Kartfahrer

Hmm ok danke für die Info

Jetzt muss ich b***d fragen da ich gerade keine Möglichkeit gefunden hab. Kann ich auch ohne eine Smartnet eine Case aufmachen?

Hi, ich hab zwei neue Catalyst 2960X die sich weng komisch verhalten. Wenn ich neue Switche in die Hand bekomme boote ich sie immer ganz gerne mit angeschlossener USB-Console um weng was zu sehen. Bei den zwei Kameraden hab ich jetzt aber das Problem das sie jedesmal wenn er seine IOS entpackt hat und läd aufhängt. (siehe Anhang) Wenn ich allerdings das alte blaue Consolkabel verwende bootet er ohne Probleme und ich kann später auch die USB-Console nutzen. Ich hatte zuerst das die Firmware ein Bug hat und hab da mal zwei neuere drauf gespielt, aber das Problem war jedes mal genau das selbe. Hatte sonst auch schon mal jemand das Problem bei einem 2960X und kann mir das als "normal" bestätigen, oder hat vielleicht jemand eine Lösung? MfG Kartfahrer

Ich hoff das der Hokus-Pokus so wirklich beendet ist, aber ehrlich gesagt wäre es mir lieber wenn ein Stackmodul oder so kaputt wäre und getauscht werden müsste. So richtig trau ich dem Frieden so leider noch nicht. :wink2:

So gestern war ich jetzt mal wieder vor Ort und hab versucht ein paar neue Erkenntnisse zu bekommen. Ich hab mal kurz eine Grafik angehängt wo die relevanten Gerätschaften zusehen sind. Beim Versuch mittels Wireshark ein Ping-Paket zum Gateway und das dazugehörige Antwortpaket zu verfolgen konnte folgendes festgestellt werden. 1. Wenn alles wie in der Grafik zu sehen geschalten ist, seh ich mein Paket am Problemswitch, aber es kommt nie am Übergabepunkt zum Lehrernetz an. 2. Wenn nur eine der roten Leitungen zum Problemswitch geschaltet ist, kann ich mein Paket am Problemswitch sowie am Übergabepunkt zum Lehrernetz verfolgen. Das dazugehörige Antwortpaket ist auch wieder am Test-Laptop angekommen. 3. Jetzt hab ich den Etherchannel zwischen dem Problemswitch und dem Core so umkonfiguriert das beide Leitungen auf einem Switch enden. Jetzt konnte das Ping-Paket auch mit ZWEI aktiven Leitungen zum GW und wieder zurück verfolgt werden. Ein Ping der gleichzeitig auf die IP des DHCP-Servers geschickt wurde ist permanent am Übergabepunkt zum Lehrernetz sowie das Antwortpaket am Test-Laptop angekommen. Die MAC des Gateway war jederzeit in der mac-address-table des Problemswitches vorhanden. Nachdem wir sämtliche SFP-Module (weils einfach im laufenden Betrieb möglich) ausgetauscht, auch wenn ich mir keine Verbesserung davon versprochen hab. Ich hätte jetzt vermutet das mein Problem von einem defektem Stack-Modul kommen dürfte, allerdings habe ich im Vorfeld den kompletten Probelmswitch-Stack rebootet wovon ich mir auch keine Verbesserung versprochen habe. Nach dem Bootvorgang wurde ich allerdings eines besseren belehrt als ich plötzlich eine Antwort auf meinen PING erhalten hatte obwohl wieder alles so wie ursprünglich geschalten war. Ich hab jetzt noch ein ungutes Gefühl da ich keine wirkliche Fehlerquelle lokalisieren konnte, aber ich werde es in nächster Zeit mal intensiver im Auge behalten.

Ich bin momentan leider krank und kann es nicht genau prüfen, ich schau aber mal das ich nächste Woche mal in der Außenstelle vorbei schau und das vor Ort prüfe. Ich bin aber der Meinung das ich die mac vom GW jederzeit am 2960S laut mac tabel am PO1 gefunden wurde. Also auch wenn ich auf den PING keine Antwort bekomme. Wenn ich den Ping permanent laufen lass ist es so, das in dem Moment wo ich ein Interface auf dem Portchannel deaktiviere der Ping funktioniert, und sobald beide wieder Online sind ich Zeitüberschreitung bekomme. Ist also wirklich eine Sache von Sekunden. Ich werd nächste Woche nach Möglichkeit mich mit dem Wireshark dazwischen hängen und schauen wo ich welches Paket noch seh. Was aber noch viel Interessanter ist was ich dagegen machen könnte um das Problem zu lösen. Danke aber schon mal für die Unterstützung

Bei dem Vlan 178 handelt es sich um ein "einfaches" Schulnetzwerk das von den Lehrern betreut wird. Das Gateway ist in dem Fall ein DSL-Router mit ein paar Firewallfunktionen, also eigentlich nix exotisches. Der 3750X (Core) ist bei uns VTP-Server und alle anderen Switches VTP-Clients und bekommen ausschließlich vom Server die Vlan propagiert. Warum ist mode on in einer homogenen Cisco Umgebung keine gute Idee? Das LACP Herstellerübergreifend mehr Sinn macht versteh ich, aber bis jetzt hatte wir mit mode on noch keine Schwierigkeiten.

