[Løst] Cisco 1841 - ny ruter i heimen

[j--]

Tore: Viktig å få med seg at untagged = access, tagged = trunk. Du må velge å kjøre tagged på switchen på den porten som går mot Cisco-ruteren. Det gjelder på alle VLAN som du har satt opp som subinterface på Cisco-en.

[toreae]

Dere har "floddet" meg med tilbakemeldinger (takk). Så det går litt tid nå. Men med tagged på switchen på den porten som går mot Cisco-ruteren, får jeg ikke kontakt med switchen lengre! Må få testet litt mere.

[toreae]

"Rette litt" - Hva ble rettet av den endringen?

 

Om du kan sette management vlan på switchen, så sett dette til VLAN 10. Om ikke må du ha ett eget subinterface til på Fa0/1 som snapper opp trafikk uten dot1q-tag.

interface FastEthernet0/1.1
description Management - VLAN1
encapsulation dot1Q 1 native
ip address 192.168.1.1 255.255.255.0
ip nat inside

interface FastEthernet0/1.10
description Clients - VLAN10
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
ip nat inside

Men så igjen, finnes det noen måte å få ut all config fra switchen? Og så en running-config fra C1841-en. Du må gjerne forsøke å flashe switchen med nyere firmware, om det som ligger der i dag er gammelt. Det er også mulig switchen din trenger en reboot etter større VLAN-endringer.

 

Ruteren "mister" ip address" linjen når du forandrer linjen(e) over?

[j--]

interface FastEthernet0/1.1
description Management - VLAN1
encapsulation dot1Q 1 native
ip address 192.168.1.1 255.255.255.0
ip nat inside

interface FastEthernet0/1.10
description Clients - VLAN10
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
ip nat inside

Endre management VLAN til enten 1 (eller fjern det, om mulig), eller 10.

 

Du burde sette opp switchen på følgede måte (ihvertfall under oppsettet):

Port 1: Trunk til Cisco 1841. Denne porten skal ha alle de forskjellige VLAN-ene satt opp som tagged

Port 2: Untagged VLAN 1

Port 3: Untagged VLAN 10

Port 4 -> 48: Hva du måtte ønske av VLAN 1, 10 og eventuelt 20

 

Når du herjer rundt på Cisco-ruteren med consolekabelen, og mister kontakten med switchen, så kan du sette statisk IP på en maskin (i samme subnet som IP-en du bruker til management på switchen) og koble deg direkte til port 2 eller 3. Da vil du kunne endre ting på switchen óg, samtidig som du endrer ting på Cisco 1841.

[toreae]

Etter mye om og men prøvde jeg grafisk konfigurering (Cisco Configuration Professional). Gikk inn på Interface managment > Interface and connections. Prøvde add, og fikk beskjed på at jeg trengte noe AAA. Takket ja til innstallasjonen, men fikk ikke lagt til noe ny faX/1.YY. Men testet mot d-Linken i rette øyeblikk. Og vola. Har nå:

Vid: 1 port 1,2 untagged

Vid10 port 1,2 tagged, port 3-24 untagged, Lan

Vid20 port 1,2 tagged, port 25-32 untagged, Server

(Port 33-48 ubrukt.)

Og satt opp dhcp til å gi ut adresser på begge Vlan. Alt får IP tildelt, og alt har forbindelse til internett .

Endelig!

AAA noe gjorde susen. Hva nå det er?

 

 

 

 

firewall#sh run
Building configuration...

Current configuration : 7049 bytes
!
! No configuration change since last restart
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname firewall
!
boot-start-marker
boot system flash c1841-advsecurityk9-mz.124-15.T12.bin
boot-end-marker
!
no logging buffered
no logging console
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
!
aaa session-id common
clock timezone MET 1
clock summer-time MET-DST recurring last Sun Mar 2:00 last Sun Oct 3:00
dot11 syslog
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.10.1 192.168.10.10
!
ip dhcp pool dhcppool1
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 193.213.112.4 130.67.60.68 130.67.15.198
lease 0 6
!

