Wordo

theoretisch gehts auch ueber snmp .. die software von solarwinds kann das, kannst dir ja mal ne testversion laden und den traffic sniffen. danach einfach n script basteln. bash sollte da ausreichen (wenns nich grad windows is) ;)

Bevor du es versaeufst ... ;)

Also der Azubi bei uns hat sich dieselbe Frage gestellt, dann mitgemacht, aber nicht die Pruefung abgelegt. Vor kurzem kam ein Interessent fuer den Aufbau eines kompletten Netzwerks bei uns rein und hatte auch nach Cisco Zertifizierungen gefragt. Konnten wir aber leider nicht bieten ..

http://www.cisco.com/en/US/products/hw/routers/ps380/products_password_recovery09186a00800942c2.shtml

 

da steht wie man das PW zuruecksetzt ..

Wieder ein Schritt weiter:

Also wenn man dem Vi1 sagen will er soll die Konfiguration vom Virtual Template ziehen muss man in der global confg "virtual profile virtual template 1" eingeben. Mir wird das Command aber gar nicht angeboten (12.3T) und laut Command Lookup Tool isses seit 11.2 verfuegbar.

Muss ich irgendwas aktivieren bevor er mir das anbietet? Ein virtual template hab ich bereits angelegt (ohne gehts aber auch nicht)

Also ich habs jetzt so konfiguriert wie oben, aber das wird nix. Hab auch Unmengen an Examples gelesen, aber virtual-templete wird immer nur an den LNS konfiguriert und die Maschine fass ich auf keinen Fall an ;)

Bei mir bleibt er dauernd bei der PPP Neg. haengen:

 

*Mar 1 01:07:48.767: ppp38 LCP: O CONFREQ [REQsent] id 8 len 14

*Mar 1 01:07:48.767: ppp38 LCP: AuthProto PAP (0x0304C023)

*Mar 1 01:07:48.767: ppp38 LCP: MagicNumber 0x0F01B4BB (0x05060F01B4BB)

*Mar 1 01:07:50.783: ppp38 LCP: TIMEout: State REQsent

*Mar 1 01:07:50.783: ppp38 LCP: O CONFREQ [REQsent] id 9 len 14

*Mar 1 01:07:50.783: ppp38 LCP: AuthProto PAP (0x0304C023)

*Mar 1 01:07:50.783: ppp38 LCP: MagicNumber 0x0F01B4BB (0x05060F01B4BB)

*Mar 1 01:07:52.799: ppp38 LCP: TIMEout: State REQsent

*Mar 1 01:07:52.799: ppp38 LCP: O CONFREQ [REQsent] id 10 len 14

*Mar 1 01:07:52.799: ppp38 LCP: AuthProto PAP (0x0304C023)

*Mar 1 01:07:52.799: ppp38 LCP: MagicNumber 0x0F01B4BB (0x05060F01B4BB)

*Mar 1 01:07:54.815: ppp38 LCP: TIMEout: State REQsent

*Mar 1 01:07:54.815: ppp38 LCP: O TERMREQ [REQsent] id 10 len 4

*Mar 1 01:07:54.815: ppp38 PPP: Phase is TERMINATING

*Mar 1 01:07:54.815: ppp38 LCP: State is Listen

*Mar 1 01:07:54.815: ppp38 PPP: Sending Acct Event[Down] id[28]

*Mar 1 01:07:54.815: ppp38 LCP: State is Closed

*Mar 1 01:07:54.815: ppp38 PPP: Phase is DOWN

 

 

Ich seh den User aber weder im Radius, noch aufm Accessrouter .. langsam glaub Priorisierung kann ich mir in die Haare schmieren. Ich mach mal n Upgrade von 12.3T auf 12.4 .. vielleicht wird da die priority-group aufs virtual-access uebernommen.

das werd ich auf jeden fall mal testen .. aber per remote muss ich dann wohl n ntba auftreiben damit ich die aenderungen remote auch machen kann ohne das es mich raushaut.

 

merci dir ..