3750X: interface Port-channel11 description Neubau-1.04-A IP=210.180.241 switchport trunk encapsulation dot1q switchport mode trunk end ! interface GigabitEthernet2/0/6 description Neubau-1.04-A Switch 1 P52 IP=210.180.241 switchport trunk encapsulation dot1q switchport mode trunk channel-group 11 mode on end ! interface GigabitEthernet3/0/6 description Neubau-1.04-A Switch 2 P52 IP=210.180.241 switchport trunk encapsulation dot1q switchport mode trunk channel-group 11 mode on end _____________________________________________________________________________________________________________ 2960S: interface Port-channel1 description Uplink Core switchport mode trunk end ! interface GigabitEthernet1/0/52 description Uplink Core switchport mode trunk channel-group 1 mode on end ! interface GigabitEthernet2/0/52 description Uplink Core switchport mode trunk channel-group 1 mode on end

Hallo, ich hab momentan ein interessantes Phänomen wo mir gerade weng der Lösungsansatz fehlt. Ich hab zwischen zwei 2960S die gestackt sind und zwei 3750X die ebenfalls gestackt sind einem Etherchannel mit zwei LWL-Uplinkports die als Trunk konfiguriert sind. An dem 3750X hängen per LWL noch weitere Switche wo irgendwann der Uplink ins Vlan 178 erfolgt. Das Netz hinter dem Vlan 178 wird von uns selber nicht betreut sondern lediglich auf L2 geswitcht. So grundsätzlich läuft auch alles soweit problemlos, ich kann von Acceesports die im Vlan 178 hängen auf das Netzwerk zugreifen. Ich kann an Accessports in anderen Vlans an dem gestackten 2960S problemlos alle möglichen IPs erreichen und im Netzwerk arbeiten. Wenn ich jetzt allerdings auf dem 2960S einen Port ins Vlan 178 schalte bekomme ich per DHCP sauber eine IP-Adresse zugewiesen und kann den DHCP / DNS-Server auch anpingen. Beim Versuch den Gateway anzupingen bekomme ich leider nur Zeitüberschreitungen. Allerdings nur solange wie ich beide Ports die zum Etherchannel zwischen den zwei 2960S und dem zwei 3750X konfiguriert sind. Wird einer der zwei Ports disabled kann ich den Gateway nun auch problemlos anpingen. Es ist jetzt auch egal welchen der zwei Ports ich abschalte, das Phänomen ist bei beiden Ports reproduzierbar. Wäre super wenn mir jemand weiterhelfen könnte. Kartfahrer

HI, ich hab ein Problem mit einem Cisco AP (AIR-CAP2602E). Ich hab seit kurzen den ersten Virtual Wireless Controller (7.6.120.0) am laufen, da hängen momentan zum Start 3 2602er APs dran. Über zwei APs kann ich mich problemlos mit meinen Wlans-Verbinden. Beim dritten AP kann ich mich nur mit Wlans-Verbinden die eine WPA oder WEB-Verschlüsslung verwenden. Wenn ich eine WPA2-Verschlüsslung mit PSK oder 802.1X verbinden will lauf ich gegen die Wand. Es wäre super wenn mir jemand einen Tipp geben könnte wie ich das Problem lösen könnte oder hilft es weiter einzugrenzen. MfG Matthias

ggf ein Treiber Problem beim dem USB Converter? ich hatte auch mal einen und konnte mich über den auch nicht beklagen. der hat wirklich immer problemlos funktioniert.

Hi, ich "missbrauche" in einer kleineren Einrichtung von uns einen 2960G mit dem Template "lanbase-routing" als Router. Jetzt hab ich das Problem das ich für eine bestimmte Verbindung von einer speziellen IP eine kleine route-map konfiguriert hab was soweit auch noch ging. Als ich diese dann allerdings an das int vlan mit "ip policy route-map xxxxxxxx" binden wollte nahm er den Befehl nicht an. Ich bin der Meinung das ich schon mal irgendwo gelesen hab das der 2960 auch pbr unterstützt, hat das vielleicht jemand am laufen? MfG Matthias

Danke :)

so das Thema IINS is dann jetzt auch erfolgreich abgeschlossen. :D :D :D

Das is natürlich richtig, aber es gibt einem etwas Sicherheit wenn man weiß das man wieder nur um die 80% richtig haben muss.

