Nightwalker_z

Portfast ist auch beinahe zwingend wegen PXE Boot (Netzwerk Boot) notwendig. Wenn der Port erst nach 30 Sekunden wegen STP auf Forwarding geht, ist der spannende Teil schon vorbei (DHCP vom PXE/WDS Server) Ich würde auch auf den BPDUGuard setzen

Ich mutmaße mal es handelt sich um einen Cisco Cat 3020, korrekt? Also ein normaler L2 Switch. Wenn du am BladeCenter im Slot 13 nicht gerade ein ESX Server mit einem Dot1Q Trunk angeschlossen hast, solltest du den Port als Access Port konfigurieren. Sprich: interface GigabitEthernet0/13 switchport mode access switchport access vlan 222 spanning-tree portfast Hat der Server eine Höheneinheit oder zwei?

Hier mal ein Beispiel: interface dot11radio0 encryption vlan 100 mode ciphers aes-ccm broadcast-key vlan 100 change 1000 dot11 ssid WPA2PersonalSSID authentication open vlan 100 authentication key-management wpa wpa-psk ascii VerschluesselungsPasswort interface dot11radio0 ssid WPA2PersonalSSID Und schon hast du das VLAN100 auf die SSID "WPA2PersonalSSID" gemappt Die Verschlüsselung ist WPA2 Personal

Also.... ich habe 2 WLAN Controller vom Typ WLC (f. 100 APs jeweils) im Einsatz. Wenn du den Administrativen Aufwand reduzieren willst, wird dir wohl ne WCS Software nicht erspart bleiben. Wenn die Controller im Fail Over Modus (Redundanz) arbeiten sollen, brauchen Sie die exakt gleiche Konfig. Also entweder du konfigurierst jedes mal bei einer Änderung beide Controller gleich, oder du pflegst die Konfig zentral in der WCS und "pusht" sie zu den Controllern. So garantierst du eine gleiche Config auf beiden Geräten. Grüße Nightwalker_z

Hallo zusammen, kennt jemand die Möglichkeit auf einem Aironet AccessPoint (AIR-AP1232AG-E-K9) mit IOS 12.3(2)JA3, diese stressigen LED's auszuschalten? Das geblinke geht mir langsam richtig auf den Zeiger. :p Greetz Nightwalker_z

Hallo zusammen, da die Cisco Doku bezogen auf die WLAN-AccessPoints ziemlich unvollständig ist, sind hier ein paar Ergänzungen an denen ich ein wenig geknabbert habe. Daran will ich euch natürlich teilhaben lassen :D (Achtung - erst ab IOS 12.3(4)) WEP Verschlüsselung (ohne VLANs) dot11 ssid wlan-wep128 [i]eigener SSID bezeichner (Achtung! Groß- / Kleinschreibung)[/i] authentication open ! interface Dot11Radio0 encryption key 3 size 128bit [i]WEP-Schlüssel(28Hex-Ziffern)[/i] transmit-key encryption mode wep mandatory ssid wlan-wep128 WPA-PSK Verschlüsselung (ohne VLANs) dot11 ssid wlan-wpa-psk [i]eigener SSID bezeichner (Achtung! Groß- / Kleinschreibung)[/i] authentication open authentication key-management wpa wpa-psk ascii [i]WPA-Preshared Key[/i] ! interface Dot11Radio0 encryption mode ciphers tkip broadcast-key change 1500 ssid wlan-wpa-psk WPA2 Personal Verschlüsselung (ohne VLANs) dot11 ssid wlan-wpa2 [i]eigener SSID bezeichner (Achtung! Groß- / Kleinschreibung)[/i] authentication open authentication key-management wpa wpa-psk ascii [i]WPA-Preshared Key[/i] ! interface Dot11Radio0 encryption mode ciphers aes-ccm broadcast-key change 1500 ssid wlan-wpa2 Hier ist noch mal eine gesamte Konfig mit SSID-to-VLAN Mapping mit WEP, WPA-PSK und WPA2 Personal: ! version 12.3 no service pad service timestamps debug datetime localtime service timestamps log datetime localtime service password-encryption ! hostname [i]Name des Access-Points[/i] ! enable secret [i]Enable Secret Passwort [/i] ! ip subnet-zero ip name-server [i]DNS-Server[/i] ! no aaa new-model ! dot11 ssid wlan-wep128 vlan 2 authentication open ! dot11 ssid wlan-wpa-psk vlan 3 authentication open authentication key-management wpa wpa-psk ascii [i]WPA-Preshared Key[/i] ! dot11 ssid wlan-wpa2 vlan 4 authentication open authentication key-management wpa wpa-psk ascii [i]WPA-Preshared Key[/i] ! bridge irb ! ! interface Dot11Radio0 no ip address no ip route-cache ! encryption vlan 2 key 3 size 128bit [i]WEP-Schlüssel(28Hex-Ziffern)[/i] transmit-key ! encryption vlan 2 mode wep mandatory ! encryption vlan 3 mode ciphers tkip [i](WPA-PSK ohne Authentication)[/i] ! encryption vlan 4 mode ciphers aes-ccm [i](WPA2 Personal ohne Authentication)[/i] ! broadcast-key vlan 3 change 1500 ! broadcast-key vlan 4 change 1500 ! ! ssid wlan-wep128 ! ssid wlan-wpa-psk ! ssid wlan-wpa2 ! speed basic-1.0 2.0 5.5 6.0 9.0 11.0 12.0 18.0 24.0 36.0 48.0 54.0 channel 2412 station-role root no dot11 extension aironet no cdp enable bridge-group 1 ! interface Dot11Radio0.2 encapsulation dot1Q 2 no ip route-cache bridge-group 11 ! interface Dot11Radio0.3 encapsulation dot1Q 3 no ip route-cache bridge-group 12 ! interface Dot11Radio0.4 encapsulation dot1Q 4 no ip route-cache bridge-group 13 ! interface FastEthernet0 no ip address no ip route-cache duplex auto speed auto bridge-group 1 ! interface FastEthernet0.2 encapsulation dot1Q 2 no ip route-cache bridge-group 11 ! interface FastEthernet0.3 encapsulation dot1Q 3 no ip route-cache bridge-group 12 ! interface FastEthernet0.4 encapsulation dot1Q 4 no ip route-cache bridge-group 13 ! interface BVI1 ip address [i]Management-IP[/i] [i]Subnetmask[/i] no ip route-cache ! ip default-gateway [i]Default Gateway[/i] no ip http server no ip http secure-server ip radius source-interface BVI1 ! control-plane ! bridge 1 route ip ! ! ! [i]Line CON und Line VTY[/i]

