Cisco1721 wählt von allein

[Overon 10]

Hallo zusammen,

 

kann mir jemand das Kommando sagen, welche das selbstständige wählen (analog und ISDN) bei einem 1721 unterbindet?

 

Danke im vorraus

 

Overon

[rob_67 10]

Hi, eine dialer list anlegen und eine entsprechende access-liste anlegen

[Overon 10]

wie würde die z.B. aussehen!?

 

Danke

[rob_67 10]

interface dialer 1

 

dialer-group 1

 

 

dialer-list 1 protocol ip list 101

 

 

access-list 101 deny tcp any any eq 137

access-list 101 permit ip any any eq 80

.

.

.

 

 

ansonsten poste doch mal die config, weil es muss ja traffic geben, der das rauswählen veranlasst (z.b. path mtu discovery), ohne die dialer list würde der router gar nicht rauswählen

[Overon 10]

Hallo,

 

hier die für ISDN:

 

Current configuration : 1171 bytes

!

! No configuration change since last restart

!

version 12.3

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname xxxxx

!

boot-start-marker

boot-end-marker

!

enable password xxxx

!

username x password xxxxx

no aaa new-model

ip subnet-zero

!

!

no ip domain lookup

!

ip cef

isdn switch-type basic-net3

!

!

!

!

interface BRI0

ip unnumbered FastEthernet0

encapsulation ppp

dialer map ip x.x.x.x name x

dialer-group 1

isdn switch-type basic-net3

ppp authentication chap callin

ppp multilink

!

interface FastEthernet0

ip address x.x.x.x x.x.x.x

speed auto

no cdp enable

!

interface Async1

no ip address

!

ip classless

ip route 0.0.0.0 0.0.0.0 x.x.x.x

ip route x.x.x.x x.x.x.x x.x.x.x

ip route x.x.x.x x.x.x.x BRI0

ip http server

!

access-list 101 permit ip x.x.x.x x.x.x.x any

dialer-list 1 protocol ip list 101

no cdp run

snmp-server community public RO

snmp-server enable traps tty

!

line con 0

line 1

stopbits 1

speed 115200

flowcontrol hardware

line aux 0

line vty 0 4

password ****

login

!

!

end

 

 

und für analog:

 

!

! Last configuration change at 01:45:11 UTC Thu May 12 2005

!

version 12.3

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!

hostname xxxx

!

boot-start-marker

boot-end-marker

!

enable password ****

!

username x password xxxx

no aaa new-model

ip subnet-zero

!

!

no ip domain lookup

!

no ip cef

chat-script userreset "" "AT" "OK" "ATS0=1" "OK"

chat-script dialout-async "" "AT" "OK" "ATX0DT\T" TIMEOUT 60 CONNECT \c

!

!

!

!

interface FastEthernet0

ip address x.x.x.x x.x.x.x

speed 100

full-duplex

no cdp enable

!

interface Async1

ip unnumbered FastEthernet0

encapsulation ppp

dialer in-band

dialer enable-timeout 10

dialer map ip x.x.x.x name x modem-script dialout-async 2280

dialer-group 1

async mode dedicated

ppp authentication chap callin

!

ip classless

ip route x.x.x.x x.x.x x.x.x.x

ip route x.x.x.x x.x.x.x Async1

no ip http server

!

dialer-list 1 protocol ip permit

no cdp run

!

line con 0

line 1

exec-timeout 0 0

script reset userreset

modem InOut

transport input all

autoselect ppp

stopbits 1

speed 115200

flowcontrol hardware

line aux 0

line vty 0 4

password ****

login

!

!

end

 

Vielen Dank.

[rob_67 10]

ja, du erlaubst ip traffic, jetzt ist die frage, welcher traffic ständig vorhanden ist, der das rauswählen verursacht, wird der router von einem managementsystem überwacht, das könnte eine ursache sein, um besten mal ein debug dialer packets laufen lassen, um den traffic zu lokalisieren und dann diesen traffic in der access-liste 101 ausschließen, dann wählt der router für diesen traffic nicht raus, ist die leitung oben, gehen diese pakete aber durch, ein default gateway ist ebenfalls sehr ungünstig, besser ist es, netzrouten einzutragen

[Overon 10]

Der Befehl wäre dann debug dialer !? oder debug dialer events ?

[rob_67 10]

debug dialer packets

 

deb dialer ?

events Dial on demand events

forwarding Dialer forwarding

map Dynamic dialer maps

packets Dial on demand traffic

<cr>

<term mon> nicht vergessen

[Overon 10]

Danke Dir Rob für die Hilfe.

Gibt es denn nicht die Möglichkeit, dem Router generell zu verbieten von sich aus eine Telefonverbindung zu öffnen!?

[rob_67 10]

gibt es schon, lass einfach die access-list 101 weg, dann wählt der router aber nie raus und legt bei incoming calls auch nach ablauf idle wieder auf (auch wenn nicht idle)

[Overon 10]

Inwiefern ...wählt nie raus? Das dann garkeine Telefonverbindung mehr aufgebaut werden kann!? Das mit dem Traffic lokalisieren geht nicht, weil dahinter ein Netzwerk steht mit vielen verschiedenen wechselnden Teilnehmern und unvorherbestimmbarem Traffic.

[rob_67 10]

mit der access-liste 101 bestimmst du den interesting traffic fürs rauswählen und Leitung offen halten, wenn du die weglässt, wählt der router nie raus. die einzige möglichkeit, das in den griff zu bekommen, ist den traffic zu analysieren und festzulegen, welcher traffic ein wählen verursachen darf, günstig ist z.b. broadcasts zu blocken, routingprotokolle zu blocken (sofern nicht benötigt), icmp zu blocken.... du müsstest dir mal in der richtung gedanken machen

[Overon 10]

So passt es. Nehme einfach die access list raus und bei Bedarf wieder rein. Danke

[rob_67 10]

hi, funktioniert so doch nicht ganz, habe es grad nochmal getestet, es muss ein deny ip any any rein oder du nimmst die dialer group aus dem dialer raus, wenn die access-liste fehlt, ruft der router trotzdem raus! man kann das ganze aber auch zeitsteuernen, zb. nachts verbieten!

[Overon 10]

mh. ich hätte nu auch gedacht, dass der Router standardmässig alles verbietet, wenn nichts erlaubt ist. Dann nochmals danke für den Tip.