Hi, ich will in den nächsten Wochen den CCNA Security in angriff nehmen. Ich hab jetzt schon weng gegoogelt wieviel Prozent der Fragen ich der Prüfung ungefähr richtig habe müsste um zu bestehen. Leider hab ich bis jetzt aber noch keine Anwort gefunden, hat von euch da vielleicht schon irgendwelche Infos? Danke im Vorraus für eure Hilfe. Matthias

Sorry für die verspätete Antwort, aber momentan is weng stressig bei mir. Also ich glaub ich bin wegen dem Problem weng weiter gekommen. Es ist nämlich so, die Global Aging Time ist bei uns standardmässig auf 300 Sekunden eingestellt. Zusätzlich hab ich ihn nochmal extra in einem Vlan auf 500 Sekunden gesetzt. wenn ich dann mit "sh mac-address-table vlan 100 | inc xxxx.xxxx.xxxx" verfolgt hab wie lang der Switch die Mac kennt waren das bei weitem keine 300 - 500 Sekunden sondern nur 90. Den Befehl "sh mac-address-table unicast-flood" gibts. Unicast Flood Protection status: disabled

womit könnte es denn dann bestätigt werden? :confused:

Teil 2 So dann haben wir hier noch die Output von sh vlan virt slot x Cat6509#sh vlan virt slot 1 Slot 1 Port Virtual-ports ------------------------- Total virtual ports:0 Cat6509#sh vlan virt slot 2 Slot 2 Port Virtual-ports ------------------------- Total virtual ports:0 Cat6509#sh vlan virt slot 3 Slot 3 Port Virtual-ports ------------------------- Gi3/1 18 Gi3/2 18 Gi3/3 1 Gi3/4 18 Gi3/5 1 Gi3/6 1 Gi3/7 1 Gi3/8 1 Gi3/13 1 Gi3/15 1 Gi3/16 1 Total virtual ports:62 Cat6509#sh vlan virt slot 4 Slot 4 Port Virtual-ports ------------------------- Gi4/2 1 Gi4/11 18 Total virtual ports:19 Cat6509#sh vlan virt slot 5 Slot 5 Port Virtual-ports ------------------------- Fa5/2 1 Fa5/3 1 Fa5/4 1 Fa5/8 1 Fa5/9 1 Fa5/10 1 Fa5/12 1 Fa5/13 1 Fa5/14 1 Fa5/16 1 Fa5/17 1 Fa5/18 1 Fa5/20 1 Fa5/22 1 Fa5/23 1 Fa5/24 1 Fa5/25 1 Fa5/26 1 Fa5/27 1 Fa5/28 1 Fa5/30 1 Fa5/31 1 Fa5/36 1 Fa5/40 1 Fa5/41 1 Fa5/44 1 Fa5/45 1 Fa5/47 1 Fa5/48 1 Total virtual ports:29 Cat6509#sh vlan virt slot 6 Slot 6 Port Virtual-ports ------------------------- Gi6/2 1 Gi6/3 1 Gi6/4 1 Gi6/5 1 Gi6/6 1 Gi6/7 1 Gi6/8 1 Gi6/9 1 Gi6/10 2 Gi6/11 1 Gi6/12 1 Gi6/13 1 Gi6/14 1 Gi6/15 1 Gi6/16 1 Gi6/17 1 Gi6/18 1 Gi6/19 1 Gi6/21 1 Gi6/22 1 Gi6/23 1 Gi6/24 1 Gi6/25 1 Gi6/27 1 Gi6/28 18 Gi6/29 1 Gi6/30 1 Gi6/33 2 Gi6/36 1 Gi6/37 1 Gi6/45 18 Gi6/46 18 Gi6/47 1 Total virtual ports:86 Was du hier allerdings genau für infos wolltest weiß ich leider net. - was sagt sh mac-address detail|all für die gefluteten mac adressen? Aber wie vielleicht siehst, an einer Überlastung von der Kiste sollte es nicht liegen. Und danke schonmal vorab für deine Hilfe und die von allen anderen natürlich auch.

