2732727944
May 16, 2022
2910
2
1
Cisco C1112-8P - Konfig und Lizensierungshürden
Hallo,
ich mache mal hier weiter statt im Config-Thread zur Cisco 880/890 Konfiguration.
Nun, ich hatte mir einen C1112 gegönnt, den auch auch noch recht günstig bekommen habe, aber ich musste dann feststellen, dass Cisco in den Jahren nicht unbedingt spendabler geworden ist, was die Funktionen betrifft. Die IPBase-Lizenz, die auch die C1100er Serie von Grund auf besitzt, hat keine Firewall. Man kann sich also nur mit NAT und ACLs schützen.
Die Lizenz kann man nachkaufen, ABER erschwerend kommt auch hinzu, dass seit IOS-XE 16.10.1 nur noch dieses "Smart Licensing" unterstützt wird. Wer nicht will, dass der Router für die Lizensierung in die USA "telefoniert", der muss wohl oder übel ein Downgrade auf die IOS-XE 16.9.X machen. Dann man man sich einfach ein .lic File erstellen und auf dem Router installieren. Danach sollten die entsprechenden Funktionen verfügbar sein. Upgrade ist aber dann nicht mehr drin, weil er ansonsten fordert, dass über smart-licensing zu tun und die Funktionen ansonsten wieder deaktiviert.
So, nun zu meiner mühsam erstellten Config mit ZBF:
@aqui: solltest du da noch Fehler finden oder Verbesserungen haben, dann nur her damit! Einige Sicherheitseinstellungen fehlen auch noch.
Meine Idee mit interface GigabitEthernet0/0/0 war halt einen sekundären WAN-Port einzustellen. Deine Anleitung zum WAN ging da ja aber nicht, weil 0/0/0 ein dedizierter Port ist. (Stichwort switchport access vlan 99)
Grüße
NG
ich mache mal hier weiter statt im Config-Thread zur Cisco 880/890 Konfiguration.
Nun, ich hatte mir einen C1112 gegönnt, den auch auch noch recht günstig bekommen habe, aber ich musste dann feststellen, dass Cisco in den Jahren nicht unbedingt spendabler geworden ist, was die Funktionen betrifft. Die IPBase-Lizenz, die auch die C1100er Serie von Grund auf besitzt, hat keine Firewall. Man kann sich also nur mit NAT und ACLs schützen.
Die Lizenz kann man nachkaufen, ABER erschwerend kommt auch hinzu, dass seit IOS-XE 16.10.1 nur noch dieses "Smart Licensing" unterstützt wird. Wer nicht will, dass der Router für die Lizensierung in die USA "telefoniert", der muss wohl oder übel ein Downgrade auf die IOS-XE 16.9.X machen. Dann man man sich einfach ein .lic File erstellen und auf dem Router installieren. Danach sollten die entsprechenden Funktionen verfügbar sein. Upgrade ist aber dann nicht mehr drin, weil er ansonsten fordert, dass über smart-licensing zu tun und die Funktionen ansonsten wieder deaktiviert.
So, nun zu meiner mühsam erstellten Config mit ZBF:
version 16.9
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime show-timezone year
platform qfp utilization monitor load 80
no platform punt-keepalive disable-kernel-core
!
hostname M-Gateway
!
boot-start-marker
boot system bootflash:c1100-universalk9_ias.16.09.08.SPA.bin
boot-end-marker
!
!
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization network default local
!
!
!
!
!
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
call-home
! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
! the email address configured in Cisco Smart License Portal will be used as contact email address to send SCH notifications.
contact-email-addr sch-smart-licensing@cisco.com
profile "CiscoTAC-1"
active
destination transport-method http
no destination transport-method email
no ip source-route
no ip gratuitous-arps
!
ip dhcp excluded-address 192.168.22.1 192.168.22.20
!
ip dhcp pool LANPool
import all
network 192.168.22.0 255.255.255.0
default-router 192.168.22.1
dns-server 192.168.22.1
!
!
!
login on-success log
!
!
!
!
!
!
!
subscriber templating
!
!
!
!
!
multilink bundle-name authenticated
!
!
!
crypto pki trustpoint TP-self-signed-3894276596
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3894276596
revocation-check none
rsakeypair TP-self-signed-3894276596
!
crypto pki trustpoint SLA-TrustPoint
enrollment pkcs12
revocation-check crl
!
!
!
license udi pid C1112-8P sn FCZXXXXXXXX
license accept end user agreement
license boot level securityk9
no license smart enable
!
diagnostic bootup level minimal
!
spanning-tree extend system-id
!
!
username admin privilege 15 secret 9 XXXXXXXXXXXXX
!
redundancy
mode none
!
!
!
!
controller VDSL 0/2/0
!
!
vlan internal allocation policy ascending
no cdp run
!
lldp run
!
class-map type inspect match-any ALLOW_IN
match access-group name ALLOWv4
match access-group name ALLOWv6
class-map type inspect match-any LOKAL-ERLAUBT
match protocol http
match protocol https
match protocol dns
match protocol pop3s
match protocol imaps
match protocol smtp extended
match protocol sip
match protocol sip-tls
match protocol rtsp
match protocol ftp
match protocol ftps
match protocol ssh
match protocol ntp
match protocol tcp
match protocol udp
match protocol icmp
class-map type inspect match-any ICMPv6
match access-group name ICMPv6
class-map type inspect match-any ROUTER-PROTOCOLS
match protocol tcp
match protocol udp
match protocol icmp
match class-map ALLOW_IN
!
policy-map type inspect LOKAL-INTERNET-POLICY
description Traffic Lokales LAN zum Internet
class type inspect LOKAL-ERLAUBT
inspect
class class-default
drop
policy-map type inspect ROUTER-INTERNET-POLICY
description Traffic Router zum Internet
class type inspect ROUTER-PROTOCOLS
inspect
class class-default
drop
policy-map type inspect ICMPv6
description Traffic ICMPv6 ins LAN
class type inspect ICMPv6
inspect
class class-default
drop
policy-map type inspect INTERNET-ROUTER-POLICY
description Erlaubter Traffic Internet zu Router
class type inspect ALLOW_IN
pass
class class-default
drop
!
zone security LOKAL
zone security INTERNET
zone-pair security ICMPv6 source INTERNET destination LOKAL
service-policy type inspect ICMPv6
zone-pair security INTERNET-ROUTER source INTERNET destination self
service-policy type inspect INTERNET-ROUTER-POLICY
zone-pair security LOKAL-INTERNET source LOKAL destination INTERNET
service-policy type inspect LOKAL-INTERNET-POLICY
zone-pair security ROUTER-INTERNET source self destination INTERNET
service-policy type inspect ROUTER-INTERNET-POLICY
!
!
!
interface GigabitEthernet0/0/0
description WAN (DHCP Client)
ip address dhcp
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
negotiation auto
no cdp enable
!
interface GigabitEthernet0/1/0
!
interface GigabitEthernet0/1/1
!
interface GigabitEthernet0/1/2
!
interface GigabitEthernet0/1/3
!
interface GigabitEthernet0/1/4
!
interface GigabitEthernet0/1/5
!
interface GigabitEthernet0/1/6
!
interface GigabitEthernet0/1/7
!
interface ATM0/2/0
no ip address
atm oversubscribe factor 2
no atm enable-ilmi-trap
!
interface Ethernet0/2/0
no ip address
no negotiation auto
!
interface Ethernet0/2/0.7
description DTAG-VDSL
encapsulation dot1Q 7
pppoe enable group global
pppoe-client dial-pool-number 1
no lldp transmit
no lldp receive
!
interface Vlan1
description LAN-Ports
ip address 192.168.22.1 255.255.255.0
ip nat inside
zone-member security LOKAL
ip tcp adjust-mss 1448
!
interface Dialer0
description DTAG-Einwahl
mtu 1488
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
zone-member security INTERNET
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ipv6 address autoconfig default
ipv6 enable
ipv6 nd autoconfig default-route
no ipv6 redirects
no ipv6 unreachables
ipv6 dhcp client pd provider-v6-prefix rapid-commit
ipv6 dhcp client request vendor
ipv6 verify unicast reverse-path
no keepalive
ppp authentication pap chap callin
ppp chap hostname vodafone-vdsl.komplett/vb00000000
ppp chap password XXXXXXXXXX
ppp pap sent-username vodafone-vdsl.komplett/vb00000000000 password XXXXXXXX
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
!
