Wolke2k4 11 Geschrieben 14. Dezember 2004 Melden Teilen Geschrieben 14. Dezember 2004 Moin zusammen, nachdem ich mein CCNA vor knapp 1 1/2 Jahren gemacht habe wird es nun "ernst". Ich muss demnächst eine LAN2LAN Kopplung mit zwei Cisco 801 realisieren. Dazu muss, logischerweise, irgendeine Config für beide Router her. Meine Frage: Gibt es ein Withepaper für die Einrichtung einer Config für eine LAN2LAN Kopplung auf einem 801 (idealerweise auch mit RAS Einwahl)? Was ist mit dem Config Maker??? Ich habe schon einen kleinen Blick auf die Cisco Seiten geworfen aber so richtig fündig wurde ich noch. Theoretisch sollte aber diese Doku auf den 801 anwendbar sein???? Ein paar Befehle werde ich sicher noch hinbekommen aber für das Einrichten einer Router-Router ISDN Wählverbindung wird es nicht ganz reichen... Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 14. Dezember 2004 Melden Teilen Geschrieben 14. Dezember 2004 hi Wolke2k4 Schon lange her der CCNA ! ;) O.k. Use this link : http://www.cisco.com/en/US/tech/tk801/tk379/technologies_configuration_example09186a0080094091.shtml Oder hast Du eventuell nen CCO Zugang ? Ansonsten mach doch mal ne Skizze, damit die Board User wissen wo es hingehen soll ! IOS Versionen ? Features ? IDS ? Security ? MfG Mr. Oiso Zitieren Link zu diesem Kommentar
thorgood 10 Geschrieben 14. Dezember 2004 Melden Teilen Geschrieben 14. Dezember 2004 Hallo Wolke2k4, schaue auch hier nach für den 800er http://info.cisco.de/cgi-bin/helpdesk/kb.pl?action=focus&id=177&department=Cisco%20800%20Serie%20Router&user= http://info.cisco.de/cgi-bin/helpdesk/kb.pl?user=&department=Cisco+800+Serie+Router thorgood Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 14. Dezember 2004 Autor Melden Teilen Geschrieben 14. Dezember 2004 Da gibt es nicht viel zu erzählen. Router 1 in Außenstelle Router 2 in Hauptstandort Entfernung ca. 20 - 30km Die Einwahl soll nur von der Außenstelle erfolgen, da diese via RDP auf den Terminalserver zugreift. Idle Timeout = 5 min und natürlich BoD also dynamic channel bundling (ich hoffe der 801 kann das auch)... Und ganz WICHTIG: RAS Einwahl auf beiden Routern!!! Danke erstmal für die Links! Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 15. Dezember 2004 Melden Teilen Geschrieben 15. Dezember 2004 hi Wolke2k4 O.k. soviel ist klar ! Der 800 Cisco wird das schon richten ! Jedoch noch ein paar fragen. Was ist z.B. mit den Telefonkosten ? Soll der Router 2 eventuell alle Anrufer zurückrufen ? Callback ? Wie sieht es aus mit der Kanalbündelung ? Wenn Du einen standard 801 Router hast, dann hast Du in der Regel nur ein BRI, und sollte darüber die Anbindung der Aussenstelle stehen, kann sich keiner mehr wie RAS einwählen ! Gilt es halt da etwas zu beachten ? Soll eventuell die Aussenstelle über load-threshold die Kanalbündelung aushandeln um einen B-Kanal in reserve für eine RAS Einwahl zu haben. Oder soll eine RAS Verbindung höher priorisiert werden um auch eine Einwahl zu ermöglichen wenn die Aussenstelle beide Kanäle besetzt ? Was ist mit den RAS Client ? Soll die Nummer überprüft werden ? DHCP oder Feste IP ? (Könnte eventuell die Nr. Überprüfung ersetzen) DHCP konfiguriert man in der Regel mit einem dialer pool, für Rückruf wäre eine rotary-group von nöten. Jedoch würde ich eher zu zwei dialer gruppen tendieren und via dialer map ip die Adr. fest vergeben ! Damit lässt sich in der Regel anschließen eine Access-List besser festzurren, weil Du, so denke ich dies tun must um eine 128KB Verbindung der Aussenstelle mit einem idle-timeout von 5min auch mal austimen lassen solltest, damit eine RAS Einwahl wieder möglich wird ! ein Beispiel: interface Ethernet0 description connected to Vlan 186 ip address 192.168.186.203 255.255.255.0 no ip directed-broadcast ! interface BRI0 bandwidth 128 no ip address ip directed-broadcast encapsulation ppp dialer rotary-group 1 dialer-group 2 isdn switch-type basic-net3 isdn send-alerting isdn sending-complete isdn static-tei 0 fair-queue 64 16 0 compress mppc ! interface Dialer1 