Frank04

Nochmal: Erstmal testen, ob der Router anpingbar ist aus dem VLAN 10. Vorher testen, ob ein Ping von einem Rechner aus dem VLAN 10 auf das Gateway 194.194.194.1 und auf das Gateway 194.209.193.213 pingen kann. Das muss erstmal funktionieren. Ein Switch zwischen Router und L3-Switch sollte kein Problem sein.

http://www.cisco.com --->Produkte--->Data Sheets ? Beide nicht L3-fähig, wenn ichs recht weiss. Beide Advanced QoS-fähig; was auch immer das bedeuten mag. Hier ist bestimmt hilfreich zu wissen, was man wie priorisieren möchte.

Ansonsten wäre ein Ansatzpunkt zu prüfen, wieviele Kollosionen es gegeben hat und mal die Auslastung der CPU zu prüfen. Ob die LS-Dingens-Switche das können, keine Ahnung. Weitere Stichpunkte: Fehler auslesen an den Uplinkports und Serverports. Design überprüfen. Duplex/Speed Einstellungen prüfen, Verkabelung prüfen (CRC Fehler?)

Ähh, für die Clients ist der Switch das Gateway? Wie auch immer, die User im VLAN1 müssen alle IP-Adressen aus dem 194.209.193.0 / 24 haben und als Gateway die Switch .213 IP haben. An einem Port im VLAN 1 muss dann der Internetrouter angeschlossen sein. Alle User im VLAN 10 müssen eine IP-Adresse im 194.194.194.0/24 haben und als Gateway die Switch IP-Adresse haben. Jetzt muss der Internetrouter anpingbar sein. Jetzt aber Achtung: Du verwendest hier offizielle IP-Adressen, von daher muss der Internetrouter entsprechend naten. Am Internetrouter muss auch eine Rückroute eingestellt sein.

Das Beispiel würde ich mit einem Transitnetz lösen und den Traffic dazwischen routen. Damit kannst Du beiderseitig ein VLAN 1 haben.

Hmm, was ich mit jedoch Nortel Switchen, Windows 2003 Server IAS, DHCP und Windows 2000 Laptop erfolgreich getestet habe: Am Switch ist konfiguriert 802.1x, Angabe des Radius. Am IAS ist konfiguriert, User XY gehört in VLAN abc. VLAN abc ist Subnetz 12345. Laptop eingeschaltet und man muss sich lokal anmelden, weil sonst das mistige Windows natürlich erst gar nicht hochfährt. O.K., dann nochmal Netzkabel ziehen und wieder Einstecken. Jetzt geht ein Windowsfenster hoch (EAPoL?). O.K. User/Name Passwort eingegeben. Im Hintergrund wird das jetzt an den Radius Server geschickt, der prüft Username/Passwort Kombination am ADS und legt den Switchport nach der Gutmeldung in das für den User bestimmte VLAN. Wenn DHCP noch nicht ausgetimt hat, bekommt der Client auch eine IP Adresse vom DHCP Server. Sooo, dann ist Schluss. Der Client hat eine IP und darf pingen. Tätää. Er ist aber nicht an der Domäne angemeldet und hat auch keine Profiles bekommen etc. Weil das Windows Logon ja schon vorher war und Windows ja auch nicht auf die Idee kommt, dass der User sich nach dem EAPoL Logon auch noch weiter anmelden muss...

Ja hmm immer noch schwammig. Ich bezweifle das das 5 -Sekunden Problem hier dann an den Netzwerkkomponenten zusuchen ist, sondern eher an den Clients/Server bzw. die Anzeige ist einfach Unsinn. Sicherheit würde wohl eine Durchsatzmessung bringen oder FTP Download initialisieren und schauen, wie schnell übertragen wurde. Dann ist zu prüfen, mit welcher Bandbreite der Server arbeitet und wieviele User mit welcher Bandbreite arbeiten.Stichwort: duplex/speed Mismatch. Ethernet ist halt eine Kollisionsdomäne. Vielleicht ist einfach nicht genügend Bandbreite vorhanden. Stichwort: Auslastung. Weitere Möglichkeit wäre bestimmter Verkehr zu priorisieren, das kann aber nicht jedes Gerät gleich. Müsste man auch prüfen.

