Jump to content

Cisco 881-Sec-K9


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

;-) Dachte ich schreib das hier zu, dass leute die nach dem selben suchen, die Antworten finden und nicht nochmal neu Fragen müssen ;-)

 

Mir is klar, dass man an einem Privatmenschen nichts verdienen kann... aber für den Fall der Fälle wäre es halt interessant.

 

Hinter dem Router werde ich ja mein 3750-TS-S tun. Der is schon configuriert, aber auf PIM-sparse-dense-mode.

 

Gibt das Probleme, wenn ich meinem Router einen RP zuweise?

Link zu diesem Kommentar

hm... mich würde interessieren, wie die implementation - so wie ich es in linux habe - auf dem cisco aussehen würde.

 

Wir erinnern uns, der vyatta router hat folgende config:

 

interfaces {
   ethernet eth0 {
       address 192.168.0.1/24
       description Localnet.Intranet.PainNet
       hw-id 00:40:ca:00:c0:00
   }
   ethernet eth1 {
       description Wanconnect.Internet.PainNet
       hw-id 00:02:b3:00:00:2e
       vif 7 {
           description Public.Internet.PainNet
           firewall {
           }
           pppoe 1 {
               default-route auto
               firewall {
                   in {
                       name Chain_IN
                   }
                   local {
                       name Chain_Local
                   }
               }
               name-server none
               password MeinPasswortHalt
               user-id MeineKennungHalt#0001@t-online.de
           }
       }
       vif 8 {
           address dhcp
           description IPTV.Internet.PainNet
           firewall {
               in {
                   name Chain_IN
               }
               out {
                   name Chain_Local
               }
           }
       }
   }
   ethernet eth2 {
       duplex auto
       hw-id 00:03:47:00:00:35
   }
   loopback lo {
   }
}

Link zu diesem Kommentar

Das ich dann IPTV schauen kann, habe ich den IGMPProxy installiert und hierfür folgende config:

 

quickleave
phyint eth1.8 upstream  ratelimit 0  threshold 1
altnet 217.6.164.42/32
altnet 194.25.134.197/32
phyint eth0  downstream  ratelimit 0  threshold 1
altnet 192.168.0.11/24
altnet 192.168.0.12/24
phyint eth1 disabled
phyint eth1.7 disabled
phyint eth2
phyint lo disabled
phyint lo disabled
phyint pppoe1 disabled

 

Wichtig ist, dass auf der VLAN ID8 der Zugang zum IPTV gelöst ist, dieser erhält seine Routingeinträge via DHCP, so sollte das auf dem Cisco auch passieren. Auf einer Physikalischen Interface werden 2 virtuelle aufgebaut. ID7 macht eine pppoe Verbindung auf, wie sie auch im dsl standart ist. Man braucht IMMER tagged packete auf der WAN Seite, dass das funktioniert. Nun muss man noch das IPTV machen, via Multicast IGMPv3 und dem Proxy auf ID8. Das muss ins interne Netz.

Die zuvor gepostete Config eines lieben Forenkollegen lautet hier wie folgt:

 

Die verwendete Linux Version ist Vyatta VC 5.0.2

 

Wenn ja, wie bekomme ich den RP heraus und ist dieser statisch?

 

Man muss auch noch etwas in der Firewall einstellen, dass das funktioniert, in vyatta sieht das so aus:

 

Firewall "Chain_IN":

Active on (eth1.8,IN) (eth1,IN)

State Codes: E - Established, I - Invalid, N - New, R - Related

rule  action  source              destination         proto  state
----  ------  ------              -----------         -----  -----
1     ACCEPT  217.0.119.0/24      224.0.0.0/4                any
2     ACCEPT  193.158.35.0/24     224.0.0.0/4                any
3     ACCEPT  239.35.0.0/16       224.0.0.0/4                any
4     ACCEPT  0.0.0.0/0           224.0.0.0/4                any
5     ACCEPT  0.0.0.0/0           0.0.0.0/0                  E,R
6     ACCEPT  0.0.0.0/0           0.0.0.0/0           udp    any
             src ports: 5060
                                 dst ports: 5060
7     ACCEPT  0.0.0.0/0           192.168.0.2         udp    any
             src ports: 10000-12000
8     ACCEPT  0.0.0.0/0           0.0.0.0/0           tcp    any
             src ports: 10000
                                 dst ports: 10000
1025  DROP    0.0.0.0/0           0.0.0.0/0           all    any

--------------------------------------------------------------------------------
Firewall "Chain_Local":

Active on (eth1.8,OUT) (eth1,LOCAL)

State Codes: E - Established, I - Invalid, N - New, R - Related

rule  action  source              destination         proto  state
----  ------  ------              -----------         -----  -----
1     ACCEPT  0.0.0.0/0           224.0.0.0/4                any
2     ACCEPT  0.0.0.0/0           0.0.0.0/0                  E,R
1025  DROP    0.0.0.0/0           0.0.0.0/0           all    any

 

Zudem wäre es noch interessant, wie ich QoS für Multicast traffic lösen kann.

 

Der daran hängende Switch ist ein bereits configurierter C3750-TS-S

 

Könnt ihr mir dabei bitte etwas helfen? Mangels des Routers, da dieser noch 1 1/2 Wochen Lieferzeit hat, kann ich das nicht hier ausprobieren. Wenn es jedoch nach Plan läuft, hätte ich die Konfig Fertig, bevor ich den Router habe und könnte dann das als HowTo auch für andere zur Verfügung haben ( Verweis auf diesen Thread, nicht mit fremden Federn geschmückt ).

