Cisco 771 M ISDN Router

Shortcut: Zur Beispiel-Konfiguration ;o)
Here you find a summarized English version.

Troubleshooters Odyssee

Router sind eine feine Sache: Sie verbinden Rechner und Netzwerke und schotten gleichzeitig als Hardware-Firewall die Ports der hinter ihnen liegenden Rechner gegen das Netz ab. Das hier aufgebaute Mini-Netz aus einem Windows- und einem Mac-Rechner ist über einen Cisco 771 M ISDN Router ans Internet angeschlossen. Per TCP/IP-Verbindung und jeweils installierten Servern können Dateien einfach verschoben werden. So dachte ich es mir bei Erwerb dieses gebrauchten Gerätes: Bis dahin sollte es jedoch noch ein langer Weg werden ...

Der Vorbesitzer konnte bei der nötigen Konfiguration leider nicht helfen, er hatte das Teil nur kurz getestet. Die beiliegende, sogar umfängliche Dokumentation (eine CD) und ein "Software Feature Pack" (noch eine CD) half beim Herstellen der Kabelverbindungen. Mit dem G4-Mac war so ohne weiteres nichts zu wollen: Er hat keinen COM-Port-Anschluss, über den der Router meine Einstellungen entgegennehmen sollte.

Ich schloss also den Win95-Rechner an. Die Dokumentation zur Terminal-Konfiguration hatte der listige Hersteller zwar mit falschen Einstellungen des Protokolls unbrauchbar gemacht, aber so viele Möglichkeiten gibt es da schließlich nicht. Es war sogar ein komplettes Programm für Dummies und blutige ISDN- und Router-Anfänger wie mich dabei: Ciscos "700-Fast-Step" ließ die vielen grünen LEDs blinken, vollführte einige Testroutinen und versprach, den Router so einzustellen, dass ich lossurfen konnte. Allein: Es ging nicht.

nach oben

Exkurs: Lehrjahre

Pah. Nicht mit mir. Ich hatte an meinem ersten 386er-Rechner noch unter MS DOS 6.2 schon die command.com, den zentralen Befehlsprozessor, gegen eine angebliche bessere Norton-Version getauscht. Nach dem erfolglosen Neustart las ich dann die Dokumentation doch zu Ende und fand ein paar kryptische Hinweise auf weitere zu verschiebende Dateien. Eine Startdiskette besaß ich natürlich nicht.

Aber zum Glück hatte ich den Wohnungsschlüssel eines verreisten Freundes, der hatte einen neuen 486er. Den Update auf 6.2 allerdings hatte er nicht machen wollen. Wer konnte aber wissen, ob nicht sein 6.1er System ganz unnötige Dinge auf die Startdiskette schreiben würde, die ich mir vorbereiten wollte?

Ich aktualisierte also sein System auf 6.2, zog meine Diskette, startete meine "Dose", enthob Norton des Kommandos und machte dem Spuk ein Ende. Um keine verwertbaren Spuren zu hinterlassen, setzte ich den Rechner meines Freundes auf 6.1 zurück. Seither habe ich für den Alltagsgebrauch ganz passable Qualitäten als Troubleshooter entwickelt: Rechner sind nichts als leicht sensible "Was-passiert-dann"-Maschinen.

nach oben

Dich kriege ich ...

Ich lachte also meinen Router für seinen Widerstand aus und öffnete Windows' Hyperterminal, um die etwas spartanische Kommandozeile zur Konfiguration kennen zu lernen. Derweil durchforstete ich mittels des eingebauten Modem im Mac das Netz nach Informationen.

Doch hatte ich nicht mit Ciscos Verwirrungstaktik gerechnet: Von der Seite zu meinem Modell verzweigten sich die Verweise labyrinthisch. 80 Megabyte in Folge geladener Dokumentationen, User Guides, Beispiele, Schaubilder, Konfigurationen und Hilfedateien stapeln sich z.T. noch heute in einer finsteren Ecke meiner Festplatte (man könnte sie ja irgendwann noch einmal brauchen).

