loopback_28

ich hatte ein Denkfehler das geht doch....

Hallo zusammen, habe folgnedes Problem....bei einem procurveswitch Modell 2920.. Es gibt ein client Netz vlan 20 und ein voip Netz vlan 240 an Port 19 ist ein Voiptelefon angeschlossen...hinter dem Telefon soll der client angeschlossen werden... also switch <--> voiptelefon <--> notebook das Telefon soll ein eine ip aus dem vlan 240 bekommen und das Notebook aus dem vlan 20. nach mein Verständnis muss ich den Port 19 für das telefon ins vlan 240 taggen....das Notebook hängt an dem Switchport vom Telefon..also ungetagged... es ist scheins nicht möglich das der Port 19 getagged im vlan 240 ist und gleichzeitig ungetagged im vlan 20 ist. funktionieren würde das ganze nur dann wenn das client Netz statt vlan 20 das default_vlan 1 wäre... Wie kann ich das Problem lösen... ? Danke fürs feedback...

Hallo, ich wollte mal eure Meinung hören ob das sehr ungewöhnlich ist wenn ich auf ein uplinkport aktuell Total output drops: 2769009 habe, auch würde mich interessieren welche Ursachen das sein könnte. Ist ein uplinkport 2960 switch zum unseren ciscocore 3750. sonst kann ich nichts ungewöhnliches erkennen. der switch ist up seit System restarted at 14:40:30 MEST Sat Sep 15 2012 counter wurde nie resetet sh int gi1/0/49 GigabitEthernet1/0/49 is up, line protocol is up (connected) Hardware is Gigabit Ethernet, address is 64d9.8962.fb31 (bia 64d9.8962.fb31) Description: uplink 172.30.18.2 Gi3/0/26 chhofinswcs11p MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec, reliability 255/255, txload 114/255, rxload 116/255 Encapsulation ARPA, loopback not set Keepalive not set Full-duplex, 1000Mb/s, link type is auto, media type is 1000BaseLX SFP input flow-control is off, output flow-control is unsupported ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:00, output 00:00:04, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 2769009 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 456985000 bits/sec, 43530 packets/sec 5 minute output rate 448890000 bits/sec, 56568 packets/sec 32034795520 packets input, 27742392333790 bytes, 0 no buffer Received 4601058342 broadcasts (2327786605 multicasts) 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 watchdog, 2327786605 multicast, 0 pause input 0 input packets with dribble condition detected 27886954950 packets output, 24972710248751 bytes, 0 underruns 0 output errors, 0 collisions, 1 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier, 0 PAUSE output 0 output buffer failures, 0 output buffers swapped out gruss loopback

folgendes habe ich noch im debug gefunden, die letzte Zeile ist hier vielleicht interessant, aber habe kein Plan.... 062945: May 19 13:09:27 MEST: DHCPD: Reload workspace interface Vlan116 tableid 0. 062946: May 19 13:09:27 MEST: DHCPD: tableid for 172.16.3.28 on Vlan116 is 0 062947: May 19 13:09:27 MEST: DHCPD: client's VPN is . 062948: May 19 13:09:27 MEST: DHCPD: using received relay info. 062949: May 19 13:09:27 MEST: DHCPD: Looking up binding using address 172.16.3.28 062950: May 19 13:09:27 MEST: DHCPD: setting giaddr to 172.16.3.28. 062951: May 19 13:09:27 MEST: DHCPD: BOOTREQUEST from 01d4.c9ef.5337.91 forwarded to 172.30.10.5. 062952: May 19 13:09:27 MEST: DHCPD: option 43 is malformed (option length 0). 062953: May 19 13:09:27 MEST: DHCPD: invalid DHCP options - unable to parse Fehler gefunden, auf dem DHCP Server habe ich die globale Option 43 ausgeschaltet

ändern kann nur ich was an den switchen, in letzter zeit wurden vielleicht ein paar vlans und ein portchannel eingerichtet und eine Empfehlung eines Ciscospezialisten: alt auf den Accessswitchen storm-control broadcast level 2.00 1.00 storm-control multicast level 3.00 0.50 Empfohlene Konfiguration: storm-control broadcast level 20 storm-control multicast level 20 storm-control action trap alt auf den Ciscocores ip icmp rate-limit unreachable 100 Empfolene Konfiguration: no ip icmp rate-limit Die empfohlene Konfiguration vom Ciscospezialisten habe ich gemacht, kann aber nicht sagen ob es seit dem Zeitpunkt nicht mehr geht