Sorry, habs doch noch testen koennen .. also die ACL's greifen nicht. Ich hab jetzt in die ACL sowohl Hin- als auch Rueckpakete eingetragen und die priority-group auf dialer 0 und eth 0 gelegt. Nur Rueckpakete haben gematched :(

 

Meine Vermutung ist:

 

Router#sh int dialer 0

Dialer0 is up, line protocol is up (spoofing)

Hardware is Unknown

Internet address is 81.24.55.55/32

MTU 1500 bytes, BW 56 Kbit, DLY 20000 usec,

reliability 255/255, txload 1/255, rxload 127/255

Encapsulation PPP, loopback not set

Keepalive set (10 sec)

DTR is pulsed for 1 seconds on reset

Interface is bound to Vi1

Last input never, output never, output hang never

Last clearing of "show interface" counters 4d00h

Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0

Queueing strategy: priority-list 1

Output queue (queue priority: size/max/drops):

high: 0/20/0, medium: 0/40/0, normal: 0/60/0, low: 0/80/0

5 minute input rate 28000 bits/sec, 0 packets/sec

5 minute output rate 0 bits/sec, 0 packets/sec

1207650 packets input, 548370445 bytes

1046389 packets output, 185060840 bytes

Bound to:

Virtual-Access1 is up, line protocol is up

Hardware is Virtual Access interface

MTU 1500 bytes, BW 56 Kbit, DLY 20000 usec,

reliability 255/255, txload 50/255, rxload 104/255

Encapsulation PPP, LCP Open

Open: IPCP

PPPoE vaccess, cloned from Dialer0

Vaccess status 0x44, loopback not set

Keepalive set (10 sec)

Interface is bound to Di0 (Encapsulation PPP)

Last input 00:00:00, output never, output hang never

Last clearing of "show interface" counters 23:54:16

Input queue: 0/75/29/0 (size/max/drops/flushes); Total output drops: 0

Queueing strategy: fifo

Output queue: 0/40 (size/max)

5 minute input rate 23000 bits/sec, 5 packets/sec

5 minute output rate 11000 bits/sec, 4 packets/sec

288615 packets input, 175009836 bytes, 0 no buffer

Received 0 broadcasts, 0 runts, 0 giants, 0 throttles

0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort

233665 packets output, 44722667 bytes, 0 underruns

0 output errors, 0 collisions, 0 interface resets

0 output buffer failures, 0 output buffers swapped out

0 carrier transitions

 

 

Vi ist an dialer 0 gebunden und das wiederrum benutzt FIFO. Direkt konfigurieren kann ich Vi1 aber nicht, da meckert er rum und sagt ich soll n virutal template verwenden. Jemand ne Idee wie ich das umgehen kann?

 

Merci ..

Der Mailserver steht ja auch im Rechenzentrum und das limitieren kommt eigentlich nicht in Frage, der Server wird ja nur bei uns gehostet, alles andere Regeln die selbst.

Ob die Lists treffen kann ich jetzt nicht sagen .. Freitags um 16:30 arbeitet da keiner mehr ;)

 

Merci ..

nene .. da hast du dich verlesen :D Ich verschicke Mails die 5 MB gross sind ueber ne Leitung wo ich nen Upload von ca. 16KB hab, sprich 168kbit .. und bei so ner Bandbreite zaehlt jedes KB, da will ich nicht reservieren, deswegen eben priorisieren ;)

Die DSL-Leitung hat nen Upload von 168kbit, also wenn ich da ne 5MB rausschick is fuer 5-10 Minuten die Leitung so gut wie zu, bzw RDP unbenutzbar. Der Server is ueber 100Mbit am Netz und die L2TP Sessions der DSL Leitungen schlagen auch bei mir im Netz (im Rechenzentrum) auf.

das steht ja schon drin .. aber ich kann keine wirklich verbesserung/verschlechterung feststellen. vor policy-map's hab ich mich bis jetzt immer gedrueckt, da ich keine bandbreite fest reservieren will.

ich werds mal testen ... merci ..

