9
Management VLAN nicht erreichbar
hi,
ich hab auf einem Cisco L2 switch (IOS (tm) C2950 Software (C2950-I6Q4L2-M), Version 12.1(20)EA1, RELEASE SOFTWARE (fc1)) das management vlan geändert.
das neue VLAN 250 is up/up. Der Trunk zum nächsten switch lässt VLAN 250 durch. Jedoch kann ich den Switch nicht über 10.X.X.38 erreichen. Auch ein PING vom Switch aus schlägt fehl.
Der Switch kann keine ARP requests durchführen bzw. erhält auf eine ARP broadcast keine Antwort.
Hab diese Geschichte mittlerweile bei 2 von 20 Switchen. Sogar bei switches mit identischer IOS version funktionierts. Bevor ich das neue VLAN aufgedreht hab, war der switch über seine alte 128er Adresse erreichbar.
#sh ip int brief
Interface IP-Address OK? Method Status Protocol
Vlan1 128.1.1.86 YES NVRAM administratively down down
Vlan250 10.X.X.38 YES manual up up
Hat dazu jmd eine Idee?
ich hab auf einem Cisco L2 switch (IOS (tm) C2950 Software (C2950-I6Q4L2-M), Version 12.1(20)EA1, RELEASE SOFTWARE (fc1)) das management vlan geändert.
das neue VLAN 250 is up/up. Der Trunk zum nächsten switch lässt VLAN 250 durch. Jedoch kann ich den Switch nicht über 10.X.X.38 erreichen. Auch ein PING vom Switch aus schlägt fehl.
Der Switch kann keine ARP requests durchführen bzw. erhält auf eine ARP broadcast keine Antwort.
Hab diese Geschichte mittlerweile bei 2 von 20 Switchen. Sogar bei switches mit identischer IOS version funktionierts. Bevor ich das neue VLAN aufgedreht hab, war der switch über seine alte 128er Adresse erreichbar.
#sh ip int brief
Interface IP-Address OK? Method Status Protocol
Vlan1 128.1.1.86 YES NVRAM administratively down down
Vlan250 10.X.X.38 YES manual up up
Hat dazu jmd eine Idee?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 149107
Url: https://administrator.de/contentid/149107
Printed on: April 24, 2024 at 10:04 o'clock
9 Comments
Latest comment
Hi troeet, verwendest du in deinem Netzwerk einen zusätzlichen Core Switch der die V-LAN configuration hostet oder machst du dies an allen Switchen selber. Also wir verwenden 2 Catalyst 6500 als core (einer ist Master der andere Slave). Dort haben wir das Management V-LAN folgendermaßen eingerichtet:
Master:
interface Vlan250
ip address 10.X.X.1 255.255.255.0 (Adresse des Switches und Subnet)
no ip proxy-arp
standby 1 ip 10.X.X.250 (Gateway)
standby 1 preempt
standby 1 authentication (passwort wenn du hsrp verwendest)
Slave:
interface Vlan250
ip address 10.X.X.2 255.255.255.0 (Adresse des Switches und Subnet)
no ip proxy-arp
standby 1 ip 10.X.X.250 (Gateway)
standby 1 priority 90
standby 1 preempt
standby 1 authentication (passwort wenn du hsrp verwendest)
An den Access Switchen (catalyst 3560x) sieht die Konfig bei uns folgendermaßen aus:
interface Vlan250
ip address 10.X.X.21 255.255.255.0 (Adresse des Switches und Subnet)
no ip proxy-arp
!
ip default-gateway 10.X.X.250 (Gateway)
ip classless
ip route 0.0.0.0 0.0.0.0 10.X.X.250 (für die Route)
Die Umstellung seinerzeit hat damit problemlos funktioniert.
