Cisco 881-Sec-K9

[ShineDaStar 10]

;-) Dachte ich schreib das hier zu, dass leute die nach dem selben suchen, die Antworten finden und nicht nochmal neu Fragen müssen ;-)

 

Mir is klar, dass man an einem Privatmenschen nichts verdienen kann... aber für den Fall der Fälle wäre es halt interessant.

 

Hinter dem Router werde ich ja mein 3750-TS-S tun. Der is schon configuriert, aber auf PIM-sparse-dense-mode.

 

Gibt das Probleme, wenn ich meinem Router einen RP zuweise?

[ShineDaStar 10]

hm... mich würde interessieren, wie die implementation - so wie ich es in linux habe - auf dem cisco aussehen würde.

 

Wir erinnern uns, der vyatta router hat folgende config:

 

interfaces {
   ethernet eth0 {
       address 192.168.0.1/24
       description Localnet.Intranet.PainNet
       hw-id 00:40:ca:00:c0:00
   }
   ethernet eth1 {
       description Wanconnect.Internet.PainNet
       hw-id 00:02:b3:00:00:2e
       vif 7 {
           description Public.Internet.PainNet
           firewall {
           }
           pppoe 1 {
               default-route auto
               firewall {
                   in {
                       name Chain_IN
                   }
                   local {
                       name Chain_Local
                   }
               }
               name-server none
               password MeinPasswortHalt
               user-id MeineKennungHalt#0001@t-online.de
           }
       }
       vif 8 {
           address dhcp
           description IPTV.Internet.PainNet
           firewall {
               in {
                   name Chain_IN
               }
               out {
                   name Chain_Local
               }
           }
       }
   }
   ethernet eth2 {
       duplex auto
       hw-id 00:03:47:00:00:35
   }
   loopback lo {
   }
}

[ShineDaStar 10]

Das ich dann IPTV schauen kann, habe ich den IGMPProxy installiert und hierfür folgende config:

 

quickleave
phyint eth1.8 upstream  ratelimit 0  threshold 1
altnet 217.6.164.42/32
altnet 194.25.134.197/32
phyint eth0  downstream  ratelimit 0  threshold 1
altnet 192.168.0.11/24
altnet 192.168.0.12/24
phyint eth1 disabled
phyint eth1.7 disabled
phyint eth2
phyint lo disabled
phyint lo disabled
phyint pppoe1 disabled

 

Wichtig ist, dass auf der VLAN ID8 der Zugang zum IPTV gelöst ist, dieser erhält seine Routingeinträge via DHCP, so sollte das auf dem Cisco auch passieren. Auf einer Physikalischen Interface werden 2 virtuelle aufgebaut. ID7 macht eine pppoe Verbindung auf, wie sie auch im dsl standart ist. Man braucht IMMER tagged packete auf der WAN Seite, dass das funktioniert. Nun muss man noch das IPTV machen, via Multicast IGMPv3 und dem Proxy auf ID8. Das muss ins interne Netz.

Die zuvor gepostete Config eines lieben Forenkollegen lautet hier wie folgt:

 

Die verwendete Linux Version ist Vyatta VC 5.0.2

 

Wenn ja, wie bekomme ich den RP heraus und ist dieser statisch?

 

Man muss auch noch etwas in der Firewall einstellen, dass das funktioniert, in vyatta sieht das so aus:

 

Firewall "Chain_IN":

Active on (eth1.8,IN) (eth1,IN)

State Codes: E - Established, I - Invalid, N - New, R - Related

rule  action  source              destination         proto  state
----  ------  ------              -----------         -----  -----
1     ACCEPT  217.0.119.0/24      224.0.0.0/4                any
2     ACCEPT  193.158.35.0/24     224.0.0.0/4                any
3     ACCEPT  239.35.0.0/16       224.0.0.0/4                any
4     ACCEPT  0.0.0.0/0           224.0.0.0/4                any
5     ACCEPT  0.0.0.0/0           0.0.0.0/0                  E,R
6     ACCEPT  0.0.0.0/0           0.0.0.0/0           udp    any
             src ports: 5060
                                 dst ports: 5060
7     ACCEPT  0.0.0.0/0           192.168.0.2         udp    any
             src ports: 10000-12000
8     ACCEPT  0.0.0.0/0           0.0.0.0/0           tcp    any
             src ports: 10000
                                 dst ports: 10000
1025  DROP    0.0.0.0/0           0.0.0.0/0           all    any

