Jump to content

Cisco 801, Withpaper für LAN2LAN Kopplung?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Moin zusammen,

 

nachdem ich mein CCNA vor knapp 1 1/2 Jahren gemacht habe wird es nun "ernst".

 

Ich muss demnächst eine LAN2LAN Kopplung mit zwei Cisco 801 realisieren. Dazu muss, logischerweise, irgendeine Config für beide Router her. Meine Frage: Gibt es ein Withepaper für die Einrichtung einer Config für eine LAN2LAN Kopplung auf einem 801 (idealerweise auch mit RAS Einwahl)? Was ist mit dem Config Maker???

Ich habe schon einen kleinen Blick auf die Cisco Seiten geworfen aber so richtig fündig wurde ich noch.

Theoretisch sollte aber diese Doku auf den 801 anwendbar sein????

 

Ein paar Befehle werde ich sicher noch hinbekommen aber für das Einrichten einer Router-Router ISDN Wählverbindung wird es nicht ganz reichen...

Link to comment

hi Wolke2k4

 

Schon lange her der CCNA ! ;)

 

O.k.

Use this link :

http://www.cisco.com/en/US/tech/tk801/tk379/technologies_configuration_example09186a0080094091.shtml

 

Oder hast Du eventuell nen CCO Zugang ?

 

Ansonsten mach doch mal ne Skizze, damit die Board User wissen wo es hingehen soll !

 

IOS Versionen ? Features ? IDS ? Security ?

 

MfG

 

Mr. Oiso

Link to comment

Da gibt es nicht viel zu erzählen.

 

Router 1 in Außenstelle

Router 2 in Hauptstandort

 

Entfernung ca. 20 - 30km

 

Die Einwahl soll nur von der Außenstelle erfolgen, da diese via RDP auf den Terminalserver zugreift. Idle Timeout = 5 min und natürlich BoD also dynamic channel bundling (ich hoffe der 801 kann das auch)...

 

Und ganz WICHTIG: RAS Einwahl auf beiden Routern!!!

 

Danke erstmal für die Links!

Link to comment

hi Wolke2k4

 

O.k. soviel ist klar !

Der 800 Cisco wird das schon richten !

Jedoch noch ein paar fragen.

Was ist z.B. mit den Telefonkosten ?

Soll der Router 2 eventuell alle Anrufer zurückrufen ?

Callback ? Wie sieht es aus mit der Kanalbündelung ?

Wenn Du einen standard 801 Router hast, dann hast Du

in der Regel nur ein BRI, und sollte darüber die Anbindung

der Aussenstelle stehen, kann sich keiner mehr wie RAS

einwählen ! Gilt es halt da etwas zu beachten ?

Soll eventuell die Aussenstelle über load-threshold die Kanalbündelung aushandeln um einen B-Kanal in reserve

für eine RAS Einwahl zu haben. Oder soll eine RAS Verbindung

höher priorisiert werden um auch eine Einwahl zu ermöglichen

wenn die Aussenstelle beide Kanäle besetzt ?

Was ist mit den RAS Client ? Soll die Nummer überprüft werden ?

DHCP oder Feste IP ? (Könnte eventuell die Nr. Überprüfung ersetzen)

DHCP konfiguriert man in der Regel mit einem dialer pool,

für Rückruf wäre eine rotary-group von nöten.

Jedoch würde ich eher zu zwei dialer gruppen tendieren und

via dialer map ip die Adr. fest vergeben !

Damit lässt sich in der Regel anschließen eine Access-List besser

festzurren, weil Du, so denke ich dies tun must um eine 128KB

Verbindung der Aussenstelle mit einem idle-timeout von 5min

auch mal austimen lassen solltest, damit eine RAS Einwahl wieder möglich wird !

 

ein Beispiel:

 

interface Ethernet0

description connected to Vlan 186

ip address 192.168.186.203 255.255.255.0

no ip directed-broadcast

!

interface BRI0

bandwidth 128

no ip address

ip directed-broadcast

encapsulation ppp

dialer rotary-group 1

dialer-group 2

isdn switch-type basic-net3

isdn send-alerting

isdn sending-complete

isdn static-tei 0

fair-queue 64 16 0

compress mppc

!

