malawi
Goto Top

Cisco mehrere VLANs gleichzeitig anlegen

Hallo,

ich bringe mir gerade die Cisco-Gerätekonfiguration selbst bei.

Dabei haben wir verschiedene VLANs definiert. Einige davon sind im Bereich 2-1004 und einige im Bereich 1006-4095.

VTP kann meines Wissens nach nur VLANs im Bereich 1-1004 mit anderen Switches austauschen. Deshalb möchte am liebsten auf jedem Switch alle VLANs anlegen um somit auf jedem Switch die Möglichkeit zu haben, definierte VLANs an Access-Ports zuzuweisen.

Wie ist hier das übliche Vorgehen? Kann ich überhaupt mehrere VLANs auf einen Schlag anlegen? Oder ist dies gar nicht nötig weil ich, sobald ich einem Access-Port ein VLAN zuweise, dies automatisch angelegt wird?

Standardmäßig sind alle VLANs auf den Trunks erlaubt? Werden hier neu angelegte VLANs automatisch mit über den Trunk übertragen?

Ich wäre sehr dankbar, wenn jemand sein Wissen mit mir teilt face-smile

Viele Grüße

Content-Key: 348122

Url: https://administrator.de/contentid/348122

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: aqui
Lösung aqui 04.09.2017 um 15:20:12 Uhr
Goto Top
ich bringe mir gerade die Cisco-Gerätekonfiguration selbst bei.
Sehr löblich !! face-smile
einige im Bereich 1006-4095.
Keine gute Idee !! VLAN IDs über 4000 solltest du besser nicht verwenden, denn einige davon benötigen die Switches immer intern. Das birgt Konfliktpotential.
Wie ist hier das übliche Vorgehen?
CLI und dann vlan xyz, name xyz fertisch...
sobald ich einem Access-Port ein VLAN zuweise, dies automatisch angelegt wird?
Nope, geht nicht. Ist auch logisch, denn das VLAN muss ja VORHER da sein sonst kannst du dem Port dieses VLAN ja nicht zuweisen.
Standardmäßig sind alle VLANs auf den Trunks erlaubt?
Nein, nicht unbedingt. Nur wenn du "switchport trunk allow vlan all" konfigurierst. Ist aber Switch abhängig. Bei älteren Modellen ist es in der Tat Schrotschuss das alle erlaubt sind.
Werden hier neu angelegte VLANs automatisch mit über den Trunk übertragen?
Ja, bei den Modellen wo das "all" default ist.
Mehrere Ports kannst du mit dem Multiple Interface Kommando en bloc konfigurieren.
Bedenke auch das VTP proprietär ist. Andere Hersteller verstehen das nicht deshalb verwendent man in hetereogenen Umgebungen den Standard GVRP.
Sofern man denn mit automatischer VLAN Distribution leben will. Nicht immer eine gute Idee und kann ein Sicherheitsrisiko sein !
Mitglied: brammer
Lösung brammer 04.09.2017 um 19:02:03 Uhr
Goto Top
Hallo,

sobald ich einem Access-Port ein VLAN zuweise, >> dies automatisch angelegt wird?

Nope, geht nicht. Ist auch logisch, denn das VLAN
muss ja VORHER da sein sonst kannst du dem Port > dieses VLAN ja nicht zuweisen.

Nun... ja und nein...

Sobald du mit
switchport Access VLAN xx
Einen Poet einem nicht vorhandenen VLAN zuweist legt der Cisco das VLAN selbst an.... zumindest bei den Switchen 2960; 3560 und 3650 und den Routern der 88x Baureihe.

Brammer
Mitglied: malawi
malawi 05.09.2017 um 07:33:15 Uhr
Goto Top
Zitat von @aqui:

