maho

Hallo, weiß jemand woher ich eine RVS-Com Software beziehen kann, die mit "rcapi" auf einem Cisco 800er Router funktioniert? Gruß, Maho

Ich habe jetzt auf beiden Routern DHCP konfiguriert. Durch exluded-addresses habe ich eingestellt, dass Router1 ab IP .120 beginnt und Router2 ab .160. Scheint zu funktionieren. Beide Router verteilen IP-Adressen. Router1 ip dhcp excluded-address 10.50.83.1 10.50.83.119 ! ip dhcp pool CLIENT import all network 10.50.83.0 255.255.255.0 default-router 10.50.83.1 dns-server 10.25.25.20 lease 30 Router2 ip dhcp excluded-address 10.50.83.1 10.50.83.159 ! ip dhcp pool CLIENT import all network 10.50.83.0 255.255.255.0 default-router 10.50.83.1 dns-server 10.25.25.20 lease 30 Gruß, Maho

Ich möchte die Router als DHCP-Server einsetzen. Ist die Frage, wie man das vernünftig im HSRP-Betrieb konfiguriert.

Hallo, weiss jemand wir man DHCP korrekt auf zwei ROutern mit HSRP aufsetzt? Gruß, Maho

Mir ist ein C1841 mit Digital 2MS Konfig. gecrashed. Das war mit IOS c1841-ipbasek9-mz.124-7.bin Mit IOS c1841-ipbasek9-mz.124-5a.bin läuft der Router seit einigen Wochen stabil. Maho

Ich habe das in unserem Umfeld so gelöst: Auf dem Concentrator das Häkchen "Use Address from Authentication Server" aktivieren unter "Configuration | System | Address Management | Assignment". Habe als Auth. Server einen Cisco ACS in Verbindung mit RSA ACE. Am Cisco ACS weise lege ich die User an und gebe jedem fest eine IP.

Hallo Thomas, ich habe ehrlich gesagt noch nicht verstanden, was die Auswirkung wäre, wenn ich das "native" weglassen würde. Habe zur zeit eine Testumgebung am Laufen, 3 vlan's konfiguriert -ohne "encapsulation dot1Q x native". Der Routing zwischen den VLANs funktioniert. Maho

Dumme Frage: Wozu mache ich ein VLAN zum "NATIVE"?

Hallo, ich möchte die ISDN Backupverbindungen zu unseren Kunden durch einen zentralen Router mit 1-2 Primärmultiplexeranschlüssen ablösen. Der Router muss sowohl eine Verbindung aufbauen können, als auch annehmen (beidseitiger Verbindungsaufbau). Hat jemand sowas schon laufen? Was für einen Router, welche Karte und welchen Anschluss (strukturiert, unstrukturiert) kann man verwenden? Habe auf der Cisco Seite nichts gefunden, das mir bei der Konfiguration behilflich sein könnte. Wer kann mir bei den Fragen und der Konfiguration helfen? Grüße, Maho

Hi, für die Überwachung des VPN-Tunels nutze ich das Loopb. Interface, damit wir bei einer Störung Ethernetproblem von VPNproblem erkennen können. Ich triggere den Tunnel nicht von L0 aus aus, das war nur eine Test, der dann auch gleich in die Hose ging... @rob_67: Werde morgen den dialer-list 1 gleich nachtragen. Danke für den Tip! @mr._oiso: Genau nach so eine ACL Anwendung habe ich gesucht, super! Danke! Muss ich den Dialer1, weil dieser ja im Internet steht, trotzdem mit einer ACL schützen? Maho

