Wolke2k4 11 Geschrieben 8. März 2005 Melden Teilen Geschrieben 8. März 2005 Hallo Zusammen, folgendes Szenario: 2 x Cisco 801 (IOS 12.3) die für eine Lan2Lan und jeweils eine RAS Verbindung für Administrationszwecke eingerichtet wurden. Da die Config nicht wirklich optimal ist bauen die Router die Verbindungen auch nicht optimal ab. Dadurch entstehen natürlich auch höhere Verbindungskosten, was ich gern irgendwie verhindern würde. Momentan können beide Router (Router A = Hauptgeschäftsstelle und Router B = Außenstelle) sich gegenseitig anwählen. Reichen würde es jedoch, wenn nur Router B wählt. Weiterhin sind auf beiden Routern keine ACL gesetzt, die unnötigen Traffic filtern würden (netbios Anfragen usw.). Meine Fragen nun: 1. Würde es reichen für Router A die broadcast nummer auf eine entsprechend falsche Nummer umzustellen, damit dieser nicht mehr Router B anwählen kann? Oder gibt es eine bessere Alternative ihm das Wählen abzugewöhnen? 2. Ist es möglich den Routern zu sagen, dass sie incomming calls nur zu bestimmten Zeiten zulassen, also sowas wie ein Scheduler? So dass man sagt: Router A akzeptiert von Router B bzw. generell nur incomming calls von 07.00 Uhr bis 18.00 Uhr. Der Umgekehrte Weg wäre auch denkbar, sodass Router B nur von 07.00Uhr bis 18.00Uhr wählen darf... jenachdem was einfacher oder schneller ist. 3. Wie würde eine ACL aussehen, die verhindert, dass unnötiger Datenverkehr den Dialer aktiviert? Ich hänge die Configs mal unten an: Router A = Hauptgeschäftsstelle: version 12.3 no service pad service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname RouterA ! boot-start-marker boot-end-marker ! enable password 7 xxxxxxxxxxxxxxx ! username RouterB password 7 xxxxxxxxxxxxxxx username RAS password 7 xxxxxxxxxxxxxxx no aaa new-model ip subnet-zero no ip domain lookup ! isdn switch-type basic-net3 ! ! ! interface Ethernet0 description connected to LanA ip address 124.0.0.132 255.0.0.0 no keepalive ! interface BRI0 description connected to RouterB no ip address encapsulation ppp dialer rotary-group 1 dialer-group 1 isdn switch-type basic-net3 no cdp enable ! interface Dialer1 description connected to RouterB ip unnumbered Ethernet0 encapsulation ppp no ip split-horizon dialer in-band dialer idle-timeout 300 dialer map snapshot 1 name RouterB broadcast dialer map ip 192.168.190.235 name RouterB broadcast Vorwahl+Rufnummer dialer hold-queue 10 dialer load-threshold 180 either dialer-group 1 snapshot server 15 dialer no cdp enable ppp authentication chap ppp multilink ! interface Dialer2 description connected to RAS ip address 192.168.199.1 255.255.255.240 encapsulation ppp no ip split-horizon dialer in-band dialer idle-timeout 300 dialer hold-queue 10 dialer-group 1 peer default ip address pool RAS no cdp enable ppp authentication chap ! ip local pool RAS 192.168.199.2 192.168.199.14 ip classless ip route 192.168.190.0 255.255.255.0 192.168.190.235 ip route 192.168.190.235 255.255.255.255 Dialer1 no ip http server ! dialer-list 1 protocol ip permit ! line con 0 exec-timeout 0 0 password 7 xxxxxxxxxxxxxxx login transport preferred all transport output all stopbits 1 line vty 0 4 password 7 xxxxxxxxxxxxxxx login transport preferred all transport input all transport output all ! no rcapi server ! ! ! end Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 8. März 2005 Autor Melden Teilen Geschrieben 8. März 2005 Hier die zweite Config RouterB = Außenstelle: version 12.3 no service pad service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname RouterB ! boot-start-marker boot-end-marker ! enable password 7 xxxxxxxxxxxxxxx ! username RouterA password 7 xxxxxxxxxxxxxxx username RAS password 7 xxxxxxxxxxxxxxx no aaa new-model ip subnet-zero no ip domain lookup ! isdn switch-type basic-net3 ! ! ! interface Ethernet0 description connected to LanB ip address 192.168.190.235 255.255.255.0 no keepalive ! interface BRI0 description connected to RouterA no ip address encapsulation ppp dialer rotary-group 1 dialer-group 1 isdn switch-type basic-net3 no cdp enable ! interface Dialer1 description connected to RouterA ip unnumbered Ethernet0 encapsulation ppp no ip split-horizon dialer in-band dialer idle-timeout 300 dialer map ip 124.0.0.132 name torge broadcast Vorwahl+Rufnummer dialer map snapshot 1 name torge broadcast Vorwahl+Rufnummer dialer hold-queue 10 dialer load-threshold 180 either dialer-group 1 snapshot client 15 360 suppress-statechange-update dialer no cdp enable ppp authentication chap ppp multilink ! interface Dialer2 description connected to RAS ip address 192.168.200.1 255.255.255.240 encapsulation ppp no ip split-horizon dialer in-band dialer idle-timeout 300 dialer hold-queue 10 dialer-group 1 peer default ip address pool RAS no cdp enable ppp authentication chap ! ip local pool RAS 192.168.200.2 192.168.200.14 ip classless ip route 0.0.0.0 0.0.0.0 192.168.190.254 2 ip route 124.0.0.0 255.0.0.0 124.0.0.132 ip route 124.0.0.132 255.255.255.255 Dialer1 no ip http server ! dialer-list 1 protocol ip permit ! line con 0 exec-timeout 0 0 password 7 xxxxxxxxxxxxxxx login transport preferred all transport output all stopbits 1 line vty 0 4 password 7 xxxxxxxxxxxxxxx login transport preferred all transport input all transport output all ! no rcapi server ! ! ! end Ich bin für jeden Tipp dankbar! Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 8. März 2005 Autor Melden Teilen Geschrieben 8. März 2005 Einen der Schuldigen habe ich erstmal gefunden und könnte ihn theoretisch mit einer ACL ausschalten, die wie folgt aussieht: access-list 102 deny ip 0.0.0.132 255.255.255.0 any access-list 102 deny udp any eq netbios-dgm any access-list 102 deny udp any eq netbios-ns any access-list 102 deny udp any eq netbios-ss any access-list 102 deny udp any range snmp snmptrap any access-list 102 deny udp any range bootps bootpc any access-list 102 deny tcp any eq 137 any access-list 102 deny tcp any eq 138 any access-list 102 deny tcp any eq 139 any access-list 102 permit ip any any Allerings habe ich jetzt noch ein weiteres Problem... wobei sich erst noch herausstellen muss ob es wirklich eines ist. Und zwar habe ich festgestellt, dass der Router in der Außenstelle (RouterB) sich trotzdem weiterhin einwählt. Die Sache scheint aber von ihm selber aus zu gehen zumindest denke ich, dass dies folgender Auszug von "sh caller full" aussagt: PPP: LCP Open, multilink Open, CHAP (<-->) Dialer: Connected to XXXXXXXX, outbound Type is ISDN, group Di1 Cause: snapshot <--- was um alles in der Welt ist das??? IP: Local 192.168.190.235 Bundle: Member of RouterA Counts: 63 packets input, 2537 bytes, 0 no buffer 0 input errors, 0 CRC, 0 frame, 0 overrun 63 packets output, 2747 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets Als Dialergrund wird also snapshot angegeben. Ich nehme an, dass dies etwas mit dem snapshot routing zu tun hat. Kann man die Geschichte optimieren, anpassen und/oder zeitlich begrenzen? Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 8. März 2005 Melden Teilen Geschrieben 8. März 2005 Hi Wolke2K4 Es ist nie zu spät ! :D Im Moment muss man mich eher anschreiben, als dass ich von alleine irgendeinen Thread bearbeiten kann. Habe nen wichtiges und großes Projekt am laufen. Aber nichts für Ungut ! Zu Deiner Konfiguration kann ich nur sagen " etwas gemixt" Du solltest auf jeden Fall das Snapshot Routing raus nehmen. Ich hab das mal gemacht ! Lange her und nur Ärger gehabt. Immerhin hattest du wohl schon angefangen via "dialer map ip" Deine Letung aufzubauen, warum also nicht zu Ende gebracht ? In der Konfiguration, welche ich mal gemacht habe, habe ich dir doch auf der ISDN Strecke ein Netzwerk konfiguriert. Eine Seite : interface Dialer1 description connected to RouterA ip address 172.18.16.1 255.255.255.252 encapsulation ppp no ip split-horizon dialer in-band dialer idle-timeout 300 dialer map ip 172.18.16.2 name torge broadcast Vorwahl+Rufnummer dialer hold-queue 10 dialer load-threshold 180 either dialer-group 1 no cdp enable ppp authentication chap ppp multilink interface Dialer1 description connected to RouterB ip address 172.18.16.2 255.255.255.252 encapsulation ppp no ip split-horizon dialer in-band dialer idle-timeout 300 dialer map ip 172.18.16.1 name RouterB broadcast Vorwahl+Rufnummer dialer hold-queue 10 dialer load-threshold 180 either dialer-group 1 no cdp enable ppp authentication chap ppp multilink Du solltest Dich von dem IP-unnumbered to eth lösen, am besten routest Du Netz A über die IP-Adr. am dialer interface des Router's von gegenüber. Und Netz B genauso. Die Access-list 102 ist doch schon garnicht mal so schlecht, jedoch verstehe ich diesen Eintrag nicht : access-list 102 deny ip 0.0.0.132 255.255.255.0 any Auf jeden Fall solltest Du die List in den Command dialer-list 1 protocol ip permit mit einbringen : dialer-list 1 protocol ip permit list 102 Damit unterlässt der Router eine Anwahl für alle IP-Pakete, welche in der Liste denied werden. Anderherum, könntest Du die Liste auch umgekehrt austellen. Überlege Dir genau was über die Leitung gehen soll: z.B. WWW,SMTP,POP3,FTP,FTP-Data etc. Definiere die Liste so, dass alles drin ist was du brauchst access-list permit tcp any any eq www z.B. und am Ende setzt Du dann das deny any any ! Und Du wirst sehen, er ruft nicht mehr raus, wenn es nicht sein muss. Die Sache mit dem Scheduler geht aber auch ! Hab ich aber noch nie gemacht. Zumindest sollte dann aber die Uhr auf dem Router richtig gehen ! Heißt NTP konfigurieren, oder der local clock vertrauen. Hast Du meine Konfigurationen noch ? MfG Mr. Oiso Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.