ich bringe mir gerade die Cisco-Gerätekonfiguration selbst bei.
Sehr löblich !! face-smile
face-smile
einige im Bereich 1006-4095.
Keine gute Idee !! VLAN IDs über 4000 solltest du besser nicht verwenden, denn einige davon benötigen die Switches immer intern. Das birgt Konfliktpotential.
Ich habe soeben nachgesehen und wir sind in der Planung erst bei VLAN 3001. Haben also genug Luft nach oben und die VLANs 4001-4096 habe ich als vergeben reserviert.
Wie ist hier das übliche Vorgehen?
CLI und dann vlan xyz, name xyz fertisch...
Ok. Ich dachte, es gibt ein ähnliches Kommande wie bei den Interfaces, mit dem ich vielleicht mit einer Art "range"-Befehl mehrere VLANs gleichzeitig anlegen kann. Nehmen wir an ich möchte 50 VLANs anlegen. Einige davon liegen im Bereich 2-1002 und einige im Bereich 1006-4000. Muss ich diese 50 Stck. auf jedem Switch händisch konfigurieren? Das muss doch einfacher gehen...
sobald ich einem Access-Port ein VLAN zuweise, dies automatisch angelegt wird?
Nope, geht nicht. Ist auch logisch, denn das VLAN muss ja VORHER da sein sonst kannst du dem Port dieses VLAN ja nicht zuweisen.
Hier muss ich mich auf die Aussagen von Brammer beziehen, der auch meint, dass ein VLAN automatisch angelegt wird, sobald ich einem Access-Port ein nicht vorhandenes VLAN zuweise. Zumindest zeigt es das bei mir dann in der Übersicht an.
Standardmäßig sind alle VLANs auf den Trunks erlaubt?
Nein, nicht unbedingt. Nur wenn du "switchport trunk allow vlan all" konfigurierst. Ist aber Switch abhängig. Bei älteren Modellen ist es in der Tat Schrotschuss das alle erlaubt sind.
Ist es denn vom Handling her nicht einfacher wenn man im Trunk alle VLANs mit gibt? Ich könnte mir vorstellen, dass es in einem größeren Umfeld mit, sagen wir 50 Switchen, zu unübersichtlich wird. Wir macht ihr das?
Werden hier neu angelegte VLANs automatisch mit über den Trunk übertragen?
Ja, bei den Modellen wo das "all" default ist.
Mehrere Ports kannst du mit dem Multiple Interface Kommando en bloc konfigurieren.
Bedenke auch das VTP proprietär ist. Andere Hersteller verstehen das nicht deshalb verwendent man in hetereogenen Umgebungen den Standard GVRP.
Sofern man denn mit automatischer VLAN Distribution leben will. Nicht immer eine gute Idee und kann ein Sicherheitsrisiko sein !
Ich bin auch eher gegen VTP, zumal das ja nur im unteren Bereich (1-1004) mit anderen Switches aushandelt, richtig?


Eine Frage habe ich noch zu Trunks: der Befehl "switchport nonegotiate" sagt dem Port lediglich, dass dieser keine Trunks automatisch aushandelt?
DANKE!


Zitat von @brammer:

Hallo,

sobald ich einem Access-Port ein VLAN zuweise, >> dies automatisch angelegt wird?

Nope, geht nicht. Ist auch logisch, denn das VLAN
muss ja VORHER da sein sonst kannst du dem Port > dieses VLAN ja nicht zuweisen.

Nun... ja und nein...

Sobald du mit
switchport Access VLAN xx
Einen Poet einem nicht vorhandenen VLAN zuweist legt der Cisco das VLAN selbst an.... zumindest bei den Switchen 2960; 3560 und 3650 und den Routern der 88x Baureihe.

Brammer

Ja das kann ich bestätigen. Habe es ausprobiert und das VLAN taucht in der VLAN-Übersicht auf. Habe einen neuen 2960-X.
Mitglied: brammer
Lösung brammer 05.09.2017 aktualisiert um 09:13:22 Uhr
Goto Top
Hallo,


Nehmen wir an ich möchte 50 VLANs anlegen. > Einige davon liegen im Bereich 2-1002 und
einige im Bereich 1006-4000. Muss ich diese
50 Stck. auf jedem Switch händisch
konfigurieren? Das muss doch einfacher
gehen...

Wieso einfacher?
Eine Switch Konfiguration ist ja nichts was mehrfach täglich geändert wird....
Nimm einTemplate und kopiere das...
Das ist ja das angenehme bei Cisco... die config ist ein Textfile das du editieren und sogar mittels Skript erstellen kannst...
5 oder 50 VLAN ... 5 min Arbeit....

