Toon posts:

Isolated VLAN Cisco 3560 switch

Pagina: 1
Acties:

maandag 21 december 2009 11:50

Acties:

Verwijderd

Topicstarter
Hallo allemaal,

Ik ben al geruime tijd bezig een Cisco Catalyst 3560 switch in te richten met VLAN's. Ik kan eea echter niet werkend krijgen om de een of andere reden. Ik probeer het volgende te doen, Interfaces FastEthernet 0/1 en 0/2 zijn promiscuous poorten (moeten dus communiceren met andere promisc poorten en isolated vlan poorten) de rest van de poorten zit in een isolated VLAN (ik weet het de config klopt niet helemaal, een resultaat van een paar dagen testen en troubleshooten) en zou dus alleen maar met de promisc poorten moeten kunnen communiceren. Echter een ping van een laptop op poort 0/1 naar een laptop op 0/8 en vice-versa komt niet aan.

Wat doe ik fout? Onderstaand mijn config (minus uitgeknipte passwords 8)7 )

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127

!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Cisco_3560
!
<knip>
!
no aaa new-model
system mtu routing 1500
vtp domain cisco
vtp mode transparent
ip subnet-zero
ip routing
!
!
!
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
vlan 1000
 name isolated_under_1001
  private-vlan isolated
!
vlan 1001
 name primary_for_1000
  private-vlan primary
  private-vlan association 1000
!
interface FastEthernet0/1
 switchport trunk native vlan 1001
 switchport trunk allowed vlan 1000,1001
 switchport private-vlan host-association 1001 1000
 switchport private-vlan mapping 1001 1000
 switchport mode private-vlan promiscuous
!
interface FastEthernet0/2
 switchport private-vlan host-association 1001 1000
 switchport private-vlan mapping 1001 1000
 switchport mode private-vlan promiscuous
!
interface FastEthernet0/3
 switchport private-vlan host-association 1001 1000
 switchport mode private-vlan host
!
interface FastEthernet0/4
 switchport private-vlan host-association 1001 1000
 switchport mode private-vlan host
!
interface FastEthernet0/5
 switchport private-vlan host-association 1001 1000
 switchport mode private-vlan host
!
interface FastEthernet0/6
 switchport private-vlan host-association 1001 1000
 switchport mode private-vlan host
!
interface FastEthernet0/7
 switchport private-vlan host-association 1001 1000
 switchport mode private-vlan host
!
interface FastEthernet0/8
 switchport access vlan 1000
 switchport private-vlan host-association 1001 1000
 switchport private-vlan mapping 1001 1000
 switchport mode private-vlan host
!
interface FastEthernet0/9
 switchport private-vlan host-association 1001 1000
 switchport mode private-vlan host
!
interface FastEthernet0/10
 switchport private-vlan host-association 1001 1000
 switchport mode private-vlan host
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
 switchport mode access
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
 ip address 192.168.1.2 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.1.1
ip http server
!
!
control-plane
!
<knip>
end


Het gaat om een netwerk waar de nodes elkaar niet mogen zien, maar wel een shared router/server moeten kunnen benaderen.

maandag 21 december 2009 15:54

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

Config ziet er zo op het eerste oog prima uit.
Ik neem aan dat je dit bekeken hebt
http://www.cisco.com/en/U...ration/guide/swpvlan.html

maandag 21 december 2009 15:59

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

switchport private-vlan mapping 1001 1000
moet dit
switchport private-vlan mapping 1001 add 1000

zijn volgens mij

maandag 21 december 2009 16:52

Acties:

Verwijderd

Topicstarter
TrailBlazer schreef op maandag 21 december 2009 @ 15:54:
Config ziet er zo op het eerste oog prima uit.
Ik neem aan dat je dit bekeken hebt
http://www.cisco.com/en/U...ration/guide/swpvlan.html
Mja, daar wordt ik weinig wijzer van. Het staat vol met dezelfde instellingen die ik ook in m'n eigen config heb staan.
TrailBlazer schreef op maandag 21 december 2009 @ 15:59:
switchport private-vlan mapping 1001 1000
moet dit
switchport private-vlan mapping 1001 add 1000

zijn volgens mij
Getest, kan ingevoerd worden, maar heeft verder geen effect, de regel in de config veranderd hier niet door.

maandag 21 december 2009 17:01

Acties:

Verwijderd

Topicstarter
Nog even wat meer info, als ik naar het management ip probeer te pingen (192.168.1.2 op VLAN1) dan lukt dat vanaf beide poorten 0/1 en 0/8 niet (ik weet ook niet of dat zou moeten trouwens, volgens mij niet, maar ik denk ik meldt het even). Poorten die alleen in VLAN1 zitten (dus niet apart aan een VLAN toegewezen) kunnen er uiteraard wel naar pingen.

dinsdag 22 december 2009 16:46

Acties:

Verwijderd

Topicstarter
Ik heb vandaag nog intensief getest, maar nog geen positief resultaat helaas. Zelfs "Out-of-the-box" werken de switches niet zoals ik zou verwachtten. Het volgende is het geval:

Ik heb 2 laptops aangesloten op de switch, Pingen naar de switch gaat vanaf beide laptop zonder problemen (ping naar 192.168.1.254). Pingen vanaf laptop 1 naar laptop 2, en vice versa, en pingen vanaf de switch naar de laptops werkt echter niet, ook niet met de default config die aangemaakt wordt na de smart/quick-setup die volgens het boekje is uitgevoerd. Alle 6 mijn 3560 switches hebben dit met onderstaande configuratie.