Hallo, habe das Problem das die clients z.B. aus dem VLAN 18 kein DHCP Adressen mehr bekommen. (betrifft nur clients die keine lease mehr haben) freie Adressen auf dem scope sind genug vorhanden. auf dem ciscocore (7350) sind die vlan interfaces eingerichtet wie folgt (der DHCP Server ist im VLAN 10) interface Vlan18 description Mgmt ip address 172.30.18.2 255.255.254.0 ip helper-address 172.30.10.5 no ip redirects no ip proxy-arp standby 0 ip 172.30.18.1 standby 0 priority 120 standby 0 preempt end interface Vlan10 description Server-Prod ip address 172.30.10.2 255.255.254.0 no ip redirects no ip proxy-arp standby 0 ip 172.30.10.1 standby 0 priority 120 standby 0 preempt end auf dem uplink switch (cisco 2960) ist der clientport wie folgt konfiguriert: interface GigabitEthernet1/0/33 description not used switchport access vlan 18 switchport mode access spanning-tree portfast end ich meine das die dhcp Broadcast Anfragen aus vlan 18 nicht beim DHCP Server ankommen, wenn ich den clientport (interface GigabitEthernet1/0/33) ins vlan 10 stecke dann bekomme ich eine Addresse. habe den debug auf dem uplinkswitch eingeschaltet (debug ip udp) Anfrage wird rausgeschickt aber mehr passiert nicht, mit wireshark sehe ich auch nur dhcp discover. Im logfile vom DHCP Server (windows 2008) kann ich die clienttmacadresse nicht finden. Wie könnte ich den Fehler weiter eingrenzen? Wäre für jeden Tipp Dankbar

Hallo, ich möchte ein 3er Portchannel (Cisco switch zu Cisco Switch) einrichten, spielt das eine Rolle wenn ein Anschluss davon LWL und die anderen 2 Kupfer sind? Ich muss leider mit den rj45 Ports sparen sonst würde ich für alle 3 Kupfer nehmen. Gruss

Hallo, Probleme gelöst, die AP´s sind an einem VPN Standort angeschlossen worden das Problem war das routing, die Ap´s haben die CAPWAP Pakete nicht durch den VPN Tunnel geschickt, somit konnten die sich auch nicht mit dem Controller joinen. Das verhalten mit dem asign und release alle Paar Sekunden scheint normal zu sein solange die kein WLAN Controller gefunden haben. Jetzt passt alles. Ich dachte das wäre eher ein Windows 2008 DHCP Problem, vielleicht sollte man diesen thread in das cisco-forum verschieben. Gruss loopback

ich meinte nicht global abschalten sondern nur auf den lacp ports den link finde ich leider nicht mehr Zitat aus dem Internet:

Hallo, ich habe folgendes Problem, hoffe das ich hier richtig bin habe eine Cisco AccessPoint ans Netz ageschlossen. Im log vom DHCP Server (windows server 2008 R2 Standard) sehe ich alle paar Sekunden assign und release auf die MAC Adresse des AccessPoints. Ein defekt der MACadresse schliesse ich aus, habe noch 2 andere cisco accesspoints angeschlossen, bei denen passiert das gleiche. an diesem Standort sind noch ein paar kleine Hubs im Einsatz, eventuell stören die. auf dem Switch kann ich nichts ungewöhnliche entdecken einer der 3 Ap´s habe ich heut an einem anderen Standort angeschlossen, funktioniert ohne Probleme wurde vom WLAN controller gejoint. Wäre Dankbar für jeden Tip.

noch ein Frage hätte ich. in meiner konfiguration auf Cisco ist spanning tree aktiviert! HP empfiehlt bei LACP spanning tree auf den Switchen zu deaktivieren. wie sieht ihr das?