Gruß
virtuelleruser
Master:
interface Vlan250
ip address 10.X.X.1 255.255.255.0 (Adresse des Switches und Subnet)
no ip proxy-arp
standby 1 ip 10.X.X.250 (Gateway)
standby 1 preempt
standby 1 authentication (passwort wenn du hsrp verwendest)
Slave:
interface Vlan250
ip address 10.X.X.2 255.255.255.0 (Adresse des Switches und Subnet)
no ip proxy-arp
standby 1 ip 10.X.X.250 (Gateway)
standby 1 priority 90
standby 1 preempt
standby 1 authentication (passwort wenn du hsrp verwendest)
An den Access Switchen (catalyst 3560x) sieht die Konfig bei uns folgendermaßen aus:
interface Vlan250
ip address 10.X.X.21 255.255.255.0 (Adresse des Switches und Subnet)
no ip proxy-arp
!
ip default-gateway 10.X.X.250 (Gateway)
ip classless
ip route 0.0.0.0 0.0.0.0 10.X.X.250 (für die Route)
Die Umstellung seinerzeit hat damit problemlos funktioniert.
Gruß
virtuelleruser
hi
ja wir sezten ebenfalls 2 core switches ein wo auch alle vlans konfiguriert werden.
danke für den tip aber der swtich hat keine routing funktionalität => layer2 switch. der befehl ip route im global mode ist nicht verfügbar.
ein "debug arp" zeigt dass keinerlei arp requests beantwortet werden. auf dem switch sind 2 trunks zu unterschiedlichen switches die jeweils alle vlans forwarden.
ja wir sezten ebenfalls 2 core switches ein wo auch alle vlans konfiguriert werden.
danke für den tip aber der swtich hat keine routing funktionalität => layer2 switch. der befehl ip route im global mode ist nicht verfügbar.
ein "debug arp" zeigt dass keinerlei arp requests beantwortet werden. auf dem switch sind 2 trunks zu unterschiedlichen switches die jeweils alle vlans forwarden.
Hi,
mein verständniss von V-LANs wahr eigendlich immer dass zwischen den V-LANs geroutet werden muss. Das ist wie mit unterschiedlichen Netzen. Wenn dein Core dies nicht kann dann könnte ich mir vorstellen dass in deinem Router die Adressen hinterlegt sein müssen. Mit Layer 2 habe ich da noch nicht soviel Erfahrung, da wir erst vor knapp einem halben Jahr mit Cisco angefangen haben und das ganze dann gleich auf Layer 3 (Umsetzung und Segmentierung von ca. 1000 Rechnern in 20 V-LANs mit diversen ACL)
MfG
virtuelleruser
mein verständniss von V-LANs wahr eigendlich immer dass zwischen den V-LANs geroutet werden muss. Das ist wie mit unterschiedlichen Netzen. Wenn dein Core dies nicht kann dann könnte ich mir vorstellen dass in deinem Router die Adressen hinterlegt sein müssen. Mit Layer 2 habe ich da noch nicht soviel Erfahrung, da wir erst vor knapp einem halben Jahr mit Cisco angefangen haben und das ganze dann gleich auf Layer 3 (Umsetzung und Segmentierung von ca. 1000 Rechnern in 20 V-LANs mit diversen ACL)
MfG
virtuelleruser
ja das stimmt schon. der core switch macht das inter vlan routing. das funktioniert auch sehr gut. nur einige switches machen probleme.
standardmäßig ging nach einem "no shutdown" in neuem vlan automatisch das alte vlan in "shutdown state". bei einigem ist das nicht so. ios 12.1(20)
EA1.
standardmäßig ging nach einem "no shutdown" in neuem vlan automatisch das alte vlan in "shutdown state". bei einigem ist das nicht so. ios 12.1(20)
EA1.