Damit ein User sich anmelden kann, braucht der Rechner nicht dafür eine IP? An der Domäne schon, aber er meldet sich ja quasi am Switch an, der dann den Radius fragt, danach kommt erst das DHCP. Das ist ja auch mein Problem, wie kann ich realisieren, dass der User sein Profile bekommt usw. Noch einfacher: Kennt jemand ein funktionierendes System, wo genau das gemacht wird. Dynamische VLAN Zuordnung via 802.1x, mit DHCP und Windows? Ist es denn möglich, einem User eine IP zu zuweisen? *g* na gut, dem Client, nicht dem User.

Wo ist der Sinn, dass der Router überhaupt ein Tag bekommt ? Auf jeden Fall o.g. Switchkonfiguration kann nicht funktionieren, weil ein Port nicht gleichzeit ein Trunk sein kann und gleichzeitig ein Access-Port. Möglich ist es aber dem Switch zu sagen, dass das VLAN240 ab jetzt native VLAN ist und nicht das VLAN1.

Was bedeutet denn schneller von statten? Wo ist den das Problem? Schneller einen Link bekommen oder schneller switchen ?

dot1X ist hier im Forum endlos diskutiert worden. Benutze also erst mal die Boardsuche. Falls es dann Probleme gibt bitte melden! Da melde ich mich mal und zwar wie funktioniert das richtig? Folgende Aufgabenstellung: User melden sich per Windows an und brauchen per DHCP eine IP. Folgender Weg: User bootet seinen Rechner. Der Ethernetport ist derzeit ja noch in keinem VLAN. Die Windowsanmeldung kommt hoch und der User meldet sich an. (EAPoL ja?). Per z.B. Radius wird gecheckt, darf der User und wenn ja, welches VLAN? Meldung geht zurück und Port wird in das entsprechende VLAN gelegt und dem User wird eine IP zugewiesen. Schön und gut, aber jetzt ist ja Essig. Windows wird nicht nochmal nachfragen, d.h. der User ist nicht an der Domäne angemeldet?

Andere Möglichkeit wäre vielleicht noch, dass man Lehrerport halt Mac-Security läuft, sprich es darf nur eine bestimmt mac-adresse an dem Port arbeiten.

Ich tippe auf ein Gateway-Problem oder Firewall-Problem. Was sagt denn ein Traceroute vom Server-Schweiz zum Ziel-Server? Ist in beiden Firewalls die Verbindungen entsprechend inside und outside explizip erlaubt? Zur Not mal, vielleicht ein Weg mit IP-Adressen hier posten.

Ich würde es wie in Deinem anderen Bespiel lösen. Ein Schulungsvlan erstellen und entsprechend mit Access Listen beschränken. Der "Lehrer" erhält ein anderes unbeschränktes VLAN.

Ahh, jetzt habe ich es verstanden. O.K., ein VLAN ist eine Layer 2 Broadcast-Domäne und hat erstmal nix mit Spanning Tree zu tun. Spanning Tree ist ein Algorithmus um Loops zu vermeiden. Das bedeutet, dass Du theoretisch mit einer Spanning Tree Instanz netzweit arbeiten kannst, unabhängig der Anzahl der VLANs. Mit hart konfigurieren meinte ich, dass wenn Du z.B. auf der 1 Etage Du nur das VLAN 5 brauchst, auf dem entsprechenden Uplink des 6000ers halt auch nur das VLAN5 konfiguriest

Die können eben nur 64 VLANs. Ich würde die dann hart konfigurieren und nicht via VTP. Aber wo ist der Sinn so viele VLANs zu konfigurieren. Wer soll denn später noch den Überblick behalten bzw. wer macht ein Troubleshoot. Die Frage, die sich mir hier stellt, ist eher ein Designthema.

Von wo nach wo nicht? Stell´ doch mal die Ports VLAN-Mäßig fest ein; "switchport mode access vlan 10". Kann jeder Client sein Gateway pingen und das aus dem anderen VLAN ? Kann ein Client aus dem VLAN 10, den Internetrouter= 194.209.193.1 pingen? Kannst Du eine IP-Adresse aus dem Internet pingen? z.B. [212.243.221.214] ?