!
!
no ip domain lookup
ip domain name hjem.local
!
multilink bundle-name authenticated
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-1972925063
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1972925063
revocation-check none
rsakeypair TP-self-signed-1972925063
!
!
crypto pki certificate chain TP-self-signed-1972925063
certificate self-signed 01
3082024B 308201B4 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31393732 39323530 3633301E 170D3134 30393134 31333337
30395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 39373239
32353036 3330819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100B505 86890221 AB0E9D9A 4E5D9AA1 C6032560 A0F46D23 50D9B8A1 56F78105
FABDCBBF 69AB864B CA69FA63 4DC77E97 C2A210C2 96406C14 5DB9D7CF F2E1AF1F
80C6FEE5 07138382 771D9BE4 C74B4BCD 0F2BEA62 F93BBED4 8E627117 6E3AEFE5
22804684 95EA6583 91CCBC81 466C3609 C3FDFB14 4CA98BB1 A86E2FF3 1ED1E8EA
8CD90203 010001A3 73307130 0F060355 1D130101 FF040530 030101FF 301E0603
551D1104 17301582 13666972 6577616C 6C2E686A 656D2E6C 6F63616C 301F0603
551D2304 18301680 143A783D 92189D05 521C4D0D ADFA8F21 D4BCD954 65301D06
03551D0E 04160414 3A783D92 189D0552 1C4D0DAD FA8F21D4 BCD95465 300D0609
2A864886 F70D0101 04050003 81810042 963777BC 7B8922E0 2FE93072 E8023ACF
EECF1AD6 8F564EB1 289E432C DB9ACB14 93D8B335 BD52EDAC 0B8ECF39 6F5EA965
B9E9E999 1C881A98 A400BDE0 783EF52A 8B7F2A64 8EEF402D 853B6FB0 363A98B1
71B82BCB 7A6C58C5 4A398559 0D54C8FD 60E4D489 250510EA 4D84ECAF D9D19DD5
01D9EA05 C8116BB4 299A013C 3BD8E9
quit
!
!
username Tore privilege 15 password X XXXXXXXXXXXXXXXXXX
archive
log config
hidekeys
!
!
!
!
controller SHDSL 0/1/0
termination cpe
!
no ip ftp passive
ip ssh version 2
!
!
!
interface FastEthernet0/0
description WAN_LINK
ip address dhcp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface FastEthernet0/1.10
description INSIDE_LAN
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/1.20
description INSIDE_SERVER
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/0/0
!
interface FastEthernet0/0/1
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
!
interface Vlan1
no ip address
!
no ip forward-protocol nd
!
!
ip http server
ip http authentication local
ip http secure-server
ip nat pool INSIDE_LAN 192.168.10.1 192.168.10.254 netmask 255.255.255.0
ip nat pool INSIDE_SERVER 192.168.20.1 192.168.20.254 netmask 255.255.255.0
ip nat inside source list 10 interface FastEthernet0/0 overload
ip nat inside source list 20 interface FastEthernet0/0 overload
!
access-list 10 permit 192.168.10.0 0.0.0.255
access-list 20 permit 192.168.20.0 0.0.0.255
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
password X XXXXXXXXXXXXXXXXXX
transport input telnet ssh
line vty 5 15
!
scheduler allocate 20000 1000
ntp clock-period 17178514
ntp update-calendar
ntp server 193.212.1.10 source FastEthernet0/0
end

firewall#

 

 

[arnbju]

AAA er Authentitcation, Authorization og Acounting. Kort fortalt hvorrdan du logger inn på switchen. Skjønner ikke helt hvordan det skal påvirke vlan tagging men bra det fungerer nå =)

[toreae]

AAA er Authentitcation, Authorization og Acounting. Kort fortalt hvorrdan du logger inn på switchen. Skjønner ikke helt hvordan det skal påvirke vlan tagging men bra det fungerer nå =)

 

Har prøvd å se igjennom hva som er forskjellen:

For å gjøre ting mere forståelig, normal tekst = uforandret, kursiv = slettet, fet skrift = lagt til.

