loopback_28

ich hatte ein Denkfehler das geht doch....

Hallo zusammen,

habe folgnedes Problem....bei einem procurveswitch Modell 2920..

Es gibt ein client Netz vlan 20 und ein voip Netz vlan 240

an Port 19 ist ein Voiptelefon angeschlossen...hinter dem Telefon soll der client angeschlossen werden...

also switch <--> voiptelefon <--> notebook

das Telefon soll ein eine ip aus dem vlan 240 bekommen und das Notebook aus dem vlan 20.

nach mein Verständnis muss ich den Port 19 für das telefon ins vlan 240 taggen....das Notebook hängt an dem Switchport vom Telefon..also ungetagged...

es ist scheins nicht möglich  das der Port 19 getagged im vlan 240 ist und gleichzeitig ungetagged im vlan 20 ist.

funktionieren würde das ganze nur dann wenn das client Netz statt vlan 20 das default_vlan 1 wäre...

Wie kann ich das Problem lösen... ?

Danke fürs feedback...

Hallo,

ich wollte mal eure Meinung hören ob das sehr ungewöhnlich ist wenn ich  auf ein uplinkport aktuell Total output drops: 2769009 habe, auch würde mich interessieren welche Ursachen das sein könnte.

Ist ein uplinkport 2960 switch zum unseren ciscocore 3750.

sonst kann ich nichts ungewöhnliches erkennen.

der switch ist up seit 

System restarted at 14:40:30 MEST Sat Sep 15 2012

counter wurde nie resetet

folgendes habe ich noch im debug gefunden, die letzte Zeile ist hier vielleicht interessant, aber habe kein Plan....

Fehler gefunden, auf dem DHCP Server  habe ich die globale Option 43 ausgeschaltet

ändern kann nur ich was an den switchen, in letzter zeit wurden vielleicht ein paar vlans und ein portchannel eingerichtet

und eine Empfehlung eines Ciscospezialisten:

Hallo,

habe das Problem das die clients z.B. aus dem VLAN 18 kein DHCP Adressen mehr bekommen. (betrifft nur clients die keine lease mehr haben) freie Adressen auf dem scope sind genug vorhanden.

auf dem ciscocore (7350) sind die vlan interfaces eingerichtet wie folgt (der DHCP Server ist im VLAN 10)

Hallo,

ich möchte ein 3er Portchannel (Cisco switch zu Cisco Switch) einrichten, spielt das eine Rolle wenn ein Anschluss davon LWL und die anderen 2 Kupfer sind?

Ich muss leider mit den rj45 Ports sparen sonst würde ich für alle 3 Kupfer nehmen.

Gruss 

Hallo,

Probleme gelöst,

die AP´s sind an einem VPN Standort angeschlossen worden

das Problem war das routing, die Ap´s haben die CAPWAP Pakete nicht durch den VPN Tunnel geschickt, somit konnten die sich auch nicht mit dem Controller joinen.

Das verhalten mit dem asign und release alle Paar Sekunden scheint normal zu sein solange die kein WLAN Controller gefunden haben.

Jetzt passt alles.

Ich dachte das wäre eher ein Windows 2008 DHCP Problem, vielleicht sollte man diesen thread in das cisco-forum verschieben.

Gruss loopback 

ich meinte nicht global abschalten sondern nur auf den lacp ports

den link finde ich leider nicht mehr

Zitat aus dem Internet:

Bei der Konfiguration des Switches sollte man beachten, dass zunächst das Spanning-Tree-Protokoll (STP) auf allen an LCAP-Trunks beteiligtenden Switchport deaktiviert ist. Das verhindert, dass ggf. Ports aufgrund der automatischen Erkennung von redundanten Pfaden deaktiviert werden. Auf anderen Ports sollte STP aber aktiviert bleiben, um Netzwerkschleifen zu verhindern.

Hallo,

ich habe folgendes Problem, hoffe das ich hier richtig bin

habe eine Cisco AccessPoint ans Netz ageschlossen.

Im log vom DHCP Server (windows server 2008 R2 Standard) sehe ich alle paar Sekunden assign und release auf die MAC Adresse des AccessPoints.