Switchport nonegotiate:
The switchport nonegotiate command is used to
stop the port from sending DTP messages (Dynamic > Trunk Port).... if you have an access port that you
dont want ti turn into a trunk ....
Quelle

Brammer
Mitglied: em-pie
em-pie 05.09.2017 um 09:57:19 Uhr
Goto Top
Moin,

zunächst mal an die Netzwerk-Gurus hier face-wink:
ich habe mich jetzt selbst noch nicht näher mit dem folgenden Thema befasst/ befassen müssen, aber wäre nicht GVRP bzw. MVRP das, was der TO sucht?

Weitere Hinweise:
https://www.cisco.com/en/US/tech/tk389/tk689/tk301/tsd_technology_suppor ...
http://www.itwissen.info/GVRP-GARP-VLAN-registration-protocol.html
https://community.extremenetworks.com/extreme/topics/how_does_gvrp_work

Gruß
em-pie
Mitglied: aqui
aqui 05.09.2017 aktualisiert um 10:10:25 Uhr
Goto Top
aber wäre nicht GVRP bzw. MVRP das, was der TO sucht?
Das muss er nicht suchen, denn in einer reinrassigen Cisco Umgebung kann er auch VTP nehmen. Ist zwar Cisco proprietär, macht aber das gleiche wie GVRP und wie immer bei Cisco noch ein klein wenig mehr. Dafür hängt man aber am Cisco Fliegenfänger.
GVRP und VTP sind aber logischerweise inkompatibel. In einem heterogenen Infrastrruktur Umfeld mit verschiedenen Herstellern ists also dann aus mit dynamischer VLAN Distribution.
Da wäre wie immer ein Standard angebracht und das ist dann GVRP. Das klappt auch wunderbar Hersteller übergreifend aber die Weltfirma Cisco hat leider das GVRP nach und nach aus dem IOS rausgenommen. face-sad Cisco ist also bei GVRP dann wieder zum Großteil draußen.
Solange man also einen Cisco freie gemischte Umgebung hat ist dann GVRP das Mittel der Wahl.
Letztlich sind dynmaische VLANs immer ein erhebliches Sicherheitsrisiko. Man distribuiert da dann oft VLANs in alle Ecken des Netzwerkes wo man sie gar nicht haben will und auch nutzen will.
Von der damit verbundenen Performance Einschränkungen auf den tagged Uplinks und Sicherheits Problematiken mal gar nicht zu reden.
Um das dann wieder wasserdicht mit Pruning usw. zu customizen erfordert das einen großen Konfig Aufwand.
Man sollte sich das also wohlweisslich überlegen ob man solcherlei Protokolle einsetzt.
In kleinen Popelnetzen mit 5 oder 10 Switches ist das so oder so nie erforderlich und verkompliziert das Management nur unnötig wenn man auch VLAN Sicherheit will.
Muss aber jeder letztlich selber für sich entscheiden.
Mitglied: em-pie
em-pie 05.09.2017 um 10:23:00 Uhr
Goto Top
klingt in Summe einleuchtend und zugleich "ernüchternd", insbesondere in Punkto Eigenbrödlerei seitens Cisco face-sad

Danke für gute deine Rückinfo, aqui face-smile

In Summe also Haken dran und "vergessen"...
Mitglied: BitBurg
Lösung BitBurg 05.09.2017 aktualisiert um 11:36:03 Uhr
Goto Top
Hallo kevische,

Zitat von @malawi:
Dabei haben wir verschiedene VLANs definiert. Einige davon sind im Bereich 2-1004 und einige im Bereich 1006-4095.
Aus historischen Gründen sind bei Cisco IOS Switches die VLANs in zwei Bereiche unterteilt. Die Normal Range (1-1005) und die Extended Range (1006-4094) VLANs. Im Standard (IEEE 802.1Q) ist VLAN 0 für Priority Tagging festgelegt und VLAN 4095 ist reserviert, können also auch in Cisco IOS nicht genutzt werden.
In Cisco IOS sind außerdem die VLANs 1002-1005 nicht nutzbar, da sie für FDDI/Token-Ring translational Bridging reserviert sind.
Es bleiben also die VLANs 1-1001 (normal-range) und 1006-4094 (extended-range) als gültige Ethernet-VLANs übrig. Standardmäßig ist auf IOS Switches VTP aktiv. EXtended-Range VLANs kann man nur erstellen, wenn der Switch entweder im VTP Transparent Mode arbeitet oder VTP Version 3 kann. Was du offensichtlich schon umgestellt hast.

