Jump to content

VLAN Tagged Frames über Cisco switche - Konfiguration?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Zum SG300:

Die interface VLAN10, VLAN20, VLAN100 brauchst du so nicht ->

no interface vlan 10
no interface vlan 20
no interface vlan 100

 

dann zum Uplink:

interface gigabitethernetX
 switchport mode access
 switchport access vlan 10

interface gigabitethernetY
 switchport mode access
 switchport access vlan 20

interface gigabitethernetZ
 switchport mode access
 switchport access vlan 100

interface Port-channel2
 description SW3<->SW1
 switchport
 switchport mode trunk  
 switchport allowed vlan 10,20,100
   
interface gigabitethernet51
 description LACP-->SW1-gi1-0-49
 switchport mode trunk
 channel-group 20 mode active

interface gigabitethernet52
 description LACP-->SW1-gi1-0-50
 switchport mode trunk
 channel-group 20 mode active

Auf dem Catalyst dann dann den gleichen Portchannel und die gleiche Config für die Trunkports.

Die Ports, an denen schon getaggte Pakete ankommen, die konfigurierst du auch als trunk und erlaubst nur das gewünschte VLAN "switchport allowed vlan XYZ". Gibt es keine allowed VLAN-Liste kommen alle VLANs durch.

 

Die Accespports auf dem catalyst wurde ich auch als trunk konfigurieren und ein nativ VLAn setzen.

interface gigabitethernetxyz
  switchport
  switchport mode trunk
  switchport trunk allowed vlan 2
  switchport trunk native vlan 10

das native vlan darf nicht bei den allowed vlans dabei sein!

man definiert dafür ein VLAN für die allowed list, bei dem man die Daten sozusagen ins Nirvana schickt. somit Arbeitet das interface wie ein Access-Interface, man kann aber definieren was mit Paketen passiert welche jemand illegalerweise mit einem TAG auser der allowed-VLAn-Liste schickt.

 

Ich bin gerade nicht sicher ob der SG300 native VLANs kennt. Falls ja wäre das dort so auch eine Option.

bearbeitet von magheinz
ergänzung
Link zu diesem Kommentar
vor 5 Stunden schrieb Assassin:

Funktioniert bestens, danke :)

Weiß ich. :pfui1:

Die config ist coy&paste aus unserer produktiven Umgebung. Nur die VLAN-IDs habe ich angepasst.

Bei den SG300 muss ich noch mal schauen was die als default machen. Ich dachte eigentlich die lassen alles durch. Das interessiert mich jetzt doch noch mal. Eventuell gab's da eine Änderung bei irgendeinem Update. 

Ich setze immer eine allowed-Liste, der Ordnung halber.

Wir haben catalysten, nexuse, sg300 und sg350 im Einsatz und alle sind zwar im Prinzip gleich zu konfigurieren, aber eben nur im Prinzip. 

Link zu diesem Kommentar

habe es mit einem SG300 mit aktuellster Firmware, und einer ganz alten Firmware gestestet...also mit einem neuen aus der Verpackung.

 

Der hat das getaggte Frame nicht durch gelassen :-/ ich musste das VLAN mit der ID erst anlegen, dann dem LACP Trunk LAG zuordnen als Tagged, und dann meinem Port wo das Gerät dran hängt als Tagged machen. also Ich habe deine Config nicht direkt copy&paste übernommen, ich habe das als anhaltspunkt genommen, über das Webgui etwas angepasst und über das CLI geschaut, was sich geändert hat *g*

 

Jetzt Läufts jedenfalls :)

Link zu diesem Kommentar

Heißt das aber jetzt, dasss ich für jedes VLAN was ich im Netz verteilen will beim SG300 JEDEN Port konfigurieren muss, damit das VLAN getaggt mit zugelasssen wird auf dem jeweiligen Port wo ein PC dran steckt der das VLAN empfangen soll? :pfui3:

 

das ist bei Ubiquiti dann wirklich deutlich einfacher...einfach VLAN Netz anlegen - schon können alle Switche das VLAN Frame auch sauber übermitteln bis ein endgerät was auf einer Festen VLAN ID steht das Frame wieder abnimmt...

 

wobei beim Catalyst ja auch jedes VLAN getaggted Frame durchgelassen wird, wenn die Ports auf Trunk stehen. Warum klappt das dann mit den SG 300 nicht wie beim Catalyst? beim SG300 reicht es nicht zu, einfach nur das VLAN anzulegen...da muss man anscheinend echt jeden Port manuell noch sagen dass der Port auch ein VLAN Tag mit der und der ID hat...

bearbeitet von Assassin
Link zu diesem Kommentar

Wenn einfach alle Ports alle VLAN durchlassen kann man die auch gleich weglassen.