bandwidth 128 ip address 10.93.78.153 255.255.255.0 no ip directed-broadcast encapsulation ppp no keepalive dialer in-band dialer enable-timeout 3 dialer map ip 193.101.76.222 name X class osm 02018955800 dialer map ip 200.1.2.10 name Y class gwi broadcast 0651826130 dialer map ip 192.168.186.194 name Z broadcast 05407808574 dialer map ip 192.168.186.209 name ciscotac class gwi broadcast dialer map ip 10.93.77.1 name S class gwi 02284225000 dialer hold-queue 10 dialer-group 1 fair-queue 64 16 0 compress mppc ppp callback accept ppp authentication chap ppp multilink ! interface Dialer2 bandwidth 64 ip address 10.93.78.155 255.255.255.0 no ip directed-broadcast encapsulation ppp dialer in-band dialer enable-timeout 10 dialer map ip 192.168.186.201 name gateete class ete dialer map ip 192.168.186.202 name etegate class ete dialer map ip 172.25.0.111 name SNMP-MHO class ete 05401831247 dialer hold-queue 50 dialer-group 2 no fair-queue compress mppc ppp authentication chap ! In diesem Beispiel sind in Gruppe 1 alle User Zusammen, die eine Kanalbündelung benötigen oder verwenden dürfen und auch Zurückgerufen werden. In Gruppe 2 lediglich RAS Einwahl ohen Rückruf und nur 64K ! MfG Mr. Oiso Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 15. Dezember 2004 Autor Melden Teilen Geschrieben 15. Dezember 2004 Jedoch noch ein paar fragen. Was ist z.B. mit den Telefonkosten ? Die werden durch den 12Cent/Stunde Tarif der Telekom schön niedrig gehalten. Ein Idle Timeout von 15 Minuten würde sich in diesem Fall empfehlen. Soll der Router 2 eventuell alle Anrufer zurückrufen ?Callback ? Nein. Nur Router 1 soll Router 2 anwählen. Die Kosten trägt der Standort mit dem Router 1. Callback ist in diesem Fall also nicht nötig. Für RAS darf es unbedingt Callback sein. Schliesslich müssen wir unsere Telefonrechnung nicht unnötig belasten... ;) Wie sieht es aus mit der Kanalbündelung ? Ganz heisses Thema! Muss in jedem Fall realisiert werden, da bei größeren Drucks entsprechend mehr Daten anfallen! Wenn Du einen standard 801 Router hast, dann hast Duin der Regel nur ein BRI, und sollte darüber die Anbindung der Aussenstelle stehen, kann sich keiner mehr wie RAS einwählen! Schon klar soweit. Solange beide Kanäle besetzt sind ist auch kein rein und raus mehr über RAS oder dergleichen. Da wir aber zunächst davon ausgehen, dass hauptsächlich nur jeweils einer der beiden B Kanäle genutzt wird ist das schon ok so. Es wird ja auch nicht rund um die Uhr über die Leitung gearbeitet. RAS ist nur für remote Administration gedacht (allerdings auf beiden Routern). Soll eventuell die Aussenstelle über load-threshold die Kanalbündelung aushandeln um einen B-Kanal in reservefür eine RAS Einwahl zu haben. Bei anderen Router Herstellern heisst es BoD (Bandwidth on Demand) oder dynamic channel bundling. Ich nehme mal an, dass es bei Cisco der load-threshold. Wie oben geschrieben soll der zweite Kanal dynamisch bei erhöhtem Datenverkehr zugeschaltet werden Oder soll eine RAS Verbindung höher priorisiert werden um auch eine Einwahl zu ermöglichen wenn die Aussenstelle beide Kanäle besetzt ? Ist nicht nötig. Was ist mit den RAS Client ? Soll die Nummer überprüft werden ? Wäre in diesem Fall eine eine einfache Fritzcard. CLID ist nicht nötig. DHCP oder Feste IP ? (Könnte eventuell die Nr. Überprüfung ersetzen) DHCP konfiguriert man in der Regel mit einem dialer pool, für Rückruf wäre eine rotary-group von nöten. Wäre schon toll, wenn der Router die IP für den RAS Zugang selbst vergibt. Für die Router-Router Verbindung reicht es, wenn die beiden Netze über eine entsprechende Route miteinander verbunden werden. RIP wäre überzogen... Jedoch würde ich eher zu zwei dialer gruppen tendieren und via dialer map ip die Adr. fest vergeben!Damit lässt sich in der Regel anschließen eine Access-List besser festzurren, weil Du, so denke ich dies tun must um eine 128KB Verbindung der Aussenstelle mit einem idle-timeout von 5min auch mal austimen lassen solltest, damit eine RAS Einwahl wieder möglich wird ! Nur zur Sicherheit noch mal. Es soll zunächst nur EIN Kanal genutzt werden. NUR bei Last soll sich der zweite Kanal dynamisch zu und später selber wieder abbauen (und dies auch nur für die Router-Router Verbindung, für RAS reicht ein Kanal)... Ich danke Dir erstmal für diese Beispielconfig. Wenn ich die Hübschen hier habe setze ich mich bei Gelegenheit ran. Hättest du eine Beispielconfig, die die oben genannten Punkte berücksichtigt? Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 16. Dezember 2004 Melden Teilen Geschrieben 16. Dezember 2004 hi Wolke2k4 Super ! Jetzt weiß ich was Du willst. Nur eine Frage noch ! Hast Du im Hauptstandort eventuell DHCP/DNS/WINS etc. zur Verfügung, welche Du für die Client's nutzbar machen willst ? Siehe dazu auch : http://www.mcseboard.de/showthread.php?s=&threadid=50903 Habe ich hier mal vorgeschlagen ! Mit diesen Info`s kann ich nun aktiv werden ! Habe da Heim selbst einen 801 und werde Dir am Weekend mal eine Config bauen ! Eher geht leider nicht, da ich ab heute Mittag noch nen Thermin habe und morgen auch voll ausgebucht bin. Wenn's also recht ist, Montag auf diesem Kanal ! :D Einen schönen 4. Advent ! MfG Mr. Oiso Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 16. Dezember 2004 Autor Melden Teilen Geschrieben 16. Dezember 2004 Hast Du im Hauptstandort eventuell DHCP/DNS/WINS etc. zur Verfügung, welche Du für die Client's nutzbar machen willst ? Gibt es erstmal nicht... Mit diesen Info`s kann ich nun aktiv werden!Habe da Heim selbst einen 801 und werde Dir am Weekend mal eine Config bauen ! Eher geht leider nicht, da ich ab heute Mittag noch nen Thermin habe und morgen auch voll ausgebucht bin. Wenn's also recht ist, Montag auf diesem Kanal ! :D Das ist mehr als ich verlangen kann, thx!!!!!! Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 20. Dezember 2004 Autor Melden Teilen Geschrieben 20. Dezember 2004 So ich hab mir mal zwei Config zusammengebastelt (zugegeben mit Cisco Fast Step). Ich schreibe mal die jeweiligen Anforderungen dazu und das was noch fehlt. Vielleicht kann mir ja noch jemand auf die Sprünge helfen. Router1 - Router der Außenstelle Anforderungen an den Router: 1. WAN IP = 10.0.0.2/8; LAN IP = 192.168.190.253/24 2. Soll den Hauptrouter zunächst mit 64Kbit/s anwählen, wenn Zugriff auf Ressourcen der Hauptstelle erfolgt. 3. Idle Timeout soll 300 Sekunden sein, bei Last soll sich der zweite Kanal dynamisch zu und wieder abschalten. hostname router1 ! boot-start-marker boot-end-marker ! enable secret XXXXXX ! username user1 password XXXXXX username user2 password XXXXXX <-- Warum werden hier sowohl Username und Passwort für beide Router angegeben??? no aaa new-model ip subnet-zero no ip source-route ! isdn switch-type basic-1tr6 <-- DerSwitch-Type sollte für einen ganz normalen ISDN Mehrgeräteanschluss richtig sein oder? ! ! ! interface Ethernet0 ip address 192.168.190.253 255.255.255.0 ip access-group 121 in no ip proxy-arp ! interface BRI0 no ip address encapsulation ppp dialer pool-member 1 isdn switch-type basic-1tr6 ppp authentication chap pap callin <-- ist das Callin an dieser Stelle richtig? Der Router soll schliesslich nur wählen und nicht angewählt werden, ausser beim RAS. ppp multilink ! interface Dialer1 description RCN ip address negotiated <-- Sollte hier nicht die WAN IP stehen? ip access-group 121 in no ip proxy-arp encapsulation ppp no ip split-horizon dialer pool 1 dialer remote-name router2 dialer idle-timeout 300 dialer string vorwahl+msn class DialClass dialer string vorwahl+msn class DialClass dialer hold-queue 10 dialer load-threshold 10 either <-- Reicht der Wert 10? Ab wann würde sich der zweite Kanal dazu schalten? dialer-group 1 ppp authentication chap pap callin ppp chap hostname remotedial ppp chap password XXXXX ppp pap sent-username remotedial password XXXXXXX ppp multilink ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 <-- Wenn ich mich nicht täusche sollte dies die kriegsentscheidene Route sein, die sämtliche Pakete über die ISDN Leitung zum Router 2 