Dickster Brocken war ein 40 Megabyte großes "Tutorial" undefinierbaren Dateityps, das ich frohlockend herunterlud in der Überzeugung, damit alle Informationen zu besitzen, die Cisco jemals zu diesem Router veröffentlicht haben konnte. Das "Tutorial" stellte die Benutzung des "Fast-Step" Programmes filmisch dar. Erst nach dem Löschen, begleitet von heftiger verbaler Geräuschentwicklung, überlegte ich, ob diese Datei einen späteren juristischen Erfolg gegen Cisco nicht deutlich wahrscheinlicher gemacht hätte.

"Fast-Steps" neueste Version half ebenso wenig wie ein Firmware-Update oder das anfangs Vertrauen erweckende "Atlanta"-Beispielskript. Sobald ich am Terminal "upload" eingab, rauschte eine endlose Folge kryptischer "set"-Zeilen matrixartig den Schirm herunter: Mir schien, ich müsste ein Alan Turing werden, der die deutschen "Enigma" Chiffriermaschinen im Zweiten Weltkrieg knackte. Üblerweise stimmten nicht einmal alle Optionen mit der heruntergeladenen Cisco "Command Reference" (siehe Anmerkung) überein.

nach oben

Die weiße Fahne

Nach etlichen Tagen war ich soweit, ein Online-Formular auszufüllen, um eine E-Mail an Cisco schreiben zu dürfen. Und siehe da: Binnen eines Tages kam eine Bestätigung an "User: Axel Jönsson", die mir die Kontaktaufnahme durch einen "Agenten" in Aussicht stellte. Einen Tag später kam eine "clarify"-Mail an "Dear Axel Jvnsson" mit einigermaßen vollständiger Auflistung der weltweiten Cisco Hotline-Nummern und E-Mailadressen, begleitet von Fragebögen und Hinweisen wie, wann, warum und wer Cisco kontaktieren darf.

Vier Minuten später bekam "Dear Alan Jvnsson" (nein, nicht Turing) per E-Mail aus Gefälligkeit trotz fehlenden Servicevertrages eine siebenstellige Fallnummer und das Angebot, mit einem "Cisco service agreement" einige "important benefits" beanspruchen zu dürfen. Weitere fünf Minuten später informierte eine weitere Mail über einen Wechsel meines Status: Da mir ein Cisco-Mitarbeiter die nötigen Informationen gegeben und er das Gefühl habe, diese würden mir ausreichend helfen, werde mein Fall nunmehr geschlossen.

Auf die Minute gleichzeitig (welche List!) kontaktierte mich Agent "xanga" (zum Schutz seiner Legende habe ich einen Buchstaben seines Namens verfälscht); ich wagte inzwischen nicht mehr, auf dem Stuhl zu ruckeln. "xanga" gab mir sogar seinen Klarnamen (Andy) und würde nun meinen Fall an einen instruierten "engineer" weitergeben. Ich blieb trotz fast atemloser Spannung zehn Stunden ohne Nachricht. Dann wurden mir Name, E-Mail und Telefonnummer meines Kontaktmannes mitgeteilt, der auf Informationen warte. Auch erfuhr ich, dass nur registrierte Cisco-Nutzer die E-Mailflut durch Klick auf einen Link abstellen dürfen. Wiederum exakt gleichzeitig kontaktierte Frances M. mich, der für meinen Fall zuständige Cisco Engineer.

nach oben

The end

Genau 17 Minuten später, ich knobelte noch an Frances' Bitte um Informationen zum Fall, schaltete sich geistesgegenwärtig seine Zentrale mit einem ersten Fragebogen per Mail in die nun laufende Aktion ein, um meine Einschätzung zum Stand der Dinge zu erfahren.

Erst nach offenbar sorgfältiger Auswertung aller Daten informierte Frances mich am folgenden Tag: Mein Gerät sei kein echter Cisco Router, sondern nur ein gelabelter Zukauf aus einer Fremdfirma. Es arbeite daher nicht entsprechend dem Cisco IOS System, was ich bereits wusste; auch die "Command Reference" stimme nur bedingt. Aha. Die vorgeschlagene Eingabe von "diag ppp" auf Systemebene und der Versuch, testweise einen anderen Rechner zu pingen, schlugen fehl. Nun empfahl er ein Dokument mit wichtigen Informationen: Der Link führte mich zum "Atlanta"-Skript. Ich setzte einen Filter vor meine Mailbox auf alles, was "cisco" hieß.

Fünf Tage später wurden in New York City zwei Passagiermaschinen in die beiden Türme des World Trade Center gesteuert. Da ich in das folgende Skript vertieft war, erfuhr ich davon erst einige Stunden später.

Drei Wochen später wählte der Router sich erstmals erfolgreich ein. Nachfolgend das Skript, das ich seither, immer wieder mal modifiziert, benutze. Für die rot markierten Anmerkungen siehe unten.

nach oben

 

Beispiel-Konfiguration Cisco 771 M ISDN Router

Kanalbündelung deaktiviert, ohne DHCP:

upload
SET SCREENLENGTH 20
SET COUNTRYGROUP 5
SET LAN MODE ANY
SET WAN MODE ONLY
SET AGE OFF
SET MULTIDESTINATION OFF
SET SWITCH NET3
SET ALAWVOICE ON
SET INTERNALTONES NONE
SET 1 DIRECTORYNUMBER xxxxxx *[1]
SET 1 DELAY 30
SET 2 DELAY 30
SET BRIDGING OFF
SET LEARN ON
SET PASSTHRU OFF
SET SPEED AUTO
SET PLAN NORMAL
SET D AUTO OFF
SET 1 AUTO ON
SET 2 AUTO ON
SET 1 NUMBER xxxxxxx *[2]
SET 2 NUMBER xxxxxxx
SET AODI OFF
SET 1 BACKUPNUMBER
SET 2 BACKUPNUMBER
SET 1 RINGBACK
SET 2 RINGBACK
SET 1 CLIVALIDATENUMBER
SET 2 CLIVALIDATENUMBER
SET CLICALLBACK OFF
SET CLIAUTHENTICATION OFF
SET SYSTEMNAME ajo
LOG CALLS TIME VERBOSE
SET UNICASTFILTER OFF
DEMAND D THRESHOLD 0
DEMAND 1 THRESHOLD 0
DEMAND 2 THRESHOLD 48
DEMAND D DURATION 1
DEMAND 1 DURATION 1
DEMAND 2 DURATION 1
DEMAND D SOURCE LAN
DEMAND 1 SOURCE LAN
DEMAND 2 SOURCE BOTH
TIMEOUT D THRESHOLD 0
TIMEOUT 1 THRESHOLD 0
TIMEOUT 2 THRESHOLD 48
TIMEOUT D DURATION 0
TIMEOUT 1 DURATION 15
TIMEOUT 2 DURATION 15
TIMEOUT D SOURCE LAN
TIMEOUT 1 SOURCE LAN
TIMEOUT 2 SOURCE BOTH
SET AOCDTIMEOUT OFF
SET PASSWORD SYSTEM ENCRYPTED 04c49599
SET REMOTEACCESS PROTECTED
SET LOCALACCESS ON
SET LOGOUT 5
SET CALLERID OFF
SET PPP AUTHENTICATION IN CHAP PAP
SET PPP CHAPREFUSE NONE
SET PPP CHAPALLOW MULTIHOST OFF
SET PPP AUTHENTICATION OUT NONE
SET PPP AUTHENTICATION ACCEPT EITHER
SET PPP TAS CLIENT 0.0.0.0
SET PPP TAS CHAPSECRET LOCAL ON
SET PPP SECRET CLIENT ENCRYPTED 139d82
SET PPP CALLBACK REQUEST OFF
SET PPP CALLBACK REPLY OFF
SET PPP NEGOTIATION INTEGRITY 10
SET PPP NEGOTIATION COUNT 10
SET PPP NEGOTIATION RETRY 3000
SET PPP TERMREQ COUNT 2
SET PPP MULTILINK OFF
SET PPP MULTILINK PPPHEADER ON
SET COMPRESSION STAC
SET PPP BACP OFF
SET PPP ADDRESS NEGOTIATION LOCAL OFF
SET PPP IP NETMASK LOCAL OFF
SET IP PAT UDPTIMEOUT 5
SET IP PAT TCPTIMEOUT 30
SET IP RIP TIME 30
SET X25 LIC 0
SET X25 HIC 0
SET X25 LTC 0
SET X25 HTC 0
SET X25 LOC 1024
SET X25 HOC 1024
SET CALLDURATION 0
SET SNMP CONTACT ""
SET SNMP LOCATION ""
SET SNMP TRAP COLDSTART OFF
SET SNMP TRAP WARMSTART OFF
SET SNMP TRAP LINKDOWN OFF
SET SNMP TRAP LINKUP OFF
SET SNMP TRAP AUTHENTICATIONFAIL OFF
SET DHCP OFF
SET DHCP DOMAIN
SET DHCP NETBIOS_SCOPE
SET TPAD PARITY NONE
SET X25D TEI 0
SET X25D X121HOST