Ein defekt der MACadresse schliesse ich aus, habe noch 2 andere cisco accesspoints angeschlossen, bei denen passiert das gleiche.

an diesem Standort sind noch ein paar kleine Hubs im Einsatz, eventuell stören die. auf dem Switch kann ich nichts ungewöhnliche entdecken

einer der 3 Ap´s habe ich heut an einem anderen Standort angeschlossen, funktioniert ohne Probleme wurde vom WLAN controller gejoint.

Wäre Dankbar für jeden Tip.

noch ein Frage hätte ich.

in meiner konfiguration auf Cisco ist spanning tree aktiviert!

HP empfiehlt bei LACP spanning tree auf den Switchen zu deaktivieren.

wie sieht ihr das?

hat er schon, wir sind aber nicht so genau auf LACP eingegangen.

ich bin gerade auf der netapp mit root drauf,

mit welchem Befehl frage ich die Netzconfig ab?

Danke, sehr guter link,

ich werde jetzt schauen welcher load-balancing algorithms auf der netapp eingestellt ist und dann die cisco Seite entsprechend anpassen

Danke schon mal für die ausführliche Info,

habe nur den Cisco switch konfiguriert, von der Netapp habe ich keine Ahnung, wurde von einem externen Techniker konfiguriert der auch schon wieder weg ist.

Den letzten Satz habe ich nicht wirklich verstanden, könntest den bitte etwas näher erklären.

Danke und Gruss

Hallo,

wir haben eine neue NetApp bekommen.

Zw. Ciscoswitch 2960 und NetApp storage habe ich ein LACP konfiguriert.

etherchannel load-balance habe ich auf standard belassen "src-mac"

es gibt aber noch andere load-balance Konfigurationen:

  dst-ip       Dst IP Addr  dst-mac      Dst Mac Addr  src-dst-ip   Src XOR Dst IP Addr  src-dst-mac  Src XOR Dst Mac Addr  src-ip       Src IP Addr  src-mac      Src Mac Addr

welches load balance würdet ihr machen? (auf dem switch ist das der einzigste Portchannel)

anbei meine LACP Portkonfiguration, wäre Dankbar über jeden Verbesserungsvorschlag

ich werde das ganze anderst machen, auf der Firewall habe ich noch ein freies Interfaces und werde das vlan50  an der Firewall terminieren

Hallo zusammen,

wir haben seit kurzem WLAN auf Ciscobasis im Einsatz, (CPI, WLC, AP, ACS etc..)

unter anderem haben wir auch ein Gästewlan im Einsatz, das ich vom Firmenlan abschotten will.

vlan50 =     Gästewlan

vlan10 =     Firmenlan

vlan116 =   Laninterface von der Checkpoint Firewall --> Internet

das Gästewlan soll also nur in Richtung Firewallinterface dürfen und eine ip vom dhcp-server bekommen der im im VLAN10 steht.

Frage an Euch? 

stimmt folgende ACL liste? oder habt ihr eine bessere Idee!  (habe es noch nicht getestet)

conf t
ip access-list extended wlan_guest
permit ip 10.60.50.0 0.0.0.255 host 172.16.7.100
permit udp any eq bootpc any eq bootps
deny ip any any

int vlan 50
ip acces-group wlan_guest out

Grüsse

ok mag sein, aber das der Unterschied so krass sein soll kann ich fast nicht glauben.

TFTP: Transfer successful: 699640 bytes in 53 seconds, 13200 bytes/s entspricht 12,89 KBytes/sec (das erinnert mich an Modemübertragung vor 20 Jahren)

FTP: 699640 bytes received in 1,66Seconds 422,23 Kbytes/sec.

Hallo Zusammen,

kann mir folgendes nicht erklären.

wenn ich eine 600kb grosse Datei via tftp (im binary mode) von standort A nach standort B runterlade dauert das gute 50 Sekunden.

wenn ich das gleiche über ftp mache dauert das nur ca 2 Sekunden.

Dazwischen sind 2 CheckPoints Firewall. Das Regelwerk ist aktuell allow any any zw. den Standorte.

Standort A <---mpls----> RZ <------vpn------> Standort B

woran könnte das liegen? wäre über jeden Tip dankbar.