Wat ik dan weer vreemd vind is dat copy running-config tftp wel werkt (config wordt dan ook naar het ip van de laptop gestuurd via tftp)

Ik heb voor de zekerheid nog even gecontroleerd of alle poorten wel in VLAN1 zitten (sh vlan) en dat is het geval.

Heeft er iemand een werkende config van een 3560 die ik zou kunnen testen op de mijne?

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99

!
! Last configuration change at 16:25:01 UTC Tue Dec 22 2009
! NVRAM config last updated at 16:25:01 UTC Tue Dec 22 2009
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Switch
!
<knip ivm password>
!
no aaa new-model
clock timezone UTC 1
clock summer-time UTC recurring last Sun Mar 2:00 last Sun Oct 3:00
system mtu routing 1500
ip subnet-zero
!
!
!
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
interface FastEthernet0/1
!
interface FastEthernet0/2
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
 ip address 192.168.1.254 255.255.255.0
!
ip default-gateway 192.168.1.1
ip classless
ip http server
!
!
control-plane
!
!
line con 0
line vty 0 4
 login
line vty 5 15
 login
!
end

[ Voor 4% gewijzigd door Verwijderd op 22-12-2009 16:49 ]

dinsdag 22 december 2009 17:12

Acties:
  • Johnny E
  • Registratie: April 2000
  • Laatst online: 21:17

Johnny E

Dôh !!

Wellicht een domme vraag maar heb je de firewall op de laptops wel tijdelijk uitgeschakeld?
TCP/IP config op de laptops staat ook goed? Dus beide in het zelfde subnet van de switch?

Met de default config zou het zeker moeten werken, je hebt dan een Layer 2 functionaliteit over het standaard Vlan.

Specs!

dinsdag 22 december 2009 18:50

Acties:
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 28-02 22:10

Kabouterplop01

chown -R me base:all

Komen je mac adressen wel in de arp tabel van vlan1?; zie je sowieso wel mac adressen?
sh ip arp
sh mac-address table
mocht je ze nou niet tegenkomen zou ik eens proberen op je connected ports spanning tree portfast aan te zetten..., ook switchport helpt denk ik. (Ik denk dat dat het euvel is; eerst switchport en dan pas switchport mode access ... etc, ik ken echter de 3560 niet, weet niet of dat nodig is bij deze bakken)

conf t
int fa x
switchport
switchport mode access
spanning-tree portfast

wat zie je als status bij de connected ports?
sh int fa x

[ Voor 18% gewijzigd door Kabouterplop01 op 22-12-2009 18:54 . Reden: vermoeden geuit ]

dinsdag 22 december 2009 18:57

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

moet inderdaad wel een firewall probleem op de PC zijn want dit kan gewoon niet niet werken.

dinsdag 22 december 2009 18:59

Acties:
  • canonball
  • Registratie: Juli 2004
  • Laatst online: 23:36

canonball

Het kan zijn dat de L3 functies standaard uit staan.
Probeer eens:
conf t
IP routing

dinsdag 22 december 2009 21:15

Acties:

Verwijderd

dit moet wel in je laptops zelf zitten. Als pingen vanuit switch niet werkt maar tftp wel is er gewoon connectiviteit..

ip routing is nergens voor nodig in dit geval.

dinsdag 22 december 2009 21:33

Acties:

Verwijderd

Topicstarter
Ik bedenk me nu inderdaad dat mn firewalls nog aan staan, hoop niet dat dat het is eigenlijk, dan ga ik me in een donker hoekje zitten schamen. :X

In ieder geval bedankt voor de tips, ga het morgen testen.

dinsdag 22 december 2009 22:59

Acties:
  • ChaserBoZ_
  • Registratie: September 2005
  • Laatst online: 04-01 10:58

ChaserBoZ_

Verwijderd schreef op dinsdag 22 december 2009 @ 21:33:
Ik bedenk me nu inderdaad dat mn firewalls nog aan staan, hoop niet dat dat het is eigenlijk, dan ga ik me in een donker hoekje zitten schamen. :X

In ieder geval bedankt voor de tips, ga het morgen testen.
Dan zou je het nog steeds zien in wireshark bv :)

'Maar het heeft altijd zo gewerkt . . . . . . '

woensdag 23 december 2009 16:14

Acties:

Verwijderd

Topicstarter
Okay jongens, bedankt voor de input, ook de originele VLAN config werkt perfect. Zal er in het vervolg aan denken de firewalls eerst uit te zetten zodat ik geen noob-vragen hoef te stellen hier. 7(8)7

woensdag 23 december 2009 16:56

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

Ik waardeer je eerlijkheid maar toch moest ik gniffelen. :p
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq