Cisco C1112-8P - Konfig und Lizensierungshürden

2732727944
Goto Top
Hallo,

ich mache mal hier weiter statt im Config-Thread zur Cisco 880/890 Konfiguration.

Nun, ich hatte mir einen C1112 gegönnt, den auch auch noch recht günstig bekommen habe, aber ich musste dann feststellen, dass Cisco in den Jahren nicht unbedingt spendabler geworden ist, was die Funktionen betrifft. Die IPBase-Lizenz, die auch die C1100er Serie von Grund auf besitzt, hat keine Firewall. Man kann sich also nur mit NAT und ACLs schützen.
Die Lizenz kann man nachkaufen, ABER erschwerend kommt auch hinzu, dass seit IOS-XE 16.10.1 nur noch dieses "Smart Licensing" unterstützt wird. Wer nicht will, dass der Router für die Lizensierung in die USA "telefoniert", der muss wohl oder übel ein Downgrade auf die IOS-XE 16.9.X machen. Dann man man sich einfach ein .lic File erstellen und auf dem Router installieren. Danach sollten die entsprechenden Funktionen verfügbar sein. Upgrade ist aber dann nicht mehr drin, weil er ansonsten fordert, dass über smart-licensing zu tun und die Funktionen ansonsten wieder deaktiviert.

So, nun zu meiner mühsam erstellten Config mit ZBF:


@aqui: solltest du da noch Fehler finden oder Verbesserungen haben, dann nur her damit! Einige Sicherheitseinstellungen fehlen auch noch.

Meine Idee mit interface GigabitEthernet0/0/0 war halt einen sekundären WAN-Port einzustellen. Deine Anleitung zum WAN ging da ja aber nicht, weil 0/0/0 ein dedizierter Port ist. (Stichwort switchport access vlan 99)

Grüße
NG

Content-Key: 2802353175

Url: https://administrator.de/contentid/2802353175

Ausgedruckt am: 04.07.2022 um 08:07 Uhr

Mitglied: aqui
aqui 16.05.2022, aktualisiert am 03.06.2022 um 13:43:19 Uhr
Goto Top
dass seit IOS-XE 16.10.1 nur noch dieses "Smart Licensing" unterstützt wird.
Auch 16.12. (Gibraltar) supportet weiterhin eine statische Lizensierung ohne call home.

Specific License Reservation (SLR) heisst das Zauberwort:
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/smart-licensing/qsg/b_ ... (Chapter 10)
Das klappt dann auch mit der derzeit recommendeten 16.12er Gibraltar Version von XE.

Ist deine Konfig eine Dual WAN Konfig?? Nur weil du 2 WAN Interfaces hast auf 0/0/0 und VDSL.
Deine Anleitung zum WAN ging da ja aber nicht, weil 0/0/0 ein dedizierter Port ist.
Du sprichst in Rätseln...aber ich ahne vermutlich was du meinst. 0/0/0 ist im Gegensatz zu den anderen Gig Ports ein reiner Routing Port und kein Switchport! Deshalb greifen dort die VLAN Layer-2 Switch Kommandos auch nicht!
Dennoch kannst du auch über so ein Interface VLAN Tagged Frames senden sollte das erforderlich sein.
Das macht man mit dann mit Subinterfaces ala 0/0/0.10 z.B. für das VLAN 10. Sofern das da ein Thema ist für dich.., Beispiel für VLAN 10:
interface GigabitEthernet 0/0/0.10
description Tagged Routing Interface VLAN-10
encapsulation dot1q 10
ip address ...
usw.


Ein wichtigen Hinweis noch zum 2ten WAN Port der ggf. Frust bei der DHCP Adressvergabe vorbeugt:
Der 2te WAN Port Gig 0/0/0 arbeitet ja als DHCP Client wie man unschwer an der Konfig sieht.
Achte darauf das du hier die ZFW Firewall anpassen musst damit DHCP Broadcast Frames durch die Firewall passieren dürfen!!
Beachte dazu den Hinweis im ZFW Kapitel des Cisco Tutorials bzw. den entsprechenden Hinweis dazu in den weiterführenden Links.
Der Port ist in deiner Konfig auch noch kein Memberport der ZFW!
Das bedeutet dann zusätzlich auch das dann sämtlicher Traffic auf dem Port geblockt ist. Nur das du das auf dem Radar hast solltest du den aktiv nutzen wollen...?!
Mitglied: aqui
aqui 03.06.2022 um 13:33:57 Uhr
Goto Top
Wenn es das denn nun war bitte nicht vergessen deinen Thread hier dann auch als erledigt zu schliessen!!.