Die SSID wird per default versteckt, ausser du machst einen Guest-Mode AP draus. Einfach nachprüfen mit Netstumbler und Co.... (Ab IOS Version 12.3(4)JA)

Nana, das steht aber alles in den Cisco Dokus für den AP1231 :rolleyes: Aber nagut: telnet (normaler modus) accesspoint(config)#line vty 0 4 ap1010(config-line)#password [i]PASSWORT[/i] Konsole (normaler modus) accesspoint(config)#line con 0 ap1010(config-line)#password [i]PASSWORT[/i] telnet und Konsole (enable) accesspoint(config)#enable password [i]PASSWORT[/i] SNMP-Communities accesspoint(config)#snmp-server community [i]RW-COMMUNITY[/i] RW accesspoint(config)#snmp-server community [i]RO-COMMUNITY[/i] RO

Ich kann nur vom IOS sprechen (Erfahrungen mit Aironet1231G). Wenn du im enable Modus auf dem AP bist, kannst du mit "sh ru" die Konfig anzeigen lassen. Die IP Adresse unter dem BVI1 Interface dürfte die IP-Adresse fürs Management sein. Dann kannst du das Ding auch über Web Oberfläche konfigurieren, falls du nicht so IOS fit bist (Befehl: ip http server) Ich verstehe die Frage nicht - warum müssen die Client machen? Also erstmal... Routing geht mit denen nicht. Das sind L2-Devices - eben ein Access-Point. Wenn du irgendwas Routen willst, brauchst du nen Router. Das sind eben NUR Access-Points

Ich verstehe die Aufgabenstellung nicht ganz. Du hast ein NG AI R54 auf Secureplatform. Was läuft denn auf der Secureplatform? Das Enforcement Module (FW-1/VPN-1) oder das Managementsystem (Smartcenter)? Wozu Lizenzen im neuen System "simulieren" ?? Ich mache das immer so: Auf die alte Managementstation einen upgrade_export machen um die gesamte konfig zu sichern (Objekte, Lizensen, User ...etc). Zuerst die Managementstation upgraden (neu installieren, danach einen upgrade_import), SIC neu initialisieren, danach das Enforcement Module upgraden.

Danke für die Antwort - klingt einleutend. Das einzige was ich abändere ist das native VLAN. Ich hab ne Firewall in dem Netz, die nur getaggte VLANs mag. Zweitens: Wenn ich ne IP-Adresse auf dem BVI einstelle, dann kann man auch über die Luftschnittstelle auf den AP zugreifen - das will ich nicht. Wie könnte man das unterbinden?