Puh...erstmal: Die Ports 0/1 und 0/3 und 0/11 sind derzeit nicht nutzbar, weil hier keine Layer 3 Instanz konfiguriert ist und diese Ports nicht im VLAN 1, 10 oder 20 sind. Dann würde ich rip und profile routing ausschalten mit "no router rip" und "no route profile". Eine default route und ein default Gateway auf unterschiedliche Netze anzugeben funktioniert auch nicht. Hier tendiere ich mit "no default-Gateway" den Eintrag zu löschen und mit einer default-Route auf Deinen Internetrouter zu verweisen: "ip route 0.0.0.0 0.0.0.0 "IP-Adresse des Routers". Das Routing zwischen den Sub-Netzen im auf dem VLAN 1, 10, 20 funktioniert mit Einschalten des Routings. Eine Kleinigkeit noch. Auf allen Ports ist es sinnig Spanning Tree faststart zu aktivieren, damit es nicht ewig braucht bis man pingen kann. Also auf dem Port jeweils "spanning tree faststart" eingeben. Wenn alles soweit fertig ist, bitte nochmal die Konfig posten. Zu den PCs und Server: Es müssen den Clients und Servern natürlich IP-Adressen aus dem SubNetz vergeben werden, an dessen VLAN sie angeschlossen sind, z.b. bekommt ein Client am Port 24 die IP: 194.209.193.(z.B. 24), die Maske 255.255.255.0 und das Gateway 194.209.193.213; damit Internet funktioniert bedarf es noch den Eintrag eines DNS Servers.

Preis ist die eine Sache, die andere Sache ist wohl die Funktion. Was hat denn der Router für eine Aufgabe ausser in einen 19 Zoll Schrank eingebaut zu werden?

Doch, Du kannst mehere VLANs einrichten. Du kannst aber nur eine IP-Adresse in einem VLAN für den Switch vergeben, d.h. ist VLAN1 mit ner Switch-IP versorgt, kannst Du nicht dem VLAN2 auch eine IP vergeben.

Ist das bei allen ciscos so ??? Ich habe gelesen, daß der c2501 eine AUI Schnittstelle hat, der C2503 soll wohl eine eigene eth schnittstelle haben. Nein, ist nicht bei allen Ciscos so. Der 2503er hat aber definitiv nur eine AUI Schnittstelle. Mit drei 2503 kannst Du entweder Sternförmig oder ein Kreis verbinden. Wenn das über die serielle gehen soll, dann brauchst Du 2 Stück Cab-X.21 MT Kabel und 2 Stück Cab-X.21 FC Kabel.

zu1) Der 2503 hat auch eine AUI, d.h. Transciever wird benötigt. zu2) Alles fest eingebaut. zu3) Standleitungen mit X.21 Schnittstelle, weiteres Router-Rücken an Rücken für Testzwecke zu4) 2503er sind glaube ich nicht ppoe fähig.

Auf den Switch via Console einloggen und ein "show run" machen, da sollte dann das GBIC auftauchen. Ein 1000 BaseT GBIC kann ber nur 1000 und nicht 100. Falls das GBIC erkannt wird, mal schauen ob das irgendwo "shutdown steht", falls nein testweise mal ein "speed nonegotiate" auf dem Interface konfigurieren. Falls das zuviel ist, bitte mal ein "show run" und ein "show version" posten

12.0(5)WC3b ist ja mim. gefordert. Ein Reboot würde sicher Sinn machen, dann kann man ja mal sehen, ob der Switch mit der o.g. Software das GBIC überhaupt erkennt. Wenn nicht vielleicht mal besser direkt auf eine 12.2 updaten.

2514 hat 2 Seriell und 2 Ethernet. Bei den 25xx ist zu beachten, dass die Ethernet-Interfaces ein AUI-Schnittstelle haben. Du brauchst also einen Transciever AUI/10BaseTX. Lernunterlagen? Ein Cisco 25xx ist ein IOS-Router; von daher entsprechend die Bücher dazu und/oder Konfig-Guides.