Du musst jeden Port konfigurieren, ja. Aber das will man normalerweise auch. 

Die SG300 könne mit Interfaceranges arbeiten:

interface range gi1-8
blablabla

Die SG300 sind halt nur small business. Die haben zwar ein an IOS angelehntes CLI, aber eben kein IOS.

Wie viele sg300 hast du denn im Einsatz?

 

also ich betreue so ca 300 Stück bei uns im Haus. Die werden erstmalig per script und template über die serielle betankt und dann per ssh/cluster-ssh konfiguriert.

Wer mehr Komfort haben will kauft halt catalysten und nutzt dann DNA oder Prime.

 

 

BTW, fällt mir gerade so auf:

Setze mal so einen Port nicht in den Trunk-Modus, sondern in den general-mode: https://community.cisco.com/t5/small-business-switches/general-vs-trunk-mode/td-p/2281870

 

Link zu diesem Kommentar

ca. 20 solcher SG300 sind im einsatz. Die Ports vom SG300 stehen per default auf Trunk, also schon im Auslieferungszustand stehen die auf Trunk.

also müsste ich bei jeden switch jetzt rangehen, und das Tagged VLAN konfigurieren auf die entsprrechenden Ports (oder eben alle) ?

 

ich glaube da werden wir auf kurz oder lang doch lieber alles auf Ubiquiti umrüsten, da geht es deutlich kompfortabler, über eine zentralle stelle mit wenigen mausklicks...das spart imens Zeit.

 

 

 

Link zu diesem Kommentar

Macht das. Ich vermute ihr werdet mit den sg300 nicht glücklich. 

Wie gesagt, das sind bei cisco die SB-Geräte. Die wurden mal als linksys eingekauft. 

20 Stück hat man zwar meiner Meinung nach schnell im Griff, ich mache das aber auch schon etwas länger. 

 

Erst bei dem catalysten gibt's bei cisco echte managmentlösungen. Ich bin aber sicher, die wären euch zu teuer. 

 

Was man übrigens machen kann: die SG300 versuchen immer beim booten eine config per tftp zu ziehen. Mit einem geeigneten tftp-server könnte man da etwas schönes basteln. 

Link zu diesem Kommentar

Sind schon dabei :) aber eben stück für stück.

Ubiquiti scheint hier noch recht unbekannt bzw. wenig vertreten zu sein, aber in Amerika immer mehr wird

 

Was mich nur wundert ist eben die Tatsache, dass man beim Catalyst nur sagen muss welche VLAN ID es gibt, damit der Trunk das auch direkt durchlässt. beim SG300 muss man aber dem jeweiligen Trunk Port es noch "sagen" dass er das FLAN Frame mit der ID durchlassen darf...das macht mich etwas stutzig...Ein Trunk ist doch dafür da, mehrere VLANs durchzureichen - wie auch die Quickinfo beim catalyst es beschreibt.

Ist das wirklich so, oder gibts da noch noch iregdnwo etwas beim SG300 was man einstellen kann, dass er auf allen Trunk Ports die VLANs durchreichen soll die über die VLAN Netze bekannt hinzugefügt wurden ?

bearbeitet von Assassin
Link zu diesem Kommentar

Der sg300 hat dafür den general mode. So steht es in der Doku. 

 

Es ist halt ungewöhnlich so einen switch Im Auslieferungszustand zu betreiben. Dafür kauft man keinen managebaren switch. 

 

Ein trunk ist dafür da mehrere VLANs durchzulassen. Aber eben auch nicht immer alle. Es ist halt kein IOS-Gerät, deswegen verhält es sich an manchen Stellen leicht anders. 

 

Läßt der catalyst alle VLANs durch, oder nur die, die er kennt? Den catalysten muss man halt auch nicht jedem einzelnen die VLANs konfigurieren. Das macht man nur auf dem VTP-Master.

 

Diese Mischung aus Cisco Accessswitchen und Smb-Geräten habnen wir auch im Einsatz. Von den reinen Kosten gesehen eine schöne Lösung. Will man aber mal die wirklich spannenden Dinge wie eben prime, DNA o.ä. ausprobieren, dann merkt man schnell warum Catalyst und sg300 so einen Preisunterschied haben. 

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...