Hier ist noch mal meine gesamte Konfig: myAP#sh ru Building configuration... Current configuration : 3474 bytes ! version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname myAP enable secret lalala ! username ich password du clock timezone mesz 1 clock summer-time mesz recurring last Sun Mar 2:00 last Sun Oct 3:00 ip subnet-zero ! no aaa new-model dot11 arp-cache optional ! ! bridge irb ! ! interface Dot11Radio0 no ip address no ip route-cache ! encryption vlan 10 mode ciphers tkip ! broadcast-key vlan 10 change 1000 ! ! ssid my_ssid vlan 10 authentication open authentication key-management wpa wpa-psk ascii Geheimnis ! short-slot-time speed basic-1.0 2.0 5.5 6.0 9.0 11.0 12.0 18.0 24.0 36.0 48.0 54.0 channel 2412 station-role root no dot11 extension aironet no cdp enable bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding ! interface Dot11Radio0.10 encapsulation dot1Q 10 no ip route-cache bridge-group 3 bridge-group 3 subscriber-loop-control bridge-group 3 block-unknown-source no bridge-group 3 source-learning no bridge-group 3 unicast-flooding bridge-group 3 spanning-disabled ! interface FastEthernet0 no ip address no ip route-cache duplex auto speed auto bridge-group 1 no bridge-group 1 source-learning bridge-group 1 spanning-disabled ! interface FastEthernet0.250 encapsulation dot1Q 250 ip address 192.168.178.15 255.255.255.0 no ip route-cache bridge-group 2 no bridge-group 2 source-learning bridge-group 2 spanning-disabled ! interface FastEthernet0.10 encapsulation dot1Q 10 no ip route-cache bridge-group 3 no bridge-group 3 source-learning bridge-group 3 spanning-disabled ! interface BVI1 no ip address no ip route-cache ! ip default-gateway 192.168.178.1 no ip http server no ip http secure-server ip http help-path ip radius source-interface BVI1 logging snmp-trap emergencies logging snmp-trap alerts logging snmp-trap critical logging snmp-trap errors logging snmp-trap warnings snmp-server community readonly RO snmp-server community readwrite RW snmp-server location ueberall und nirgends snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart snmp-server enable traps tty snmp-server enable traps entity snmp-server enable traps disassociate snmp-server enable traps deauthenticate snmp-server enable traps authenticate-fail snmp-server enable traps dot11-qos snmp-server enable traps switch-over snmp-server enable traps rogue-ap snmp-server enable traps wlan-wep snmp-server enable traps config snmp-server enable traps syslog snmp-server enable traps aaa_server snmp-server host 192.168.178.10 AP1200 ! bridge 1 route ip ! ! ! line con 0 transport preferred all transport output all line vty 0 4 login local transport preferred all transport input all transport output all line vty 5 15 login transport preferred all transport input all transport output all ! end

Hallo zusammen, folgende Problemstellung: ich will meinen Aironet1200 managen (klar, wer will das nicht ;) ). Die Randbedingung ist, dass man den AP nicht über die Luftschnittstelle ansprechen darf. Also fällt in dem Fall diese Befehlszeile schon mal flach, oder?: interface BVI1 ip address 192.168.178.15 255.255.255.0 no ip route-cache Deshalb hab ich mir folgendes gebastelt: An der Ethernet-Schnittstelle von meinem AP kommen mehrere VLANs an (also ein 802.1q Trunk). Alle VLANS bis auf einer werden auf SSIDs gemappt - das klappt eigentlich ganz gut. Ein Interface des letzten VLANs soll eine IP-Adresse für das Management bekommen, welche nicht über die Luftschnittstelle ansprechbar ist: interface FastEthernet0.250 encapsulation dot1Q 250 ip address 192.168.178.15 255.255.255.0 no ip route-cache bridge-group 2 no bridge-group 2 source-learning bridge-group 2 spanning-disabled die bridge-group 2 ist auf keinem virtuellen Radiointerface konfiguriert. Komischerweise brauche ich diese Bridge-Group aber, damit ich die IP-Adresse des Interfaces ansprechen kann. Soweit sogut - jetzt hab ich alles so wie ich es wollte: - mehrere SSIDs die auf VLANs gemappt werden - ein Management VLAN mit IP-Adresse. Grundsätzliche Frage: Passt das so ??? :p Jetzt hab ich aber ein Problem...das Ding soll auch fleißig snmp-traps verschicken. Da sieht meine Konfig so aus: snmp-server host 192.168.178.10 AP1200 snmp-server community readonly RO snmp-server community readwrite RW snmp-server location ueberall und nirgends snmp-server enable traps Schade, es kommen jedoch keine Traps an meinem SNMP-Trap Receiver an. Im Logging steht aber folgendes: *Mar 11 07:31:48.579: %IP_SNMP-3-SOCKET: can't open UDP socket *Mar 11 07:31:48.579: Unable to open socket on port 161 Cisco meint dazu folgendes: Ich hab doch ein Interface mit ner IP-Adresse konfiguriert!!! Das ist doch ne Sauerei :shock: Hat irgendwer eine Lösung oder Verbesserungsvorschläge? Gruß Nightwalker_z