 

no aaa new-model

aa new-model

 

aaa authentication login default local

aaa authorization exec default local

 

aaa session-id common

 

 

ip route 0.0.0.0 0.0.0.0 FastEthernet0/0

 

ip http server

ip http authentication local

ip http secure-server

ip nat pool INSIDE_LAN 192.168.10.1 192.168.10.254 netmask 255.255.255.0

ip nat pool INSIDE_SERVER 192.168.20.1 192.168.20.254 netmask 255.255.255.0

ip nat inside source list 1 interface FastEthernet0/0 overload

ip nat inside source list 20 interface FastEthernet0/0 overload

!

access-list 1 permit 192.168.10.0 0.0.0.255

access-list 20 permit 192.168.20.0 0.0.0.255

 

 

line con 0

line aux 0

line vty 0 4

password X XXXXXXXXXXXXXXXXXXX

login local

transport input telnet ssh

line vty 5 15

login local

 

192.168.20.x nettet er lagt til etterpå.

 

Som sagt har linjen med ip route (ip route 0.0.0.0 0.0.0.0 FastEthernet0/0) vært litt av og på, siden jeg har hatt problemer med å få trafikk igjennom Ciscoen. Den er nå borte. Har også gjort forandringer senere (bl.a er source list 1 er blitt source list 10, med access-list 1 blitt access-list 10). Men dette er det som ble forandret i Ciscoen.

 

Det jeg egentlig holdt på med å teste var på switchen. Den står oppført med 4 kombinerte fiber/kopper opplink porter i "internet salgsbrosyrer". Port 45 - 48. Jeg testet jo opprinnelig bare med port 1 og 2 som opplink til Ciscoen, siden dokumentasjon ikke viste at noen porter var beregnet som uplink.

Men forandringen kom etter at prøvde jeg grafisk konfigurering, se post #125. Dette, og hvordan jeg fikk til ssh, er og blir en gåte. Hvor mye tid som er medgått med tag - untag på d-Linken er uvist.

[arnbju]

At du endret vlan 10 og vlan 20 til tagged på dlinkswitchen på port 1 var nok det som gjorde utslaget, ikke endringer på routeren =)

[toreae]

Kan ikke si annet en at du har sikkert rett arnbju. Jeg trodde jeg hadde vært innom alle mulige kombinasjoner. Uansett så virker det nå.

 

Har begynt å se på IPv6 og brannmur, men anngående IPv6 så ser det ut som jeg må oppgrader både hardware og software. Brannmur ser det ut som det er lettest å bruke grafisk oppsett.

[toreae]

Uten å ha sjekket igjennom alt, tror jeg at det er denne forandringen som gjorde forskjellen:

 

Ut i fra bildet ditt, så er alt riktig, med unntak av VLAN taggingen din, som er omvendt... Native VLAN er untagged, og du har alle porter satt som tagget... Men port 1 og 2 står som untagged, noe som ikke vil fungere, da du har satt VLAN 10 som native og VLAN 1 nå fungerer som alle andre VLAN - altså tagged....

 

Hvis du bytter om, så bør ting fungere....

Det som sannsynligvis skjedde (se post #125 og 127) er at jeg ikke lengre har noen linje med:

encapsulation dot1Q X native

 

Og når jeg har testet med bare FastEthernet0/1.10 har det selvfølgelig ikke virket (slik som jeg trodde det skulle virke).

[toreae]

Har startet en tråd om IPv6, ettersom jeg ikke fant noen tråd om dette fra før, og jeg rett og slett ikke vet hva jeg skal spørre om her. Nødvendig oppgradering av IOS er gjort, nå uten masing om lisens.

Fra sh run:

boot system flash c1841-adventerprisek9-mz.151-4.M8.bin

 

Prøver jeg på en ipv6 kommando, får jeg svar:

firewall>show ipv6 dhcp
This device's DHCPv6 unique identifier(DUID): XXXXXXXXXXXXXXXXXXXX

 

Så nå kan ruteren IPv6, men jeg kan ikke.

[oyvindlw]

Har startet en tråd om IPv6, ettersom jeg ikke fant noen tråd om dette fra før, og jeg rett og slett ikke vet hva jeg skal spørre om her. Nødvendig oppgradering av IOS er gjort, nå uten masing om lisens.