--------------------------------------------------------------------------------
Firewall "Chain_Local":

Active on (eth1.8,OUT) (eth1,LOCAL)

State Codes: E - Established, I - Invalid, N - New, R - Related

rule  action  source              destination         proto  state
----  ------  ------              -----------         -----  -----
1     ACCEPT  0.0.0.0/0           224.0.0.0/4                any
2     ACCEPT  0.0.0.0/0           0.0.0.0/0                  E,R
1025  DROP    0.0.0.0/0           0.0.0.0/0           all    any

 

Zudem wäre es noch interessant, wie ich QoS für Multicast traffic lösen kann.

 

Der daran hängende Switch ist ein bereits configurierter C3750-TS-S

 

Könnt ihr mir dabei bitte etwas helfen? Mangels des Routers, da dieser noch 1 1/2 Wochen Lieferzeit hat, kann ich das nicht hier ausprobieren. Wenn es jedoch nach Plan läuft, hätte ich die Konfig Fertig, bevor ich den Router habe und könnte dann das als HowTo auch für andere zur Verfügung haben ( Verweis auf diesen Thread, nicht mit fremden Federn geschmückt ).

 

Ich bin nereits auf das "Zielnetz" umgestellt worden, was etwaige durch google zu findenden Möglichkeiten/Anleitungen weitestgehend unbrauchbar macht.

 

Hat mir jemand den notingen "Denkanstoss", so dass wir zusammen zur gesuchten Konfiguration kommen?

 

Danke schonmal im voraus!

[ShineDaStar 10]

Im Startnetz sieht eine funktionierende config für einen 1802 folgendermaßen aus:

 

ip cef
ip multicast-routing
no ipv6 cef
!
ip tcp mss 1452
ip tcp path-mtu-discovery
!
interface FastEthernet0/0
description switch uplink
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly max-reassemblies 512
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/0.1
description default vlan 1
encapsulation dot1Q 1 native
ip address 192.168.1.1 255.255.255.0
ip access-group 103 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip pim sparse-mode
ip nat inside
ip virtual-reassembly
ip igmp helper-address 217.0.119.41
ip igmp version 3
!
interface FastEthernet0/1
description modem uplink
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly max-reassemblies 512
load-interval 30
duplex auto
speed auto
no cdp enable
no mop enabled
!
interface FastEthernet0/1.7
description vdsl vlan
bandwidth 100000
encapsulation dot1Q 7
ip virtual-reassembly
pppoe enable group global
pppoe-client dial-pool-number 1
no cdp enable
!
interface Dialer1
description t-online
mtu 1492
bandwidth 51384
bandwidth receive 10044
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip nbar protocol-discovery
ip pim dense-mode
ip nat outside
ip virtual-reassembly max-reassemblies 512
encapsulation ppp
ip tcp adjust-mss 1452
ip igmp helper-address 217.0.119.41
ip igmp version 3
ip igmp query-interval 15
dialer pool 1
dialer idle-timeout 0
dialer persistent
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username fernsehgucker@t-online.de password 0 schwarzseher
crypto map vpnmap
service-policy output shaping
!
ip route 0.0.0.0 0.0.0.0 Dialer1
ip pim rp-address 217.0.119.41
ip nat inside source route-map natpool interface Dialer1 overload
!
logging history debugging
access-list 100 remark nat overload
access-list 100 deny ip 192.168.1.0 0.0.0.255 10.0.1.0 0.0.0.255
access-list 100 deny ip 192.168.2.0 0.0.0.255 10.0.1.0 0.0.0.255
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 100 permit ip 192.168.2.0 0.0.0.255 any
access-list 103 remark Vlan1 anti-spoofing
access-list 103 deny ip 192.168.2.0 0.0.0.255 any
access-list 103 deny ip 127.0.0.0 0.255.255.255 any
access-list 103 permit igmp any any
access-list 103 permit ip any any
access-list 104 remark Vlan2 anti-spoofing
access-list 104 deny ip 192.168.1.0 0.0.0.255 any
access-list 104 deny ip 127.0.0.0 0.255.255.255 any
access-list 104 permit igmp any any
access-list 104 permit ip any any
dialer-list 1 protocol ip permit

 

Im Zielnetz ist es aber wie oben beschrieben die ID 8 für IPTV.