SET CALLTIME VOICE INCOMING OFF
SET CALLTIME VOICE OUTGOING OFF
SET CALLTIME DATA INCOMING OFF
SET CALLTIME DATA OUTGOING OFF
SET USER LAN
SET BRIDGING OFF
SET IP ROUTING ON
SET IP ADDRESS xxx.xxx.xxx.xxx *[3]
SET IP NETMASK 255.255.255.0
SET IP FRAMING ETHERNET_II
SET IP PROPAGATE ON
SET IP COST 1
SET IP RIP RECEIVE V1
SET IP RIP UPDATE LIN
SET IP RIP VERSION 1
SET IP FILTER UDP IN SOURCE 0.0.0.0/0:137-138 BLOCK
SET IP FILTER TCP IN SOURCE 0.0.0.0/0:139 BLOCK
SET USER Internal
SET PPP BACP ON
SET IP ROUTING ON
SET IP ADDRESS 0.0.0.0
SET IP NETMASK 0.0.0.0
SET IP FRAMING ETHERNET_II
SET IP RIP RECEIVE V1
SET IP RIP UPDATE OFF
SET IP RIP VERSION 1
SET USER Standard
SET PROFILE ID 000000000000
SET PROFILE POWERUP ACTIVATE
SET PROFILE DISCONNECT KEEP
SET PPP BACP OFF
SET IP ROUTING ON
SET IP ADDRESS 0.0.0.0
SET IP NETMASK 0.0.0.0
SET IP FRAMING NONE
SET IP RIP RECEIVE V1
SET IP RIP UPDATE OFF
SET IP RIP VERSION 1
SET USER XXX *[4]
SET PROFILE ID 000000000000
SET PROFILE POWERUP ACTIVATE
SET PROFILE DISCONNECT KEEP
SET BRIDGING OFF
SET 1 NUMBER xxxxxxx *[5]
SET 2 NUMBER xxxxxxx
SET PPP AUTHENTICATION ACCEPT EITHER
SET PPP CLIENTNAME XXX *[6]
SET PPP PASSWORD CLIENT ENCRYPTED 05263521
SET PPP SECRET CLIENT ENCRYPTED 10633a37
SET PPP PASSWORD HOST ENCRYPTED 11242a2b
SET PPP SECRET HOST ENCRYPTED 080c7f60
SET IP ROUTING ON
SET IP ADDRESS 0.0.0.0
SET IP NETMASK 0.0.0.0
SET IP FRAMING NONE
SET IP RIP RECEIVE V1
SET IP RIP UPDATE OFF
SET IP RIP VERSION 1
SET IP PAT ON
SET IP ROUTE DEST 0.0.0.0/0 GATEWAY 0.0.0.0 PROPAGATE ON COST 1
SET IP FILTER UDP IN SOURCE 0.0.0.0/0:137-138 BLOCK
SET IP FILTER TCP IN SOURCE 0.0.0.0/0:139 BLOCK
CD
SET BUTTON Standard
SET SERIALPORT CONFIG
LOGOUT
ajo>

Erläuterungen:

*[1]: Eigene, dem Router zugewiesene Telefonnummer (ohne Vorwahl)
*[2], [5]: Einwahlnummer des Providers
*[3]: IP-Adresse des Routers für das interne Netz
*[4]: Beliebiger Name für das Profil
*[6]: User-Name für die Einwahl (gelegentlich vom Provider vorgegeben)

Anmerkung:
Unter dem folgenden Link findet sich die Dokumentation (Command Reference), die zum Software Release 4.4-7 vom Juni 2003 für die 760er-Serie gehört (durch einfache Eingabe von "version" auf Systemebene lässt sich bei verbundenem Terminal die aktuell laufende Routersoftware anzeigen). Leider ist die Dokumentation nicht in einer, sondern nur in mehreren Dateien herunter zu laden. Zudem zählen die 700er ISDN Access Router für Cisco zu jenen Produkten, die den "End-of-sale" oder "End-of-life" Status erreicht haben (zurück zum Text).

nach oben