AndreasWeller

Ähm was läuft schon? So ganz versteh ich glaub ich gerade das Problem nicht? Funktioniert die User Authentifizierung mit Zertifikaten? Soll zusätzlich eine Maschienenauthentifizierung stattfinden? Ist das Maschienenzertifikat installiert und das ganze beim Client konfiguriert?

nimm mal den Haken bei "Serverzertifikat überprüfen" auf dem Client weg und schau mal ob´s dann läuft :)

Die ertse Frage wäre da: benutzt du selbst erstellte Zertifikate? Und schick doch bitte mal einen genaue Beschreibung, was du alles in deinem 802.1x Client (Ich denke du nutzt den von Win 2000 SP4) konfiguriert hast...

Mahlzeit, ich habe folgendes Problem : Ich würde gern meine 1200 Aironet als Workgroup-Bridge benutzen, um mich über sie an einem weiteren AP anzumelden. Ich habe das auch soweit auf der Aironet konfiguriert, nur leider bleibt das Wlan Interface konsequent auf "disabled" und ich bekommen die Fehlermeldung : "DOT11-2-UPLINK FAILED : Uplink to Parent failed : Unsupported Authenticationtype " Der AP auf dem ich mich anmelden möchte wird erstmal ohne jede Verschlüsselung betrieben. Wo könnte also der Fehler liegen???? Ach ja hier meine Konfig, vielleicht hilfts ja: version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname ap ! enable secret 5 xxxxxx ! ip subnet-zero ! no aaa new-model ! dot11 ssid as-ete-open ! username xxx password 7 xxxxx ! bridge irb ! interface Dot11Radio0 no ip address no ip route-cache ! ssid as-ete-open ! speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0 station-role workgroup-bridge bridge-group 1 bridge-group 1 spanning-disabled ! interface FastEthernet0 no ip address no ip route-cache duplex auto speed auto bridge-group 1 bridge-group 1 spanning-disabled ! interface BVI1 ip address 10.10.5.130 255.255.255.0 no ip route-cache ! ip http server no ip http secure-server ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag ! control-plane ! bridge 1 route ip ! line con 0 transport preferred all transport output all line vty 0 4 login local transport preferred all transport input all transport output all line vty 5 15 login transport preferred all transport input all transport output all ! end

Da solltest du einmal kurz die Suchfunktion des Boards bemühen, es gibt einige Threads hier, die sich genau mit diesem Thema beschäftigt haben... :)

soweit hört sich das alles sehr gut an, reicht mir aber nicht ganz. Um mein Problem etwas deutlicher zu machen, beschreibe ich mal kurz was ich vorhabe. Ich erzeuge mit einem Traffic Generator IP Pakete die mit einem gesetzten DSCP Byte versehen sind. Diese sollen nun vom 2950 erkannt werden und anhand der CoS-DSCP Tabelle auf Layer 2 getaggt werden. Das funktioniert auch, da ich die getaggten Pakete auf einem getrunktem Port mit einem Sniffer sehen kann. Ich möchte diese getaggten Frames nun aber gerne über einen PC (als Router) weiterschicken, Problem ist dabei nur das ich mit einem PC an einen getrunkten Port nicht vernünftig ran komme und die Frames aus dem native Vlan nicht getaggt sind. Wie stelle ich das also am besten an??? Oder gibt es vieleich eine Software die meine ausgesendeten Daten mit einem Vlan Tag versehen kann, dann könnte ich mir den Umweg über den 2950 sparen???

so vielen Dank erstmal für den schnellen Tip, Zu Antwort 1 : leider kann ich so nur aus dem native vlan auf den Trunk Port zu greifen. Da ich aber zusätzlich noch mit priorisierten Mac Frames arbeite, streicht mir der 2950 leider die Priorisierung die ich in das Vlan 1 mit gebe. Gibt es also eine Möglichkeit dieses löschen des Vlan Tags speziell im native Vlan auszustellen??? Zu Antwort 2 : Da ich leider nicht die im Artikel beschriebene Netzwerkkarte besitze, stellt sich mir die Frage, ob es da nicht auch einere globalere Lösung gibt????

Hallo, Ich habe diese Fragen zwar schon in einem anderen Thread gestellt, doch es vielleicht sinnvoller doch einen weiteren Thread dafür zu öffnen. Also ich hätte zum Thema 802.1q mal zwei Fragen: Gibt es eine Möglichkeit dem Cat 2950 zusagen, daß er die Vlan Tags an seinen normalen Ports (also nicht im Trunk mode) nicht verwerfen sondern weiterleiten soll? Gibt es eine Möglichkeit einen PC (Win basierend) als "Router" zu verwenden, der an einen getrunkten Port eines Cat 2950 angeschlossen wird und die Datenströme unverfälscht (will heißen mit den Vlan Tags) mit Hilfe einer zweiten Netzwerkkarte in ein Netzwerk weiterleitet? ?????Ideen?????