interface Dialer1

bandwidth 128

ip address 10.93.78.153 255.255.255.0

no ip directed-broadcast

encapsulation ppp

no keepalive

dialer in-band

dialer enable-timeout 3

dialer map ip 193.101.76.222 name X class osm 02018955800

dialer map ip 200.1.2.10 name Y class gwi broadcast 0651826130

dialer map ip 192.168.186.194 name Z broadcast 05407808574

dialer map ip 192.168.186.209 name ciscotac class gwi broadcast

dialer map ip 10.93.77.1 name S class gwi 02284225000

dialer hold-queue 10

dialer-group 1

fair-queue 64 16 0

compress mppc

ppp callback accept

ppp authentication chap

ppp multilink

!

interface Dialer2

bandwidth 64

ip address 10.93.78.155 255.255.255.0

no ip directed-broadcast

encapsulation ppp

dialer in-band

dialer enable-timeout 10

dialer map ip 192.168.186.201 name gateete class ete

dialer map ip 192.168.186.202 name etegate class ete

dialer map ip 172.25.0.111 name SNMP-MHO class ete 05401831247

dialer hold-queue 50

dialer-group 2

no fair-queue

compress mppc

ppp authentication chap

!

 

In diesem Beispiel sind in Gruppe 1 alle User Zusammen, die eine

Kanalbündelung benötigen oder verwenden dürfen und auch Zurückgerufen werden.

In Gruppe 2 lediglich RAS Einwahl ohen Rückruf und nur 64K !

 

MfG

 

 

Mr. Oiso

Link to comment

Jedoch noch ein paar fragen.

Was ist z.B. mit den Telefonkosten ?

Die werden durch den 12Cent/Stunde Tarif der Telekom schön niedrig gehalten. Ein Idle Timeout von 15 Minuten würde sich in diesem Fall empfehlen.

 

 

Soll der Router 2 eventuell alle Anrufer zurückrufen ?

Callback ?

Nein. Nur Router 1 soll Router 2 anwählen. Die Kosten trägt der Standort mit dem Router 1. Callback ist in diesem Fall also nicht nötig.

Für RAS darf es unbedingt Callback sein. Schliesslich müssen wir unsere Telefonrechnung nicht unnötig belasten... ;)

 

Wie sieht es aus mit der Kanalbündelung ?

Ganz heisses Thema! Muss in jedem Fall realisiert werden, da bei größeren Drucks entsprechend mehr Daten anfallen!

 

Wenn Du einen standard 801 Router hast, dann hast Du

in der Regel nur ein BRI, und sollte darüber die Anbindung der Aussenstelle stehen, kann sich keiner mehr wie RAS

einwählen!

Schon klar soweit. Solange beide Kanäle besetzt sind ist auch kein rein und raus mehr über RAS oder dergleichen. Da wir aber zunächst davon ausgehen, dass hauptsächlich nur jeweils einer der beiden B Kanäle genutzt wird ist das schon ok so. Es wird ja auch nicht rund um die Uhr über die Leitung gearbeitet. RAS ist nur für remote Administration gedacht (allerdings auf beiden Routern).

 

Soll eventuell die Aussenstelle über load-threshold die Kanalbündelung aushandeln um einen B-Kanal in reserve

für eine RAS Einwahl zu haben.

 

Bei anderen Router Herstellern heisst es BoD (Bandwidth on Demand) oder dynamic channel bundling. Ich nehme mal an, dass es bei Cisco der load-threshold.

Wie oben geschrieben soll der zweite Kanal dynamisch bei erhöhtem Datenverkehr zugeschaltet werden

 

Oder soll eine RAS Verbindung höher priorisiert werden um auch eine Einwahl zu ermöglichen wenn die Aussenstelle beide Kanäle besetzt ?

Ist nicht nötig.

 

Was ist mit den RAS Client ? Soll die Nummer überprüft werden ?

Wäre in diesem Fall eine eine einfache Fritzcard. CLID ist nicht nötig.

 

 

DHCP oder Feste IP ? (Könnte eventuell die Nr. Überprüfung ersetzen) DHCP konfiguriert man in der Regel mit einem dialer pool, für Rückruf wäre eine rotary-group von nöten.

Wäre schon toll, wenn der Router die IP für den RAS Zugang selbst vergibt. Für die Router-Router Verbindung reicht es, wenn die beiden Netze über eine entsprechende Route miteinander verbunden werden. RIP wäre überzogen...

 

Jedoch würde ich eher zu zwei dialer gruppen tendieren und via dialer map ip die Adr. fest vergeben!

Damit lässt sich in der Regel anschließen eine Access-List besser festzurren, weil Du, so denke ich dies tun must um eine 128KB Verbindung der Aussenstelle mit einem idle-timeout von 5min auch mal austimen lassen solltest, damit eine RAS Einwahl wieder möglich wird !

