jimmysozinho
Goto Top

Switch Cisco SG550XG und 2960X L3 und L2 VLAN Routing Problem

Hallo Zusammen
ich komme nicht weiter.. wir haben hier ein Cisco SG550XG24F als Layer3 Switch in Kombination mit mehreren Cisco 2960X als Layer 2.
Beim aufsetzen haben wir diverse VLAN's (1,10,20,30,40,50,60,80-83) erstellt sowie IPs vergeben.

Folgende Problematik stellten wir nun fest bei den ersten Tests.
- SG550XG24F konnte alles pingen
- Host an SG550XG24f konnte sowohl VLAN 1 beide Switch pingen sowie den anderen Host im VLAN60.
- Cisco 2960X konnte Layer 3 Switch Sg550XG24 auf VLAN 1 pingen sowie Host im VLAN60 auf dem selben Switch (Layer2)
- Host (VLAN60) an Cisco 2960X konnte Host auf SG550XG24F im VLAN60 pingen

jetzt kommen wir zu dem eigentlich Problem..
der Layer 2 Switch Cisco 2960X kann jedoch nicht Host anpingen auf SG550XG24F

anbei die Konfig der beiden Switches.

vielen Dank im voraus für eure Unterstützung.

config-file-header
swi-hu-ug-mi-l3
v2.2.8.4 / RTESLA2.2.8_810_225_003
CLI v1.0
file SSD indicator encrypted
@
ssd-control-start 
ssd config 
ssd file passphrase control unrestricted 
no ssd file integrity control 
ssd-control-end cb0a3fdb1f3a1af4e4430033719968c0 
!
!
unit-type-control-start 
unit-type unit 1 network te uplink none 
unit-type unit 2 network te uplink none 
unit-type unit 3 network te uplink none 
unit-type unit 4 network te uplink none 
unit-type unit 5 network te uplink none 
unit-type unit 6 network te uplink none 
unit-type unit 7 network te uplink none 
unit-type unit 8 network te uplink none 
unit-type-control-end 
!
vlan database
vlan 10,20,30,40,50,60,80-83 
exit
voice vlan oui-table add 0001e3 Siemens_AG_phone________
voice vlan oui-table add 00036b Cisco_phone_____________
voice vlan oui-table add 00096e Avaya___________________
voice vlan oui-table add 000fe2 H3C_Aolynk______________
voice vlan oui-table add 0060b9 Philips_and_NEC_AG_phone
voice vlan oui-table add 00d01e Pingtel_phone___________
voice vlan oui-table add 00e075 Polycom/Veritel_phone___
voice vlan oui-table add 00e0bb 3Com_phone______________
bonjour interface range oob
hostname swi-hu-ug-mi-l3
username cisco password encrypted 4f499ee9f1d9593e88eb13941b0b7d79502d139c privilege 15 
ip ssh server
snmp-server server
snmp-server location "EDV Raum"  
snmp-server contact IT
ip telnet server
!
interface vlan 1
 ip address 10.0.0.2 255.255.255.0 
!
interface vlan 10
 ip address 10.0.10.1 255.255.255.0 
!
interface vlan 20
 ip address 10.0.20.1 255.255.255.0 
!
interface vlan 30
 ip address 10.0.30.1 255.255.255.0 
!
interface vlan 40
 ip address 10.0.40.1 255.255.255.0 
!
interface vlan 50
 ip address 10.0.50.1 255.255.255.0 
!
interface vlan 60
 ip address 10.0.60.1 255.255.255.0 
!
interface vlan 80
 ip address 10.0.80.1 255.255.255.0 
!
interface vlan 81
 ip address 10.0.81.1 255.255.255.0 
!
interface vlan 82
 ip address 10.0.82.1 255.255.255.0 
!
interface vlan 83
 ip address 10.0.83.1 255.255.255.0 
!
interface TengigabitEthernet1/0/1
 switchport mode trunk 
!
interface TengigabitEthernet1/0/2
 switchport mode trunk 
!
interface TengigabitEthernet1/0/3
 switchport mode trunk 
!
interface TengigabitEthernet1/0/4
 switchport mode trunk 
!
interface TengigabitEthernet1/0/5
 switchport mode trunk 
!
interface TengigabitEthernet1/0/6
 switchport mode trunk 
!
interface TengigabitEthernet1/0/7
 switchport mode trunk 
!
interface TengigabitEthernet1/0/8
 switchport mode trunk 
!
interface TengigabitEthernet1/0/9
 switchport mode trunk 
!
interface TengigabitEthernet1/0/10
 switchport mode trunk 
!
interface TengigabitEthernet1/0/11
 switchport mode trunk 
!
interface TengigabitEthernet1/0/12
 switchport mode trunk 
 switchport trunk allowed vlan remove 2-59,61-4094 
!
interface TengigabitEthernet1/0/13
 switchport mode trunk 
!
interface TengigabitEthernet1/0/14
 switchport access vlan 10 
!
interface TengigabitEthernet1/0/15
 switchport access vlan 10 
!
interface TengigabitEthernet1/0/16
 switchport access vlan 10 
!
interface TengigabitEthernet1/0/17
 switchport access vlan 10 
!
interface TengigabitEthernet1/0/18
 switchport access vlan 60 
!
interface TengigabitEthernet1/0/19
 switchport access vlan 80 
!
interface TengigabitEthernet1/0/20
 switchport access vlan 81 
!
interface TengigabitEthernet1/0/21
 switchport access vlan 82 
!
interface TengigabitEthernet1/0/22
 switchport access vlan 83 
!
exit
ip route 10.0.60.0 /24 10.0.60.65 metric 1 