Cisco nennt L3-Switches "Multilayer Switches (MLS)". Bei diesen Switches kann man Ethernet-Ports als L3-Ports (routed ports) arbeiten lassen. Dazu wird intern ein VLAN aus dem Bereich 1006 - 4094 benutzt und ein virtuelles Interface (SVI) erstellt, dem man dann eine IP-Adresse zuweisen kann. Bei den abgezwackten VLANs beginnt IOS entweder von "oben" (4095 abwärts) oder von unten (1006 aufwärts). Das ist von der IOS Version abhängig und bei manchen Versionen konfigurierbar.

Testen kann man das, indem man IP-Routing einschaltet, einen Routed Port erstellt und sich das VLAN anzeigen lässt.
Cat2(config)#ip routing  
Cat2(config)#
Cat2(config)#interface e2/0
Cat2(config-if)#no switchport
Cat2(config-if)#
Cat2(config-if)#end
Cat2#
Cat2#
Cat2#sh vlan internal usage

VLAN Usage
---- --------------------
1006 Ethernet2/0

Im Bespiel beginnt der Switch von "unten". Dieses VLAN wird also intern benutzt und steht nicht mehr zur Verfügung.
Wie ist hier das übliche Vorgehen? Kann ich überhaupt mehrere VLANs auf einen Schlag anlegen? Oder ist dies gar nicht nötig weil ich, sobald ich einem Access-Port ein VLAN zuweise, dies automatisch angelegt wird?
Du kannst VLANs einzeln oder VLAN-Ranges erstellen:
Cat2(config)#vlan 10
Cat2(config-vlan)#exit
Cat2(config)#
Cat2(config)#vlan 11,12,13,14 
Cat2(config-vlan)#
Cat2(config-vlan)#exit
Cat2(config)#
Cat2(config)#vlan 15-20
Cat2(config-vlan)#end
Cat2#
Cat2#sh vlan brief
VLAN Name                             Status    Ports
1    default                          active    Et0/0, Et0/1, Et0/2, Et0/3
                                                Et1/0, Et1/1, Et1/2, Et1/3
                                                Et2/1, Et2/2, Et2/3, Et3/0
                                                Et3/1, Et3/2, Et3/3
10   VLAN0010                         active    
11   VLAN0011                         active    
12   VLAN0012                         active    
13   VLAN0013                         active    
14   VLAN0014                         active    
15   VLAN0015                         active    
16   VLAN0016                         active    
17   VLAN0017                         active    
18   VLAN0018                         active    
19   VLAN0019                         active    
20   VLAN0020                         active    
1002 fddi-default                     act/unsup 
1003 token-ring-default               act/unsup 
1004 fddinet-default                  act/unsup 
1005 trnet-default                    act/unsup 
Cat2#
oder automatisch, wenn du den Port konfigurierst:
Cat2(config)#int e1/0                 
Cat2(config-if)#switchport mode access   
Cat2(config-if)#switchport access vlan 50
Cat2(config-if)#
Cat2(config-if)#exit
Cat2(config)#
Cat2(config)#int range e1/1-3
Cat2(config-if-range)#switchport mode access   
Cat2(config-if-range)#switchport access vlan 55 
Cat2(config-if-range)#exit
Cat2(config)#
Cat2(config)#end
Es kommt darauf an, ob du auf einem Switch Access-Ports als Teilnehmer in den VLANs benötigst.
Standardmäßig sind alle VLANs auf den Trunks erlaubt? Werden hier neu angelegte VLANs automatisch mit über den Trunk übertragen?
Wenn du einen Port als Trunkport konfigurierst wird er automatisch Teilnehmer in allen konfigurierten VLANs. Überprüfen kannst du das mit dem Kommando: "show interface trunk".
Cat2(config)#interface e0/0                       
Cat2(config-if)#switchport trunk encapsulation dot1q 
Cat2(config-if)#switchport mode trunk                        
Cat2(config-if)#end 
Cat2#
Cat2#
Cat2#show interface e0/0 trunk

Port        Mode             Encapsulation  Status        Native vlan
Et0/0       on               802.1q         trunking      1

Port        Vlans allowed on trunk
Et0/0       1-4094

Port        Vlans allowed and active in management domain
Et0/0       1,10-20

Port        Vlans in spanning tree forwarding state and not pruned
Et0/0       1,10-20
Cat2#
Achte dabei auf die Zeile "VLANs allowed on Trunk". Cisco nennt dies die "VLAN allowed list".

