ShineDaStar 10 Geschrieben 2. Dezember 2009 Melden Teilen Geschrieben 2. Dezember 2009 Hallo liebe Forengemeinde, ich habe da ein Problem, mit meinem Netzwerk. Ich habe 1 C3750 und 1 3750G Switch als Stack am Laufen, darauf LACP configuriert für mein Nas. Das funktioniert soweit. Mein Switch ist an die ASA angeschlossen, diese unterstützt aber kein LACP. Aber Trunks soll sie können... Mein Router ist ein 892. Ich wollte nun 2 ethernetkabel als Trunk vom Router zur ASA configurieren und 2 von der ASA zu meinem Switch. In der normalen Konfiguration funktioniert mein Internet, konfiguriere ich aber einen Trunk auf der ASA und die selbe Einstellung auf meinem Switch, so bekomme ich keine Verbindung mehr zu meiner ASA und auch keine mehr zum Internet. Was muss ich Grundliegend beachten, dass dieses Szenario umsetzbar ist, und wie genau kann ich die Trunks richtig konfigurieren? Am besten wäre es, wenn ich ein vlan nur für admin zwecke hätte und die daten in einem anderen durchlaufen würden, man von intern aber beide vlans erreichen kann...? Danke schonmal für eure hilfe Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 2. Dezember 2009 Melden Teilen Geschrieben 2. Dezember 2009 Mit Trunks sind bei Cisco mehrere VLAN's ueber ein Kabel gemeint, du verwechselst das wohl mit Trunks bei HP. Die ASA kann keine Buendelungen von Kabeln. Zitieren Link zu diesem Kommentar
ShineDaStar 10 Geschrieben 2. Dezember 2009 Autor Melden Teilen Geschrieben 2. Dezember 2009 also kann ich nichts weiteres machen, als die zweite Leitung - sinnvoll oder nicht - als Backup Interface zu konfigurieren? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 2. Dezember 2009 Melden Teilen Geschrieben 2. Dezember 2009 da musst auf der ASA redundant interfaces konfigurieren Zitieren Link zu diesem Kommentar
ShineDaStar 10 Geschrieben 2. Dezember 2009 Autor Melden Teilen Geschrieben 2. Dezember 2009 da musst auf der ASA redundant interfaces konfigurieren Ich glaube, das geht nur ab der 5510... oder ich habe mich schwer verlesen... hast Du da nähere Infos? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 2. Dezember 2009 Melden Teilen Geschrieben 2. Dezember 2009 5505 hat ja switchports, denke mal das wird bei 2 links einfach via STP geregelt ? Zitieren Link zu diesem Kommentar
ShineDaStar 10 Geschrieben 2. Dezember 2009 Autor Melden Teilen Geschrieben 2. Dezember 2009 5505 hat ja switchports, denke mal das wird bei 2 links einfach via STP geregelt ? habe ich auch gedacht, dann aber gelesen, dass die asa 5505 kein stp unterstützt... Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 2. Dezember 2009 Melden Teilen Geschrieben 2. Dezember 2009 uh, das ist natürlich mist: The ASA 5505 adaptive security appliance does not support Spanning Tree Protocol for loop detection in the network. Therefore you must ensure that any connection with the adaptive security appliance does not end up in a network loop. tjo, aber ne 5505 ist auch eher eine Aussenstellen FW und bei Redundanzfragen wird man eher 2 FW im failover betreiben als 2 Verbinudngen zu einer Box schalten. Zitieren Link zu diesem Kommentar
ShineDaStar 10 Geschrieben 2. Dezember 2009 Autor Melden Teilen Geschrieben 2. Dezember 2009 uh, das ist natürlich mist:The ASA 5505 adaptive security appliance does not support Spanning Tree Protocol for loop detection in the network. Therefore you must ensure that any connection with the adaptive security appliance does not end up in a network loop. tjo, aber ne 5505 ist auch eher eine Aussenstellen FW und bei Redundanzfragen wird man eher 2 FW im failover betreiben als 2 Verbinudngen zu einer Box schalten. das ist in der Tat richtig. Ich musste die auch nochmal neu aufsetzen, und nun komme ich nich mehr an meine UC... also ich verstehe das irgendwie nicht... ich muss doch ne access rule dafür machen und dann nen nat eintrag einlegen, wenn die unsicherere Interface mit der sicheren reden will, oder? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 2. Dezember 2009 Melden Teilen Geschrieben 2. Dezember 2009 Also ich muss sagen ich bin langsam echt angepisst von der ASA, tausende von Features aber sobald du mal die Features mischen willst geht nix mehr. EasyVPN, aaa network authentication und dual isp backup. Das ist echt ein Witz. Zitieren Link zu diesem Kommentar