Der Switch ist doch erreichbar. Allerdings nur über einen der beiden trunks. Beide Trunks sind identisch konfiguriert
Port Mode Encapsulation Status Native vlan
Gi0/1 on 802.1q trunking 1
Gi0/2 on 802.1q trunking 1
Port Vlans allowed on trunk
Gi0/1 1-4094
Gi0/2 1-4094
Port Vlans allowed and active in management domain
Gi0/1 XX
Gi0/2 XX
Port Vlans in spanning tree forwarding state and not pruned
Gi0/1 XX
Gi0/2 XX
Port Mode Encapsulation Status Native vlan
Gi0/1 on 802.1q trunking 1
Gi0/2 on 802.1q trunking 1
Port Vlans allowed on trunk
Gi0/1 1-4094
Gi0/2 1-4094
Port Vlans allowed and active in management domain
Gi0/1 XX
Gi0/2 XX
Port Vlans in spanning tree forwarding state and not pruned
Gi0/1 XX
Gi0/2 XX
Bedenke das das default VLAN bzw. die Default VLAN ID bei Cisco immer untagged an einem Trunk liegt. Änderst du die Default VLAN ID (Standard Setting ist 1) musst du das beim Switch am anderen Ende auch machen sonst hast du ein Tagging Mismatch (Tagged auf untagged) was natürlich niemals klappen kann.
Vermutlich bist du in diese Falle getappt !
Vermutlich bist du in diese Falle getappt !
leider nein, das native vlan ist bei allen trunks vlan 1.
Du hast aber oben genau das Gegenteil geschrieben !! Dort hast du gesagt das das Management VLAN also das native VLAN auf 250 gelegt wurde ??!!
Ansonsten ist dein VLAN 250 ein stinknormales VLAN was dann auch immer tagged auf den Trunks übertragen wird wenn dort Tagging aktiviert ist wie z.B.:
interface GigabitEthernet0/1
description Tagged Uplink
switchport mode trunk
switchport trunk encapsulation dot1q
!
Sofern das dann konsistent auf allen Backbone Links eingestellt ist und auf allen Switches ein interface VLAN 250 mit gültiger IP Adresse existiert wird das VLAN 250 auch transparent überall hin übertragen und alle VLAN IPs sind erreichbar.
Statt des Shutdowns von "VLAN 1" interface kannst du das auch mit no.... entfernen.
Generell belässt man das Management im VLAN1 und sichert dies mit ACL gegen Fremdzugriff ab. Was ist der Sinn das auf ein anderes VLAN zu heben ??
Ansonsten ist dein VLAN 250 ein stinknormales VLAN was dann auch immer tagged auf den Trunks übertragen wird wenn dort Tagging aktiviert ist wie z.B.:
interface GigabitEthernet0/1
description Tagged Uplink
switchport mode trunk
switchport trunk encapsulation dot1q
!
Sofern das dann konsistent auf allen Backbone Links eingestellt ist und auf allen Switches ein interface VLAN 250 mit gültiger IP Adresse existiert wird das VLAN 250 auch transparent überall hin übertragen und alle VLAN IPs sind erreichbar.
Statt des Shutdowns von "VLAN 1" interface kannst du das auch mit no.... entfernen.
Generell belässt man das Management im VLAN1 und sichert dies mit ACL gegen Fremdzugriff ab. Was ist der Sinn das auf ein anderes VLAN zu heben ??
Das Native VLAN ist VLAN 1. Das Management VLAN ist eigenständig: VLAN 250
Nun hab ich folgendes Problem. Vereinfacht:
SW1 <-> SW2 <-> SW3
Sw1, Sw3 sind über management ip erreichbar. Sw2 hingegen ist nur über Sw3 erreichbar. Jedoch kein PING zwischen Sw1 und Sw2. Die ARP request erhalten kein reply auf beiden Seiten. Es sind keine Access Lists konfiguriert. Die beiden trunks sind konfiguriert dass sie alle VLANs durchlassen. Kein pruning, alle VLANs erlaubt.
Jmd eine Idee woran das liegen könnte, bzw. wie ich das debuggen kann?
Nun hab ich folgendes Problem. Vereinfacht:
SW1 <-> SW2 <-> SW3
Sw1, Sw3 sind über management ip erreichbar. Sw2 hingegen ist nur über Sw3 erreichbar. Jedoch kein PING zwischen Sw1 und Sw2. Die ARP request erhalten kein reply auf beiden Seiten. Es sind keine Access Lists konfiguriert. Die beiden trunks sind konfiguriert dass sie alle VLANs durchlassen. Kein pruning, alle VLANs erlaubt.
Jmd eine Idee woran das liegen könnte, bzw. wie ich das debuggen kann?