Danke für die Antwort :-) der Backslash "degradiert" das Komma zu einem String und nicht zu einem Trennungszeichen für den DN. Ist dasselbe wie bei regulären Ausdrücken

Hallöchen, habe trotz langem suchens keine Lösung auf eine knifflige Frage. Hier ist mal die Grundvorraussetzung: Ich habe ein AD mit folgender Struktur CN=Users, DC=Wien, DC=Firma, DC=com Jetzt will ich über eine LDAP Abfrage einen User (& seine Attribute) herausfinden anhand seines Attributs "distinguishedname" (Bsp.: CN=Max Mustermann\, PersAbt,CN=Users,DC=Wien,DC=Firma,DC=com) Ich will nun einen LDAP Filter anwenden um den User zu ermitteln: (&(objectclass=user)(distinguishedname=CN=Max Mustermann\, PersAbt,CN=Users,DC=Wien,DC=Firma,DC=com)) [/Code] Eigentlich müsste das funktionieren - tuts aber nicht :cool: Andere Attribute funktionieren - beispiel: [code] (&(objectclass=user)(givenname=Max*)) findet alle User mit dem Vornamen wie Max oder Maximilian oder Maximus. Außerdem funktionier auch das: (&(objectclass=user))(distinguishedname=*)) Dieser Filter bringt aber gar nix, da es mir dann ALLE Objekte mit der Objectclass User ausgibt. Kann mir jemand mit dem distinguishedname-Filter weiterhelfen?

Es gibt schon Anbieter für InternetViaSat. Nur es ist schweineteuer. Du brauchst dein ISDN ja für den Upstream. Die Minutentarife bewegen sich meines Kenntnisstandes ungefähr bei 5c

Hab nen DWL-2000AP+ von D-Link schon ins Auge gefasst. Der unterstützt mein Vorhaben laut Doku sehr gut *g*

hab grad mal kurz bei AVM angerufen. Die dumme Box unterstützt mir keinen Bridge Modus :suspect: Also ist die Lösung auf dem Bild auch mehr oder weniger hinfällig. In dem Fall gibts nur die Möglichkeit noch nen AP an den Switch in Wohnung1 anzuschließen, oder? Dann kann man zwischen den beiden APs (Netgear) ne Bridge aufbauen, gelle? http://people.freenet.de/nightwalker/lan2.png Edit: Kann mir jemand nen guten (und preiswerten ;) )AP empfehlen?

Erstma danke für die schnelle Antwort :D Hier habe ich ein neues Design: http://people.freenet.de/nightwalker/lan1.png In der Wohnung 2 steht ein Netgear AP, der direkt mit der Fritz!Box kommuniziert. Sprich alle Endgeräte aus Wohnung2 haben Verbindung zum Internet über die Fritz!Box als Gateway. Das komplette Netz ist ein Class C Netz 192.168.1.0/24 - ausser das Interface am "Uralt WLAN Router" und der Laptop mit WLAN Connection in Wohnung2. Die bekommen eben ein anderes Netz, damit der Laptop auch ne Connection hat. Was denkt ihr - geht das?

Hallo Board... ich hätte mal ne Frage ob das prinzipiell funktioniert: http://people.freenet.de/nightwalker/lan.png Ich will zwei Zimmer miteinander verbinden. Geht das Design wie oben skizziert?? Die Verbindung der Räume geschieht durch den AP. Viel lieber wäre mir natürlich, wenn ich nur einen AP brauchen würde, der direkt mit der FRITZ!Box kommuniziert - aber ich weiss nicht ob das funzt. Eine andere Variante wäre noch schöner: Kommunikation mit einem AP und einem WLAN Router... dann könnte ich nämlich zwischen den zwei Räumen ACLs definieren. Nennt mir mal bitte Lösungen ;-)