 

Nur zur Sicherheit noch mal. Es soll zunächst nur EIN Kanal genutzt werden. NUR bei Last soll sich der zweite Kanal dynamisch zu und später selber wieder abbauen (und dies auch nur für die Router-Router Verbindung, für RAS reicht ein Kanal)...

 

Ich danke Dir erstmal für diese Beispielconfig. Wenn ich die Hübschen hier habe setze ich mich bei Gelegenheit ran. Hättest du eine Beispielconfig, die die oben genannten Punkte berücksichtigt?

Link to comment

hi Wolke2k4

 

Super ! Jetzt weiß ich was Du willst.

Nur eine Frage noch ! :confused:

Hast Du im Hauptstandort eventuell DHCP/DNS/WINS etc.

zur Verfügung, welche Du für die Client's nutzbar machen willst ?

 

Siehe dazu auch :

http://www.mcseboard.de/showthread.php?s=&threadid=50903

 

Habe ich hier mal vorgeschlagen !

 

Mit diesen Info`s kann ich nun aktiv werden !

Habe da Heim selbst einen 801 und werde Dir am Weekend mal eine Config bauen !

Eher geht leider nicht, da ich ab heute Mittag noch nen Thermin

habe und morgen auch voll ausgebucht bin. :cry:

 

Wenn's also recht ist, Montag auf diesem Kanal ! :D

 

 

Einen schönen 4. Advent !

 

MfG

 

Mr. Oiso

Link to comment

Hast Du im Hauptstandort eventuell DHCP/DNS/WINS etc.

zur Verfügung, welche Du für die Client's nutzbar machen willst ?

 

Gibt es erstmal nicht...

 

 

Mit diesen Info`s kann ich nun aktiv werden!

Habe da Heim selbst einen 801 und werde Dir am Weekend mal eine Config bauen ! Eher geht leider nicht, da ich ab heute Mittag noch nen Thermin habe und morgen auch voll ausgebucht bin. :cry:

 

Wenn's also recht ist, Montag auf diesem Kanal ! :D

 

Das ist mehr als ich verlangen kann, thx!!!!!!

Link to comment

So ich hab mir mal zwei Config zusammengebastelt (zugegeben mit Cisco Fast Step).

Ich schreibe mal die jeweiligen Anforderungen dazu und das was noch fehlt.

Vielleicht kann mir ja noch jemand auf die Sprünge helfen.

 

 

Router1 - Router der Außenstelle

 

Anforderungen an den Router:

 

1. WAN IP = 10.0.0.2/8; LAN IP = 192.168.190.253/24

2. Soll den Hauptrouter zunächst mit 64Kbit/s anwählen, wenn Zugriff auf Ressourcen der Hauptstelle erfolgt.

3. Idle Timeout soll 300 Sekunden sein, bei Last soll sich der zweite Kanal dynamisch zu und wieder abschalten.

 

 

hostname router1

!

boot-start-marker

boot-end-marker

!

enable secret XXXXXX

!

username user1 password XXXXXX

username user2 password XXXXXX <-- Warum werden hier sowohl Username und Passwort für beide Router angegeben???

no aaa new-model

ip subnet-zero

no ip source-route

!

isdn switch-type basic-1tr6 <-- DerSwitch-Type sollte für einen ganz normalen ISDN Mehrgeräteanschluss richtig sein oder?

!

!

!

interface Ethernet0

ip address 192.168.190.253 255.255.255.0

ip access-group 121 in

no ip proxy-arp

!

interface BRI0

no ip address

encapsulation ppp

dialer pool-member 1

isdn switch-type basic-1tr6

ppp authentication chap pap callin <-- ist das Callin an dieser Stelle richtig? Der Router soll schliesslich nur wählen und nicht angewählt werden, ausser beim RAS.

ppp multilink

!

interface Dialer1

description RCN

ip address negotiated <-- Sollte hier nicht die WAN IP stehen?

ip access-group 121 in

no ip proxy-arp

encapsulation ppp

no ip split-horizon

dialer pool 1

dialer remote-name router2

dialer idle-timeout 300

dialer string vorwahl+msn class DialClass

dialer string vorwahl+msn class DialClass

dialer hold-queue 10

dialer load-threshold 10 either <-- Reicht der Wert 10? Ab wann würde sich der zweite Kanal dazu schalten?

dialer-group 1

ppp authentication chap pap callin

ppp chap hostname remotedial

ppp chap password XXXXX

ppp pap sent-username remotedial password XXXXXXX

ppp multilink

!

