Jump to content

jussi

Members
  • Gesamte Inhalte

    122
  • Registriert seit

  • Letzter Besuch

Profile Fields

  • Member Title
    Junior Member

Fortschritt von jussi

Community Regular

Community Regular (8/14)

  • Erste Antwort
  • Engagiert
  • Erster eigener Beitrag
  • Eine Woche dabei
  • Einen Monat dabei

Neueste Abzeichen

11

Reputation in der Community

  1. Warte, ich putze kurz die Glaskugel... Ernsthaft, das ist keine ios Meldung sondern eine Fehlermeldung von Plink. Zeig uns doch mal dein Script. Höchstwahrscheinlich ist die Syntax falsch. Vielleicht kommen wir gemeinsam dahinter.
  2. lefg, deine beiträge lesen sich regelmäß wie die beschwerden eines chirurgenpraktikanten darüber, dass die venen im menschlichen körper gar nicht wirklich blau sind wie im lehrbuch. natürlich hat die vlan konfig _alles_ zu tun mit der frage ob und wie clients (hier z.B. schwitche) den dhcp server erreichen, wenn der nicht in der gleichen broadcast domain ist. du siehst - auch layer3 problemen können fehlerhafte layer2 konfigurationen zugrunde liegen. die frage nach der sinnhaftigkeit ist auch wenig hilfreich, vielleicht will der fragesteller einfach nur was lernen und wenn du nicht aufpasst, schnappst du auch noch was auf.
  3. begrifflich geht da wirklich einiges durcheinander. wie auch immer, wenn du ips in (aus) vlans per dhcp zuweisen willst, deren clients den dhcp nicht per broadcast erreichen können, dann brauchst du einen sogenannten dhcp helper im jeweiligen layer 3 interface. der macht aus dem broadcast ein unicast an eine (eben auch z.b. geroutete) adresse in einem anderen subnetzt (in einem anderen vlan). ob du nun das L3 interface an den ersten Switch bauen willst oder die sophos habe ich deinen ausführungen nicht entnehmen können. beides ist möglich und sollte primär von der bandbreite abhängen. dhcp helper heißt bei der sophos dhcp relay. sei dir aber darüber im klaren, dass du an der sophos eine solche relay adresse nur global, also einmal für alle subnetze angeben kannst. an einem cisco l3 switch kannst du so viele verschiedene helper angeben, wie du l3 i terfaces in vlans hast. cheers, jussi!
  4. habs gefunden. ziehe die Frage zurück
  5. hallo, ja danke das habe ich gelesen. ich habe hier aber schon öfter ganz gute tipps bekommen. Ich bin sicher ich war nahe dran an der lösung. es ist jetzt etwas der druck aus der sache genommen, da man sich entschlossen hat "to throw money at the problem"... es wird jetzt hardware migriert. kann es nicht sein, dass mit der naheliegensten lösung, ( welche allerdings 100% _nicht_ lief) native vlan 22 -------------------------------------- native vlan 22 es schlicht deshalb nicht ging, weil dann spanning tree usw nicht mehr durch gingen (was default mässig in 1 läuft und nicht von mir angepasst wurde)? und wenn ich nun mit der angestrebten konfig 1 -----22 ein mismatch habe, geht denn dann(!) spanning tree überhaupt noch durch? Fragen über Fragen
  6. ich versuche meine frage mal zu präzisieren. bei cisco kann ich untagged vlans auf zwei arten realisieren: - access vlan - native trunk vlan da ich bisher nur ein vlan im L2 switch hatte, war die konfig so problemlos möglich L2 sw -------------------------------------------------------------------------L3 sw access vlan 1 access vlan 22 nun trunke ich im L2 ein weiteres vlan (11) dazu, dieses muss aus mehreren gründen tagged sein: ich habe schon ein untagged vlan (1) ich muss es von untaged unterscheiden ich muss 11 bis zum gateway hinter dem L3 durch bekommen ich habe also folegnde konfig ausrollen wollen: L2 sw ----------------------------------------------------------------------L3 sw switchport mode trunk switchport mode trunk switchport trunk native vlan 1 swithcport trunk native vlan 22 switchport trunk allowed 1, 11 switchport trunk allowed vlan 1,11,22 diese konfig wirft natürlich cdp missmatch warnungen für das native vlan, aber laufen sollte sie doch schon, oder? im paket tracer lief sie im echten leben _scheinbar_ nicht. scheinbar wie oben geschrieben deshalb, weil die tests unvollständig waren.
