Jump to content
Assassin

VLAN Tagged Frames über Cisco switche...Konfiguration?

Recommended Posts

Hallo,

weiß jemand, ob bei einem Cisco Catalyst 2960x getaggte Frames durchgeleitet werden, oder werden solche Frames gedropt?

 

Hintergrund: Es gibt mehrere Cisco Switche, welche über LWL miteinander verbunden sind (über mehrere gebäude hinweg auf einem Gelände), nun soll es ein "Gast-LAN" Geben. Dadurch wurde ein zweiter Router ins Netzwerk gebracht, dieser hat einen anderen IP Adressbereich, und es wurde darauf ein VLAN konfiguriert, sodass nur bestimmte endgeräte oder WLAn APs welche ebenefalls die VLAN ID bekommen - auch das GAST LAN nutzen.

Bisher wurde komplett ohne VLANs gearbeitet, die switche haben alle die auslieferungskonfiguration drauf (bis auf das Passwort). Erster test mit einem Notebook dessen LAN schnittstelle ich mit der VLAN ID versehen habe:

Stecke ich das Notebook direkt an den neuen "Gast-LAN" Router an - bekommt das Notebook eine IP zugewiesen und Internet geht.

Stecke ich den Router an den Cisco switch an, und das Notebook ebenfalls - bekomme ich keine verbindung mehr mit dem "GAST-Lan" Router :(

 

 

ich dachte immer, das getaggte Frames einfach durchgeleitet werden wie bei einem unmanaged switch? zumindest hatte ich es früher mal so erlebt dass das ging ?

Share this post


Link to post
Share on other sites

Für Switche übergreifend musst du, sobald mehrere VLANs auf einem Switch aktiv sind - default Vlan 1 - diese an den Upload-Ports natürlich taggen. Die gewissen Ports am Switch sind dann untagged vlan X. 

 

Share this post


Link to post
Share on other sites

Wenn ich das richtig sehe, macht der Catalyst für alle ungetaggten ein VLAN1 daraus.

 

Meinst du mit uplink ports nur den, wo der GAST Lan router rangeht, oder auch die LWL Module die die switche untereinander auch koppelt?

Share this post


Link to post
Share on other sites

"Uplink" sind die Verbindungen die den Switch zum Nächsten verlassen. Damit du das Vlan auch auf anderen nutzen kannst.

 

Einfach erklärt:

Nimm 2 komplett identische Autos. Du musst sie aber auseinander halten. Wie machst du das? Du machst einen Aufkleber drauf, dann klappts auch. Genau so ist das mit den Paketen auf Netzwerkebene. Deswegen "taggen".

So lange du nur ein Auto hast, weißt du auch immer das es nur das eine sein kann. Also muss an einem Switchport auch immer nur, wenn es eins ist das vlan als "untagged" laufen.

 

Ports:

LWL-Uplink: Vlan 1,2,3,4 tagged

Port-1: vlan 1 untagged

Port-2: vlan 2 untagged

Port-3: vlan 2 untagged

Port-4: vlan 3 untagged

 

So würde das als eine "einfache" Konfig auf einem Switch aussehen.

Edited by MurdocX

Share this post


Link to post
Share on other sites

Noin

 

Mögicherweise ist schon die momentane Konfiguration nicht richtig, da die Geräte noch im Auslieferungszustand und die Verbindung untereinander nicht als Trunk konfiguriert.

 

Ich hab gesucht nach "Cisco Catalyst 2960x  VLAN Beispiele"

 

Möglicherweise hilft dieses Ergebnis etwas weiter https://anotherblog.org/vlan-und-inter-vlan-in-cisco-router-netzwerken/

 

Ich sähe mir wohl weitere an, z.B. https://www.it-bildungsnetz.de/fileadmin/media/Akademietag_2012/Private VLAN.pdf

 

 

Edited by lefg

Share this post


Link to post
Share on other sites

ohha...ja die Switche sind alle noch sozusagen im Auslieferungszustand.

Hab hier mal ein Screenshot des Catalysten gemacht wie der Port woran der Gast-Lan Router momentan dranhängt, eingestellt ist.

 

Soweit ich das auch schon erfahren habe über viel googlen, kommt das ganz auf den Switch an, ob er ein Tagged Frame einfach durchläst, oder verwirft...man kann glück haben - muss aber nicht, sozusagen :-/

 

die Uplink-Ports stehen ebenfalls auf Dynamic Auto. Da sind Sternförmig Cisco SG300 Switche angebunden.

Würde ja bedeuten, ich müsste jeden switch umkonfigurieren :pfui3:

Ich weiß auch nicht, was passieren würde wenn ich das neue VLAN hinzufüge, damit der Cisco weiß, dass es ein 100er VLAN gibt...ob ich damit vieleicht die bestehenden verbindung im heißen betrieb abschießen würde. Ich habe leider keinen anderen Catalyst da, um das ersteinmal zu testen...

 

 

cisco.PNG

cisco.PNG

cisco2.PNG

Edited by Assassin

Share this post


Link to post
Share on other sites

Wieviele catalysten sind das denn und wie viele sg300? 

Wir haben hier eine ähnliche Konstruktion: catalysten im backbone und sg3x0 in den Büros. 

Ihr sollte die catalysten vernünftig konfigurieren. Ich würde, ja nach Anzahl, da mal eine Nacht oder ein Wochenende für einplanen. 

Als erstes müssen die catalysten die jeweiligen VLANs kennen, das hat Keinen Einuss auf die Verbindung.

Erst wenn die Ports konfiguriert sind werden hat das Einfluß auf die Verbindungen. 