Fra sh run:

boot system flash c1841-adventerprisek9-mz.151-4.M8.bin

 

Prøver jeg på en ipv6 kommando, får jeg svar:

firewall>show ipv6 dhcp

This device's DHCPv6 unique identifier(DUID): XXXXXXXXXXXXXXXXXXXX

 

Så nå kan ruteren IPv6, men jeg kan ikke.

 

Du må aktivere IPv6 først:

config t

ipv6 unicast-routing

 

så går du inn på det interfacet du vil sette en adresse så er kommandoen:

ipv6 address "ipv6-adresse"

[toreae]

 

Har startet en tråd om IPv6, ettersom jeg ikke fant noen tråd om dette fra før, og jeg rett og slett ikke vet hva jeg skal spørre om her.

 

Du må aktivere IPv6 først:

config t

ipv6 unicast-routing

 

så går du inn på det interfacet du vil sette en adresse så er kommandoen:

ipv6 address "ipv6-adresse"

 

 

Se det jeg skrev med fet skrift. Forøvrig har jeg ikke (betalt for) fast IP fra Telenor, og jeg regner med, men vet ikke, at også IPv6 kan forandres. Da blir vel linjen noe som:

ipv6 address dhcp

Men vet ikke om dhcp er i bruk i IPv6.

[oyvindlw]

 

 

Har startet en tråd om IPv6, ettersom jeg ikke fant noen tråd om dette fra før, og jeg rett og slett ikke vet hva jeg skal spørre om her.

 

Du må aktivere IPv6 først:

config t

ipv6 unicast-routing

 

så går du inn på det interfacet du vil sette en adresse så er kommandoen:

ipv6 address "ipv6-adresse"

 

 

Se det jeg skrev med fet skrift. Forøvrig har jeg ikke (betalt for) fast IP fra Telenor, og jeg regner med, men vet ikke, at også IPv6 kan forandres. Da blir vel linjen noe som:

ipv6 address dhcp

Men vet ikke om dhcp er i bruk i IPv6.

 

Svarte deg i den tråden om hva du spurte om der.

Svarte deg i denne tråden om hvordan du kan konfigurere ruteren din hjemme.

Si ifra hvis jeg heller skal svare i IPv6 tråden din.

 

Du kan forøvrig konfigurere det interne nettverket ditt med IPv6-adresser for å lære deg grunnleggende IPv6. Du kan sjekke ut denne(stateless auto configuration(no dhcp)):

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipv6/configuration/15-2mt/ip6-15-2mt-book/ip6-statlss-auto.html

[toreae]

Svarte deg i den tråden om hva du spurte om der.

 

Svarte deg i denne tråden om hvordan du kan konfigurere ruteren din hjemme.

Si ifra hvis jeg heller skal svare i IPv6 tråden din.

 

Du kan forøvrig konfigurere det interne nettverket ditt med IPv6-adresser for å lære deg grunnleggende IPv6. Du kan sjekke ut denne(stateless auto configuration(no dhcp)):

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipv6/configuration/15-2mt/ip6-15-2mt-book/ip6-statlss-auto.html

 

 

For all del svar meg i den rette tråden! Ta heller å rett på meg når jeg roter! Ønsker mest av alt å få noen fornuftige svar på førsteposten i den andre tråden. Synes at det meste jeg finner på nettet har hoppet over det.

[toreae]

IPv6 første forsøk:

sh run

 

 

firewall#sh run
Building configuration...

Current configuration : 7714 bytes
!
! Last configuration change at 17:13:08 MET Fri Oct 31 2014 by Tore
! NVRAM config last updated at 17:13:10 MET Fri Oct 31 2014 by Tore
! NVRAM config last updated at 17:13:10 MET Fri Oct 31 2014 by Tore
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname firewall
!
boot-start-marker
boot system flash c1841-adventerprisek9-mz.151-4.M8.bin
boot-end-marker
!
!
no logging buffered
no logging console
enable secret 5 $1$BlIc$lYp4r37.0njtM0rLuqn5R/
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
!
!
!
!
aaa session-id common
!
clock timezone MET 1 0
clock summer-time MET-DST recurring last Sun Mar 2:00 last Sun Oct 3:00
dot11 syslog
ip source-route
!
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.10.1 192.168.10.10
!
ip dhcp pool dhcppool1
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 193.213.112.4 130.67.60.68 130.67.15.198
lease 0 6
!
ip dhcp pool Dreambox1
host 192.168.10.68 255.255.255.0
client-identifier 0100.0934.2836.dd
lease 0 6
!
ip dhcp pool Dreambox2
host 192.168.10.69 255.255.255.0
client-identifier 0100.0934.2974.c1
lease 0 6
!
ip dhcp pool Dreambox3
host 192.168.10.70 255.255.255.0
client-identifier 0100.0934.27b4.fd
lease 0 6
!
ip dhcp pool DM7020-1
host 192.168.10.71 255.255.255.0
client-identifier 0100.0934.1474.5c
lease 0 6
!
ip dhcp pool SipuraSPA
host 192.168.10.72 255.255.255.0
client-identifier 0100.0e08.13e9.6f
lease 0 6
!
ip dhcp pool Fredrik
host 192.168.10.73 255.255.255.0
client-identifier 0100.242c.6886.8f
lease 0 6
!
ip dhcp pool Marius
host 192.168.10.74 255.255.255.0
client-identifier 01d0.df9a.fe25.dc
lease 0 6
!
ip dhcp pool Marius-skole-PC
host 192.168.10.75 255.255.255.0
client-identifier 0170.188b.1295.ac
lease 0 6
!
ip dhcp pool Joakim
host 192.168.10.76 255.255.255.0
client-identifier 0168.a3c4.e07c.ec
lease 0 6
!
ip dhcp pool Tore-kabel
host 192.168.10.77 255.255.255.0
client-identifier 0100.235a.51d6.c3
lease 0 6
!
ip dhcp pool Tore-wifi
host 192.168.10.78 255.255.255.0
client-identifier 0100.242c.1aa9.6e
lease 0 6
!
ip dhcp pool Sony_PlayStation_3
host 192.168.10.79 255.255.255.0
client-identifier 0128.0dfc.1b34.5f
lease 0 6
!
ip dhcp pool iPad-Fredrik
host 192.168.10.80 255.255.255.0
client-identifier 0184.2999.32e0.92
lease 0 6
!
ip dhcp pool iPad-Joakim
host 192.168.10.81 255.255.255.0
client-identifier 0104.1552.acad.35
lease 0 6
!
ip dhcp pool Kjeller
host 192.168.10.82 255.255.255.0
client-identifier 0100.1321.5d17.aa
lease 0 6
!
ip dhcp pool Tones-mob
host 192.168.10.83 255.255.255.0
client-identifier 01cc.89fd.cbaa.d0
lease 0 6
!
ip dhcp pool Tores-920
host 192.168.10.84 255.255.255.0
client-identifier 0154.7975.6773.68
lease 0 6
!
ip dhcp pool Julie-mob
host 192.168.10.85 255.255.255.0
client-identifier 0184.8506.0c84.28
lease 0 6
!
ip dhcp pool Sjur-mob
host 192.168.10.86 255.255.255.0
client-identifier 01d0.23db.a7a1.c4
lease 0 6
!
ip dhcp pool Marius-mob
host 192.168.10.87 255.255.255.0
client-identifier 01d0.22be.bf37.c8
lease 0 6
!
ip dhcp pool Joakim-mob
host 192.168.10.88 255.255.255.0
client-identifier 01c8.1479.91df.84
lease 0 6
!
ip dhcp pool Arbeids-PC-wifi
host 192.168.10.89 255.255.255.0
client-identifier 018c.a982.c2fc.7a
lease 0 6
!
ip dhcp pool D-Link
host 192.168.10.90 255.255.255.0
client-identifier 015c.d998.9bce.cd
lease 0 6
!
ip dhcp pool Tore-server
host 192.168.20.77 255.255.255.0
client-identifier 0100.235a.51d6.c3
default-router 192.168.20.1
dns-server 193.213.112.4 130.67.60.68 130.67.15.198
lease 0 6
!
!
ip cef
no ip domain lookup
ip domain name hjem.local
ipv6 unicast-routing
ipv6 cef
ipv6 inspect name traffic tcp
ipv6 inspect name traffic udp
ipv6 inspect name traffic icmp
!
multilink bundle-name authenticated
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-1972925063
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1972925063
revocation-check none
rsakeypair TP-self-signed-1972925063
!
!
crypto pki certificate chain TP-self-signed-1972925063
certificate self-signed 01
3082024B 308201B4 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31393732 39323530 3633301E 170D3134 30393134 31333337
30395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 39373239
32353036 3330819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100B505 86890221 AB0E9D9A 4E5D9AA1 C6032560 A0F46D23 50D9B8A1 56F78105
FABDCBBF 69AB864B CA69FA63 4DC77E97 C2A210C2 96406C14 5DB9D7CF F2E1AF1F
80C6FEE5 07138382 771D9BE4 C74B4BCD 0F2BEA62 F93BBED4 8E627117 6E3AEFE5
22804684 95EA6583 91CCBC81 466C3609 C3FDFB14 4CA98BB1 A86E2FF3 1ED1E8EA
8CD90203 010001A3 73307130 0F060355 1D130101 FF040530 030101FF 301E0603
551D1104 17301582 13666972 6577616C 6C2E686A 656D2E6C 6F63616C 301F0603
551D2304 18301680 143A783D 92189D05 521C4D0D ADFA8F21 D4BCD954 65301D06
03551D0E 04160414 3A783D92 189D0552 1C4D0DAD FA8F21D4 BCD95465 300D0609
2A864886 F70D0101 04050003 81810042 963777BC 7B8922E0 2FE93072 E8023ACF
EECF1AD6 8F564EB1 289E432C DB9ACB14 93D8B335 BD52EDAC 0B8ECF39 6F5EA965
B9E9E999 1C881A98 A400BDE0 783EF52A 8B7F2A64 8EEF402D 853B6FB0 363A98B1
71B82BCB 7A6C58C5 4A398559 0D54C8FD 60E4D489 250510EA 4D84ECAF D9D19DD5
01D9EA05 C8116BB4 299A013C 3BD8E9
quit
!
!
license udi pid CISCO1841 sn FHK141872GR
archive
log config
hidekeys
username Tore privilege 15 password 7 06541D2644475F412A
!
redundancy
!
!
controller SHDSL 0/1/0
termination cpe
!
no ip ftp passive
ip ssh version 2
!
!
!
!
!
!
!
interface FastEthernet0/0
description WAN_LINK
ip address dhcp
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
ipv6 address dhcp
ipv6 address autoconfig
ipv6 enable
ipv6 verify unicast reverse-path
ipv6 dhcp client pd comcast-ipv6
ipv6 traffic-filter wan-in in
ipv6 traffic-filter wan-out out
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface FastEthernet0/1.10
description INSIDE_LAN
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
ipv6 address comcast-ipv6 ::1/64
ipv6 enable
!
interface FastEthernet0/1.20
description INSIDE_SERVER
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface FastEthernet0/0/0
no ip address
!
interface FastEthernet0/0/1
no ip address
!
interface FastEthernet0/0/2
no ip address
!
interface FastEthernet0/0/3
no ip address
!
interface Vlan1
no ip address
!
no ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
!
!
ip nat pool INSIDE_LAN 192.168.10.1 192.168.10.254 netmask 255.255.255.0
ip nat pool INSIDE_SERVER 192.168.20.1 192.168.20.254 netmask 255.255.255.0
ip nat inside source list 10 interface FastEthernet0/0 overload
ip nat inside source list 20 interface FastEthernet0/0 overload
!
access-list 10 permit 192.168.10.0 0.0.0.255
access-list 20 permit 192.168.20.0 0.0.0.255
!
!
!
!
!
!
!
!
ipv6 access-list wan-in
permit icmp any any
permit udp any any eq 546
!
ipv6 access-list wan-out
permit icmp any any
permit ipv6 any any
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
password 7 0356490C0E06771461
transport input telnet ssh
line vty 5 15
transport input all
!
scheduler allocate 20000 1000
ntp update-calendar
ntp server 193.212.1.10 source FastEthernet0/0
end