Hoffentlich hilft dir das erstmal etwas und mein Text ist nicht zu "durcheinander". Ich hatte leider nicht viel Zeit zum formulieren.

BB
Mitglied: malawi
malawi 08.09.2017 um 08:33:38 Uhr
Goto Top
Zitat von @brammer:

Hallo,


Nehmen wir an ich möchte 50 VLANs anlegen. > Einige davon liegen im Bereich 2-1002 und
einige im Bereich 1006-4000. Muss ich diese
50 Stck. auf jedem Switch händisch
konfigurieren? Das muss doch einfacher
gehen...

Wieso einfacher?
Eine Switch Konfiguration ist ja nichts was mehrfach täglich geändert wird....
Nimm einTemplate und kopiere das...
Das ist ja das angenehme bei Cisco... die config ist ein Textfile das du editieren und sogar mittels Skript erstellen kannst...
5 oder 50 VLAN ... 5 min Arbeit....
Brammer
Vielen Dank Brammer. Ich muss mich erst mit Templates beschäftigen da ich neu in der Cisco-Welt bin. Aber danke für den Hinweis! Wie sichert ihr eure Configs? Bin gerade dabei mir einen vsftp-server zu installieren um dort meine Configs abzulegen. Gibt es hier bessere Wege?

Zitat von @aqui:

aber wäre nicht GVRP bzw. MVRP das, was der TO sucht?
Das muss er nicht suchen, denn in einer reinrassigen Cisco Umgebung kann er auch VTP nehmen. Ist zwar Cisco proprietär, macht aber das gleiche wie GVRP und wie immer bei Cisco noch ein klein wenig mehr. Dafür hängt man aber am Cisco Fliegenfänger.
GVRP und VTP sind aber logischerweise inkompatibel. In einem heterogenen Infrastrruktur Umfeld mit verschiedenen Herstellern ists also dann aus mit dynamischer VLAN Distribution.
Da wäre wie immer ein Standard angebracht und das ist dann GVRP. Das klappt auch wunderbar Hersteller übergreifend aber die Weltfirma Cisco hat leider das GVRP nach und nach aus dem IOS rausgenommen. face-sad Cisco ist also bei GVRP dann wieder zum Großteil draußen.
Solange man also einen Cisco freie gemischte Umgebung hat ist dann GVRP das Mittel der Wahl.
Letztlich sind dynmaische VLANs immer ein erhebliches Sicherheitsrisiko. Man distribuiert da dann oft VLANs in alle Ecken des Netzwerkes wo man sie gar nicht haben will und auch nutzen will.
Von der damit verbundenen Performance Einschränkungen auf den tagged Uplinks und Sicherheits Problematiken mal gar nicht zu reden.
Um das dann wieder wasserdicht mit Pruning usw. zu customizen erfordert das einen großen Konfig Aufwand.
Man sollte sich das also wohlweisslich überlegen ob man solcherlei Protokolle einsetzt.
In kleinen Popelnetzen mit 5 oder 10 Switches ist das so oder so nie erforderlich und verkompliziert das Management nur unnötig wenn man auch VLAN Sicherheit will.
Muss aber jeder letztlich selber für sich entscheiden.

Danke aqui, für deine stets professionelle Hilfe!

Zitat von @em-pie:

klingt in Summe einleuchtend und zugleich "ernüchternd", insbesondere in Punkto Eigenbrödlerei seitens Cisco face-sad

Danke für gute deine Rückinfo, aqui face-smile

In Summe also Haken dran und "vergessen"...

