Private VLANs - Netwerken

maandag 16 augustus 2010 08:38

Acties:

Topicstarter

Hoi,

Ik heb een netwerk met wat private VLANs en nu komt er een nieuwe switch bij en ik hoop dat iemand me wat dingen duidelijk kan maken.

Het netwerk bestaat uit een 3560 die gekoppeld is aan een 2950 en er komt nu een 2960 bij.

Hieronder een stuk uit de 3560 config:

code:

!
vlan 10
  private-vlan primary
  private-vlan association 50
!
vlan 50
  private-vlan isolated
!
vlan 100
 name DMZ2
interface GigabitEthernet0/1
 switchport private-vlan host-association 10 50
 switchport mode private-vlan host
! TOT EN MET
interface GigabitEthernet0/14
 switchport private-vlan host-association 10 50
 switchport mode private-vlan host
!
interface GigabitEthernet0/15
 switchport private-vlan mapping 10 50
 switchport mode private-vlan promiscuous
 speed 1000
 duplex full
!
interface GigabitEthernet0/16
 switchport private-vlan mapping 10 50
 switchport mode private-vlan promiscuous
 speed 1000
 duplex full
!
interface GigabitEthernet0/21
 description VLAN100
 switchport access vlan 100
 switchport mode access
 switchport nonegotiate
!
interface GigabitEthernet0/22
 description VLAN100
 switchport access vlan 100
 switchport mode access
 switchport nonegotiate
!
interface GigabitEthernet0/23
 description VLAN100
 switchport access vlan 100
 switchport mode access
 switchport nonegotiate
!
interface GigabitEthernet0/24
 description VLAN100
 switchport access vlan 100
 switchport mode access
 switchport nonegotiate
 speed 1000
 duplex full
!
!
interface Vlan1
 no ip address
!
interface Vlan100
 ip address 10.0.10.240 255.255.255.0
!
ip default-gateway 10.0.10.241
!

Nu zit de 2950 al langer hieraan gekoppeld maar wat ik vreemd vind is dat hij op giga0/5 zit. Als je naar de code hierboven kijkt is dat geconfigureerd als een private vlan. Hij geeft ook een native vlan mismatch (maar daarvoor moet ik denk ik gewoon de native vlan op de 2950 goed zetten).

Wat ik me nu af vraag is het volgende:
Moet ik geen trunk configureren tussen de 3560 en 2960 of kan ik bv. zoiets doen als de 3560 poort naar de 2960 als pvlan configureren en dan de uplink op de 2960 als een promiscuous poort met daarop de private vlan en die instellen als primary vlan op de 2960. Zoiets als dit:

3560:

code:

!
interface GigabitEthernet0/20
 switchport private-vlan host-association 10 50
 switchport mode private-vlan host
!

2960:

code:

!
vlan 50
  private-vlan primary
  private-vlan association 61
!
vlan 61
  private-vlan isolated
!
interface GigabitEthernet0/16 UPLINK PORT
 switchport private-vlan mapping 50 61
 switchport mode private-vlan promiscuous
!
interface GigabitEthernet0/1 ACCESS PORTS
 switchport private-vlan host-association 50 61
 switchport mode private-vlan host
!

Ik hoop dat het een beetje duidelijk is en ja ik zou hetzelfde kunnen doen als ze hier in het verleden met de 2950 gedaan hebben maar ik wil dit graag begrijpen en niet even aanprutsen en hopen dat het werkt...

Ps. ik kan niet op de 2950 komen. Dus daar kon ik de configuratie niet van zien (als voorbeeld voor mezelf).

maandag 16 augustus 2010 08:44

Acties:

Cave_Boy

Volgens mij gana beide manieren werken alleen is de VLAN iets trager (al is dat vermoedelijk niet snel merkbaar).

Op welke poort zit de 2950 op de 3560? Is dat nummer 5?

maandag 16 augustus 2010 08:52

Acties:

marshallq

Topicstarter

Cave_Boy schreef op maandag 16 augustus 2010 @ 08:44:
Volgens mij gana beide manieren werken alleen is de VLAN iets trager (al is dat vermoedelijk niet snel merkbaar).

Op welke poort zit de 2950 op de 3560? Is dat nummer 5?

Correct, hij zit dus al op een isolated port. Helaas kan ik wel de configuratie van de 2950 niet bekijken en geeft die een native vlan mismatch. Ik gok dat daar weinig op ingesteld staat behalve een password waardoor ik er dus niet op kom. Dit omdat de normale systeembeheerder zei dat hij daar weinig aan geconfigureerd heeft en gewoon blij was dat het werkte, maar hij wist de username/wachtwoord niet meer. Gelukkig was het wachtwoord voor de 3560 wel genoteerd

Dus een extra vraag: als ik niets op de 2960 configureer zal hij dan ook werken? Ik ben echt benieuwd naar de "best practice" in dit geval.

[edit]:
Ik heb de oplossing inmiddels. Aangezien een 2960 geen private vlans kan moet je gewoon een isolated port aanmaken op de 3560 en dan op de 2960 access ports gaan configureren.

Verder kan je nog switchport protected gebruiken als de ports binnen de 2960 niet met elkaar mogen communiceren.

[ Voor 22% gewijzigd door marshallq op 16-08-2010 12:55 ]

maandag 16 augustus 2010 19:46

Acties:

Cave_Boy

Niet slim om een image van de huidige config te trekken en dan daaruit proberen het wachtwoord te halen van die ene switch? Evt door Cisco? Of handiger is de config kopieren en dan een nieuwe config erin met goed wachtwoord?

maandag 16 augustus 2010 19:59

Acties:

Verwijderd

Kijk anders eens even hier voor die 2950

[ Voor 4% gewijzigd door Verwijderd op 16-08-2010 20:00 ]

dinsdag 17 augustus 2010 11:43

Acties:

marshallq

Topicstarter

Bedankt voor de suggesties maar ik heb de 2960 nu werkend en als de normale systeembeheerder weer op zijn switch moet zijn (2950) dan mag hij toch nog eens goed gaan nadenken over dat password of anders zelf maar een password recovery doen oid. Er zitten ook wat servers op etc dus ik blijf er vanaf en ik heb andere mogelijke wachtwoorden al geprobeerd.

[ Voor 18% gewijzigd door marshallq op 17-08-2010 11:44 ]