Hallo, habe den VPN-Tunnel soweit am Laufen. Nur habe ich das Problem, dass ich vom Router aus Richtung zentrale die IPSec-Session vom Loopback-Interface aus nicht aufbauen kann, aber umgekehrt, Ping von Zenrale auf Loopback-Interface, dann wird die IPSec-Session aufgebaut. Hat jemand eine Idee? Mich stört es ausserdem, dass ich mit der ACL "internet_in" nicht den Traffic ins LAN beeinflussen kann. Das einzige was ich beeinflussen kann, sind öffetnliche IP-Adressen. Kann man das anders lösen? Verbesserungsvorschläge jeglicher Art an der Konfig. sind mir willkommen. Danke schon mal im Voraus! Grüße, Maho Hier die Konfig: version 12.4 no service pad service timestamps debug datetime localtime service timestamps log datetime localtime service password-encryption ! hostname xxx ! boot-start-marker boot-end-marker ! logging buffered 8000 debugging enable secret xxx ! no aaa new-model ! resource policy ! clock timezone MEZ 1 clock summer-time MESZ recurring last Sun Mar 1:00 last Sun Oct 2:00 no ip source-route ! ! ! ! ip cef ip tftp source-interface Loopback0 no ip domain lookup ip host tftp xxx vpdn enable ! ! ! ! ! ! ! ! ! crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key xxx address xxx crypto isakmp keepalive 30 5 ! crypto ipsec security-association lifetime seconds 28800 ! crypto ipsec transform-set to_vpn esp-3des esp-md5-hmac ! crypto map to_vpn 10 ipsec-isakmp set peer xxx set transform-set to_vpn match address 100 ! ! ! interface Loopback0 description ueberwachung festverbindung ip address 10.232.12.1 255.255.255.252 ! interface Ethernet0 description lan intern ip address 192.168.4.2 255.255.255.0 ip helper-address 10.88.99.20 ip tcp adjust-mss 1416 no cdp enable standby ip 192.168.4.1 standby priority 130 standby preempt standby track Ethernet1 standby track Dialer1 ! interface Ethernet1 description sdsl no ip address ip access-group internet_in in duplex auto pppoe enable pppoe-client dial-pool-number 1 no cdp enable crypto map to_vpn ! interface Ethernet2 no ip address shutdown ! interface FastEthernet1 duplex auto speed auto ! interface FastEthernet2 duplex auto speed auto ! interface FastEthernet3 duplex auto speed auto ! interface FastEthernet4 duplex auto speed auto ! interface Dialer1 ip address negotiated ip access-group internet_in in ip mtu 1456 encapsulation ppp ip tcp adjust-mss 1416 dialer pool 1 dialer idle-timeout 0 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname feste-ip/xxx@t-online-com.de ppp chap password xxx ppp pap sent-username feste-ip/xxx@t-online-com.de password xxx crypto map to_vpn ! router eigrp 188 redistribute static network 10.0.0.0 network 192.168.4.0 0.0.0.255 no auto-summary no eigrp log-neighbor-changes ! ip route 10.88.99.0 255.255.255.255 Dialer1 ip route x.x.x.x 255.255.255.255 Dialer1 ! no ip http server no ip http secure-server ! ! ! ip access-list extended internet_in permit ip 10.88.99.0 0.0.0.255 any permit icmp any any administratively-prohibited permit icmp any any echo permit icmp any any echo-reply permit icmp any any packet-too-big permit icmp any any time-exceeded permit icmp any any traceroute permit icmp any any unreachable permit esp host x.x.x.x any permit udp host x.x.x.x any eq isakmp deny ip any any logging trap debugging access-list 100 permit ip 192.168.4.0 0.0.0.255 10.88.99.0 0.0.0.255 access-list 100 permit ip 10.232.12.0 0.0.0.255 10.88.99.0 0.0.0.255 no cdp run ! ! control-plane ! ! line con 0 password xxx no modem enable line aux 0 password xxx login line vty 0 4 exec-timeout 300 0 password xxx login ! scheduler max-task-time 5000 end

Hi, hier hast Du Dein Geschenk: ip access-list extended xxx remark zugriff xxx permit ip 10.8.3.0 0.0.0.127 host 10.10.10.1 remark internet permit ip any host 10.10.10.1 ... also "remark" lautet hier das Zauberwort... Maho

Hi, die Meldung sagt mir eigentlich nichts. Das IOS ist "c2950-i6q4l2-mz.121-14.EA1a.bin". Habe das gerade mit der neuesten Software c2950-i6q4l2-mz.121-22.EA7.bin ausprobiert, mit dem selben Ergebnis. ciaociao

Hi, wenn Du eine fertig funktionierende Konfig hast, kannst Du das posten, wenn das Dir nichts ausmacht? Grüße, maho

Ich habe jetzt mal einen Test-Switch mit Trunk als VTP Client in die VTP-Domäbe aufgenommen. Er hat alles VLAN gelernt. Nachdem ich den Switch auf VTP Transparent gestellt habe, hat sich der Switch alle VLANs gemerkt. Aber, plötzlich steht in der Konfig. jedes VLAN so drin: vlan 1 tb-vlan1 1002 tb-vlan2 1003 ! vlan 4 name xxx ! vlan 5 name xxx ! vlan 9 name xxx ! vlan 11 name xxx [...] vlan 1002 tb-vlan1 1 tb-vlan2 1003 ! vlan 1003 tb-vlan1 1 tb-vlan2 1002 parent 1005 ! vlan 1004 bridge 1 stp type ibm ! vlan 1005 bridge 1 Habe ein "wr er"/"reload" durchgeführt, steht trotzdem drin... Was hat das zu bedeuten???

>Möglich ist es aber dem Switch zu sagen, dass das VLAN240 ab jetzt native VLAN ist und nicht das VLAN1. Wie mache ich das? Momentan habe ich 2 VLAN-Domänen. Einmal die 6000'er mit den Access-Switches und einmal einen Router und Switch. Nun möchte ich die zwei unabhängigen Layer2 Domänen verheiraten. Weil es aber in beiden Domänen ein VLAN1 gibt, möchte ich auf Router-Seite das VLAN1 canceln.