So nachdem ich nun den Vlan Tag gefunden habe und auch erfolgreich manipulieren kann :D , hätte ich da noch eine weitere Frage: Gibt es eine Möglichkeit dem Cat 2950 zusagen, daß er die Vlan Tags an seinen normalen Ports (also nicht im Trunk mode) nicht verwerfen sondern weiterleiten soll? Gibt es eine Möglichkeit einen PC (Win basierend) als "Router" zu verwenden, der an einen getrunkten Port eines Cat 2950 angeschlossen wird und die Datenströme unverfälscht (will heißen mit den Vlan Tags) mit Hilfe einer zweiten Netzwerkkarte in ein Netzwerk weiterleitet? ?????Ideen?????

QoS auf Layer 2 ist bei der Sache das Stichwort, ich möchte gern selbst priorisierte MAC Frames generieren und da muss ich halt an den Vlan Tag ran. Ich werde deshalb gleich mal das empfohlenen Programm ausprobieren. :D Damit die ganze Sache nicht zu langweilig wird, soll das Ganze natürlich auch über WLAN möglich sein. Höheres Ziel ist hierbei der Einsatz von 802.11e (EDCF), aber bis dahin steht mir wohl noch etwas Arbeit ins Haus. Für weitere Vorschläge und Kommentare bin ich daher immer dankbar...

so, vielen Dank erstmal für die schnellen Antworten. :D Meine Absicht war es, mir einen MAC Frame mit dem Sniffer anzuschuen und dort den Vlan Tag zu sehen. Mit dem Spiegeln des Ports wird es wohl auch klappen, ich hab auf die schnelle einfach nen Hub dazwischen gehangen. Man muss halt nur beachten, dass man einen getrunkten Port snifft und das ganze nicht aus dem Vlan 1 versucht. Jetzt aber kommt der zweite Teil, gibt es eine Möglichkeit selbst den Vlan Tag zu verändern? Gibt es Software die einen solchen Eingriff in den Mac Frame ermöglicht?

Hallo, ich habe mir gerade einen kleine Testumgebung, mit zwei Vlans ( 1 & 2) aufgebaut (Cat2950 und Cisco 3620) Die Vlans liegen auf dem 2950, der über einen Trunk Port mit dem 3620 verbunden ist und die beiden Vlans verbindet. Meine Frage ist nun: Wie stelle ich es am schlausten an, einen MacFrame mit einem Vlan Tag mit meinem Sniffer (Ethereal) zu sehen? Hat jemand ne gute Idee?

ok erstmal vielen Dank für die guten Antworten. Dann werd ich mich jetzt erstmal in die beiden genannten Dokus reinarbeiten und wenn dann noch Fragen offen sind, lass ich von mir hören... :cool:

jepp hab ich auch schon jede Menge gefunden, jedoch beschränken sich alle auf die Konfiguration und die Beschreibung der Mechanismen zur Dienstgüteregulierung. Will heißen Tos Byte ist gesetzt, los gehts.. Da die Aironet natürlich die Möglichkeit hat in den IP Header auf Layer 3 zu schauen... Mein Problem liegt leider noch davor, da ich vorhabe sog. dumme Aironets mit einem WLAN Switch einzusetzen und ganz gerne wissen würde wie die ganze Geschichte hierbei funktioniert. Die Infos auf der Cisco Seite über "Cisco Wirless Lan Switche" sind nämlich im Bereich QoS sehr mager, aber ich denke auch diese Geräte werden Möglichkeiten haben in den IP Header zu schauen. Für mich stellt sich also die Frage: Ist 802.11e (EDCF) hier wirklich eine reine Layer 2 Geschichte? Ich denke eher nicht, oder liege ich da falsch?

hm ok, also die Geschichte von QoS auf Layer 3 ist mir soweit klar, aber es scheitert bei mir noch immer am Verständnis von QoS auf Layer 2. Hat die Aironet oder auch ein normaler Switch bzw. WLAN Switch vielleicht die Möglickeit, sich gewissen Eigenschaften vom Layer 3 "abzugucken"? Ich weiß das es die Möglichkeit gibt, 3 Bits im Vlan tag zu benutzen, um ein QoS auch auf Layer 2 zu ermöglichen. Diese können auf das Tos Byte (DSCP) abgebildet werden. Nun aber meine Frage, kann auch die Applikation die Bits im Vlan tag oder das Tos Byte setzen, oder ist ein QoS ohne Layer 3 Komponenten gar nicht möglich???

