Jump to content

Optimierung des Wählverhaltens bei zwei 801


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Zusammen,

 

folgendes Szenario:

 

2 x Cisco 801 (IOS 12.3) die für eine Lan2Lan und jeweils eine RAS Verbindung für Administrationszwecke eingerichtet wurden. Da die Config nicht wirklich optimal ist bauen die Router die Verbindungen auch nicht optimal ab. Dadurch entstehen natürlich auch höhere Verbindungskosten, was ich gern irgendwie verhindern würde.

 

Momentan können beide Router (Router A = Hauptgeschäftsstelle und Router B = Außenstelle) sich gegenseitig anwählen. Reichen würde es jedoch, wenn nur Router B wählt.

 

Weiterhin sind auf beiden Routern keine ACL gesetzt, die unnötigen Traffic filtern würden (netbios Anfragen usw.).

 

Meine Fragen nun:

 

1. Würde es reichen für Router A die broadcast nummer auf eine entsprechend falsche Nummer umzustellen, damit dieser nicht mehr Router B anwählen kann? Oder gibt es eine bessere Alternative ihm das Wählen abzugewöhnen?

 

2. Ist es möglich den Routern zu sagen, dass sie incomming calls nur zu bestimmten Zeiten zulassen, also sowas wie ein Scheduler? So dass man sagt: Router A akzeptiert von Router B bzw. generell nur incomming calls von 07.00 Uhr bis 18.00 Uhr.

Der Umgekehrte Weg wäre auch denkbar, sodass Router B nur von 07.00Uhr bis 18.00Uhr wählen darf... jenachdem was einfacher oder schneller ist.

 

3. Wie würde eine ACL aussehen, die verhindert, dass unnötiger Datenverkehr den Dialer aktiviert?

 

Ich hänge die Configs mal unten an:

 

 

Router A = Hauptgeschäftsstelle:

 

version 12.3

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname RouterA

!

boot-start-marker

boot-end-marker

!

enable password 7 xxxxxxxxxxxxxxx

!

username RouterB password 7 xxxxxxxxxxxxxxx

username RAS password 7 xxxxxxxxxxxxxxx

no aaa new-model

ip subnet-zero

no ip domain lookup

!

isdn switch-type basic-net3

!

!

!

interface Ethernet0

description connected to LanA

ip address 124.0.0.132 255.0.0.0

no keepalive

!

interface BRI0

description connected to RouterB

no ip address

encapsulation ppp

dialer rotary-group 1

dialer-group 1

isdn switch-type basic-net3

no cdp enable

!

interface Dialer1

description connected to RouterB

ip unnumbered Ethernet0

encapsulation ppp

no ip split-horizon

dialer in-band

dialer idle-timeout 300

dialer map snapshot 1 name RouterB broadcast

dialer map ip 192.168.190.235 name RouterB broadcast Vorwahl+Rufnummer

dialer hold-queue 10

dialer load-threshold 180 either

dialer-group 1

snapshot server 15 dialer

no cdp enable

ppp authentication chap

ppp multilink

!

interface Dialer2

description connected to RAS

ip address 192.168.199.1 255.255.255.240

encapsulation ppp

no ip split-horizon

dialer in-band

dialer idle-timeout 300

dialer hold-queue 10

dialer-group 1

peer default ip address pool RAS

no cdp enable

ppp authentication chap

!

ip local pool RAS 192.168.199.2 192.168.199.14

ip classless

ip route 192.168.190.0 255.255.255.0 192.168.190.235

ip route 192.168.190.235 255.255.255.255 Dialer1

no ip http server

!

dialer-list 1 protocol ip permit

!

line con 0

exec-timeout 0 0

password 7 xxxxxxxxxxxxxxx

login

transport preferred all

transport output all

stopbits 1

line vty 0 4

password 7 xxxxxxxxxxxxxxx

login

transport preferred all

transport input all

transport output all

!

no rcapi server

!

!

!

end

Link zu diesem Kommentar

Hier die zweite Config

 

RouterB = Außenstelle:

 

version 12.3

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname RouterB

!

boot-start-marker

boot-end-marker

!

enable password 7 xxxxxxxxxxxxxxx

!

username RouterA password 7 xxxxxxxxxxxxxxx

username RAS password 7 xxxxxxxxxxxxxxx

no aaa new-model

ip subnet-zero

no ip domain lookup

!

isdn switch-type basic-net3

!

!

!

interface Ethernet0

description connected to LanB

ip address 192.168.190.235 255.255.255.0

no keepalive

!

interface BRI0

description connected to RouterA

no ip address

encapsulation ppp

dialer rotary-group 1

dialer-group 1

isdn switch-type basic-net3

no cdp enable

!

interface Dialer1

description connected to RouterA

ip unnumbered Ethernet0

encapsulation ppp

no ip split-horizon

dialer in-band

dialer idle-timeout 300

dialer map ip 124.0.0.132 name torge broadcast Vorwahl+Rufnummer

dialer map snapshot 1 name torge broadcast Vorwahl+Rufnummer

dialer hold-queue 10

dialer load-threshold 180 either

dialer-group 1

snapshot client 15 360 suppress-statechange-update dialer

no cdp enable

ppp authentication chap

ppp multilink

!

interface Dialer2

description connected to RAS

ip address 192.168.200.1 255.255.255.240

encapsulation ppp

no ip split-horizon

dialer in-band

dialer idle-timeout 300

dialer hold-queue 10

dialer-group 1

peer default ip address pool RAS

no cdp enable

ppp authentication chap

!

ip local pool RAS 192.168.200.2 192.168.200.14

ip classless

ip route 0.0.0.0 0.0.0.0 192.168.190.254 2

ip route 124.0.0.0 255.0.0.0 124.0.0.132

ip route 124.0.0.132 255.255.255.255 Dialer1

no ip http server

!

dialer-list 1 protocol ip permit

!

line con 0

exec-timeout 0 0

password 7 xxxxxxxxxxxxxxx

login

transport preferred all

transport output all

stopbits 1

line vty 0 4

password 7 xxxxxxxxxxxxxxx

login

transport preferred all

transport input all

transport output all

!

no rcapi server

!