Ok, soll ich dann die "access-group 101 in" auf das VLAN Interface legen statt auf den einzelnen physikalischen?

sh run int vlan 10
Building configuration...

Current configuration : 190 bytes
!
interface Vlan10
description Server-Prod
ip address 172.30.10.2 255.255.254.0
no ip redirects
no ip proxy-arp
standby 0 ip 172.30.10.1
standby 0 priority 120
standby 0 preempt
end

meinst Du das beide designs nichts auf dem core zu tun haben?

diese access-listen sollen zu Testzwecken nur für einige Wochen bleiben.

Welche andere Lösung würdest Du vorschlagen?

was meint ihr, geht das so?

access-list access-list 101 deny ip host 172.30.10.71 172.16.3.60 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.72 172.16.3.60 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.73 172.16.3.60 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.74 172.16.3.60 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.75 172.16.3.60 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.76 172.16.3.60 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.77 172.16.3.60 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.78 172.16.3.60 0.0.0.0

access-list access-list 101 deny ip host 172.30.10.71 172.16.3.61 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.72 172.16.3.61 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.73 172.16.3.61 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.74 172.16.3.61 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.75 172.16.3.61 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.76 172.16.3.61 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.77 172.16.3.61 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.78 172.16.3.61 0.0.0.0

access-list access-list 101 deny ip host 172.30.10.71 172.16.3.62 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.72 172.16.3.62 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.73 172.16.3.62 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.74 172.16.3.62 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.75 172.16.3.62 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.76 172.16.3.62 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.77 172.16.3.62 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.78 172.16.3.62 0.0.0.0

access-list access-list 101 deny ip host 172.30.10.71 172.16.3.63 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.72 172.16.3.63 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.73 172.16.3.63 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.74 172.16.3.63 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.75 172.16.3.63 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.76 172.16.3.63 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.77 172.16.3.63 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.78 172.16.3.63 0.0.0.0

access-list access-list 101 deny ip host 172.30.10.71 172.16.3.64 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.72 172.16.3.64 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.73 172.16.3.64 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.74 172.16.3.64 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.75 172.16.3.64 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.76 172.16.3.64 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.77 172.16.3.64 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.78 172.16.3.64 0.0.0.0

access-list access-list 101 permit ip any any

int po11
ip access-group access-list 101 in
int po25
ip access-group access-list 101 in

oder so

access-list access-list 101 deny ip host 172.30.10.71 172.16.3.60 0.0.0.3
access-list access-list 101 deny ip host 172.30.10.71 172.16.3.64 0.0.0.0

access-list access-list 101 deny ip 172.30.10.72 0.0.0.3 172.16.3.60 0.0.0.3
access-list access-list 101 deny ip 172.30.10.72 0.0.0.3 172.16.3.64 0.0.0.0

access-list access-list 101 deny ip 172.30.10.76 0.0.0.1 172.16.3.60 0.0.0.3
access-list access-list 101 deny ip 172.30.10.76 0.0.0.1 172.16.3.64 0.0.0.0

access-list access-list 101 deny ip host 172.30.10.78 172.16.3.60 0.0.0.3
access-list access-list 101 deny ip host 172.30.10.78 172.16.3.64 0.0.0.0

access-list access-list 101 permit ip any any

int po11
ip access-group access-list 101 in
int po25
ip access-group access-list 101 in

ich habe das jetzt rausgefunden mit einem testrechner,

funktioniert so

conf t

access-list 101 deny ip host 172.16.1.5 172.30.10.132 0.0.0.0

access-list 101 permit ip any any

int Gi3/0/21

ip access-group 101 in

exit

in der produktivumgebung hängen die ip´s 172.30.10.x an einem Portchannel, bzw. das sind Bladeserver.

Frage:

muss ich jetzt die access-gruppe (ip access-group 101 in )an den physikalischen Interfaces erstellen oder an dem Po Interface?

Frage:

Wieso hast Du bei der IP x.x.x.72 eine Netzwerkmaske und bei der ip x.x.x.71 nicht. bzw. muss man hier nicht mit wildcardmaske arbeiten?