Gescheiden Vlan omgeving. - Netwerken

vrijdag 4 juli 2008 19:57

Acties:

Topicstarter

Ik probeer een omgeving op te zetten waarbij meerdere kleine bedrijfjes op één fysiek netwerk kunnen zonder dat zij elkaar in de weg zitten.

Daarvoor heb ik een Cisco 1800 router met 2 interfaces en enkele 2960 switches.

In de router heb ik meerdere subinterfaces gemaakt met elk een eigen Vlan, IP en DHCP pool. (Vlans 1 en 10 t/m 15, IP ranges 10.0.1.0/24 en 10.0.10.0/24 t/m 10.0.15.0/24)
NAT heb ik ingesteld mbv de Cisco network assistant en dat gaat gewoon goed.

De router heb ik aangesloten op één van de switches (De main switch.) op een poort die ingesteld staat als 802.1Q Trunk. Als ik op die switch een poort instel als Static VLan (Bijv. 13) dan krijg ik netjes het juiste IP van de router en kan ik het internet op.

Het gaat mis bij het aansluiten van een extra switch (SwitchV1) op de Main Switch. (Via 2 Trunking poorten natuurlijk.) Er wordt even geprobeerd verbinding te maken maar daarna wordt de poort gesloten met de error "Unexpected BPDU received. Port has been Disabled" ongeacht welke poort ik gebruik.
Als ik een computer op een trunking poort van de Main Switch aansluit dan wordt ik netjes toegelaten in Vlan 1 en krijg ik ook een ip toegedeeld.

Ik heb al geprobeerd SwitchV1 te resetten en opnieuw in te stellen. Daarna gaat het éénmaal goed en dan krijg ik weer die error.

Heeft iemand enig idee hoe ik dit kan oplossen?

vrijdag 4 juli 2008 20:11

Acties:

DGTL_Magician

Kijkt regelmatig vooruit

Ik zou sowieso je VLAN1 reserveren voor je netwerkmanagement en je productie verkeer in losse VLANs stoppen. De Router kun je via een dot1q encapsulatie ook in een trunk plaatsen.
Hierdoor kan de router interfaces in ieder netwerk krijgen.

Blog | aaZoo - (Wireless) Networking, Security, DDoS Mitigatie, Virtualisatie en Storage

vrijdag 4 juli 2008 20:32

Acties:

Joolee

Topicstarter

DGTL_Magician schreef op vrijdag 04 juli 2008 @ 20:11:
Ik zou sowieso je VLAN1 reserveren voor je netwerkmanagement en je productie verkeer in losse VLANs stoppen. De Router kun je via een dot1q encapsulatie ook in een trunk plaatsen.
Hierdoor kan de router interfaces in ieder netwerk krijgen.

Vlan1 is ook gereserveerd voor netwerk management. Het is toch normaal dat er automatisch Vlan 1 gepakt wordt als je een computer aansluit op een trunk poort?

De router heeft een subinterface in ieder Vlan, 10.0.10.1, 10.0.11.1 enz.

Stukje configuratie van de router:

interface FastEthernet0/0
 description $ETH-WAN$
 ip address 92.*.*.* 255.255.255.248
 ip nat outside
 ip virtual-reassembly
 no ip route-cache
 duplex auto
 speed auto
!
interface FastEthernet0/1
 description $ETH-LAN$
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 no mop enabled
!
interface FastEthernet0/1.1
 description $ETH-LAN$
 encapsulation dot1Q 1 native
 ip address 10.0.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 no ip route-cache
 no snmp trap link-status
!
interface FastEthernet0/1.10
 encapsulation dot1Q 10
 ip address 10.0.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 no ip route-cache
 no snmp trap link-status
!
interface FastEthernet0/1.11
 encapsulation dot1Q 11
 ip address 10.0.11.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 no ip route-cache
 no snmp trap link-status
!
interface FastEthernet0/1.12
 encapsulation dot1Q 12
 ip address 10.0.12.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 no ip route-cache
 no snmp trap link-status

Als er nog meer belangrijk is moet je het even zeggen.

vrijdag 4 juli 2008 20:43

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Ja, de poortconfig van je switchpoorten. Staat daar BPDUguard of BPDUfilter aan? Vooral als je hem instelt met een wizard van Cisco wil hij dat nogal eens doen.

Vicariously I live while the whole world dies

vrijdag 4 juli 2008 21:21

Acties:

Joolee

Topicstarter

Ik zal morgen even de configuratie van de switches posten.

zaterdag 5 juli 2008 12:20

Acties:

Leon T

Ni!