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1 <-- Wenn ich mich nicht täusche sollte dies die kriegsentscheidene Route sein, die sämtliche Pakete über die ISDN Leitung zum Router 2 schickt??

ip http server

!

!

map-class dialer DialClass

access-list 121 deny udp any eq netbios-dgm any

access-list 121 deny udp any eq netbios-ns any

access-list 121 deny udp any eq netbios-ss any

access-list 121 deny tcp any eq 137 any

access-list 121 deny tcp any eq 138 any

access-list 121 deny tcp any eq 139 any

access-list 121 permit ip any any time-range TIME

dialer-list 1 protocol ip permit

!

line con 0

exec-timeout 120 0

transport preferred all

transport output all

stopbits 1

line vty 0 4

exec-timeout 0 0

login local

transport preferred all

transport input all

transport output all

!

!

time-range TIME

periodic daily 0:00 to 23:59

!

!

end

 

Theoretisch wäre die Config an sich schon ok oder gibt es Einwände bzw. Kommentare zu meinen Fragen in der Config?

 

Was fehlt ist noch ein RAS Zugang, wobei die IP an den RAS Client automatisch vergeben werden soll (CHAP). Idle Timeout kann auch 300 Sekunden sein und nur ein Kanal soll genutzt werden!

 

Weiter mit der Router2 Config im nächsten Post...

Link to comment

Router2 - Router der Hauptgeschäftsstelle

 

Anforderungen an den Router:

 

1. WAN IP = 10.0.0.1/8; LAN IP = 192.168.10.253/24

2. Er soll nur incomming Calls annehmen, selber aber nicht wählen.

3. Idle Timeout soll 300 Sekunden sein, bei Last soll sich der zweite Kanal dynamisch zu und wieder abschalten (siehe Router 1).

 

 

hostname router2

!

boot-start-marker

boot-end-marker

!

logging buffered 8192 debugging <-- Was hat dieser Eintrag hier zu suchen, was macht er für "böse" Sachen??

enable secret XXXX.

!

username ferdihof password XXXXXXXXX

username torgelow password XXXXXXXXX

no aaa new-model

ip subnet-zero

no ip source-route

!

isdn switch-type basic-1tr6

!

!

!

interface Ethernet0

ip address 192.168.10.253 255.255.255.0

ip access-group 121 in

no ip proxy-arp

!

interface BRI0

no ip address

encapsulation ppp

dialer pool-member 1

isdn switch-type basic-1tr6

ppp authentication chap pap callin

ppp multilink

!

interface Dialer1

description RCN

ip unnumbered Ethernet0 <-- Hier ist die IP unnumbered, passt doch irgendwie nicht zur Config des Router1 oder?

ip access-group 121 in

no ip proxy-arp

encapsulation ppp

no ip split-horizon

dialer pool 1

dialer remote-name router1

dialer idle-timeout 300

dialer string vorwahl+msn class DialClass

dialer string vorwahl+msn class DialClass

dialer hold-queue 10

dialer load-threshold 10 either

dialer-group 1

ppp authentication chap pap callin

ppp chap hostname remotedial

ppp chap password XXXXXXXX

ppp pap sent-username remotedial password XXXXXXXX

ppp multilink

!

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

ip http server

!

!

map-class dialer DialClass

access-list 121 deny udp any eq netbios-dgm any

access-list 121 deny udp any eq netbios-ns any

access-list 121 deny udp any eq netbios-ss any

access-list 121 deny tcp any eq 137 any

access-list 121 deny tcp any eq 138 any

access-list 121 deny tcp any eq 139 any

access-list 121 permit ip any any time-range TIME

dialer-list 1 protocol ip permit

!

line con 0

exec-timeout 120 0

transport preferred all

transport output all

stopbits 1

line vty 0 4

exec-timeout 0 0

login local

transport preferred all

transport input all

transport output all

!

!

time-range TIME

periodic daily 0:00 to 23:59

!

!

end

 

 

Auch hier fehlt noch RAS, wobei auch in diesem Fall die IP an den RAS Client automatisch vergeben werden soll. Die Authentifierzierung soll über CHAP laufen. Idle Timeout bleibt 300 Sekunden nur ein Kanal wird genutzt.

 

Für Anregungen jeder Art bin ich dankbar!

Link to comment

hi Wolke2k4

 

Wie ich sehe hast Du bereits angefangen zu konfigurieren.

Das ist doch schon mal ein Anfang.

 

Wie Du Dir sicherlich denken kannst bin ich auch voll im Weihnachts-Stress ! Deshalb hatte ich am Wochenende auch kaum Zeit.

 

 

Teil 1.

