2732727944
Goto Top

Cisco C1112-8P - Konfig und Lizensierungshürden

Hallo,

ich mache mal hier weiter statt im Config-Thread zur Cisco 880/890 Konfiguration.

Nun, ich hatte mir einen C1112 gegönnt, den auch auch noch recht günstig bekommen habe, aber ich musste dann feststellen, dass Cisco in den Jahren nicht unbedingt spendabler geworden ist, was die Funktionen betrifft. Die IPBase-Lizenz, die auch die C1100er Serie von Grund auf besitzt, hat keine Firewall. Man kann sich also nur mit NAT und ACLs schützen.
Die Lizenz kann man nachkaufen, ABER erschwerend kommt auch hinzu, dass seit IOS-XE 16.10.1 nur noch dieses "Smart Licensing" unterstützt wird. Wer nicht will, dass der Router für die Lizensierung in die USA "telefoniert", der muss wohl oder übel ein Downgrade auf die IOS-XE 16.9.X machen. Dann man man sich einfach ein .lic File erstellen und auf dem Router installieren. Danach sollten die entsprechenden Funktionen verfügbar sein. Upgrade ist aber dann nicht mehr drin, weil er ansonsten fordert, dass über smart-licensing zu tun und die Funktionen ansonsten wieder deaktiviert.

So, nun zu meiner mühsam erstellten Config mit ZBF:

version 16.9
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime show-timezone year
platform qfp utilization monitor load 80
no platform punt-keepalive disable-kernel-core
!
hostname M-Gateway
!
boot-start-marker
boot system bootflash:c1100-universalk9_ias.16.09.08.SPA.bin
boot-end-marker
!
!
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization network default local 
!
!
!
!
!
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
call-home
 ! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
 ! the email address configured in Cisco Smart License Portal will be used as contact email address to send SCH notifications.
 contact-email-addr sch-smart-licensing@cisco.com
 profile "CiscoTAC-1"  
  active
  destination transport-method http
  no destination transport-method email
no ip source-route
no ip gratuitous-arps
!
ip dhcp excluded-address 192.168.22.1 192.168.22.20
!
ip dhcp pool LANPool
 import all
 network 192.168.22.0 255.255.255.0
 default-router 192.168.22.1 
 dns-server 192.168.22.1 
!
!
!
login on-success log
!
!
!
!
!
!
!
subscriber templating
! 
! 
! 
! 
!
multilink bundle-name authenticated
!
!
!
crypto pki trustpoint TP-self-signed-3894276596
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-3894276596
 revocation-check none
 rsakeypair TP-self-signed-3894276596
!
crypto pki trustpoint SLA-TrustPoint
 enrollment pkcs12
 revocation-check crl
!
!

!
license udi pid C1112-8P sn FCZXXXXXXXX
license accept end user agreement
license boot level securityk9
no license smart enable
!
diagnostic bootup level minimal
!
spanning-tree extend system-id
!
!

username admin privilege 15 secret 9 XXXXXXXXXXXXX
!
redundancy
 mode none
!
!
!
!
controller VDSL 0/2/0
!
!
vlan internal allocation policy ascending
no cdp run
!
lldp run
!
class-map type inspect match-any ALLOW_IN
 match access-group name ALLOWv4
 match access-group name ALLOWv6
class-map type inspect match-any LOKAL-ERLAUBT
 match protocol http
 match protocol https
 match protocol dns
 match protocol pop3s
 match protocol imaps
 match protocol smtp extended
 match protocol sip
 match protocol sip-tls
 match protocol rtsp
 match protocol ftp
 match protocol ftps
 match protocol ssh
 match protocol ntp
 match protocol tcp
 match protocol udp
 match protocol icmp
class-map type inspect match-any ICMPv6
 match access-group name ICMPv6
class-map type inspect match-any ROUTER-PROTOCOLS
 match protocol tcp
 match protocol udp
 match protocol icmp
 match class-map ALLOW_IN
!
policy-map type inspect LOKAL-INTERNET-POLICY
 description Traffic Lokales LAN zum Internet
 class type inspect LOKAL-ERLAUBT
  inspect
 class class-default
  drop
policy-map type inspect ROUTER-INTERNET-POLICY
 description Traffic Router zum Internet
 class type inspect ROUTER-PROTOCOLS
  inspect
 class class-default
  drop
policy-map type inspect ICMPv6
 description Traffic ICMPv6 ins LAN
 class type inspect ICMPv6
  inspect
 class class-default
  drop
policy-map type inspect INTERNET-ROUTER-POLICY
 description Erlaubter Traffic Internet zu Router
 class type inspect ALLOW_IN
  pass
 class class-default
  drop
!
zone security LOKAL
zone security INTERNET
zone-pair security ICMPv6 source INTERNET destination LOKAL
 service-policy type inspect ICMPv6
zone-pair security INTERNET-ROUTER source INTERNET destination self
 service-policy type inspect INTERNET-ROUTER-POLICY
zone-pair security LOKAL-INTERNET source LOKAL destination INTERNET
 service-policy type inspect LOKAL-INTERNET-POLICY
zone-pair security ROUTER-INTERNET source self destination INTERNET
 service-policy type inspect ROUTER-INTERNET-POLICY
! 
!
!
interface GigabitEthernet0/0/0
 description WAN (DHCP Client)
 ip address dhcp
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 negotiation auto
 no cdp enable
!
interface GigabitEthernet0/1/0
!
interface GigabitEthernet0/1/1
!
interface GigabitEthernet0/1/2
!
interface GigabitEthernet0/1/3
!
interface GigabitEthernet0/1/4
!
interface GigabitEthernet0/1/5
!
interface GigabitEthernet0/1/6
!
interface GigabitEthernet0/1/7
!
interface ATM0/2/0
 no ip address
 atm oversubscribe factor 2
 no atm enable-ilmi-trap
!
interface Ethernet0/2/0
 no ip address
 no negotiation auto
!
interface Ethernet0/2/0.7
 description DTAG-VDSL
 encapsulation dot1Q 7
 pppoe enable group global
 pppoe-client dial-pool-number 1
 no lldp transmit
 no lldp receive
!
interface Vlan1
 description LAN-Ports
 ip address 192.168.22.1 255.255.255.0
 ip nat inside
 zone-member security LOKAL
 ip tcp adjust-mss 1448
!
interface Dialer0
 description DTAG-Einwahl
 mtu 1488
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 zone-member security INTERNET
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ipv6 address autoconfig default
 ipv6 enable
 ipv6 nd autoconfig default-route
 no ipv6 redirects
 no ipv6 unreachables
 ipv6 dhcp client pd provider-v6-prefix rapid-commit
 ipv6 dhcp client request vendor
 ipv6 verify unicast reverse-path
 no keepalive
 ppp authentication pap chap callin
 ppp chap hostname vodafone-vdsl.komplett/vb00000000
 ppp chap password XXXXXXXXXX
 ppp pap sent-username vodafone-vdsl.komplett/vb00000000000 password XXXXXXXX
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
!
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
ip dns server
ip nat inside source list 101 interface Dialer0 overload
ip ssh version 2
!
!
ip access-list extended ALLOWv4
 permit udp any any eq 1701
 permit udp any any eq isakmp
 permit udp any any eq non500-isakmp
 permit esp any any
!
access-list 23 permit 192.168.22.0 0.0.0.255
ip access-list extended 101
 permit ip 192.168.22.0 0.0.0.255 any
dialer-list 1 protocol ip list 101
!
!
!
!
!
!
ipv6 access-list ALLOWv6
 permit udp any eq 547 any eq 546
!
ipv6 access-list ICMPv6
 permit icmp any any unreachable
 permit icmp any any packet-too-big
 permit icmp any any hop-limit
 permit icmp any any reassembly-timeout
 permit icmp any any header
 permit icmp any any next-header
 permit icmp any any parameter-option
 permit icmp any any echo-request
 permit icmp any any echo-reply
 permit icmp any any dhaad-request
 permit icmp any any dhaad-reply
 permit icmp any any mpd-solicitation
 permit icmp any any mpd-advertisement
!
control-plane
!
!
line con 0
 transport input none
 stopbits 1
line vty 0 4
 access-class 23 in
 length 0
 transport input telnet ssh
!
!
!
!
!
!
end

@aqui: solltest du da noch Fehler finden oder Verbesserungen haben, dann nur her damit! Einige Sicherheitseinstellungen fehlen auch noch.

Meine Idee mit interface GigabitEthernet0/0/0 war halt einen sekundären WAN-Port einzustellen. Deine Anleitung zum WAN ging da ja aber nicht, weil 0/0/0 ein dedizierter Port ist. (Stichwort switchport access vlan 99)

Grüße
NG

Content-Key: 2802353175

Url: https://administrator.de/contentid/2802353175

Printed on: February 23, 2024 at 07:02 o'clock

Member: aqui
aqui May 16, 2022, updated at Jun 03, 2022 at 11:43:19 (UTC)
Goto Top
dass seit IOS-XE 16.10.1 nur noch dieses "Smart Licensing" unterstützt wird.
Auch 16.12. (Gibraltar) supportet weiterhin eine statische Lizensierung ohne call home.

Specific License Reservation (SLR) heisst das Zauberwort:
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/smart-licensing/qsg/b_ ... (Chapter 10)
Das klappt dann auch mit der derzeit recommendeten 16.12er Gibraltar Version von XE.

Ist deine Konfig eine Dual WAN Konfig?? Nur weil du 2 WAN Interfaces hast auf 0/0/0 und VDSL.
Deine Anleitung zum WAN ging da ja aber nicht, weil 0/0/0 ein dedizierter Port ist.
Du sprichst in Rätseln...aber ich ahne vermutlich was du meinst. 0/0/0 ist im Gegensatz zu den anderen Gig Ports ein reiner Routing Port und kein Switchport! Deshalb greifen dort die VLAN Layer-2 Switch Kommandos auch nicht!
Dennoch kannst du auch über so ein Interface VLAN Tagged Frames senden sollte das erforderlich sein.
Das macht man mit dann mit Subinterfaces ala 0/0/0.10 z.B. für das VLAN 10. Sofern das da ein Thema ist für dich.., Beispiel für VLAN 10:
interface GigabitEthernet 0/0/0.10
description Tagged Routing Interface VLAN-10
encapsulation dot1q 10
ip address ...
usw.


Ein wichtigen Hinweis noch zum 2ten WAN Port der ggf. Frust bei der DHCP Adressvergabe vorbeugt:
Der 2te WAN Port Gig 0/0/0 arbeitet ja als DHCP Client wie man unschwer an der Konfig sieht.
Achte darauf das du hier die ZFW Firewall anpassen musst damit DHCP Broadcast Frames durch die Firewall passieren dürfen!!
Beachte dazu den Hinweis im ZFW Kapitel des entsprechenden Hinweis dazu in den weiterführenden Links.
Der Port ist in deiner Konfig auch noch kein Memberport der ZFW!
Das bedeutet dann zusätzlich auch das dann sämtlicher Traffic auf dem Port geblockt ist. Nur das du das auf dem Radar hast solltest du den aktiv nutzen wollen...?!
Member: aqui
aqui Jun 03, 2022 at 11:33:57 (UTC)
Goto Top
Wenn es das denn nun war bitte nicht vergessen deinen Thread hier dann auch als erledigt zu schliessen!!.