firewall#

 

 

 

Det meste er stjelt fra her. Beklageligvis så jeg ikke at det ikke virket, men trevorseward beskriver hva som var feilen:

 

"I figured out the lack of connectivity, I did not apply the inspect name "traffic" to the fa0/0 interface. So now I can reach sites like ipv6.google.com, but performance is agonizingly slow. And given that IPv6 is preferred over IPv4 when using dual-stack, this leads to a good portion of major sites being extremely slow. Ping times are not the best to ipv6.google.com, about 150 - 180ms, but the browser will load for 60+ seconds before completing rendering of http://ipv6.google.com.
Is there something in my configuration I'm missing?"

 

Hva er traffic som mangler, og hva med hastigheten som trevorseward skriver om? Og hva synes dere om oppsettet?

[toreae]

Ny sh run, denne gangen fungerer IPv6!

 

 

firewall#sh run
Building configuration...

Current configuration : 7829 bytes
!
! No configuration change since last restart
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname firewall
!
boot-start-marker
boot system flash c1841-adventerprisek9-mz.151-4.M8.bin
boot-end-marker
!
!
no logging buffered
no logging console
enable secret X XXXXXXXXXXXXXXXXXXXXXXXXXXX
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
aaa session-id common
!
clock timezone MET 1 0
clock summer-time MET-DST recurring last Sun Mar 2:00 last Sun Oct 3:00
dot11 syslog
ip source-route
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.10.1 192.168.10.10
!
ip dhcp pool dhcppool1
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 193.213.112.4 130.67.60.68 130.67.15.198
lease 0 6
!
!
ip cef
no ip domain lookup
ip domain name hjem.local
ipv6 unicast-routing
ipv6 cef
ipv6 dhcp pool ComcastPool
prefix-delegation pool comcast-ipv6
dns-server 2001:4860:4860::8888
!
ipv6 inspect name STD6 udp
ipv6 inspect name STD6 ftp
ipv6 inspect name STD6 icmp
!
multilink bundle-name authenticated
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-1972925063
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1972925063
revocation-check none
rsakeypair TP-self-signed-1972925063
!
license udi pid CISCO1841 sn FHK141872GR
archive
log config
hidekeys
username Tore privilege 15 password X XXXXXXXXXXXXXXXXXXX
!
redundancy
!
!
controller SHDSL 0/1/0
termination cpe
!
no ip ftp passive
ip ssh version 2
!
interface FastEthernet0/0
description WAN_LINK
ip address dhcp
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
ipv6 address dhcp
ipv6 address autoconfig default
ipv6 enable
ipv6 verify unicast reverse-path
ipv6 dhcp client pd comcast-ipv6
ipv6 traffic-filter wan-in in
ipv6 traffic-filter wan-out out
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface FastEthernet0/1.10
description INSIDE_LAN
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
ipv6 address comcast-ipv6 ::1/64
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server ComcastPool
!
interface FastEthernet0/1.20
description INSIDE_SERVER
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface FastEthernet0/0/0
no ip address
!
interface FastEthernet0/0/1
no ip address
!
interface FastEthernet0/0/2
no ip address
!
interface FastEthernet0/0/3
no ip address
!
interface Vlan1
no ip address
!
no ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
!
!
ip nat pool INSIDE_LAN 192.168.10.1 192.168.10.254 netmask 255.255.255.0
ip nat pool INSIDE_SERVER 192.168.20.1 192.168.20.254 netmask 255.255.255.0
ip nat inside source list 10 interface FastEthernet0/0 overload
ip nat inside source list 20 interface FastEthernet0/0 overload
!
access-list 10 permit 192.168.10.0 0.0.0.255
access-list 20 permit 192.168.20.0 0.0.0.255
!
ipv6 access-list wan-in
permit icmp any any
sequence 30 permit tcp any any
sequence 110 permit udp any any eq 546
permit ipv6 any any
!
ipv6 access-list wan-out
permit icmp any any
sequence 110 permit tcp any any
permit udp any any
permit ipv6 any any
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
password X XXXXXXXXXXXXXXXXXXX
transport input telnet ssh
line vty 5 15
transport input all
!
scheduler allocate 20000 1000
ntp update-calendar
ntp server 193.212.1.10 source FastEthernet0/0
end

 

 

 

Mine kommandoer, med kommentarer/spørsmål.