ShineDaStar 10 Geschrieben 2. Dezember 2009 Autor Melden Teilen Geschrieben 2. Dezember 2009 Also ich muss sagen ich bin langsam echt angepisst von der ASA, tausende von Features aber sobald du mal die Features mischen willst geht nix mehr. EasyVPN, aaa network authentication und dual isp backup. Das ist echt ein Witz. ja... die address translation macht auch nichts wenn man se konfiguriert. Wenn mans löscht und wieder macht, gehts manchmal wieder... ich drehe am rat, was mach ich denn falsch? Ich habe doch die asa in nem anderen vlan, ich kann ins internet, aber ich bekomme mit dem cp nich meine UC ins interne lan zum konfigurieren... hast Du ne idee? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 2. Dezember 2009 Melden Teilen Geschrieben 2. Dezember 2009 das ist in der Tat richtig. Ich musste die auch nochmal neu aufsetzen, und nun komme ich nich mehr an meine UC... also ich verstehe das irgendwie nicht... ich muss doch ne access rule dafür machen und dann nen nat eintrag einlegen, wenn die unsicherere Interface mit der sicheren reden will, oder? Kommt drauf an :) von niedrigeren security-level auf ein Interface mit höherem Level brauchts in jedem Fall ne ACL. NAT ist nur notwendig wenn nat-control an ist. Also rein ASA seitig, bei nicht gerouteten Adressen bleibt einem eh nix anderes über als zu natten Zitieren Link zu diesem Kommentar
ShineDaStar 10 Geschrieben 2. Dezember 2009 Autor Melden Teilen Geschrieben 2. Dezember 2009 Kommt drauf an :) von niedrigeren security-level auf ein Interface mit höherem Level brauchts in jedem Fall ne ACL. NAT ist nur notwendig wenn nat-control an ist. Also rein ASA seitig, bei nicht gerouteten Adressen bleibt einem eh nix anderes über als zu natten also mein main net is 192.168.0.0/24, UC 192.168.4.2/24, 192.168.2.1/24 der internet router... eingerichtet is die asa über den wizard... wie bekomme ich nun meine uc wieder dazu, mit mir zu reden? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 2. Dezember 2009 Melden Teilen Geschrieben 2. Dezember 2009 ohen zumidenst die wichtigen configteile wird das nix. Und von WO willst du zugreifen ? Zitieren Link zu diesem Kommentar
ShineDaStar 10 Geschrieben 2. Dezember 2009 Autor Melden Teilen Geschrieben 2. Dezember 2009 ohen zumidenst die wichtigen configteile wird das nix. Und von WO willst du zugreifen ? also ich will eigendlich nur wieder via ccp auf die uc zugreifen können... ich komm grad drauf, will mein sip trunk programmieren, dann steht dauernt laden... 99, springt wieder auf 97 prozent... immer so... Meine running: Result of the command: "show running-config" : Saved : ASA Version 8.2(1) ! hostname TKGNFW01LTB01 domain-name painlan.local enable password Jf/.889965encrypted passwd 889965.2KYOU encrypted names name 192.168.4.2 UC520_PBX description Voice PBX System dns-guard ! interface Vlan1 description This Interface is the internal Lan nameif 1_IN_Data_Net security-level 99 ip address 192.168.0.1 255.255.255.0 ! interface Vlan2 description This Interface goes to Perimeter Network nameif 5_Out_Peer security-level 0 ip address dhcp setroute ! interface Vlan3 description This Interface is for the admin Net nameif 4_IN_Admin_Net security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Vlan4 description Interface to UC520 nameif 2_IN_Voice_Net security-level 99 ip address 192.168.4.1 255.255.255.0 ! interface Vlan5 description This Interface is connected to the WLC nameif 3_IN_Wlan_Net security-level 60 ip address 192.168.3.1 255.255.255.0 ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 switchport access vlan 2 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 switchport access vlan 4 ! interface Ethernet0/5 ! interface Ethernet0/6 switchport access vlan 5 ! interface Ethernet0/7 switchport access vlan 3 ! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.