!
! Last configuration change at 08:13:44 UTC Thu Apr 27 2017
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service sequence-numbers
!
hostname swi-hu-og1-su
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$qBJ3$8lDyZjQdgQZiQfbHruDoV0
enable password Vapehape41254125
!
no aaa new-model
switch 1 provision ws-c2960x-24ps-l
!
!
!
!
!
!
vtp mode transparent
!
!
!
!
!
!
!
!
crypto pki trustpoint TP-self-signed-3523396992
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-3523396992
 revocation-check none
 rsakeypair TP-self-signed-3523396992
!
!
crypto pki certificate chain TP-self-signed-3523396992
 certificate self-signed 01
  3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030 
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 
  69666963 6174652D 33353233 33393639 3932301E 170D3137 30343235 31383435 
  30335A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649 
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 35323333 
  39363939 3230819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 
  8100AB91 41283D59 4EC88F8D 46CB28D3 80653D91 99202A88 C452CB23 8DD1BE12 
  C39E4907 40015230 DA291B84 29A22E5D EFD10960 0DEED987 001E0A35 77D1AF31 
  77757B93 BDBC2CDC D82065EA 9551AB3C 49EC72B1 5C5BAA33 D107C29E 1B11BEA0 
  D1A0E21C A01461B6 65799AA9 B5A8CE63 284183AE 303114FB 83008CA1 9F7927FF 
  44D70203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603 
  551D2304 18301680 144D7FDF 5B3DA4C3 40C8A888 3C5AE352 4683D0D2 D3301D06 
  03551D0E 04160414 4D7FDF5B 3DA4C340 C8A8883C 5AE35246 83D0D2D3 300D0609 
  2A864886 F70D0101 05050003 8181009C 4B1D9D8F 3A5D0731 3ED40C2C 4EBB287F 
  35810164 13D73B5F 9F18F32B 641743C0 5694576A B84C4A0A F9D1209A 7CB30C7F 
  7D342CA1 EBE1DB72 EF625F5E C5AA5DAE 8305CCBF 955E91C8 C13AED81 925EA128 
  B16A50F6 5A68C3C3 F1F710FB B007EF28 ADD010DE 92F42A2A B544094B 71FCE19B 
  A2A2F53D 211B2B5C 09F9FF02 1834BC
  	quit
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
!
!
!
!
vlan internal allocation policy ascending
!
vlan 10,20,30,40,50,60,80-83 
!
!
! 
!
!
!
!
!
!
!
!
!
interface FastEthernet0
 no ip address
 no ip route-cache
!
interface GigabitEthernet1/0/1
!
interface GigabitEthernet1/0/2
 switchport access vlan 60
 switchport mode access
!
interface GigabitEthernet1/0/3
!
interface GigabitEthernet1/0/4
!
interface GigabitEthernet1/0/5
!
interface GigabitEthernet1/0/6
!
interface GigabitEthernet1/0/7
!
interface GigabitEthernet1/0/8
!
interface GigabitEthernet1/0/9
!
interface GigabitEthernet1/0/10
!
interface GigabitEthernet1/0/11
!
interface GigabitEthernet1/0/12
!
interface GigabitEthernet1/0/13
!
interface GigabitEthernet1/0/14
!
interface GigabitEthernet1/0/15
!
interface GigabitEthernet1/0/16
!
interface GigabitEthernet1/0/17
!
interface GigabitEthernet1/0/18
!
interface GigabitEthernet1/0/19
!
interface GigabitEthernet1/0/20
!
interface GigabitEthernet1/0/21
!
interface GigabitEthernet1/0/22
!
interface GigabitEthernet1/0/23
!
interface GigabitEthernet1/0/24
!
interface GigabitEthernet1/0/25
 switchport trunk allowed vlan 1,60
 switchport mode trunk
 switchport nonegotiate
!
interface GigabitEthernet1/0/26
!
interface GigabitEthernet1/0/27
!
interface GigabitEthernet1/0/28
!
interface Vlan1
 ip address 10.0.0.23 255.255.255.0
 no ip route-cache
!
ip default-gateway 10.0.0.2
no ip http server
no ip http secure-server
!
!
!
!
line con 0
line vty 0 4
 password vapehape41264126
 login
line vty 5 15
 password vapehape41264126
 login
!
!
end