Dennoch danke, dass du deine Gedanken eingebracht hast face-smile

Zitat von @BitBurg:

Hallo kevische,

Zitat von @malawi:
Dabei haben wir verschiedene VLANs definiert. Einige davon sind im Bereich 2-1004 und einige im Bereich 1006-4095.
Aus historischen Gründen sind bei Cisco IOS Switches die VLANs in zwei Bereiche unterteilt. Die Normal Range (1-1005) und die Extended Range (1006-4094) VLANs. Im Standard (IEEE 802.1Q) ist VLAN 0 für Priority Tagging festgelegt und VLAN 4095 ist reserviert, können also auch in Cisco IOS nicht genutzt werden.
In Cisco IOS sind außerdem die VLANs 1002-1005 nicht nutzbar, da sie für FDDI/Token-Ring translational Bridging reserviert sind.
Es bleiben also die VLANs 1-1001 (normal-range) und 1006-4094 (extended-range) als gültige Ethernet-VLANs übrig. Standardmäßig ist auf IOS Switches VTP aktiv. EXtended-Range VLANs kann man nur erstellen, wenn der Switch entweder im VTP Transparent Mode arbeitet oder VTP Version 3 kann. Was du offensichtlich schon umgestellt hast.
Zunächst mal vielen Dank für deine sehr ausführliche Antwort! So lernt man was! Spitze face-smile

Also ist es am Ende nicht ratsam VLANs in der Extended Range einzuplanen wenn nicht unbedingt notwendig?

Cisco nennt L3-Switches "Multilayer Switches (MLS)". Bei diesen Switches kann man Ethernet-Ports als L3-Ports (routed ports) arbeiten lassen. Dazu wird intern ein VLAN aus dem Bereich 1006 - 4094 benutzt und ein virtuelles Interface (SVI) erstellt, dem man dann eine IP-Adresse zuweisen kann. Bei den abgezwackten VLANs beginnt IOS entweder von "oben" (4095 abwärts) oder von unten (1006 aufwärts). Das ist von der IOS Version abhängig und bei manchen Versionen konfigurierbar.

Testen kann man das, indem man IP-Routing einschaltet, einen Routed Port erstellt und sich das VLAN anzeigen lässt.
> Cat2(config)#ip routing  
> Cat2(config)#
> Cat2(config)#interface e2/0
> Cat2(config-if)#no switchport
> Cat2(config-if)#
> Cat2(config-if)#end
> Cat2#
> Cat2#
> Cat2#sh vlan internal usage
> 
> VLAN Usage
> ---- --------------------
> 1006 Ethernet2/0
> 