schickt?? ip http server ! ! map-class dialer DialClass access-list 121 deny udp any eq netbios-dgm any access-list 121 deny udp any eq netbios-ns any access-list 121 deny udp any eq netbios-ss any access-list 121 deny tcp any eq 137 any access-list 121 deny tcp any eq 138 any access-list 121 deny tcp any eq 139 any access-list 121 permit ip any any time-range TIME dialer-list 1 protocol ip permit ! line con 0 exec-timeout 120 0 transport preferred all transport output all stopbits 1 line vty 0 4 exec-timeout 0 0 login local transport preferred all transport input all transport output all ! ! time-range TIME periodic daily 0:00 to 23:59 ! ! end Theoretisch wäre die Config an sich schon ok oder gibt es Einwände bzw. Kommentare zu meinen Fragen in der Config? Was fehlt ist noch ein RAS Zugang, wobei die IP an den RAS Client automatisch vergeben werden soll (CHAP). Idle Timeout kann auch 300 Sekunden sein und nur ein Kanal soll genutzt werden! Weiter mit der Router2 Config im nächsten Post... Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 20. Dezember 2004 Autor Melden Teilen Geschrieben 20. Dezember 2004 Router2 - Router der Hauptgeschäftsstelle Anforderungen an den Router: 1. WAN IP = 10.0.0.1/8; LAN IP = 192.168.10.253/24 2. Er soll nur incomming Calls annehmen, selber aber nicht wählen. 3. Idle Timeout soll 300 Sekunden sein, bei Last soll sich der zweite Kanal dynamisch zu und wieder abschalten (siehe Router 1). hostname router2 ! boot-start-marker boot-end-marker ! logging buffered 8192 debugging <-- Was hat dieser Eintrag hier zu suchen, was macht er für "böse" Sachen?? enable secret XXXX. ! username ferdihof password XXXXXXXXX username torgelow password XXXXXXXXX no aaa new-model ip subnet-zero no ip source-route ! isdn switch-type basic-1tr6 ! ! ! interface Ethernet0 ip address 192.168.10.253 255.255.255.0 ip access-group 121 in no ip proxy-arp ! interface BRI0 no ip address encapsulation ppp dialer pool-member 1 isdn switch-type basic-1tr6 ppp authentication chap pap callin ppp multilink ! interface Dialer1 description RCN ip unnumbered Ethernet0 <-- Hier ist die IP unnumbered, passt doch irgendwie nicht zur Config des Router1 oder? ip access-group 121 in no ip proxy-arp encapsulation ppp no ip split-horizon dialer pool 1 dialer remote-name router1 dialer idle-timeout 300 dialer string vorwahl+msn class DialClass dialer string vorwahl+msn class DialClass dialer hold-queue 10 dialer load-threshold 10 either dialer-group 1 ppp authentication chap pap callin ppp chap hostname remotedial ppp chap password XXXXXXXX ppp pap sent-username remotedial password XXXXXXXX ppp multilink ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ip http server ! ! map-class dialer DialClass access-list 121 deny udp any eq netbios-dgm any access-list 121 deny udp any eq netbios-ns any access-list 121 deny udp any eq netbios-ss any access-list 121 deny tcp any eq 137 any access-list 121 deny tcp any eq 138 any access-list 121 deny tcp any eq 139 any access-list 121 permit ip any any time-range TIME dialer-list 1 protocol ip permit ! line con 0 exec-timeout 120 0 transport preferred all transport output all stopbits 1 line vty 0 4 exec-timeout 0 0 login local transport preferred all transport input all transport output all ! ! time-range TIME periodic daily 0:00 to 23:59 ! ! end Auch hier fehlt noch RAS, wobei auch in diesem Fall die IP an den RAS Client automatisch vergeben werden soll. Die Authentifierzierung soll über CHAP laufen. Idle Timeout bleibt 300 Sekunden nur ein Kanal wird genutzt. Für Anregungen jeder Art bin ich dankbar! Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 21. Dezember 2004 Melden Teilen Geschrieben 21. Dezember 2004 hi Wolke2k4 Wie ich sehe hast Du bereits angefangen zu konfigurieren. Das ist doch schon mal ein Anfang. Wie Du Dir sicherlich denken kannst bin ich auch voll im Weihnachts-Stress ! Deshalb hatte ich am Wochenende auch kaum Zeit. Teil 1. Aber soviel schon mal vorab. Original geschrieben von Wolke2k4 1. WAN IP = 10.0.0.2/8; Warum verwendest Du für einen Router - Router Connect ein so großes Netz ! Soetwas kann sich später bei einer wachsenden Routingstruktur fürchterlich rächen. In Deinem Beispiel könntest Du somit eventuell später kein privates Netz aus dem Bereich 10.0.0.0 / 8 mehr routen, da dieses Netz bereits geroutet wird. Verwende hier lieber ein Netz mit einer 30 Bit Maske (255.255.255.252) 2 Hosts. MfG Mr. Oiso Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 21. Dezember 2004 Melden Teilen Geschrieben 21. Dezember 2004 hi Wolke2k4 Teil 2. Original geschrieben von Wolke2k4 username user1 password XXXXXX username user2 password XXXXXX <-- Warum werden hier sowohl Username und Passwort für beide Router angegeben??? Hierfür gibt es mehrere Gründe ! Erstens macht es die lokale User-Verwaltung übesichtlicher. Zweitens benötigst Du sonst eine Authentifizierung der Router zueinander via enable secret password welches privelege 15 besitzt, muss nicht sein ! Privelege 15 sollte allein die Person besitzen, welche den Router administriert. Drittens benötigst Du in der dialer map konfiguration nachher einen Namen um unterschiedliche User in einem dialer interface zusammenzufassen. In diesem dialer Interface läst sich dann schlecht mit nur einem chap passwort oder host arbeiten. MfG Mr. Oiso Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 21. Dezember 2004 Melden Teilen Geschrieben 21. Dezember 2004 hi Wolke2k4 Teil 3. Original geschrieben von Wolke2k4 isdn switch-type basic-1tr6 <-- DerSwitch-Type sollte für einen ganz normalen ISDN Mehrgeräteanschluss richtig sein oder? Dem ist leider nicht mehr so ! 1tr6 ist bereits veraltet. Für die basic ISDN konfiguration in Deutschland hat man sich mit der Weile auf basic-net3 geeinigt. MfG Mr. Oiso Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 21. Dezember 2004 Melden Teilen Geschrieben 21. Dezember 2004 hi Wolke2k4 Teil 4. Original geschrieben von Wolke2k4 ppp authentication chap pap callin <-- ist das Callin an dieser Stelle richtig? Der Router soll schliesslich nur wählen und nicht angewählt werden, ausser beim RAS. Cisco's chap Implementation sieht in der Regel eine 1Weg Authentifizierung vor. (unidirectional) 1 Weg (client calling) = ppp authentication chap callin 1 Weg (NAS called) = ppp authentication chap 2 Weg (client calling) = ppp authentication chap 2 Weg (NAS called) = ppp authentication chap Der Zusatz callin wird auf dem anrufenden Device konfiguriert und konfiguriert den anrufenden Router so, dass er eine Authentifizierung des angerufenen Router nicht mehr benötigt. Bei einem 2 Weg Chap fordert der Client vom Server ebenfalls eine Authentifizierung ein. MfG Mr. Oiso Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 21. Dezember 2004 Melden Teilen Geschrieben 21. Dezember 2004 hi Wolke2k4 Teil 5. Original geschrieben von Wolke2k4 interface Dialer1 description RCN ip address negotiated <-- Sollte hier nicht die WAN IP stehen? ip access-group 121 in no ip proxy-arp encapsulation ppp no ip split-horizon dialer pool 1 dialer remote-name router2 dialer idle-timeout 300 dialer string vorwahl+msn class DialClass dialer string vorwahl+msn class DialClass dialer hold-queue 10 dialer load-threshold 10 either <-- Reicht der Wert 10? Ab wann würde sich der zweite Kanal dazu schalten? dialer-group 1 ppp authentication chap pap callin ppp chap hostname remotedial ppp chap password XXXXX ppp pap sent-username remotedial password XXXXXXX ppp multilink Ja ! Hier sollte die WAN IP stehen ! z.B. 10.10.10.1 255.255.255.252 hier benötigst Du dann nicht mehr : dialer remote-name router2 dialer string vorwahl+msn class DialClass dialer string vorwahl+msn class DialClass ppp chap hostname remotedial ppp chap password XXXXX ppp pap sent-username remotedial password XXXXXXX Den ppp pap command kannst Du Dir sparen, da Du Dich auf chap festlegen solltest ! Und die restlichen commands ersetzt Du durch dialer map ip 10.10.10.2 name user1 broadcast Tel.Nr. fertig ! MfG Mr. Oiso Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.