Content-Key: 336276

Url: https://administrator.de/contentid/336276

Ausgedruckt am: 19.03.2024 um 06:03 Uhr

Mitglied: brammer
brammer 27.04.2017 um 12:21:32 Uhr
Goto Top
Hallo,

wieso du auf dem 550er 13 Ports als Trunk konfiguriert hast erschliesst sich mir überhaupt nicht.

Sind den die beiden Switche auch wie Konfiguriert verbunden?
2960:
interface GigabitEthernet1/0/25 
 switchport trunk allowed vlan 1,60 
 switchport mode trunk 
 switchport nonegotiate
 
550:
interface TengigabitEthernet1/0/12 
 switchport mode trunk  
 switchport trunk allowed vlan remove 2-59,61-4094  

Welche IOS version hat der 2960?
wenn die uralt ist kann es sein das
interface TengigabitEthernet1/0/12 
 switchport mode trunk  **enacpsulation dot1q**
 switchport trunk allowed vlan remove 2-59,61-4094  

fehlt.
unter alten Cisco IOS Versionen gab es noch ISL als Standard....


Oder ist das einer diese LAN-Lite Cisco Switche? Mit einem LAN Lite IOS?

Da habe ich die trunk config gerade nicht zur Hand.

brammer
Mitglied: Jimmysozinho
Jimmysozinho 27.04.2017 um 12:41:12 Uhr
Goto Top
Hallo brammer
vielen dank für deine Antwort!
auf dem SG550 ist Port 12 mittels LWL an Port 25 auf dem Cisco verbunden.
beide Geräte verfügen über die aktuellen Firmware Versionen.
SG 550 : 2.2.8.4
2960X : c2960x-universalk9-mz.152-5b.E

auf dem SG550 sind port 1-13 alle als trunk erstellt worden dieses dienen zur kommunikation mit den L2 switchen es folgen noch weitere VLANs auf den besagten ports höchstwahrscheinlich.
Mitglied: aqui
Lösung aqui 27.04.2017 aktualisiert um 14:44:19 Uhr
Goto Top
Die statische Router auf dem SG550:
ip route 10.0.60.0 /24 10.0.60.65 metric 1