Im Bespiel beginnt der Switch von "unten". Dieses VLAN wird also intern benutzt und steht nicht mehr zur Verfügung.
Wobei ich aktuell nicht genau weiß, ob wir im Core-Bereich (der nicht sonderlich groß ist, lediglich ein Stack aus 3 Switchen) überhaupt L3-Switche einsetzen werden. Insofern müsste doch das Problem mit den internen VLANs nicht bestehen oder?
Wie ist hier das übliche Vorgehen? Kann ich überhaupt mehrere VLANs auf einen Schlag anlegen? Oder ist dies gar nicht nötig weil ich, sobald ich einem Access-Port ein VLAN zuweise, dies automatisch angelegt wird?
Du kannst VLANs einzeln oder VLAN-Ranges erstellen:
> Cat2(config)#vlan 10
> Cat2(config-vlan)#exit
> Cat2(config)#
> Cat2(config)#vlan 11,12,13,14 
> Cat2(config-vlan)#
> Cat2(config-vlan)#exit
> Cat2(config)#
> Cat2(config)#vlan 15-20
> Cat2(config-vlan)#end
> Cat2#
> Cat2#sh vlan brief
> VLAN Name                             Status    Ports
> 1    default                          active    Et0/0, Et0/1, Et0/2, Et0/3
>                                                 Et1/0, Et1/1, Et1/2, Et1/3
>                                                 Et2/1, Et2/2, Et2/3, Et3/0
>                                                 Et3/1, Et3/2, Et3/3
> 10   VLAN0010                         active    
> 11   VLAN0011                         active    
> 12   VLAN0012                         active    
> 13   VLAN0013                         active    
> 14   VLAN0014                         active    
> 15   VLAN0015                         active    
> 16   VLAN0016                         active    
> 17   VLAN0017                         active    
> 18   VLAN0018                         active    
> 19   VLAN0019                         active    
> 20   VLAN0020                         active    
> 1002 fddi-default                     act/unsup 
> 1003 token-ring-default               act/unsup 
> 1004 fddinet-default                  act/unsup 
> 1005 trnet-default                    act/unsup 
> Cat2#
> 
oder automatisch, wenn du den Port konfigurierst:
> Cat2(config)#int e1/0                 
> Cat2(config-if)#switchport mode access   
> Cat2(config-if)#switchport access vlan 50
> Cat2(config-if)#
> Cat2(config-if)#exit
> Cat2(config)#
> Cat2(config)#int range e1/1-3
> Cat2(config-if-range)#switchport mode access   
> Cat2(config-if-range)#switchport access vlan 55 
> Cat2(config-if-range)#exit
> Cat2(config)#
> Cat2(config)#end
> 
Es kommt darauf an, ob du auf einem Switch Access-Ports als Teilnehmer in den VLANs benötigst.
Genau das habe ich gesucht, mehrere VLANs mit einem Befehl zu erstellen. Das hätte ich einfach auch mal probieren können....
Standardmäßig sind alle VLANs auf den Trunks erlaubt? Werden hier neu angelegte VLANs automatisch mit über den Trunk übertragen?
Wenn du einen Port als Trunkport konfigurierst wird er automatisch Teilnehmer in allen konfigurierten VLANs. Überprüfen kannst du das mit dem Kommando: "show interface trunk".
> Cat2(config)#interface e0/0                       
> Cat2(config-if)#switchport trunk encapsulation dot1q 
> Cat2(config-if)#switchport mode trunk                        
> Cat2(config-if)#end 
> Cat2#
> Cat2#
> Cat2#show interface e0/0 trunk
> 
> Port        Mode             Encapsulation  Status        Native vlan
> Et0/0       on               802.1q         trunking      1
> 
> Port        Vlans allowed on trunk
> Et0/0       1-4094
> 
> Port        Vlans allowed and active in management domain
> Et0/0       1,10-20
> 
> Port        Vlans in spanning tree forwarding state and not pruned
> Et0/0       1,10-20
> Cat2#
> 
Achte dabei auf die Zeile "VLANs allowed on Trunk". Cisco nennt dies die "VLAN allowed list".

Hoffentlich hilft dir das erstmal etwas und mein Text ist nicht zu "durcheinander". Ich hatte leider nicht viel Zeit zum formulieren.

BB
Danke, deine Antwort war mehr als erwartet face-smile

Ich habe auf den Switches erstmal VTP auf OFF gesetzt und lege die VLANs händisch an. Momentan haben wir nur eine Hand voll davon, soll sich aber in Zukunft ändern. Da wir zukünftig nur noch Cisco kaufen werden liegt es nahe auch dann wieder VTP in der Version 3 einzusetzen.

Ich danke euch vielmals. Es werden vermutlich noch mehrere Fragen im Bereich Cisco zukünftig von mir kommen. Man kann viel auf den Cisco-Seiten lesen, jedoch übersetzt man das auch oft falsch für sich selbst und ein paar Worte von erfahrenen Administratoren sind dann doch mehr wert!

Danke euch und ein schönes Wochenende!
Mitglied: aqui
Lösung aqui 08.09.2017 um 09:53:11 Uhr
Goto Top
Wie sichert ihr eure Configs?
Auf einem NAS im Netz was TFTP kann und dann write net auf dem Gerät.
Oder noch pfiffiger mit Git:
https://www.heise.de/ct/ausgabe/2016-15-Cisco-Konfigurationsdateien-mit- ...
Es gibt zudem hunderte von Scripten im Internet die das automatisieren mit Expect etc....
lediglich ein Stack aus 3 Switchen) überhaupt L3-Switche einsetzen werden.
Das sollte man aber zwingend, denn wie willst du denn sonst zwiscxhen deinen segmentierten VLANs routen ??
Du wirst ja wohl hoffentlich nicht alles in ein flaches, dummes Layer 2 Netz stecken, oder ??
In einer L2 Broadcast Domain sollten nie mahr als 150 Endgeräte arbeiten !
Es werden vermutlich noch mehrere Fragen im Bereich Cisco zukünftig von mir kommen
Wir sind gespannt face-smile
Mitglied: malawi
malawi 08.09.2017 um 14:44:35 Uhr
Goto Top
Zitat von @aqui:

Wie sichert ihr eure Configs?
Auf einem NAS im Netz was TFTP kann und dann write net auf dem Gerät.
Oder noch pfiffiger mit Git:
https://www.heise.de/ct/ausgabe/2016-15-Cisco-Konfigurationsdateien-mit- ...
Es gibt zudem hunderte von Scripten im Internet die das automatisieren mit Expect etc....
Super danke!
lediglich ein Stack aus 3 Switchen) überhaupt L3-Switche einsetzen werden.
Das sollte man aber zwingend, denn wie willst du denn sonst zwiscxhen deinen segmentierten VLANs routen ??
Du wirst ja wohl hoffentlich nicht alles in ein flaches, dummes Layer 2 Netz stecken, oder ??
In einer L2 Broadcast Domain sollten nie mahr als 150 Endgeräte arbeiten !
Also ich muss dazu sagen, dass ich in der Ausbildung bin und deshalb nicht über alles exakt bescheid weiß. Ich denke jedoch, dass das Routing von unseren Firewalls mit übernommen werden soll.

Gruß
Mitglied: BitBurg
BitBurg 11.09.2017 aktualisiert um 19:40:06 Uhr
Goto Top
Hallo Kevische,

bitte zitiere in Zukunft nicht Beiträge komplett. Deine Frage hätte ich jetzt beinahe überlesen.
Zitat von @malawi:
Also ist es am Ende nicht ratsam VLANs in der Extended Range einzuplanen wenn nicht unbedingt notwendig?
Was die Extended-VLANs betrifft, bedenke mal folgendes: Es ist üblich, dass man per VLAN ein Subnetz benutzt. Mit den Normal-VLANs hast du 1000 VLANs = 1000 Subnetze zur Verfügung, was für die allermeisten Fälle mehr als ausreichend ist. Wozu dann überhaupt Extended-VLANs?
Die Hauptaufgabe von VTP ist es, VLANs zentral zu verwalten. In der Regel macht man einen Switch zum VTP-Server, einen zum Backup-Server und die restlichen Switches konfiguriert man als VTP-Clients. Das Port-VLAN-Mapping, die Konfiguration der Trunk-Ports sowie Spanning-Tree und Security-Features sollte bzw. muss man eh auf jedem Switch von Hand konfigurieren. Warum dann nicht gleich auch die VLANs von Hand erstellen? Dadurch bekommt man eine gewisse Routine und man kann es schnell bei der Konfiguration der Ports mit erledigen. Die CLI hat den großen Vorteil, dass man sich in einem Texteditor eine Konfiguration erstellen kann und diese dann nur auf die jeweiligen Switches anpasst. Damit kann man auch Flüchtigkeitsfehler gut ausschließen.

Du solltest nur Dinge konfigurieren, die du auch wirklich brauchst. Und, noch viel wichtiger, die du auch gut verstanden hast (gerade bei VTP gibt es einiges zu beachten).

Das wäre mein Rat bzw. meine Empfehlung.

Viel Erfolg
BB

PS. Die VLAN/VTP-Einstellungen bei IOS-Switches werden in einer Datei namens vlan.dat im Flash des Switches gespeichert. Wenn du ein Backup machen willst, solltest du generell immer diese Datei mit sichern.
Mitglied: malawi
malawi 13.09.2017 um 17:41:56 Uhr
Goto Top
Zitat von @BitBurg:
bitte zitiere in Zukunft nicht Beiträge komplett. Deine Frage hätte ich jetzt beinahe überlesen.

Okay, das leuchtet mir ein!


Vielen Dank für deinen Beitrag. Im Grunde hast du natürlich recht. Wir haben in unserem IPAM jedoch schon Adressen im Extended-Bereich eingeplant, deshalb habe ich gefragt. Jetzt muss ich mal nachschauen, ob man das auch anders einplanen kann.

Mir persönlich ist es ehrlich gesagt auch lieber, an jedem Switch einzeln zu konfigurieren. In unserem Umfeld (ca. 50 Switche am Standort) ist das noch vertretbar. Ich habe aktuell alle Edge-Ports mit Portfast und BPDU-Guard konfiguriert. Mehr habe ich mich aktuell nicht getraut, weil noch zu wenig Erfahrung und Wissen.

Vielen Dank!

Gruß