!

!

end

 

Ich bin für jeden Tipp dankbar!

Link zu diesem Kommentar

Einen der Schuldigen habe ich erstmal gefunden und könnte ihn theoretisch mit einer ACL ausschalten, die wie folgt aussieht:

 

access-list 102 deny ip 0.0.0.132 255.255.255.0 any

access-list 102 deny udp any eq netbios-dgm any

access-list 102 deny udp any eq netbios-ns any

access-list 102 deny udp any eq netbios-ss any

access-list 102 deny udp any range snmp snmptrap any

access-list 102 deny udp any range bootps bootpc any

access-list 102 deny tcp any eq 137 any

access-list 102 deny tcp any eq 138 any

access-list 102 deny tcp any eq 139 any

access-list 102 permit ip any any

 

Allerings habe ich jetzt noch ein weiteres Problem... wobei sich erst noch herausstellen muss ob es wirklich eines ist. Und zwar habe ich festgestellt, dass der Router in der Außenstelle (RouterB) sich trotzdem weiterhin einwählt. Die Sache scheint aber von ihm selber aus zu gehen zumindest denke ich, dass dies folgender Auszug von "sh caller full" aussagt:

 

PPP: LCP Open, multilink Open, CHAP (<-->)

Dialer: Connected to XXXXXXXX, outbound

Type is ISDN, group Di1

Cause: snapshot <--- was um alles in der Welt ist das???

IP: Local 192.168.190.235

Bundle: Member of RouterA

Counts: 63 packets input, 2537 bytes, 0 no buffer

0 input errors, 0 CRC, 0 frame, 0 overrun

63 packets output, 2747 bytes, 0 underruns

0 output errors, 0 collisions, 0 interface resets

 

Als Dialergrund wird also snapshot angegeben. Ich nehme an, dass dies etwas mit dem snapshot routing zu tun hat.

 

Kann man die Geschichte optimieren, anpassen und/oder zeitlich begrenzen?

Link zu diesem Kommentar

Hi Wolke2K4

 

Es ist nie zu spät ! :D

Im Moment muss man mich eher anschreiben, als dass ich von alleine irgendeinen

Thread bearbeiten kann. Habe nen wichtiges und großes Projekt am laufen.

 

Aber nichts für Ungut !

Zu Deiner Konfiguration kann ich nur sagen " etwas gemixt"

Du solltest auf jeden Fall das Snapshot Routing raus nehmen.

Ich hab das mal gemacht ! Lange her und nur Ärger gehabt.

Immerhin hattest du wohl schon angefangen via "dialer map ip" Deine Letung

aufzubauen, warum also nicht zu Ende gebracht ?

In der Konfiguration, welche ich mal gemacht habe, habe ich dir doch auf der ISDN

Strecke ein Netzwerk konfiguriert.

 

Eine Seite :

 

interface Dialer1

description connected to RouterA

ip address 172.18.16.1 255.255.255.252

encapsulation ppp

no ip split-horizon

dialer in-band

dialer idle-timeout 300

dialer map ip 172.18.16.2 name torge broadcast Vorwahl+Rufnummer

dialer hold-queue 10

dialer load-threshold 180 either

dialer-group 1

no cdp enable

ppp authentication chap

ppp multilink

 

 

 

interface Dialer1

description connected to RouterB

ip address 172.18.16.2 255.255.255.252

encapsulation ppp

no ip split-horizon

dialer in-band

dialer idle-timeout 300

dialer map ip 172.18.16.1 name RouterB broadcast Vorwahl+Rufnummer

dialer hold-queue 10

dialer load-threshold 180 either

dialer-group 1

no cdp enable

ppp authentication chap

ppp multilink

 

 

Du solltest Dich von dem IP-unnumbered to eth lösen, am besten routest Du Netz A über

die IP-Adr. am dialer interface des Router's von gegenüber.

Und Netz B genauso.

 

Die Access-list 102 ist doch schon garnicht mal so schlecht, jedoch verstehe ich diesen Eintrag nicht :

access-list 102 deny ip 0.0.0.132 255.255.255.0 any

 

Auf jeden Fall solltest Du die List in den Command

dialer-list 1 protocol ip permit

mit einbringen :

dialer-list 1 protocol ip permit list 102

 

Damit unterlässt der Router eine Anwahl für alle IP-Pakete, welche in der Liste denied werden.

Anderherum, könntest Du die Liste auch umgekehrt austellen.

Überlege Dir genau was über die Leitung gehen soll:

z.B. WWW,SMTP,POP3,FTP,FTP-Data etc.

Definiere die Liste so, dass alles drin ist was du brauchst

access-list permit tcp any any eq www z.B.

und am Ende setzt Du dann das deny any any !

 

Und Du wirst sehen, er ruft nicht mehr raus, wenn es nicht sein muss.

Die Sache mit dem Scheduler geht aber auch !

Hab ich aber noch nie gemacht.

Zumindest sollte dann aber die Uhr auf dem Router richtig gehen !

Heißt NTP konfigurieren, oder der local clock vertrauen.

 

Hast Du meine Konfigurationen noch ?

 

MfG

 

Mr. Oiso

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...