Je moet op beide uplinkpoorten een volgende config hebben:

description -> Switch 2
switchport trunk encapsulation dot1q
switchport trunk native vlan 1
switchport trunk allowed vlan 1,10-15
switchport mode trunk
logging event link-status

Zorg er ook voor dat je hetzelfde VTP domein, mode en wachtwoord op beide switches hebt ingesteld (sh vtp status).

zondag 6 juli 2008 13:04

Acties:

Joolee

Topicstarter

De configuratie van de trunk poort was nu

 switchport mode trunk
 mls qos trust dscp
 spanning-tree portfast trunk
 spanning-tree bpduguard enable

Ik kan pas volgende week weer wat zaken gaan uitproberen maar ik ga er vanuit dat de configuratie van Leon T zou moeten werken.

Ik merk trouwens dat ik via de Cisco Network Assistant de VTP instellingen kan zetten op Server, Client of Transparant en alleen bij Server kan ik verdere instellingen (domein, password) opgeven. Ik neem aan dat er een Server en meerdere Clients moeten zijn maar dan moet ik op de clients wel een VTP password kunnen opgeven. Ik probeer dat ook nog wel even via de console in te stellen.

zondag 6 juli 2008 16:30

Acties:

Vicarious

☑Rekt | ☐ Not rekt

De bpduguard moet je uitzetten. Dit zorgt ervoor dat hij de poort uitschakelt zodra er een switch aangehangen wordt (switches zenden BPDU's). Je hebt de poort namelijk op portfast staan, waardoor de switch ervan uitgaat dat je er een werkstation achter hangt. Een portfast poort hoeft hij namelijk niet mee te nemen in zijn spanning-tree opbouw.

Vicariously I live while the whole world dies

maandag 7 juli 2008 10:22

Acties:

bazkar

bpduguard inderdaad uit op de main switch

Verder kun je evt. nog rootguard aanzetten op alle poorten waar geen switch aan komt te hangen. Dit voorkomt dat iemand er een switch aanhangt die probeert root te zijn van je spanning tree.

Overigens is het redelijk common practise om juist NIET vlan1 te gebruiken als management VLAN, juist omdat dat de standaard is, maar dat is persoonlijke keus.

maandag 7 juli 2008 11:20

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Van die laatste common practice heb ik nog nooit gehoord... Kan me ook niet voorstellen waarom dat nuttig zou zijn.

Vicariously I live while the whole world dies

maandag 7 juli 2008 11:25

Acties:

Acmosa

...no comment.

Dit is nuttig omdat vlan 1 altijd bestaat en voor zo ver ik weet aan iedere niet geconfigureerde poort wordt toegtekend.
De kans is dus aanwezig dat iemand op een niet geconfigureerde poort in de management vlan terecht komt en dat wil je niet. (ik althans niet)

But then again, I could be wrong..

maandag 7 juli 2008 11:36

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Dus schakel je niet gebruikte poorten gewoon uit als je dat niet wilt. Verder configureer je over het algemeen alle poorten op een switch voor, veelal in hetzelfde VLAN. Dan staan alle poorten dus bijvoorbeeld in VLAN 10 en kan iedereen inprikken wat ie wil.

Vicariously I live while the whole world dies

maandag 7 juli 2008 14:50

Acties:

bazkar

Vicarious schreef op maandag 07 juli 2008 @ 11:36:
Dus schakel je niet gebruikte poorten gewoon uit als je dat niet wilt. Verder configureer je over het algemeen alle poorten op een switch voor, veelal in hetzelfde VLAN. Dan staan alle poorten dus bijvoorbeeld in VLAN 10 en kan iedereen inprikken wat ie wil.

Helaas is dat niet altijd mogelijk in een enorm dynamische omgeving waar het schering en inslag is dat er op werkplekomgevingen switches gebruikt moeten worden. Het vooraf definieren van VLAN's is dan niet meer mogelijk. Veel plekken moeten dus helaas een trunk zijn met management VLAN allowed en dan is management VLAN != 1 best fijn.

dinsdag 8 juli 2008 15:25

Acties:

Joolee

Topicstarter

Als iemand al per ongeluk op het management VLan zou worden aangesloten dan zou hij geen ip krijgen (geen DHCP server) en moet hij ook nog eens de wachtwoorden en ip's van de switches en router kennen.

Ik ga het nu eventjes uitproberen.

dinsdag 8 juli 2008 15:30

Acties:

JackBol

Security is not an option!

bazkar schreef op maandag 07 juli 2008 @ 14:50:
[...]