OK, die vifs sind mit IP based loadbalancing konfiguriert: 4 links, transmit 'IP Load balancing', Ifgrp Type 'lacp' fail 'default' ich werde ciscoseitig "src-dst-ip" einstellen. Danke für Eure Unterstützung

hat er schon, wir sind aber nicht so genau auf LACP eingegangen. ich bin gerade auf der netapp mit root drauf, mit welchem Befehl frage ich die Netzconfig ab?

Danke, sehr guter link, ich werde jetzt schauen welcher load-balancing algorithms auf der netapp eingestellt ist und dann die cisco Seite entsprechend anpassen

Danke schon mal für die ausführliche Info, habe nur den Cisco switch konfiguriert, von der Netapp habe ich keine Ahnung, wurde von einem externen Techniker konfiguriert der auch schon wieder weg ist. Den letzten Satz habe ich nicht wirklich verstanden, könntest den bitte etwas näher erklären. Danke und Gruss

Hallo, wir haben eine neue NetApp bekommen. Zw. Ciscoswitch 2960 und NetApp storage habe ich ein LACP konfiguriert. etherchannel load-balance habe ich auf standard belassen "src-mac" es gibt aber noch andere load-balance Konfigurationen: dst-ip Dst IP Addr dst-mac Dst Mac Addr src-dst-ip Src XOR Dst IP Addr src-dst-mac Src XOR Dst Mac Addr src-ip Src IP Addr src-mac Src Mac Addr welches load balance würdet ihr machen? (auf dem switch ist das der einzigste Portchannel) anbei meine LACP Portkonfiguration, wäre Dankbar über jeden Verbesserungsvorschlag interface Port-channel1 description NetApp channel 1/0/41,1/0/42,1/0/43,1/0/44 switchport access vlan 10 switchport mode access switchport nonegotiate flowcontrol receive on interface GigabitEthernet1/0/41 description 1/0/41,1/0/42,1/0/43,1/0/44 switchport access vlan 10 switchport mode access switchport nonegotiate flowcontrol receive on spanning-tree portfast channel-group 1 mode active ! interface GigabitEthernet1/0/42 description 1/0/41,1/0/42,1/0/43,1/0/44 switchport access vlan 10 switchport mode access switchport nonegotiate flowcontrol receive on spanning-tree portfast channel-group 1 mode active ! interface GigabitEthernet1/0/43 description 1/0/41,1/0/42,1/0/43,1/0/44 switchport access vlan 10 switchport mode access switchport nonegotiate flowcontrol receive on spanning-tree portfast channel-group 1 mode active ! interface GigabitEthernet1/0/44 description 1/0/41,1/0/42,1/0/43,1/0/44 switchport access vlan 10 switchport mode access switchport nonegotiate flowcontrol receive on spanning-tree portfast channel-group 1 mode active

ich werde das ganze anderst machen, auf der Firewall habe ich noch ein freies Interfaces und werde das vlan50 an der Firewall terminieren

Hallo zusammen, wir haben seit kurzem WLAN auf Ciscobasis im Einsatz, (CPI, WLC, AP, ACS etc..) unter anderem haben wir auch ein Gästewlan im Einsatz, das ich vom Firmenlan abschotten will. vlan50 = Gästewlan vlan10 = Firmenlan vlan116 = Laninterface von der Checkpoint Firewall --> Internet das Gästewlan soll also nur in Richtung Firewallinterface dürfen und eine ip vom dhcp-server bekommen der im im VLAN10 steht. Frage an Euch? stimmt folgende ACL liste? oder habt ihr eine bessere Idee! (habe es noch nicht getestet) conf t ip access-list extended wlan_guest permit ip 10.60.50.0 0.0.0.255 host 172.16.7.100 permit udp any eq bootpc any eq bootps deny ip any any int vlan 50 ip acces-group wlan_guest out Grüsse

ok mag sein, aber das der Unterschied so krass sein soll kann ich fast nicht glauben. TFTP: Transfer successful: 699640 bytes in 53 seconds, 13200 bytes/s entspricht 12,89 KBytes/sec (das erinnert mich an Modemübertragung vor 20 Jahren) FTP: 699640 bytes received in 1,66Seconds 422,23 Kbytes/sec.