  7. Hallo, meine konkrete Frage ist folgende: Beim _untaggten_ Weiterleiten von Ethernet Frames kann ich das native VLan an einem Port bestimmen, aber kann ich das native Vlan irgendwie beim Übergang vom einen zum anderen Switch nochmal ändern? Bzw ist das Native Vlan-Missmatch der Grund warum ich keinen Traffic übertragen kann? Leider muss ich zugeben, dass die Frage ob ich Connectivty hatte oder nicht hatte nicht eindeutig geklärt ist, da das Monitoring "falsch" war und es leider nicht mal eben hin und her konfiguriert werden kann. Genau deshalb würde ich gerne im Vorfeld wissen wie es richtig geht. Und mit "es" meine ich folgendes: Gegeben ist ein L3 Switch und dahinter diverse Abteilungs- und oder Distri-Switche. Die Unterverteilungen sind "örtliche Zusammenfassung" des Campus (Gebäude, oder Werke). Unterverteilungen für gleiche Gebäude(teile) sind also sternförmig von L3 abgehend. Am L3 Switch existieren L3 Interfaces für die einzelnen Vlans. Die Teilnehmer an den Access Switchen wissen nichts von Vlans haben als Routing-Gegenstelle jeweils das L3 IF ihres vlans im L3 switch. [L3 Switch] vlan X ip address 1.2.3.1 n.n.n.z vlan y ip address 6.7.8.1 n.n.n.z vlan z ip adress 11.12.13.1 n.n.n.z [...] interface gi 2/4 switchport mode access access vlan x switchport non-negotiate [...] interface gi 3/6 switchport mode access access vlan x switchport non-negotiate [...] interface gi 1/7 switchport mode access access vlan y switchport non-negotiate [...] interface gi 1/9 switchport mode access access vlan z switchport non-negotiate --------------------- --------------------- An den Switchen der betreffenden Ports sieht das dann so aus: [switch vlan x] vlan 1 [nur management] ip address 1.2.3.10 n.n.n.z interface gi 1/0/1 description irgendein Teilnehmer spanning-tree portfast [...] interface gi 2/0/52 description uplink interface zum L3 --------- Soweit so schlecht. Jetzt soll ein weiteres VLAN an Access Ports diverser Teilnehmer auf dem L2 switch möglich sein. Das sind EXSe deren Gäste in verschiedene VLANs einkippen sollen. Dazu habe ich die Uplinks und die betreffenden access ports, bzw deren Portchannel jeweils auf Trunk umgestellt. und die nötigen Vlans erlaubt. switchport mode trunk switchport trunk native vlan ? swithcport trunk allowed vlan x, u, v Jetzt kommt es aber zu den entscheidenden Fragen: Welches Native Vlan muss auf die Uplinks am L3, am Uplink L2 und an portchanneln/access ports auf dem. Damit nicht alle Teilnehmer Tn (access vlan 1) auf dem L2 switch von den umkonfigurierten trunkports auf L2 abgeschnitten sind, habe ich auf diesen ports "trunk native vlan 1" gemacht auf dem uplink am l2 habe ich ebenfalls "native vlan 1" eingestellt. Auf dem core habe ich um dem missmachts zu entgehen native vlan 1 eingestellt, das bedeutet aber dann, dass die Teilnehmer Tn nicht mehr ihrere Routing Gegenstelle erreichen können. Wie geht es richtig? Vielen Dank in Voraus
  8. Hallo, die wahrscheinlichste Ursache ist, dass weder switch0 noch switch1 eine default route (oder ersatzweise eine statische route zum gegenüberliegenden netz) haben, die zum eigenen router weist. das bedeutet in der praxis, dass deine pakete von pc0 durchaus an switch1 ankommen, aber dort nicht zurück gesendet werden können und das gleiche eben umgekehrt. Auf einem catalyst2950 lautet das commando zum setzen einer default route; im globalen config modus: ip default-gateway <ip.des.rou.ters> Spitze Klammer durch die Router IP im eigenen Netz ersetzen. reichlich Grüsse, Jussi
  9. jussi