Hallo, die Lösung ist, dass jede Seite nicht mit den realen IP's der anderen Seite spricht, sondern mit NAT-Adressen. Es wird also in beide Richtungen genattet. Hier ein Link, wie das funktionieren dürfte: http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a00800b07ed.shtml Grüße, Maho

Hallo, habe momentan eine VLAN-Konstrukt mit einem Router und Switch laufen. Router und Switch sind über vlan 1 verbunden. ich würde das nun gerne auf vlan 240 ändern. Sollte das trotzdem funktionieren? Ist eine Produktivumgebung und habe momentan keine entsprechenden Geräte da, um das auszutesten. Vielleicht hat das jemand so schon am Laufen. Danke schon mal im Voraus! Grüße, Maho Details: Alt Router interface FastEthernet0/0 no ip address duplex full speed 100 interface FastEthernet0/0.1 description Inside encapsulation dot1Q 1 native Switch interface FastEthernet0/45 description trunk zum Router duplex full speed 100 switchport trunk encapsulation dot1q switchport mode trunk Neu Router interface FastEthernet0/0 no ip address duplex full speed 100 interface FastEthernet0/0.1 description Inside encapsulation dot1Q 240 native Switch interface FastEthernet0/45 description trunk zum Router duplex full speed 100 switchport access vlan 240 switchport trunk encapsulation dot1q switchport mode trunk

Hallo Thomas, ich habe das 65. VLAN angelegt (natürlich an einem Sonntag zum test...). Auf allen Accessswitches wurde automatisch der Eintrag gemacht "no spanning-tree vlan 65". Reicht es, wenn ich die Accesswitches auf transparent stelle und die nicht benötigten vlan raus nehme oder muss ich die raus genommenen vlans auch in den trrunks zu den einzelnen Accesswitches raus nehmen? >Man könnte überlegen zwichen den Core und Access Switchen noch Distribution Switche (z.B. 3550 EMI) einzubauen. Auf den 3550ern machst du dann Richtung Core pures Routing, zu den Access Switchen Layer 2 Das habe ich ehrlich gesagt nicht verstanden. Ich habe doch schon layer3 auf den großen Coreswitches. Danke und Grüße Maho

@daking Was ist der kleinste Switch der das 802.1x unterstützt? Hast Du vielleicht eine Bsp. Konfiguration? Grüße, Maho

Das Problem ist, dass die Ports ja nebeneinander in der Bodendose sind. Da braucht der Schüler nur das andere Port zu nehmen sich fest eine IP-Adresse aus dem "Lehrer-VLAN" zu vergeben und schon ist online.

Reicht es, auf dem 6000'er auf dem Uplinkport im Trunk nur vlan5 zu konfigurieren oder muss ich den accessswitch auch aus der vtp-domäne nehmen?

Hallo, mich würde interessieren, was für Lösungen es gibt bzw. wie das andere handhaben. Wir haben in einige Räumlichkeiten, wo Schulungen und Meetings statt finden. Es sollen sowohl eingeschränkte Netzwerkports vorhanden sein, als auch "SE-Ports", also das netz, das alles darf :-). D.h., ich habe in der Bodendose Ports für das SE-LAN und für eingeschränkte Netze. Den DHCP-Server haben wir schon so eingestellt, dass unbekannte MAC-Adressen keine IP-Adresse zugewiesen bekommen. Das verhindert allerdings nicht, dass man sich manuell eine IP-Adresse vergibt und sich dann trotzdem im SE-Netz befindet :-( Leider können unsere Switches kein VPMS. Das wäre sonst eine tolle Sache. Ansonsten überlege ich, intern einen VPN-Concentrator einzusetzen und das Feature WEBVPN mit Cisco SSL VPN Client. Hier kann ich Gruppen mit IP-Pools definieren in Verbindung mit Authentifizierung. So muss sich in diesen Räumlichkeiten JEDER zunächst authentifizieren und ich kann sauber und einfach auf dem Concentrator bzw. Radius-Server die Gruppen und User verwalten. Bin schon auf Eure Ideen gespannt... Viele Grüße, Maho

Das ist eine interessante Seite zu Deinem Thema: http://cms.domainfactory.de/

In der Beschreibung des Catalyst 3550 steht: Unterstützung für bis zu 1005 VLANs pro Switch und bis zu 128 Spanning-Tree-Instanzen pro Switch. Kann mir jemand den Unterschied erklären? Kann ich das irgendwie abfragen, wenn ich genau wissen möchte, welcher Switch wieviele Spanning-Tree-Instanzen kann?