Hi,

 

ich hab n Performance Problem beim einigen DSL Leitungen die mit DSL1000 angebunden sind, vor Ort ne 836er mit VPN zu einem Server bei mir haben. Die Clients verbinden sich zu einem Terminalserver hinter dem VPN-Gateway, und klicken wild rum. Alles kein Problem bis einer im DSL Standort ne Mail verschickt. Schon geht die RDP Verbindung in die Knie und wird schleppend langsam.

Jetzt hab ich mir gedacht ich mach ein "qos pre-classify" in der crypto map, erstell eine access-liste mit Port RDP, und ne priority-list:

 

[...]

crypto map VPN 10 ipsec-isakmp

set peer X.X.X.X

set transform-set 3des-md5

set pfs group2

match address 100

qos pre-classify

[...]

 

[...]

interface Dialer0

ip address negotiated

ip mtu 1492

ip nat outside

ip virtual-reassembly

encapsulation ppp

ip tcp adjust-mss 1300

dialer pool 1

dialer-group 1

priority-group 1

no cdp enable

ppp authentication pap callin

ppp pap sent-username meinlogin@meinrealm.de password 7 supersicher

ppp ipcp dns request

ppp ipcp wins request

crypto map VPN

[...]

 

access-list 120 permit ip any any eq 3389

priority-list 1 protocol ip high list 120

 

 

So .. mehr bzgl QoS und queues ist nicht konfiguriert. Aber wie kann ich pruefen ob das wirklich funktioniert?

 

show queue dialer 0 <== leere Ausgabe

show queue virtual-access 1 <== 'Show queue' not supported with FIFO queueing.

show queueing:

Current fair queue configuration:

 

Interface Discard Dynamic Reserved Link Priority

threshold queues queues queues queues

BRI0 64 16 0 8 1

BRI0:1 64 16 0 8 1

BRI0:2 64 16 0 8 1

 

Current DLCI priority queue configuration:

Current priority queue configuration:

 

List Queue Args

1 high protocol ip list 120

Current custom queue configuration:

Current random-detect configuration:

VC 1/32 -

VC 1/32: Per VC queueing is FIFO.

Current per-SID queue configuration:

 

 

sh int dialer 0:

Output queue (queue priority: size/max/drops):

high: 0/20/0, medium: 0/40/0, normal: 0/60/0, low: 0/80/0

 

 

Da ist nix zu sehn ..

Meine Vermutung ist, da bei der DSL Einwahl automatisch virtual-access1 "generiert" wird und die an dialer 0 bindet ich das da explizit konfigurieren muss, oder ich was vergessen hab? Und gibts vielleicht einen Befehl wie ich mir die Queues anschauen kann?

 

Oder gibts vielleicht ne bessere Loesung?

 

Merci ...

Klar bekomm ichs, bzw habs schon runtergeladen (von Cisco), aber mein Adrenalinspiegel steigt immer ins Unermessliche wenn ich n IOS update remote mach :D

Hab halt bei den meissten 12.3(11)T7 und muesst nur auf T8, da haette ich eben lieber n Workaround gehabt.

 

Schade .. aber trotzdem merci :)

http://www.nwlab.net/tutorials/cisco803-dsl.html

Nein, laeuft nicht, und jetzt hab ich noch vorher den Artikel bei Heise gelesen ( http://www.heise.de/newsticker/meldung/65690 ) und bin nun noch unsicherer ob der 2te, sprich den worums geht, ueberhaupt was mit der ipv6 Luecke zu tun hat :(

Dann starte doch deinen Radius mit "-x" damit er nicht in den Background geht und die Debugs auf die Console schmeisst. Und beim tcpdump kannste noch -X -s 0 angeben dann wird dir noch der Inhalt der Radiuspakete angezeigt. Da stehen dann meisstens auch Fehlermeldungen drin (im Klartext)

ich glaub aeltere (oder alle?) Systeme benutzen als Port fuer Radius 1645, FreeRadius allerdings 1812. Ich hab das bei mir fest eingetragen

aaa group server radius radius01

server 81.24.66.7 auth-port 1812 acct-port 1813

 

Schau doch mal bei deinem Radiusserver was fuer Ports offen sind ob da Pakete ankommen?