Vielen dank rob für die schnelle Antwort! Das ein Router das TOS Byte vergeben kann ist mir soweit klar, aber woran erkennt der Router das es sich zum Beispiel um ein Paket mit Sprachdaten handelt und er das entsprechende Tos Byte setzen soll? Und weiterhin frage ich mich wie das ganze dann bei der priorisierung von Mac-Frames funktioniert? Als Beispiel: Ein Pc1 möchte auf den Funkkanal einer Aironet zugreifen. Es ist EDCF (802.11e) aktiviert und Pc1 wird einem anderen Pc vorgezogen, da Pc1 Pakete mit Sprachinhalten sendt. Woran (oder wie) erkennt die Aironet also die Sprachpakete?

Mahlzeit! Ich beschäftige mich seit kurzer Zeit mit dem Thema VoIP und QoS. In einer kleinen Testumgebung soll die ganze Geschichte getestet werden, also QoS auf Layer 3 und 2. Jetzt aber meine Frage: Wer setzt das TOS Byte? Die Applikation? Wie also kann der Switch oder auch die Aironet auf Layer 2 feststellen, um was für ein Paket es sich handelt? Wenn jemand da ein paar gute Antworten hätte, wäre ich sehr dankbar... :D

Ich denke auch, dass hier im Forum zu diesem Thema schon jede Menge gute Vorschläge gemacht wurden. Gib doch einfach mal ein paar Schlagworte in der "Suchen" Zeile ein, da sollte sich so einiges finden lassen...

Leider konnte ich die Programme Smartbits für Last und NetIQ Chariot zum simulieren von VoIP Calls oder Video Streams nicht testen, da ich keine Testversion finden konnte. Unter http://www.grid.unina.it/software/ITG/ habe ich zwar die Software gefunden, doch leider ist mir dann die Software IP Traffic - Test & Measure über den Weg gelaufen. Unter dem Link http://www.zti-telecom.com/pages/main-ip.htm bekommt man eine voll funktionstüchtige Trial Version, die keine Wünsche offen lässt. Es ist alles einstellbar, über die Anzahl der Verbindungen, Packetgröße, Ports usw... Das schöne daran ist, dass ein Sniffer gleich mitgeliefert wird, der einem den ganzen Verlauf umfangreich dokumentiert. Das Programm hat natürlich einen großen Haken, es ist keine Freeware und kostet glaub ich ca 900$... (aber wenn man ein solches Tool wirklich voll im Griff hat, geht der Preis wohl klar)

Na, das ist doch schon mal ein guter Anfang, da werd ich mich mal ran setzen und mir die Progs anschauen... :D Vielen Dank schon mal an euch zwei, für weitere Vorschläge bin ich natürlich immer zu haben...

Hallo, ich beschäftige mich gerade innerhalb einer Testumgebung mit dem Thema QoS. Es sind dabei Cisco Produkte im Einsatz und mich würde einfach mal interessieren, ob sich die Einstellungen, für die Regelung der Dienstgüte, auch überprüfen lassen. Daher meine Frage, was gibt es für Tools, um QoS zu messen und evtl. auch speziellen Traffic zu erzeugen? Hat jemand da ne gute Idee oder kann entsprechende Software empfehlen?

Hallo, Ich bin dabei eine kleine Wlan Switching Architektur aufzubauen und habe dabei folgende Hardware im Einsatz: Cisco 2006 Wlan Switch, 3x AS 1250 und einen Catalyst 3500XL. Das Problem ist : Solange alle AS 1250 direkt an den Wlan Switch angeschlossen werden, läuft alles problemlos, möchte ich aber nun eine AS 1250 über den Catalyst an den Wlan Switch anbinden, bekommt er keine Verbindung zum Wlan Switch und somit auch nicht die benötigten Configurationsinformationen über LWAPP. Ich habe mal einen Debug gestartet und gesehen das der Wlan Switch die Mac Adresse des AS 1250 kennt und auch versucht ihm die Config zu schicken, doch ich bekomme dann die nette Fehlermeldung : Decode routine not available, Printing Hex Dump. Hat jemand ne Idee was man da noch so Schönes machen könnte?

Eine aktuelle Trial Version bekommst du auf der Cisco Seite, alles weitere kostet...

Bei uns läuft der ACS auf nem Win 2000 Server System und da ist dieser Dienst automatisch gestartet worden, wenn man ihn ausstellt kommt man halt nicht mehr auf das Admin Interface. Was passiert den wenn du den Dienst mal manuel startest?

Wie oben schon gesagt, den Cisco Network Assistant kann ich auch nur empfehlen, dachte aber der wäre komplett für lau... Nun gut, ist aber sicherlich die kostengünstigste Lösung (naja die tftp Methode kost halt gar nix)