ist routingtechnischer Schwachsinn wie du selber sehen kannst.
Die Router soll den Weg ins .60.0er IP Netz zeigen und das Gateway um dahinzukommen ist ebenfalls in diesem Netzwerk.
Wie soll er also das getway je erreichen in einem Netz was er gar nicht kennt bzw ihm erst durch die Route bekannt gemacht wird...??!
Sowas ist natürlich völliger Blödsinn und solltest du besser ganz schnell wieder löschen !
Das 10.0.60er Netz ist ja am L3 Switch SG550 direkt selber angeschlossen. Dieser Switch "kennt" also dieses Netzwerk und eine Route dahin ist überflüssiger Blödsinn und kontraproduktiv für die Routing Tabelle.
Der SG550 braucht lediglich einen Default Route auf den Internet Router oder Firewall mehr nicht.

Ansonsten hast du alles richtig gemacht außer ein paar lediglich kosmetischen Fehlern auf der IOS Switchkonfig die aber für die Funktion irrelevant sind. Zeigt ja auch schon die Tatsache das du soweit ja alles pingen kannst !
Das der 2960 den Host im VLAN 60 nicht anpingen kann liegt NICHT an deinem Netzwerk oder am Design (wenn man mal von der blödsinnigen IP Route oben absieht..) sondern an der lokalen Firewall des Hosts in VLAN 60.
Die blockt alles was aus fremden IP Netzen kommt und blockt zudem auch noch ICMP (Ping)
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Der 2960 hat ja eine 10.0.0.23 wohingegen der SG550 als L3 Switch eine eigene Absender IP aus dem VLAN 60 hat, deshalb kann der die Firewall passieren und pingen, der 2960 aber nicht.
Kommt man aber auch ganz einfach selber drauf wenn man mal etwas über die Adressierung und den Paket Flow nachdenkt face-wink
Zum Connectivity testen ist es also immer besser ein Endgerät zu nehmen was keine aktive Firewall hat wie Drucker usw.

Ein Wort der Warnung noch zum Schluss:
Der 2960 ist mit PVSTP+ im Spanning Tree konfiguriert. Bedenke das das NICHT kompatibel ist zum SG550, denn der kann nur ein Global Span Verfahren oder MSTP.
Global Span können aber IOS Switches nicht. Das kleinste gemeinsame Vielfache ist also MSTP auf das du beide Switches zwingend setzen solltest sofern du mit Spanning Tree überhaupt arbeiten willst.
Inkompatibel Spanning Tree Verfahren im Netz zu haben wird dir früher oder später erhebliche Probleme bereichten sofern du redundante Links betreibst !!
Mitglied: Jimmysozinho
Jimmysozinho 27.04.2017 um 16:25:25 Uhr
Goto Top
Hallo Aqui
vielen Dank für deine Antwort!
das erstellen der IP Routen wird vom Sg550 selbst übernommen. da kann ich nichts löschen! Anlegen ja aber die vom System erstellten Routen kann ich nicht löschen!

Das mit der Firewall war auch eine Idee und habe nach deiner Anleitung nochmals durchgeführt (siehe Screenshot)! Leider führte dies nicht zum gewünschten Erfolg und vom Layer 2 Switch kann ich nach wie vor den Host am Layer 3 nicht erreichen...! hatte heute nachmittag mit dem cisco smb support 3 Stunden telefoniert und die konnten das problem auch nicht lösen.. face-sad

bin am überlegen STP weg zu lassen da die switches via LWL Punktuell angesteuert werden
unbenannt
Mitglied: Jimmysozinho
Jimmysozinho 28.04.2017 um 10:52:26 Uhr
Goto Top
Konte das Problem erruiren.. blöder Bitdefender kennt keine Privaten Netzwerke > hab die FW mal deaktiviert von Bitdefender voila ICMP Request ging..!

weiter gehts !
Mitglied: aqui
aqui 28.04.2017 um 15:30:30 Uhr
Goto Top