Ich unterstelle mal du hast Linux:

netstat -tupan <-- welche Ports offen

tcpdump host <ciscoip> -n <-- schauen ob Pakete ankommen

Hi,

 

heute (oder gestern) kam ja das Advisory zu dem Topic raus ( http://www.cisco.com/warp/public/707/cisco-sa-20051102-timers.shtml )

Es wird dort geschrieben, dass es keine Workarounds dazu gibt, allerdings schreibt Cisco das es von dem Advisory ( http://www.cisco.com/en/US/customer/products/products_security_advisory09186a00804d82c9.shtml ) von Blackhat stammt, wo steht wenn man bei "sh ipv6 int" eine leere Zeile oder einen Error zurueckbekommt man nicht betroffen ist.

 

Ich hab mehrere 12.3(11)T7 in ganz Deutschland im Einsatz und will jetzt ungern alle auf 8 stellen. Reicht es mir wenn ne leere Zeile rauskommt?

Hi, ich nochmal .. also ich wollte jetzt nach endlosen versuchen das TinyROM von 1.4.1 auf 1.2.2 runterzuspielen. Ich hab auch ne alte Cisco gefunden wo das drauf war, also mit TFTP von alt auf pc auf neu und nu hab ich auf meiner 801er sowohl 1.4.1 als auch 1.2.2 drauf. Allerdings klappt das mit dem Loeschen der neuen nicht so ganz. Bekomm dauernd Permission denied. Bei n paar Dokus von Cisco steht immer nur man muss es uebertragen und dann "save list" eingeben und er fraegt automatisch ob er das alte loeschen soll (eine Doku fuer downgrade hab ich bisher nicht gefunden).

Hat jemand ne Idee? Vielleicht im "rommon" das einstellen, wie z.B. set-file fuers IOS .. gibts da was?

 

Merci ...

habs zwar nie probiert, aber das sollte nicht funktionieren, gibt ja auch fuer jeden catalyst ein eigenes image zum downloaden ..

Danke fuer die Info, auf der Cisco is TinyROM 1.4(1), ich werd mich da mal schlau machen.

Hi,

 

wie das Topic schon sagt, ich hab n extra RAM-Riegel (noname) gekauft, meine 801 aufgeschaubt, den onboard 4er raus und den 8er rein. Danach geh ich mit Hyperterminal drauf, starte und dann kommt das:

 

TinyROM version 1.4(1)

19:37 11/07/00

Copyright © 1998-2000 by cisco Systems, Inc.

All rights reserved.

 

POST .............. OK. 12MB DRAM, 8MB Flash.

 

Ab hier bleibt er dann stehen.

 

Jetzt tausch ich wieder die Riegel und dann kommt er weiter:

 

TinyROM version 1.4(1)

19:37 11/07/00

Copyright © 1998-2000 by cisco Systems, Inc.

All rights reserved.

 

POST ............. OK. 8MB DRAM, 8MB Flash.

 

Accessing flash:c800-y6-mw.122-31.bin

 

Booting "c800-y6-mw.122-31.bin" ...

 

 

Ich hab 2 Riegel gekauft, die Chance, dass alle beide defekt sind ist doch relativ gering.

Bin mir jetzt nicht ganz sicher, ob ich beim Upgrade vom RAM noch irgendwas beachten muss? Hat da schon einer Erfahrungen gemacht? Ich hab auch versucht in den Rommon zu gelangen, aber auch das klappt beim neuen Riegel nicht. Bei ner 3640 und 3620 hats immer ohne Probleme geklappt. Vor allem erkennt er den Speicher ja, sonst wuerd er nicht schreiben:

POST .............. OK. 12MB DRAM, 8MB Flash.

 

Nur booten tut er das IOS nicht ..

 

Irgendwelche Ideen? Vielen Dank fuer Eure Unterstuetzung ..

 

 

Wordo