    HSRP Konzeptfrage

    L3 ist ein Cisco Catalyst WS-C6509 mit redundanter supervisor engine WS-SUP720-3B mit diversen gbit ind 10gbit modulen. der L3 im zweiten RZ soll die gleiche maschine werden. Danke für deine Stichworte. ich fuchse mich da mal rein und wenn es läuft präsentiere ich hier mal die konzeption. Edit: aber das erste rumgoogeln sagt mir, ich habe ein vss szenario. danke nochmal.
  10. Hallo, es gibt einen Catalyst L3 Switch mit n Vlans. In jedem Vlan befinden sich ein odere mehrere Abteilungsswitche (L2). Es soll nun ein zweites RZ etabliert werden. Jeder Abteilungsswitch soll dann zusätzlch am neuen L3 Switch im RZ2 terminieren. Netzwerk soll im Brandfall ohne RZ1 weiter gehen. Die Endgeräte an den Abteilungsswitchen haben jeweils die L3 Adresse des Vlans im bisherigen (einzigen) L3 Switch als GW. Es wird eine alternative Varkabelung von den Abteilungen zu RZ2 gelegt. Verteilt man in so einem Fall die Vlan Ips des L3 switches mittel HSRP auf beide L3 Switche? Gibt es alternative Lösungsvorschläge bei denen auch beide L3s autark arbeiten können? Danke im voraus
  11. client vlan13 fehlt das gateway nach subnetz vlan12 oder eben das default gw, falls das das gleiche ist
  12. jussi

    nexus 5010 vpc

    Hallo Otaku, danke für deine enschätzung. ich sehe auch keinen fehler, aber die beiden nexus switche verhalten sich imho jetzt wie zwei einzelne switche, von denen jeweils einer nicht zum core verbunden ist. ist das der "best practise" zustand? aufgefallen ist es weil in den angeschlossenen esxen die eths fälschlicherweise auf "status prüfung" standen. dann können dort hin migrierte gäste nur zufällig mit dem netz kommunizieren oder eben nicht kommunizieren. je nachdem über welche eth die pakete rausgeschickt werden, da der esx beide karten benutzt. erst wenn auf "signalprüfung" umgestellt wird und der esx auf layer 3 am gw testet, verhalten sich alle gäste konsistent, da dann sämtliche pakete über den jeweils aktiven weg zum core fließen.
  13. jussi