 

Ich bin nereits auf das "Zielnetz" umgestellt worden, was etwaige durch google zu findenden Möglichkeiten/Anleitungen weitestgehend unbrauchbar macht.

 

Hat mir jemand den notingen "Denkanstoss", so dass wir zusammen zur gesuchten Konfiguration kommen?

 

Danke schonmal im voraus!

Link zu diesem Kommentar

Im Startnetz sieht eine funktionierende config für einen 1802 folgendermaßen aus:

 

ip cef
ip multicast-routing
no ipv6 cef
!
ip tcp mss 1452
ip tcp path-mtu-discovery
!
interface FastEthernet0/0
description switch uplink
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly max-reassemblies 512
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/0.1
description default vlan 1
encapsulation dot1Q 1 native
ip address 192.168.1.1 255.255.255.0
ip access-group 103 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip pim sparse-mode
ip nat inside
ip virtual-reassembly
ip igmp helper-address 217.0.119.41
ip igmp version 3
!
interface FastEthernet0/1
description modem uplink
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly max-reassemblies 512
load-interval 30
duplex auto
speed auto
no cdp enable
no mop enabled
!
interface FastEthernet0/1.7
description vdsl vlan
bandwidth 100000
encapsulation dot1Q 7
ip virtual-reassembly
pppoe enable group global
pppoe-client dial-pool-number 1
no cdp enable
!
interface Dialer1
description t-online
mtu 1492
bandwidth 51384
bandwidth receive 10044
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip nbar protocol-discovery
ip pim dense-mode
ip nat outside
ip virtual-reassembly max-reassemblies 512
encapsulation ppp
ip tcp adjust-mss 1452
ip igmp helper-address 217.0.119.41
ip igmp version 3
ip igmp query-interval 15
dialer pool 1
dialer idle-timeout 0
dialer persistent
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username fernsehgucker@t-online.de password 0 schwarzseher
crypto map vpnmap
service-policy output shaping
!
ip route 0.0.0.0 0.0.0.0 Dialer1
ip pim rp-address 217.0.119.41
ip nat inside source route-map natpool interface Dialer1 overload
!
logging history debugging
access-list 100 remark nat overload
access-list 100 deny ip 192.168.1.0 0.0.0.255 10.0.1.0 0.0.0.255
access-list 100 deny ip 192.168.2.0 0.0.0.255 10.0.1.0 0.0.0.255
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 100 permit ip 192.168.2.0 0.0.0.255 any
access-list 103 remark Vlan1 anti-spoofing
access-list 103 deny ip 192.168.2.0 0.0.0.255 any
access-list 103 deny ip 127.0.0.0 0.255.255.255 any
access-list 103 permit igmp any any
access-list 103 permit ip any any
access-list 104 remark Vlan2 anti-spoofing
access-list 104 deny ip 192.168.1.0 0.0.0.255 any
access-list 104 deny ip 127.0.0.0 0.255.255.255 any
access-list 104 permit igmp any any
access-list 104 permit ip any any
dialer-list 1 protocol ip permit

 

Im Zielnetz ist es aber wie oben beschrieben die ID 8 für IPTV.

 

Wie sieht die konfiguration für das Zielnetz aus, unter Berücksichtigung meiner config aus dem vyatta linux router?

Link zu diesem Kommentar

Hat jemand ne Idee, bzw. kann die Konfig auf nem Laborgerät prüfen, die man benötigt, um die oben benannte Konfig für das Startnetz in Anlehnung auf die funktionierende Vyatta Linux Konfiguration vom Zielnetz in eine funktionierende Cisco Konfiguration für das Zielnetz zu schreiben?

 

Ich bin für jede hilfe dankbar.

 

Grüsse

Link zu diesem Kommentar

Da hast Du recht.

 

Ich benötige vorab aber dringend hilfe, wie ich das hinbekommen soll, dass ich die beiden vlans mache und an vlan 7 tagged packete raussende und daran, also an das vlan, den dialer binde...

 

Ich frage mich nur, wieso das Ding unbedingt 14 Tage lieferzeit haben muss ;-)

 

Die Leistung ist mit 50000 pps angegeben, das müsste doch für 50 mbit internet reichen, oder geht da noch mehr?

 

Grüsse

Link zu diesem Kommentar

Das habe ich ja schon versucht heraus zu bekommen. Also ein Mediareceiver, der SD empfängt, braucht 300 pps. Ein Download einer Linux ISO mit 1,5 MBit braucht 1400 pps. Mit der Umrechnung, ob das dafür reicht, für das was man in nem "normalen" Haushalt so an Internet hat, tu ich mir etwas schwer. Es wird ja von 64 bit Paketen ausgegangen, das mal 8 und mal die 50000. Aber ich denke mir immer, dass bei ner FE Schnittstelle da doch schon Wirespeed drin sein sollte, oder?

Link zu diesem Kommentar

Hi,

 

ich würde dein Vlan 8 Problem als erstes mal damit beginnen - das du ein weiteres SubInterface .8 anlegst und da DHCP drauf machst - da auf dem .7 ja der Dialer ist - sollte das ohne Prob gehen.

 

Und wenn du ihn hast - mit dem Router runspielen und dann berichten - was nicht geht - dann denke ich werde wir dafür ne Lösung finden.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...