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
ip dns server
ip nat inside source list 101 interface Dialer0 overload
ip ssh version 2
!
!
ip access-list extended ALLOWv4
permit udp any any eq 1701
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
permit esp any any
!
access-list 23 permit 192.168.22.0 0.0.0.255
ip access-list extended 101
permit ip 192.168.22.0 0.0.0.255 any
dialer-list 1 protocol ip list 101
!
!
!
!
!
!
ipv6 access-list ALLOWv6
permit udp any eq 547 any eq 546
!
ipv6 access-list ICMPv6
permit icmp any any unreachable
permit icmp any any packet-too-big
permit icmp any any hop-limit
permit icmp any any reassembly-timeout
permit icmp any any header
permit icmp any any next-header
permit icmp any any parameter-option
permit icmp any any echo-request
permit icmp any any echo-reply
permit icmp any any dhaad-request
permit icmp any any dhaad-reply
permit icmp any any mpd-solicitation
permit icmp any any mpd-advertisement
!
control-plane
!
!
line con 0
transport input none
stopbits 1
line vty 0 4
access-class 23 in
length 0
transport input telnet ssh
!
!
!
!
!
!
end@aqui: solltest du da noch Fehler finden oder Verbesserungen haben, dann nur her damit! Einige Sicherheitseinstellungen fehlen auch noch.
Meine Idee mit interface GigabitEthernet0/0/0 war halt einen sekundären WAN-Port einzustellen. Deine Anleitung zum WAN ging da ja aber nicht, weil 0/0/0 ein dedizierter Port ist. (Stichwort switchport access vlan 99)
Grüße
NG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2802353175
Url: https://administrator.de/contentid/2802353175
Printed on: April 27, 2024 at 13:04 o'clock
2 Comments
Latest comment
dass seit IOS-XE 16.10.1 nur noch dieses "Smart Licensing" unterstützt wird.
Auch 16.12. (Gibraltar) supportet weiterhin eine statische Lizensierung ohne call home.Specific License Reservation (SLR) heisst das Zauberwort:
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/smart-licensing/qsg/b_ ... (Chapter 10)
Das klappt dann auch mit der derzeit recommendeten 16.12er Gibraltar Version von XE.
Ist deine Konfig eine Dual WAN Konfig?? Nur weil du 2 WAN Interfaces hast auf 0/0/0 und VDSL.
Deine Anleitung zum WAN ging da ja aber nicht, weil 0/0/0 ein dedizierter Port ist.
Du sprichst in Rätseln...aber ich ahne vermutlich was du meinst. 0/0/0 ist im Gegensatz zu den anderen Gig Ports ein reiner Routing Port und kein Switchport! Deshalb greifen dort die VLAN Layer-2 Switch Kommandos auch nicht!Dennoch kannst du auch über so ein Interface VLAN Tagged Frames senden sollte das erforderlich sein.
Das macht man mit dann mit Subinterfaces ala 0/0/0.10 z.B. für das VLAN 10. Sofern das da ein Thema ist für dich.., Beispiel für VLAN 10:
interface GigabitEthernet 0/0/0.10
description Tagged Routing Interface VLAN-10
encapsulation dot1q 10
ip address ...
usw.
Ein wichtigen Hinweis noch zum 2ten WAN Port der ggf. Frust bei der DHCP Adressvergabe vorbeugt:
Der 2te WAN Port Gig 0/0/0 arbeitet ja als DHCP Client wie man unschwer an der Konfig sieht.
Achte darauf das du hier die ZFW Firewall anpassen musst damit DHCP Broadcast Frames durch die Firewall passieren dürfen!!
Beachte dazu den Hinweis im ZFW Kapitel des entsprechenden Hinweis dazu in den weiterführenden Links.
Der Port ist in deiner Konfig auch noch kein Memberport der ZFW!
Das bedeutet dann zusätzlich auch das dann sämtlicher Traffic auf dem Port geblockt ist. Nur das du das auf dem Radar hast solltest du den aktiv nutzen wollen...?!
Wenn es das denn nun war bitte nicht vergessen deinen Thread hier dann auch als erledigt zu schliessen!!.