    nexus 5010 vpc

    hallo, ich habe grosse fragezeichen beim virtual port channel über zwei nx 5010 chassis hinweg zu einer core komponente (cisco 6509). cisco 6509 ---- NX5010 | | | | NX5010---------| die nexus geräte dienen als access switche für verschiedene server racks. in meiner zielsezung sollten sich die beiden chassis durch den vpc in verbindung mit dem crosslink wie ein switch verhalten, machen sie aber nicht, es ist als ob vpc gar nicht wirkt und der core schlicht immer einen der beiden nx peers down hält. wofür habe ich dann vpc, das hätte spaning tree doch auch erledigt, oder? konfig und debug auszüge unten c6509, Version 12.2(17r)SX5 --------------------------------------------------------------------------- --------------------------------------------------------------------------- --------------------------------------------------------------------------- [...] interface Port-channel1 description UPLINK to nexus 10G A+B switchport switchport trunk encapsulation dot1q switchport trunk native vlan 22 switchport trunk allowed vlan 11,22 switchport mode trunk switchport nonegotiate [...] interface TenGigabitEthernet7/1 description UPLINK nexus 10G-A switchport switchport trunk encapsulation dot1q switchport trunk native vlan 22 switchport trunk allowed vlan 11,22 switchport mode trunk switchport nonegotiate channel-group 1 mode active [....] interface TenGigabitEthernet8/1 description UPLINK nexus 10G-B switchport switchport trunk encapsulation dot1q switchport trunk native vlan 22 switchport trunk allowed vlan 11,22 switchport mode trunk switchport nonegotiate channel-group 1 mode active ----------------------------------------- sieht dann so aus: show etherchannel summary : Flags: D - down P - bundled in port-channel I - stand-alone s - suspended H - Hot-standby (LACP only) R - Layer3 S - Layer2 U - in use N - not in use, no aggregation f - failed to allocate aggregator M - not in use, no aggregation due to minimum links not met m - not in use, port not aggregated due to minimum links not met u - unsuitable for bundling d - default port w - waiting to be aggregated Number of channel-groups in use: 4 Number of aggregators: 4 Group Port-channel Protocol Ports ------+-------------+-----------+----------------------------------------------- 1 Po1(SU) LACP Te7/1(P) Te8/1(P) [...] ------ show etherchannel port-channel: sh etherchannel port-channel Channel-group listing: ----------------------- Group: 1 ---------- Port-channels in the group: ---------------------- Port-channel: Po1 (Primary Aggregator) ------------ Age of the Port-channel = 295d:01h:01m:29s Logical slot/port = 14/1 Number of ports = 2 HotStandBy port = null Port state = Port-channel Ag-Inuse Protocol = LACP Fast-switchover = disabled Load share deferral = disabled Ports in the Port-channel: Index Load Port EC state No of bits ------+------+------------+------------------+----------- 1 55 Te7/1 Active 4 0 AA Te8/1 Active 4 ------------ 2x nexus 5010, Version 4.2(1)N1(1) --------------------------------------- nexus A: -------------------------------------------------------------------------- ------------------------------------------------------------------------- ------------------------------------------------------------------------- [...] vrf context management ip route 0.0.0.0/0 <gw IP> vlan 1,11 vlan 22 name server-vlan vpc domain 1 peer-keepalive destination <IP Nexus B> source <management ip Nexus A> interface port-channel100 description uplink to core switchport mode trunk vpc 100 switchport trunk native vlan 22 switchport trunk allowed vlan 1,11,22 spanning-tree port type edge trunk interface port-channel4096 description port channel crosslink switchport mode trunk vpc peer-link spanning-tree port type network [...] interface Ethernet1/19 description crosslink to nexus 10G-B switchport mode trunk spanning-tree port type network channel-group 4096 mode active interface Ethernet1/20 description uplink core switchport mode trunk switchport trunk native vlan 22 switchport trunk allowed vlan 1,11,22 channel-group 100 mode active [...] interface mgmt0 ip address <ip nx A> -------- show port-channel summary: Flags: D - Down P - Up in port-channel (members) I - Individual H - Hot-standby (LACP only) s - Suspended r - Module-removed S - Switched R - Routed U - Up (port-channel) -------------------------------------------------------------------------------- Group Port- Type Protocol Member Ports Channel -------------------------------------------------------------------------------- 100 Po100(SU) Eth LACP Eth1/20(P) 4096 