Helaas is dat niet altijd mogelijk in een enorm dynamische omgeving waar het schering en inslag is dat er op werkplekomgevingen switches gebruikt moeten worden. Het vooraf definieren van VLAN's is dan niet meer mogelijk.

Daar maak je gebruik van dynamische vlan toewijzing op basis van VMPS of NAC.

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.

dinsdag 8 juli 2008 15:37

Acties:

TrailBlazer

Karnemelk FTW

bazkar schreef op maandag 07 juli 2008 @ 14:50:
[...]

Helaas is dat niet altijd mogelijk in een enorm dynamische omgeving waar het schering en inslag is dat er op werkplekomgevingen switches gebruikt moeten worden. Het vooraf definieren van VLAN's is dan niet meer mogelijk. Veel plekken moeten dus helaas een trunk zijn met management VLAN allowed en dan is management VLAN != 1 best fijn.

Het toestaan dat er mensen zomaar een switch aan je bestaande netwerk koppelen is gewoon het begin van het einde. Gezellig een VTP server aanmaken en vervolgens je hele vlan database wissen. Dat is geen dynamische omgeving maar een omgeving de gewoon slecht gedesigned is.

Verder is het natuurlijk doodsimpel om alle user poorten standaard in een niet bestaand vlan te zetten. De reden om vlan 1 gewoon aan te houden voor je management is dat dit vlan altijd werkt ook al heb je een probleem met je trunk.

Wat je ook nog kan configureren op de userpoorten is DHCP snooping. De switch kijkt dan of het source adres wel netjes is toegewezen door een DHCP request op die poort. Je hebt dan nooit gezeur met mensen die vrolijk een vast ip adres configgen en dan je netwerk om zeep helpen.

[ Voor 12% gewijzigd door TrailBlazer op 08-07-2008 15:41 ]

dinsdag 8 juli 2008 18:12

Acties:

JackBol

Security is not an option!

TrailBlazer schreef op dinsdag 08 juli 2008 @ 15:37:
[...]
Wat je ook nog kan configureren op de userpoorten is DHCP snooping. De switch kijkt dan of het source adres wel netjes is toegewezen door een DHCP request op die poort. Je hebt dan nooit gezeur met mensen die vrolijk een vast ip adres configgen en dan je netwerk om zeep helpen.

Ja, maar wil je een beetje leuke features gebruiken zoals source-guard en arp-inspection, moet je meteen 3560's kopen. Dat gaat niet op 2960s.

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.

dinsdag 8 juli 2008 19:26

Acties:

TrailBlazer

Karnemelk FTW

Oja zou wel eens kunnen ja. Ik werk nooit met dat soort substandard spul

Meeste access switches bij ons zijn 3750's

dinsdag 8 juli 2008 20:14

Acties:

JackBol

Security is not an option!

TrailBlazer schreef op dinsdag 08 juli 2008 @ 19:26:
Oja zou wel eens kunnen ja. Ik werk nooit met dat soort substandard spul Meeste access switches bij ons zijn 3750's

Voor werkplekken? Alleen als je stackt is dat imho de meerprijs waard (maar ik ben persoonlijk geen voorstander van stacken).

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.

dinsdag 8 juli 2008 20:18

Acties:

TrailBlazer

Karnemelk FTW

Wel gestacked. Volgens de standaarden mogen we er max 4 stacken geloof ik. Daarna moeten we overschakelen op een 6500 chassis.

maandag 28 juli 2008 00:05

Acties:

Joolee

Topicstarter

Met vakantie en andere zaken die tussendoor kwamen ben ik er niet meer aan toegekomen om het uit te proberen de afgelopen weken. Ik ben er vandaag (onderhand alweer gisteren) even achter gaan zitten en het ziet ernaar uit dat het nu werkt.
VTP moet ik nog even wat mee rommelen maar ik denk dat ik daar nog wel uit ga komen.

Trunk poort switch 1:

interface FastEthernet0/13
 switchport mode trunk
 mls qos trust dscp
 macro description cisco-router
 auto qos voip trust
!

Ik weet niet precies waar alles voor staat maar ik laat het wel staat totdat ik die kennis wel heb of zich problemen voordoen.

Trunk poort switch 2:

interface FastEthernet0/8
 switchport mode trunk
 macro description cisco-switch
 auto qos voip trust

Client poort switch 2:

interface FastEthernet0/1
 switchport access vlan 12
 switchport mode access
 switchport port-security
 switchport port-security aging time 2
 switchport port-security violation restrict
 switchport port-security aging type inactivity
 macro description cisco-desktop
!

Bedankt voor de hulp $_/-\o_$