Hallo Zusammen, kann mir folgendes nicht erklären. wenn ich eine 600kb grosse Datei via tftp (im binary mode) von standort A nach standort B runterlade dauert das gute 50 Sekunden. wenn ich das gleiche über ftp mache dauert das nur ca 2 Sekunden. Dazwischen sind 2 CheckPoints Firewall. Das Regelwerk ist aktuell allow any any zw. den Standorte. Standort A <---mpls----> RZ <------vpn------> Standort B woran könnte das liegen? wäre über jeden Tip dankbar.

Ok, soll ich dann die "access-group 101 in" auf das VLAN Interface legen statt auf den einzelnen physikalischen? sh run int vlan 10 Building configuration... Current configuration : 190 bytes ! interface Vlan10 description Server-Prod ip address 172.30.10.2 255.255.254.0 no ip redirects no ip proxy-arp standby 0 ip 172.30.10.1 standby 0 priority 120 standby 0 preempt end

meinst Du das beide designs nichts auf dem core zu tun haben? diese access-listen sollen zu Testzwecken nur für einige Wochen bleiben. Welche andere Lösung würdest Du vorschlagen?

was meint ihr, geht das so? access-list access-list 101 deny ip host 172.30.10.71 172.16.3.60 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.72 172.16.3.60 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.73 172.16.3.60 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.74 172.16.3.60 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.75 172.16.3.60 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.76 172.16.3.60 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.77 172.16.3.60 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.78 172.16.3.60 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.71 172.16.3.61 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.72 172.16.3.61 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.73 172.16.3.61 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.74 172.16.3.61 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.75 172.16.3.61 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.76 172.16.3.61 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.77 172.16.3.61 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.78 172.16.3.61 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.71 172.16.3.62 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.72 172.16.3.62 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.73 172.16.3.62 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.74 172.16.3.62 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.75 172.16.3.62 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.76 172.16.3.62 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.77 172.16.3.62 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.78 172.16.3.62 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.71 172.16.3.63 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.72 172.16.3.63 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.73 172.16.3.63 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.74 172.16.3.63 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.75 172.16.3.63 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.76 172.16.3.63 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.77 172.16.3.63 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.78 172.16.3.63 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.71 172.16.3.64 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.72 172.16.3.64 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.73 172.16.3.64 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.74 172.16.3.64 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.75 172.16.3.64 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.76 172.16.3.64 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.77 172.16.3.64 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.78 172.16.3.64 0.0.0.0 access-list access-list 101 permit ip any any int po11 ip access-group access-list 101 in int po25 ip access-group access-list 101 in oder so access-list access-list 101 deny ip host 172.30.10.71 172.16.3.60 0.0.0.3 access-list access-list 101 deny ip host 172.30.10.71 172.16.3.64 0.0.0.0 access-list access-list 101 deny ip 172.30.10.72 0.0.0.3 172.16.3.60 0.0.0.3 access-list access-list 101 deny ip 172.30.10.72 0.0.0.3 172.16.3.64 0.0.0.0 access-list access-list 101 deny ip 172.30.10.76 0.0.0.1 172.16.3.60 0.0.0.3 access-list access-list 101 deny ip 172.30.10.76 0.0.0.1 172.16.3.64 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.78 172.16.3.60 0.0.0.3 access-list access-list 101 deny ip host 172.30.10.78 172.16.3.64 0.0.0.0 access-list access-list 101 permit ip any any int po11 ip access-group access-list 101 in int po25 ip access-group access-list 101 in

ich habe das jetzt rausgefunden mit einem testrechner, funktioniert so conf t access-list 101 deny ip host 172.16.1.5 172.30.10.132 0.0.0.0 access-list 101 permit ip any any int Gi3/0/21 ip access-group 101 in exit in der produktivumgebung hängen die ip´s 172.30.10.x an einem Portchannel, bzw. das sind Bladeserver. Frage: muss ich jetzt die access-gruppe (ip access-group 101 in )an den physikalischen Interfaces erstellen oder an dem Po Interface?

Frage: Wieso hast Du bei der IP x.x.x.72 eine Netzwerkmaske und bei der ip x.x.x.71 nicht. bzw. muss man hier nicht mit wildcardmaske arbeiten?