Po4096(SU) Eth LACP Eth1/19(P) --- show vpc brief: [...] vPC domain id : 1 Peer status : peer adjacency formed ok vPC keep-alive status : peer is alive Configuration consistency status: success vPC role : secondary Number of vPCs configured : 2 Peer Gateway : Disabled Dual-active excluded VLANs : - vPC Peer-link status --------------------------------------------------------------------- id Port Status Active vlans -- ---- ------ -------------------------------------------------- 1 Po4096 up 1,22 vPC status ---------------------------------------------------------------------------- id Port Status Consistency Reason Active vlans ------ ----------- ------ ----------- -------------------------- ----------- 100 Po100 up success success 1,22 nexus B: ------------------------------------------------- ------------------------------------------------- ------------------------------------------------- config genau wie A ausser natürlich umgekehrte ips [...] vpc domain 1 peer-keepalive destination <IP Nexus A> source <management ip Nexus B> [...] interface mgmt0 ip address <ip nx A> [...] ergibt dann: show port-channel summary Flags: D - Down P - Up in port-channel (members) I - Individual H - Hot-standby (LACP only) s - Suspended r - Module-removed S - Switched R - Routed U - Up (port-channel) -------------------------------------------------------------------------------- Group Port- Type Protocol Member Ports Channel -------------------------------------------------------------------------------- 100 Po100(SU) Eth LACP Eth1/20(P) 4096 Po4096(SU) Eth LACP Eth1/19(P) -------- show vpc brief: vPC domain id : 1 Peer status : peer adjacency formed ok vPC keep-alive status : peer is alive Configuration consistency status: success vPC role : primary Number of vPCs configured : 2 Peer Gateway : Disabled Dual-active excluded VLANs : - vPC Peer-link status --------------------------------------------------------------------- id Port Status Active vlans -- ---- ------ -------------------------------------------------- 1 Po4096 up 1,22 vPC status ---------------------------------------------------------------------------- id Port Status Consistency Reason Active vlans ------ ----------- ------ ----------- -------------------------- ----------- 100 Po100 up success success 1,22
  14. Hallo, ich möchte ein bestimmtes offizielles Netz durch den GRE Tunnel zur Niederlassung senden. Der Tunnel terminiert in der Niederlassung an einer statischen Adresse per VDSL, an der Hauptstelle an einer offiziellen von mir, Leitung egal, komplettes BGP routing ins internet. Hardware: Niederlassung 18xx, Hauptstelle 47xx *Einwahl in der VDSL über DTAG Modem geht, *Tunnelaufbau geht. *Transfernetz über Tunnel gegenseitig erreichbar * Vom Router der Hauptstelle Ips in der Niederlassung erreichbar. * Von der Niederlasssung IPs der Gegenstelle inklusive Interfaces ausserhalb des Tunnels erreichbar, alles dahinter nicht erreichbar *umgekehrt genauso, entferne ich mich auf seite der Hauptstelle nur einen hop weiter kann ich nicht mehr zu dem offiziellen Netz hinterm Tunnel. Hauptstelle Konfig: -------------------------- interface Tunnel0 ip address <TransferIP AAAA> tunnel source <offizielle IP Hauptstelle, XXXX> tunnel destination <statische IP DTAG,YYYY> ip route <offizielles Netz der Niederlassung, NNNNN> <Transfernetz, BBBB> ip route 0.0.0.0 0.0.0.0 <IP im Backbone, host kennt die route zu NNNN über ospf> ------------------------ Niederlassung Konfig: interface Tunnel0 ip address <TransferIP Niederlassung, BBBB> tunnel source <statischeIP DATG, YYYY> tunnel destination <offizielle IP Hauptstelle, XXXX> interface FastEthernet0/0 description Einwahl-zum-Modem [...] pppoe-client dial-pool-number 1 interface FastEthernet0/1 description LAN ip address 192.168.0.229 255.255.255.0 secondary ip address <offizielle Ip im Netz der Niederlassung, NNNN-1> interface Dialer1 ip address negotiated ip mtu 1492 ip virtual-reassembly encapsulation ppp dialer pool 1 dialer idle-timeout 0 dialer persistent dialer-group 1 fair-queue no cdp enable ppp authentication chap pap callin ppp chap hostname xxxxxx@t-online-com.de ppp chap password xxxxxxxxx ppp pap sent-username xxxxxxxx@t-online-com.de password xxxxxxxx ip route 0.0.0.0 0.0.0.0 <transfernetz IP Hauptseite, AAAA> ip route <offizielle IP Haupstelle, XXXXX> Dialer1 --------------------- muss ich den traffic durch den tunnel noch irgendwo erlauben? zur klarstellung von NNNN-1 komme ich locker bis AAAA UND bis zu allen weiteren Interfaces des Routers auf der Hauptseite aber keinen Hop weiter.
×
×
  • Neu erstellen...