Welcher Traffic ist über das WAN Interface erlaubt R1 ! ip access-list extended VPN-ACL permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ! R2 ! ip access-list extended VPN-ACL permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 ! Welcher Traffic wird beim NAT berücksichtigt R1 ! ip access-list extended NAT-ACL deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 permit ip 192.168.1.0
Mal was neus probieren, ein Cisco vWLC 9800 Wireless Controller mit der Aruba Clearpass verbinden und die User der SSID über dot1x an einem Windwos 2012 Server authentifizieren. Zu allererst muss auf der Clearpass ein Zertifikat erstellt werden, was auf dem Windwos Server signiert wird. Das beschreibe ich mal in einem anderen Beitrag. Auf dem
Zuerste werden zwei Interfaces verbunden. Da es sich um Router handelt, werden IP Adressen verwendet An dem XR Router auf dem Interface gi0/0/0/0/0 die 192.168.100.1 auf der Gegenseite auf dem Inteface eth2/1 die 192.168.100.2 XR: RP/0/0/CPU0:ios# RP/0/0/CPU0:ios#conf t Sun Dec 17 09:26:44.127 UTC RP/0/0/CPU0:ios(config)#int gigabitEthernet 0/0/0/0 RP/0/0/CPU0:ios(config-if)#ipv4 address 192.168.100.1/30 RP/0/0/CPU0:ios(config-if)#commit <– Wichtig um die Konfiguration
Mal wieder zurück zu den Anfängen. Früher gab es die Klassen A, B und C für Netzwerke, als die Netze grösser wurden wurde der Wunsch immer grösser, das man weitere Unterteilungen in den Netzwerken vornehmen konnte. Statt viele 24/16/oder 8er Netze zu “verbraten” wurde die Möglichkeit geschaffen Variable Längen für die Subnetze zu verwenden. Nehmen
Jetzt werden Interfaces profiles als weitere “Hülle” erstellt, so das damit die Policies verknüpft werden können Menu Profile Type Name Fabric Leaf Interfaces all‐leafs‐fab‐ipf Fabric Spine Interfaces all‐spines‐fab‐ipf Access Leaf Interfaces l1101‐acc‐ipf Access Leaf Interfaces l1102‐acc‐ipf Access Leaf Interfaces l1101‐l1102‐acc‐ipf Access Spine Interfaces s101‐acc‐ipf Fabric/Fabric Policies/Switches/Leaf Switches/Profiles Fabric/Fabric Policies/Switches/Spine Switches/Profiles /Fabric/Access Profiles/Switches/leaf Switches/Profiles /Fabric/Access Profiles/Switches/Spine
Die Access Policies dir dort erstellt wurden Cisco ACI Access Policies Werden jetzt in Policy Groups zusammen gefasst Einige der Policies sind nur für für Leafs und einige nur für Spines damit können nicht alle Policies in jeder Policy Group verwendet werden. Die folgende Tabelle listet die zu nutzenden Policies für jede Switch Policy Group
Gültig für Cisco Nexus Typen ● N9K-C93xx für Cisco ACI leaf switches ● N9K-C95xx für Cisco modular chassis ● N9K-X97xx für Cisco ACI spine switch line cards Die Buchstaben -E and -X am Ende des Namens bedeuten: ● -E: Enhanced. Dies bezieht sich auf die Fähigkeit des Switches, den Datenverkehr auf der Grundlage der Quell-IP-Adresse
In der Cisco ACI wird alles über sogenannte Policies erstellt und gesteuert. Damit man die aber passend “zusammenschieben” kann, müssen viele erst erstellt werden. Dafür können folgende Interface und Switch Policies erstellt werden Access Policies Switch Profil Leaf Interface Profile Leaf Interface Policy Group (Leaf) I1101-acc-spf <–> I1101-acc-ipf (Selector eth1-2#) <–> gr#baremetal-acc-ipg I1101-I1102-acc-spf <–> I1101-I1102-acc-ipf
Zum einstellen, wo die Syslog Meldungen hingeschrieben werden sollen, sollte man folgendermassen vorgehen Admin/External Data Collectors/Monitoring Destination/Sylog Rechte Maustaste “Create Syslog…” Der Policy einen Namen geben Die IP Adresse des Syslog Servers eintragen und die Level auswählen fertig In dem gleichen Baum wird jetzt noch eine Policy für den SNMP Server erstellt Create auswählen mit