Hallöchen, erst mal vielen Dank für die Tipps.... Die idee mit dem anderen Netz hab ich auch heute morgen gehabt. Dem Rechner, der sich einwählt bekommt ne 192.168.1.0/24 Adresse (siehe Konfig). Dann ist mir noch die Idee gekommen, dass ich ans Bri interface ja auch noch den zweiten Dialer installieren könnte (dialer pool-member 2). Die Route ist mittlerweile auch da.... Jetzt hab ich ein anderes Problem - wenn ich mich versuche via DFÜ auf dem Router einzuwählen, bekomm ich folgende Message (am Windows PC): Aha - Bahnhof ;-) Hat jemand ne Lösung ? Hier ist meine aktuelle Konfig version 12.1 no service single-slot-reload-enable no service pad service timestamps debug uptime service timestamps log uptime service password-encryption service udp-small-servers service tcp-small-servers ! hostname NW_ISDN_01 ! enable password xxxxxxx ! username xxxxxxx password xxxxxxx ! ! clock timezone met 1 clock summer-time mest recurring last Sun Mar 2:00 last Sun Oct 3:00 ip subnet-zero no ip domain-lookup ! isdn switch-type basic-net3 ! ! ! interface Ethernet0 ip address 192.168.0.254 255.255.255.0 ip access-group 102 out no ip proxy-arp ip nat inside no cdp enable ! interface BRI0 no ip address ip access-group 103 in no ip proxy-arp encapsulation ppp dialer pool-member 2 dialer pool-member 1 isdn switch-type basic-net3 isdn calling-number 6526018 no cdp enable ! interface Dialer1 description Arcor Internet ip address negotiated ip nat outside encapsulation ppp dialer pool 1 dialer string 0192076 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname arcor ppp chap password xxxxxxx ppp pap sent-username arcor password xxxxxxx ! interface Dialer2 description Dial-in no ip address encapsulation ppp dialer pool 2 dialer called 6526018 no peer default ip address ppp authentication pap chap callout ! ip local pool dialinpool 192.168.1.10 192.168.1.20 ip nat inside source list 1 interface Dialer1 overload ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 192.168.1.0 255.255.255.0 Dialer2 no ip http server ! access-list 1 permit 192.168.0.0 0.0.0.255 access-list 101 permit tcp any any eq smtp access-list 101 permit tcp any any eq pop3 access-list 101 permit tcp any any eq www access-list 101 permit tcp any any eq 5190 access-list 102 permit tcp any eq smtp any access-list 102 permit tcp any eq pop3 any access-list 102 permit tcp any eq www any access-list 102 permit tcp any eq ftp any access-list 102 permit tcp any eq domain any access-list 102 permit udp any eq domain any access-list 102 remark SSH Viewer access-list 102 permit tcp any eq 22 any access-list 102 remark Miranda IM access-list 102 permit tcp any eq 5190 any access-list 102 remark VNC Viewer access-list 102 permit tcp any eq 5900 any access-list 102 remark HTTPs access-list 102 permit tcp any eq 443 any access-list 102 permit icmp any any access-list 103 remark RPC - Blaster protection access-list 103 deny tcp any any eq 135 access-list 103 remark LSASS - Sasser protection access-list 103 deny tcp any any eq 445 access-list 103 deny tcp any any eq finger dialer-list 1 protocol ip list 101 no cdp run snmp-server community xxxxxxx RO ! line con 0 password xxxxxxx login line vty 0 4 password xxxxxxx login ! sntp server 194.97.4.214 sntp server 192.53.103.103 end

Das Pingen des Routers geht bereits.... ich komm von Remote sogar auf ihn via Telnet. Vom Router aus kann ich auch mein lokales LAN anpingen.... Nur direkt von der Kommandozeile des Remoterechners bekomm ich keine Connection zu meinem LAN. Deshalb ist es - denke ich zumindest ein Routingproblem

Huuups .... danke wegen der ACL Korrektur. Das kommt davon wenn man sowas zu schnell macht (da vergisst man schon ein "any") :D Ich wähle mich nicht über nen anderen Router ein, sondern über ne andere ISDN Karte. Die IP-Adresse, die die ISDN Karte zugewiesen bekommt, bestimmt der Router. Wie muss ich in diesem Fall die Routen setzen ? Hier der Code für den Dialer 2 interface Dialer2 description Dial-in no ip address encapsulation ppp peer default ip address pool dialinpool pulse-time 0 ppp authentication chap pap callout ! ip local pool dialinpool 192.168.0.10 192.168.0.20

Weiss denn keiner ne Antwort warum ich nicht in mein lokales LAN komme ????

Das ist nicht pfiffig, sondern geizig ;) --------------------------------------------------------------------------- Aber wenn du auch so ein Teil hast, dann hast du bestimmt ne Antwort auf diese Frage: http://www.mcseboard.de/showthread.php?s=&threadid=35925