruning werden defaultmaessig alle Vlans ueber den Trunk geschickt. Trunk Encapsulation gibt es dot1q und isl.

Beide taggen, wobei nur dot1q das nativ vlan nicht taggt.

Du kannst einzelne Vlans vom Trunk nehmen, sodas sie nicht ruebergehen duerfen.

Damit dein Vlan ueber den Trunk geht, musst du kein SVI( switched virtual interface) konfigurieren. Das Vlan muss dazu nur in der VTP domain angelegt sein.

Ich nehme an, du moechtest nur die beiden Switches ueber einen Etherchannel verbinden und dann die Vlans daruber laufen lassen.

Dazu musst du nur den Etherchannel konfigurieren.

Auf beiden Seiten:

Rack1SW4(config)#int ra f0/13 - 15

Rack1SW4(config-if-range)#channel-group 3 mode on

Rack1SW4(config)#int po3

Rack1SW4(config-if)#switchport trunk encapsulation dot1q

Rack1SW4(config-if)#switchport mode trunk

Rack1SW4(config-if)#do sh int tru

Port Mode Encapsulation Status Native vlan

Po3 on 802.1q trunking 1

Port Vlans allowed on trunk

Po3 1-4094

Port Vlans allowed and active in management domain

Po3 1,3,5,8,10,26,33,52,255,783

Port Vlans in spanning tree forwarding state and not pruned

Po3 none

Fu

Hi Wordo, gute Idee. Ich wollte es gerade schon nachsehen..., ich speicher ja alles ab. :-)

Hab also gerade geschaut und hatte es wohl nicht mehr so ganz richtig in Erinnerung. Ich brauchte einen Gast Zugang. Man muss sich da mit einer Emailadresse registrieren, damit man Zugang zum den Technsupportseiten bekommt.

Registrieren geht hier:

Cisco Systems - Redirect to

Wer einen Service Contract abschliessen moechte und wissen will was das kostet, schaut hier:

Cisco - Service Contract Center

Ich hab jetzt aber nicht wieder herausgefunden, wie ich an den Support gekommen bin, weil normalerweise geht es nur ueber TAC und mit Vertrag. Vielleicht hatte ich auch an den Customersupport gemailt. Die koennen einem dann vielleicht auch sagen, was man machen kann. Hier ist die Liste mit ersten Anlaufaddressen:

Customer Service Contacts-Customer Service Information - Cisco Systems

Kann sein, das ich so dann zum TAC Case geworden bin. Es gibt auf der Seite auch einen Zugang zu einem "Customer Service Case Management tool". Einfach sagen: "Und wat soll ich jetzt mit dem Ding machen, ich kann es dich nicht bedienen, es ja gar nix?" ;)

Fu

Hi,

stimmt. Ich hab das mal gemacht als ich wegen einem PDM Bug (Pix 501) mich nicht mit der aktuellen Browserversion und Javaversion anmelden konnte. Ich hab dann auch ohne bazahlten Cisco Zugang ein Update auf Version 3.04 bekommen. Die Files waren drei Tage zum download verfuegbar. Waren auch sehr freundlich und es ging zuegig. Kann also gut sein, das es bei deinem Problem aehnlich ist.

Fu

Hi nochmal,

es gibt auch Multicastadressen die von Routingprotokollen benutzt werden. Aber die hatte ich in deiner Liste auch nicht gesehen.

* 224.0.0.1 all hosts on a subnet

* 224.0.0.2 all routers on a subnet

* 224.0.0.4 Distance Vector Multicast Routing Protocols (DVMRP)

* 224.0.0.5 OSPF routers

* 224.0.0.6 OSPF designated routers

* 224.0.0.9 RIP Version 2 routers

* 224.0.0.10 EIGRP

* 224.0.0.13 Protocol independent Multicast (PIM)

Fu

Protokoll udp Port 137 & 138 auf die Broadcastadresse des jeweiligen Netzes

Protokoll udp Port 42 auf 224.0.1.24

Protokoll udp Port 67 & 68 auf die Broadcastadresse des jeweiligen Netzes

Protokoll pim auf 224.0.0.13

Protokoll igmp auf 239.255.255.7/24

Protokoll igmp auf 224.0.0.0/23

Protokoll udp auf 239.255.255.250

Hi glady,

alles von 224.0.0.0 - 239.255.255.255 ist Multicast.

