Jump to content
Sign in to follow this  
snowman_x2

3560 will nicht richtig...

Recommended Posts

Hallo,

ich habe hier einen Catalyst 3560G mit 48 Gigabit Ports.

IOS ist das neuste "C3560-ADVIPSERVICESK9-M, Version 12.2(46)SE".

 

Hier die Config:

Building configuration...

Current configuration : 9836 bytes
!
version 12.2
no service pad
service timestamps debug datetime
service timestamps log uptime
service password-encryption
!
hostname xxx
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxx
!
no aaa new-model
system mtu routing 1500
vtp mode transparent
ip subnet-zero
ip routing
ip domain-name xxx.com
ip name-server xxx.xxx.xxx.xxx
ip name-server xxx.xxx.xxx.xxx
!
!
!
!
!
!
!
!
!
!
!
spanning-tree mode pvst
spanning-tree extend system-id
no spanning-tree vlan 1,98-99,101,110,112-115
!
vlan internal allocation policy ascending
!
vlan 98
name 98-xxx
!
vlan 99
name 99-xxx
!
vlan 101
name 101-xxx
!
vlan 110
name 110-xxx
!
vlan 112
name 112-xxx
!
vlan 113
name 113-xxx
!
vlan 114
name 114-xxx
!
vlan 115
name 115-xxx
!
ip ssh time-out 60
ip ssh version 2
!
!
!
interface GigabitEthernet0/1
switchport access vlan 113
!
interface GigabitEthernet0/2
switchport access vlan 113
!
interface GigabitEthernet0/3
switchport access vlan 113
!
interface GigabitEthernet0/4
switchport access vlan 113
!
interface GigabitEthernet0/5
switchport access vlan 113
!
interface GigabitEthernet0/6
switchport access vlan 113
!

...

!
interface GigabitEthernet0/17
switchport access vlan 114
!
interface GigabitEthernet0/18
switchport access vlan 114
!
interface GigabitEthernet0/19
switchport access vlan 114
!
interface GigabitEthernet0/20
switchport access vlan 114
!

...

!
interface GigabitEthernet0/49
shutdown
!
interface GigabitEthernet0/50
shutdown
!
interface GigabitEthernet0/51
shutdown
!
interface GigabitEthernet0/52
shutdown
!
interface Vlan1
no ip address
shutdown
!
interface Vlan98
no ip address
!
interface Vlan99
ip address xxx
!
interface Vlan101
ip address xxx
!
interface Vlan110
ip address xxx
!
interface Vlan112
no ip address
!
interface Vlan113
ip address 172.16.113.1 255.255.255.224
ip access-group vlan113_IN in
!
interface Vlan114
ip address 172.16.114.1 255.255.255.192
ip access-group vlan114_IN in
!
interface Vlan115
ip address xxxx
!
ip classless
ip route 0.0.0.0 0.0.0.0 xxxx
no ip http server
no ip http secure-server
!
!

...

ip access-list extended vlan113_IN
deny   tcp 172.16.113.0 0.0.0.31 host 172.16.113.1 eq ftp
deny   tcp 172.16.113.0 0.0.0.31 host 172.16.114.1 eq ftp
deny   tcp 172.16.113.0 0.0.0.31 host 172.16.113.1 eq 22
deny   tcp 172.16.113.0 0.0.0.31 host 172.16.114.1 eq 22
deny   tcp 172.16.113.0 0.0.0.31 host 172.16.113.1 eq telnet
deny   tcp 172.16.113.0 0.0.0.31 host 172.16.114.1 eq telnet
permit ip 172.16.113.0 0.0.0.31 172.16.113.0 0.0.0.31
permit ip 172.16.113.0 0.0.0.31 172.16.114.0 0.0.0.63
deny   ip any any log-input
ip access-list extended vlan114_IN
deny   tcp 172.16.114.0 0.0.0.63 host 172.16.114.1 eq ftp
deny   tcp 172.16.114.0 0.0.0.63 host 172.16.114.1 eq 22
deny   tcp 172.16.114.0 0.0.0.63 host 172.16.114.1 eq telnet
permit ip 172.16.114.0 0.0.0.63 172.16.113.0 0.0.0.31
permit ip 172.16.114.0 0.0.0.63 172.16.114.0 0.0.0.63
deny   ip any any log-input
!
no cdp run
!
control-plane
!
banner motd ^C blabla ^C
!
line con 0
password 7 xxx
logging synchronous
login
line vty 0 4
password 7 xxx
logging synchronous
login
transport input ssh
line vty 5 14
password 7 xxx
logging synchronous
login
transport input ssh
line vty 15
password 7 xxx
login
transport input ssh
!
ntp clock-period 36029338
ntp server xxx
end