firewall#conf t
firewall(config)#ipv6 unicast-routing
firewall(config)#ipv6 cef

firewall(config)#ipv6 dhcp pool ComcastPool
firewall(config-dhcpv6)#prefix-delegation pool comcast-ipv6
firewall(config-dhcpv6)#dns-server 2001:4860:4860::8888

Googels dns. Skulle kanskje vært en annen - flere
firewall(config-dhcpv6)#exit

firewall(config)#ipv6 inspect name STD6 udp
firewall(config)#ipv6 inspect name STD6 ftp
firewall(config)#ipv6 inspect name STD6 icmp

firewall(config)#interface FastEthernet0/0
firewall(config-subif)#ipv6 address dhcp
firewall(config-subif)#ipv6 address autoconfig default
firewall(config-subif)#ipv6 enable
Slår på IPv6. Står som ipv6 only i forklaring, men betyr ikke IPv6 ekslusivt
firewall(config-subif)#ipv6 verify unicast reverse-path
firewall(config-subif)#ipv6 dhcp client pd comcast-ipv6
alternativt ipv6 dhcp client pd NODE-PD rapid-commit?
Hvorfor skal WAN være client?
firewall(config-subif)#ipv6 traffic-filter wan-in in
firewall(config-subif)#ipv6 traffic-filter wan-out out
firewall(config-subif)#exit

firewall(config)#interface FastEthernet0/1.10
firewall(config-subif)#ipv6 address comcast-ipv6 ::1/64
firewall(config-subif)#ipv6 enable
firewall(config-subif)#ipv6 nd other-config-flag
Det virker, men hva er det
firewall(config-subif)#ipv6 dhcp server ComcastPool
firewall(config-subif)#exit

firewall(config)#ipv6 access-list wan-in
firewall(config-ipv6-acl)#permit icmp any any
firewall(config-ipv6-acl)#sequence 30 permit tcp any any
firewall(config-ipv6-acl)#sequence 110 permit udp any any eq 546
firewall(config-ipv6-acl)#permit ipv6 any any
firewall(config-ipv6-acl)#exit

firewall(config)#ipv6 access-list wan-out
firewall(config-ipv6-acl)#permit icmp any any
firewall(config-ipv6-acl)#sequence 110 permit tcp any any
firewall(config-ipv6-acl)#permit udp any any
firewall(config-ipv6-acl)#permit ipv6 any any

Accesslistene blir litt anderledes enn mine kommandoer når jeg forandrer i ettertid, hvorfor?

 

 

Enjørning!

[ChrisCo]

[toreae]

Tja, noen skjær i sjøen er der:

Når jeg tar omstart av ruter og ruteren har startet virker IPv4 umiddelbart, men ikke IPv6.

 

show ipv6 neighbors:

 

FE80::* 0 * REACH Fa0/1.10
FE80::* 0 * REACH Fa0/0
FE80::* 0 * DELAY Fa0/1.10

 

Etter ca 5min

 

2001:* 0 * STALE Fa0/1.10
FE80::* 2 * STALE Fa0/1.10
FE80::* 0 * STALE Fa0/0
2001:* 7 * STALE Fa0/1.10
FE80::* 4 * STALE Fa0/1.10

Hvorfor skal det ta så lang tid?

 

Ping -6 vg.no (eller hw.no) virker ikke før det er gått enda lengre tid.

http://myip.dk/ kan overhode ikke bekrefte IPv6, hvorfor?

 

Er IPv6 utstyr med basic brannmur, altså at det ikke kommer noe inn uten at det går noe ut?

Hvis ikke hva skal til for å få basic brannmur for IPv6?

 

Hva skal til for å få basic brannmur for IPv4?

[toreae]

Panda.

 

Vet ikke hva som skjer, men ettervert som tiden går, så blir det lengre og lengre mellom hver gan jeg får forbindelse via IPv6. Har sett at det er bug i div Cisco firmware så jeg vet ikke.

 

 

Edit: kjørte omstart, men virker fremdeles ikke.

 

 

C:\Documents and Settings\Tore>ping vg.no -t

Pinging vg.no [2001:67c:21e0::16] with 32 bytes of data:

Request timed out.

 

Så dns virker, men det er også alt.

Endret 2. november 2014 av toreae