Wenn du davon etwas brauchst musst du es natuerlich erlauben. Machst du Multicast?

igmp, pim sind Multicastprotokolle.

137,138 ist doch Microsoft Traffic. Ist das nicht Netbios?

67 und 68 sind bootp requests. Also Hosts die per DHCP versuchen eine Adresse zu bekommen.

Fu

Hi,

ich hab gerade noch mal nachgeschaut. In der Liste steht es ab 1700 aufwaerts. Und dann wieder auf 2610XM. Das ist ja auch das neuere 2610'er Modell. Ich selber hab das Beispiel auf einem 3640 konfiguriert. Die 800'er mit einem advipservices stehen aber auch in der Liste.

Fu

Hi,

ne route-map musste nehmen.

So:

interface FastEthernet0/0

ip policy route-map RM_FTP

ip access-list extended ACL_FTP

permit tcp any any eq ftp

permit tcp any any eq ftp-data

route-map RM_FTP permit 10

match ip address ACL_FTP

set ip next-hop 1.1.1.1

f0/0 ist dein ausgehendes Interface. Gematched wird Traffik der nach aussen hin FTP ist und der wird ueber den next-hop gesondert behandelt.

debug ip policy

ist informativ um zu sehen ob es so klappt wie es soll.

Fu

Oh wow, teurer geworden... hatte mich an der Cisco-Webseite orientiert (da standen 1250$) und den entsprechenden aktuellen Gegenwert in Euro angegeben. Aber ich wünsch dir schonmal viel Erfolg dort!

 

Dass es nen CCIE Written beta gibt hab ich gesehn, ist aber momentan noch zu hart für mich, so weit bin ich noch nicht... ;)

Hallo mturba,

jo danke. Ne, nur in Belgien ist es teurer, weil da noch Steuern dazugekommen. Keine Ahnung warum das ausgerechnet nur da so ist. Sonst sind es ueberall 1250$ da hast du schon recht mit deinen 960 Euro. Der Dollarkurs steht ja immer noch recht gut. Nur haben se den Kurs in Bruessel hoeher gesetzt.

Fu

Hi,

das wuerde so aussehen:

ip sla monitor 1

type echo protocol ipIcmpEcho 145.1.36.6

timeout 1000

threshold 2

frequency 3

ip sla monitor schedule 1 life forever start-time now

ip route 0.0.0.0 0.0.0.0 145.1.36.7 252 track 1

ip route 0.0.0.0 0.0.0.0 145.1.36.8 253

Im Test:

Rack1R3#sh track 1

Track 1

Response Time Reporter 1 reachability

Reachability is Up

9 changes, last change 00:00:06

Latest operation return code: OK

Latest RTT (millisecs) 1

Tracked by:

STATIC-IP-ROUTING 0

Rack1R3#sh ip route static

S* 0.0.0.0/0 [252/0] via 145.1.36.7

Dann nehme ich das Interface 145.1.36.6 raus.

Rack1R3#sh track 1

Track 1

Response Time Reporter 1 reachability

Reachability is Down

10 changes, last change 00:00:07

Latest operation return code: Timeout

Tracked by:

STATIC-IP-ROUTING 0

Rack1R3#sh ip route static

S* 0.0.0.0/0 [253/0] via 145.1.36.8

Rack1R3#

Vielleicht baust du dir dann noch einen delay in das track object, weil sonst unter Umstaenden staendig deine Routen hin und her wechseln. Und eventuell noch den Ping etwas hoeher.

Fu