Share this post


Link to post

Ich hab ein paar Server an gi0/1 - gi0/6 hängen.

VLAN 113.

Dann hänge ein paar Clients an gi0/17 - gi0/20.

VLAN 114.

 

ip routing ist aktiviert.

 

Da mit der Cisco nicht alles von überall nach überall routed (sind noch mehr Ports + VLANs,... da) die Access Listen.

 

Mein Problem: Vom Switch aus selbst kann ich alle Hosts pingen. Alle Clients und alle Server.

 

Von den Clients aus, kann ich nur sporadisch die Server pingen, mal geht's, mal gar nicht, paar Minuten später geht's wieder,...

Das macht 0,0 Sinn.

 

Ein Problem der Clients/Server kann ich ausschließen. Es wurden verschiedene Netzwerkinterfaces an verschiedene Ports am Cisco angeschlossen. Außerdem wurden verschiedene Kabel verwendet. Zu guter letzt wurde diese config auf einem baugleichen 3560 geladen und die Ports alle umgesteckt. Immer die gleichen Symtome.

 

Was vielleicht hilft: Kann ich z.B. von Client 1 Server 1+2+3 pingen, kann ich von Client 2 1+2 aber den 3er nicht pingen.

Kann ich von Client 2 aber z.B. den 3er Pingen, geht das dann nicht parallel von Client 1.

 

Vielleicht kann mir wer helfen, ich komm nicht weiter.

PS: ACL verstöße sehe ich ja am seriellen Port, da sieht man nichts...

Share this post


Link to post

Mich wuerde waehrend den fehlschlagenden Pings ein "sh int status" vom Switch interessieren. Dann noch ob Clients und Server jeweils das SVI auch als Defaultgateway eingetragen haben.

 

Es koennte auch irgendwas mit Multinetting sein, vielleicht ist ein Server im Switch auf das Client-VLAN gepatched ...

Share this post


Link to post
Dann noch ob Clients und Server jeweils das SVI auch als Defaultgateway eingetragen haben

 

Bah nach 3 Tagen Troubleshooting draufgekommen.

Hat nichts mit dem Cisco zu tun.

 

Problem war, damit die Server 2 Netzwerkkarten hatten, mit unterschiedlichen VLANs.

Wenn der Ping nun von VLAN 114 an das 113er Netz kommt, wissen die SUN server einfach nicht, damit sie Pakete an das 114er IP Netz/VLAN an 113.1 (Cisco VLAN interface) schicken sollen, sondern nehmen die Defaultroute.

Da 2 Defaultroutes eingetragen sind, nimmt Solaris mal die eine, dann die andere.

Eine Statische Route auf den Servern mit 172.16.114.1 nexthop 172.16.113.1 war die Lösung des Problems.

 

thx an alle

 

PS: Die ACL's für Port 20-22 sind ja dafür da, um bestimmte VLANs nicht auf das Admin Interface es Switches zu lassen. Geht das eleganter?

Da die x.x.113.1 und x.x.114.1 ja die Defaultgateways sind, und nicht direkt addressiert werden müssen könnte ich doch einfach die 113.1 und die 114.1 komplett verbieten (also deny ip ... ...), oder nicht?

Share this post


Link to post

Hi,

 

um den telnet/ssh-Zugriff auf die Devices nur auf bestimmte Clients einzuschränken, kannst du so vorgehen:

 

access-list 1 permit <erlaute IP1>

access-list 1 permit <erlaute IP2>

.

.

access-list 1 deny any

 

line vty 0 4

access-class 1 in

 

Mfg

Lexus

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...