 

Wie sieht die konfiguration für das Zielnetz aus, unter Berücksichtigung meiner config aus dem vyatta linux router?

[ShineDaStar 10]

Hat jemand ne Idee, bzw. kann die Konfig auf nem Laborgerät prüfen, die man benötigt, um die oben benannte Konfig für das Startnetz in Anlehnung auf die funktionierende Vyatta Linux Konfiguration vom Zielnetz in eine funktionierende Cisco Konfiguration für das Zielnetz zu schreiben?

 

Ich bin für jede hilfe dankbar.

 

Grüsse

[Wordo 11]

Willst du nicht lieber erst mal warten bis der Router da ist, so viel wie geht selbst machen und dann bei konkreten Fragen/Problemen dich ans Board wenden? Das wuerds schon einfacher machen ...

[ShineDaStar 10]

Da hast Du recht.

 

Ich benötige vorab aber dringend hilfe, wie ich das hinbekommen soll, dass ich die beiden vlans mache und an vlan 7 tagged packete raussende und daran, also an das vlan, den dialer binde...

 

Ich frage mich nur, wieso das Ding unbedingt 14 Tage lieferzeit haben muss ;-)

 

Die Leistung ist mit 50000 pps angegeben, das müsste doch für 50 mbit internet reichen, oder geht da noch mehr?

 

Grüsse

[Otaku19 33]

das komtm auf die Grösse der Pakete und den "Beschäftigungsgrad" des Routers an

[ShineDaStar 10]

Das habe ich ja schon versucht heraus zu bekommen. Also ein Mediareceiver, der SD empfängt, braucht 300 pps. Ein Download einer Linux ISO mit 1,5 MBit braucht 1400 pps. Mit der Umrechnung, ob das dafür reicht, für das was man in nem "normalen" Haushalt so an Internet hat, tu ich mir etwas schwer. Es wird ja von 64 bit Paketen ausgegangen, das mal 8 und mal die 50000. Aber ich denke mir immer, dass bei ner FE Schnittstelle da doch schon Wirespeed drin sein sollte, oder?

[Wordo 11]

Welcher normale Haushalt braucht Wirespeed?

[ShineDaStar 10]

Wirespeed, weil VDSL in absehbarer Zukunft 100 MBit bieten soll und ich nich vor habe, mir gleich nochmal n 400 Euro Router zu kaufen.

 

Aber von der Paketrate her sollte das eigendlich schon reichen, oder?

[blackbox 10]

Hi,

 

ich würde dein Vlan 8 Problem als erstes mal damit beginnen - das du ein weiteres SubInterface .8 anlegst und da DHCP drauf machst - da auf dem .7 ja der Dialer ist - sollte das ohne Prob gehen.

 

Und wenn du ihn hast - mit dem Router runspielen und dann berichten - was nicht geht - dann denke ich werde wir dafür ne Lösung finden.

[ShineDaStar 10]

ausgezeichnet, das werde ich tun. Nun muss das gute Teil nur noch zu mir kommen, wars***einlich wird es nur für mich gebaut und deswegen 14 Tage ;-) aber auf Qualität kann man warten ;-)

[Wordo 11]

Ich hab Ende 2008 die ersten 881G mit UMTS bestellt, Lieferzeit 4 Wochen, gedauert hats 4 Monate ;) Und dann waren CDMA Modems drin und nicht 3G :D

[blackbox 10]

Hi,

 

wo hast du den den geordert - 2 "offizelle" Cisco Distries in Germany haben den zur Zeit auf Lager....