 

Eventuell holt ihr euch jemanden da man vorher schon ein vernünftiges Vlan-Konzept haben sollte. Die Fragen die zu klären sind: welche VLANs müssen wo anliegen? Was wird default Vlan? Welche Management Protokolle wie z. B. VTP werden genutzt 

 

Share this post


Link to post
Share on other sites

Es sind zwei Catalysten als Master/Slave über ein Stacking Kabel.

Es gibt mehrere SG300 Switche, welche über LWL angebunden sind, manche davon mit 2x LWL - diese sind über LACP konfiguriert, die Ports laufen bei denen als Trunk Ports.

 

 

Über die soll mein Gast-LAN Router eigentlich auch laufen...

der Steckt an einem port vom Catalyst, diesen einen Port habe ich am Catalyst schon auf Trunk Port gesetzt. Lt. Beschreibung von Cisco stellen Ports welche als TRUNK Konfiguriert sind, alle getaggten Frames durch, also werden weitergeleitet, bis es einer abnimmt.

Nach meinem verständniss her, sollte es eben funktionieren, sodass das GAST-LAN in den Catalyst auf ein Trunk Port "eingespeißt" wird als VLAN100 was der GAST Lan Router macht, der Catalyst gibt es weiter über den LACP Trunk LAG an ein SG300 (2x1G LWL) und am SG300 steht der Port wo momentan ein Notebook als Testgerät dran steckt - ebenfalls auf TRUNK, sodass das Notebook was als VLAN100 konfiguriert ist, das Signal empfangen und verarbeiten können sollte...machts aber nicht :(

 

Ich habe zusätzlich schon auf beiden Switche um die es hier vorerst geht, das VLAN100 hinzugefügt, aber keinem Port zugeteilt, da die betroffenen Ports ja schon auf Trunk stehen...

 

 

Ich wollte jetzt mal mit dem Test-Notebook direkt an den Catalyst rangehen, und schauen, ob da die Ports die auf "Trunk" stehen, wirklich das getaggte Frame durchlassen wie es in der Hilfebeschreibung beim switch steht...

Wenn ich das Notebook direkt an den "GAST-LAN" Router hänge, bekomme ich sofort eine DHCP IP zugewiesen und Internet funktioniert - über VLAN100

 

 

*edit*

also, den Catalyst bekomm ich einfach nicht eingestellt dass er das getaggte signal wenigstens an einen anderen eigenen Port durchlässt. völlig egal ob die beiden Ports (einer für mein Test Notebook, einer für den gast-Lan Router) auf Trunk steht, oder auf Access, oder auf Dynamic Auto, selbst wenn ich die zugriffs VLAN ID auf 100 setze bekommt das Notebook nie eine verbindung mit dem Gast Lan Router. Funktioniert immer erst dann, wenn ich das Notebook direkt an den Gast-Lan Router anschließe.

 

 

was mich wundert: Ich kann da nirgens einstellen, ob der Port ein Taggged oder Untagged Port sein soll - wie beim SG300

 

Edited by Assassin

Share this post


Link to post
Share on other sites

Kannst du von dem catalysten mal die Ausgabe von "Sh run" posten und von einem sg300 auch? 

An sich ist das alles kein hexenwerk, ich habe nur noch nie einen catalyst oder sg300 über web konfiguriert. 

Share this post


Link to post
Share on other sites

und ich leider noch nie über das CLI :-/  bisher wurde das auch nie so wirklich gebraucht...einfach anstecken und gut ist.

 

Danke für deine Hilfe :)

 

SG300 config.txt WS-C2960X-48TS-L.txt

 

 

*edit*

ich habe jetzt die Ports mal auf "Trunk" gesetzt - wie sie auch beim SG300 standartmäßig sind - und nach etwas gedenkzeit funktioniert es jetzt auch...es dauert zwar recht lange eb mein Client ein DHCP Lease bekommt, aber es funktioniert.

Edited by Assassin

Share this post


Link to post
Share on other sites

so richtig klappts leider doch noch nicht :(

der Catalyst scheint zwar das Frame nun durchzulassen, also wenn ich mich mit dem Notebook anklemme was ein VLAN100 Interface hat - dann bekomme ich nach einiger zeit ein DHCP Lease vom GAST LAN Router und habe auch zugriff...aber entweder leitet er das nicht weiter an den SG3000, oder der SG300 blockt da was...

Beim Catalyst stehen die Ports auf "Trunk" wo der Gast LAN Router angeschlossen ist und das Notebook mit dem fest eingestellten VLAN100.

 

beim SG300 stehen alle Ports auf Trunk, auch habe ich da das VLAN100 bekannt gemacht über die VLAN-Einstellungen...

aber wenn ich mein Notebook an den SG300 anstecke - bekomme ich keine IP zugewiesen :( selbst wenn ich mir da manuell eine IP gebe, habe ich kein zugriff in das VLAN100 netz bzw. auf den GAST-LAN Router...

 

 

beim SG300 ist beschrieben, dass standartmäßig alle VLANs durchgeleitet werden, aber es funktioniert trotzdem nicht, obwohl beide endgeräte getaggte frames versenden (Gast-lan router, und das Notebook)

Edited by Assassin

Share this post


Link to post
Share on other sites
vor 2 Stunden schrieb Assassin:

Beim Catalyst stehen die Ports auf "Trunk" wo der Gast LAN Router angeschlossen ist

 

Mir fällt auf, auf was steht am Gast LAN Router der Port, der mit dem Catalyst-Port verbunden ist? Passt der zu dem Trunk

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

Werbepartner:



×
×
  • Create New...