 

Aber soviel schon mal vorab.

 

Original geschrieben von Wolke2k4

1. WAN IP = 10.0.0.2/8;

 

Warum verwendest Du für einen Router - Router Connect ein so großes Netz ! Soetwas kann sich später bei einer wachsenden

Routingstruktur fürchterlich rächen. In Deinem Beispiel könntest Du somit eventuell später kein privates Netz aus dem Bereich

10.0.0.0 / 8 mehr routen, da dieses Netz bereits geroutet wird.

Verwende hier lieber ein Netz mit einer 30 Bit Maske (255.255.255.252) 2 Hosts.

 

MfG

 

Mr. Oiso

Link to comment

hi Wolke2k4

 

Teil 2.

 

Original geschrieben von Wolke2k4

username user1 password XXXXXX

username user2 password XXXXXX <-- Warum werden hier sowohl Username und Passwort für beide Router angegeben???

 

Hierfür gibt es mehrere Gründe !

Erstens macht es die lokale User-Verwaltung übesichtlicher.

Zweitens benötigst Du sonst eine Authentifizierung der Router zueinander via enable secret password welches privelege 15 besitzt, muss nicht sein ! Privelege 15 sollte allein die Person besitzen, welche den Router administriert.

Drittens benötigst Du in der dialer map konfiguration nachher einen Namen um unterschiedliche User in einem dialer interface zusammenzufassen. In diesem dialer Interface läst sich dann schlecht mit nur einem chap passwort oder host arbeiten.

 

MfG

 

Mr. Oiso

Link to comment

hi Wolke2k4

 

Teil 3.

 

Original geschrieben von Wolke2k4

isdn switch-type basic-1tr6 <-- DerSwitch-Type sollte für einen ganz normalen ISDN Mehrgeräteanschluss richtig sein oder?

 

Dem ist leider nicht mehr so !

1tr6 ist bereits veraltet. Für die basic ISDN konfiguration in Deutschland hat man sich mit der Weile auf basic-net3 geeinigt.

 

MfG

 

Mr. Oiso

Link to comment

hi Wolke2k4

 

Teil 4.

 

Original geschrieben von Wolke2k4

ppp authentication chap pap callin <-- ist das Callin an dieser Stelle richtig? Der Router soll schliesslich nur wählen und nicht angewählt werden, ausser beim RAS.

 

Cisco's chap Implementation sieht in der Regel eine 1Weg

Authentifizierung vor. (unidirectional)

 

 

1 Weg (client calling) = ppp authentication chap callin

1 Weg (NAS called) = ppp authentication chap

2 Weg (client calling) = ppp authentication chap

2 Weg (NAS called) = ppp authentication chap

 

Der Zusatz callin wird auf dem anrufenden Device konfiguriert und konfiguriert den anrufenden Router so, dass er eine Authentifizierung des angerufenen Router nicht mehr benötigt.

Bei einem 2 Weg Chap fordert der Client vom Server ebenfalls eine Authentifizierung ein.

 

 

MfG

 

Mr. Oiso

Link to comment

hi Wolke2k4

 

Teil 5.

 

Original geschrieben von Wolke2k4

interface Dialer1

description RCN

ip address negotiated <-- Sollte hier nicht die WAN IP stehen?

ip access-group 121 in

no ip proxy-arp

encapsulation ppp

no ip split-horizon

dialer pool 1

dialer remote-name router2

dialer idle-timeout 300

dialer string vorwahl+msn class DialClass

dialer string vorwahl+msn class DialClass

dialer hold-queue 10

dialer load-threshold 10 either <-- Reicht der Wert 10? Ab wann würde sich der zweite Kanal dazu schalten?

dialer-group 1

ppp authentication chap pap callin

ppp chap hostname remotedial

ppp chap password XXXXX

ppp pap sent-username remotedial password XXXXXXX

ppp multilink

 

Ja ! Hier sollte die WAN IP stehen !

z.B. 10.10.10.1 255.255.255.252

hier benötigst Du dann nicht mehr :

dialer remote-name router2

dialer string vorwahl+msn class DialClass

dialer string vorwahl+msn class DialClass

ppp chap hostname remotedial

ppp chap password XXXXX

ppp pap sent-username remotedial password XXXXXXX

 

Den ppp pap command kannst Du Dir sparen, da Du Dich auf chap

festlegen solltest !

Und die restlichen commands ersetzt Du durch

dialer map ip 10.10.10.2 name user1 broadcast Tel.Nr.

 

fertig !

 

MfG

 

Mr. Oiso

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...