:D in welcher Zeile war denn das zu sehen? Peinlich Peinlich Danke das mich endlich mal jemand ganz klar darin bestätigt das es nicht OK is das ich die Packete sehe. Und jetzt noch kurz zu deinen Fragen: Cat6509#sh module Mod Ports Card Type Model Serial No. --- ----- -------------------------------------- ------------------ ----------- 1 2 Catalyst 6000 supervisor 2 (Active) WS-X6K-SUP2-2GE 2 2 Catalyst 6000 supervisor 2 (Warm) WS-X6K-SUP2-2GE 3 16 16 port 1000mb GBIC ethernet WS-X6416-GBIC 4 16 16 port 1000mb GBIC ethernet WS-X6416-GBIC 5 48 48 port 10/100 mb RJ45 WS-X6348-RJ-45 6 48 48 port 10/100/1000mb EtherModule WS-X6148-GE-TX Mod MAC addresses Hw Fw Sw Status --- ---------------------------------- ------ ------------ ------------ ------- 1 0002.7e27.d98c to 0002.7e27.d98d 2.2 7.1(1) 12.2(18)SXD6 Ok 2 0001.6476.19cc to 0001.6476.19cd 2.2 7.1(1) 12.2(18)SXD6 Ok 3 0003.32bc.5c1f to 0003.32bc.5c2e 1.2 5.4(2) 8.3(0.156)RO Ok 4 00b0.c2f5.8a50 to 00b0.c2f5.8a5f 1.1 5.3(1) 8.3(0.156)RO Ok 5 0004.de82.0010 to 0004.de82.003f 1.5 5.4(2) 8.3(0.156)RO Ok 6 0003.3235.17d2 to 0003.3235.1801 6.1 7.2(1) 8.3(0.156)RO Ok Mod Sub-Module Model Serial Hw Status --- --------------------------- ------------------ ------------ ------- ------- 1 Policy Feature Card 2 WS-F6K-PFC2 SAD052104LL 1.4 Ok 1 Cat6k MSFC 2 daughterboard WS-F6K-MSFC2 SAD052201B8 1.2 Ok 2 Policy Feature Card 2 WS-F6K-PFC2 SAD0521050S 1.4 Ok 2 Cat6k MSFC 2 daughterboard WS-F6K-MSFC2 SAD051805HG 1.2 Ok Der 6509 ist bei uns der zentraler Kontenpunkt in unserem Netz der auch fürs Routing zuständig is. Sonst dient er eigentlich nur noch als Sternverteiler für die Etagenswitches und als Backbornanbindung für die Server. Wenn du bei sh spann det die "Number of topology changes" meintest die bleiben gleich. Number of topology changes 2113 last change occurred 12:02:36 ago Was den Mac-count angeht haben wir noch weng luft nach oben.:o Cat6509#sh mac-add cou MAC Entries for all vlans : Dynamic Address Count: 425 Static Address (User-defined) Count: 39 Total MAC Addresses In Use: 464 Total MAC Addresses Available: 131072

Die IP vom 192.168.100.178 is ein Server der is immer an und die MAC- is auch an einem anderem Port bekannt.

Die MAC: 18-A9-05-24-32-3A ist du von meinem PC und nur für die würde ich Pakete erwarten. Außer Broadcast usw natürlich.

@Otaku19: was findest du denn da Augenunfreundlich? Also ich bekomm mit Wireshark Version 1.2.7 das File ohne Probleme auf. Aber wenn du mir genauer sagst wie ich dir und deinen Augen entgegenkommen kann mach ich das gerne. @Wordo: Ne HA, Cluster oder Gratuitous ARP haben wir da garnichts. Einfach mal als info, die IP von meinem Rechner wäre die 192.168.100.47 MAC: 18-A9-05-24-32-3A

@Wordo: Wie gewünscht hab ich mal File angehängt und vor her alles übern Filter rausgeschmissen was ok gewesen wäre. Welchen Klassiker mit Native Vlan1 meintest du? Der is mir gerade nicht geläufig. :confused: falsche Packete2.txt

Erst mal danke für die Antwort. Also von der Anzahl der Pakete die ich nicht bekommen sollte hält sich in grenzen. Das die DST MAC nicht im CAM ist kann ich ausschließen da auch mehrere Pakete mit der selben DST MAC innerhalb kürzester Zeit zusehen sind. Die Begriffe "collapsed" Core oder fully routed Core sagen mir jetzt ehrlichgesagt nix. Das ungute Gefühl kommt einfach daher das ich der Meinung bin, das es nicht ok is das ich die Pakete seh. Wir haben bis jetzt deswegen noch keine Probleme, aber ich würde zumindest gerne verstehen warum er sich so verhält. Bei dem Core handelt es sich wie schon erwähnt um einen Cat6509 mit zwei Supervisor Engine 2 mit der IOS Version 12.2(18)SXD6. Die Kiste mal schnell auszubauen und sie durchzutesten ist jetzt nicht ganz so einfach. Die nächste Möglichkeit für so ne Aktion bietet sich erst wieder mitte bis ende Januar. Wenn ich noch irgendwelche Infos vergessen hab einfach Bescheidsagen.