Toon posts:

[Cisco] Kan access-point niet bereiken via SSH

Pagina: 1
Acties:

maandag 29 april 2013 17:24

Acties:
  • plizz
  • Registratie: Juni 2009
  • Laatst online: 21:50

plizz

Topicstarter
Ik heb een Cisco system access-point geconfigureerd via console kabel. De access-point hangt aan het netwerk en de poort, waar de access-point hangt, is in trunk mode.
Wanneer ik de Cisco access-point probeer te bereik via SSH, poort 22 Ip adres 192.168.1.240, zegt Putty: "Network error: Connecton timed out". Ik kan via de DOS prompt in Windows ook het ip adres niet pingen.
Mijn PC zit in hetzelfde netwerk als access-point (192.168.1.x) Alle geconfigureerde interfaces op de access-point zijn up.

code:
1
2
3
4
5
6
7
8
9
10
11
12

Interface                  IP-Address      OK? Method Status                 Protocol
BVI1                       192.168.1.240   YES manual up                      up
BVI2                       unassigned      YES manual up                       up
Dot11Radio0                unassigned      YES unset  up                    up
Dot11Radio0.1              unassigned      YES unset  up                    up
Dot11Radio0.2              unassigned      YES unset  up                    up
Dot11Radio1                unassigned      YES unset  administratively down down
Dot11Radio1.1              unassigned      YES unset  administratively down down
Dot11Radio1.2              unassigned      YES unset  administratively down down
GigabitEthernet0           unassigned      YES unset  up                    up
GigabitEthernet0.1         unassigned      YES unset  up                    up
GigabitEthernet0.2         unassigned      YES unset  up                    up


Zit er een configuratie fout? Hieronder de show running-config.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140

no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname AP-xxxx
!
!
logging rate-limit console 9
!
no aaa new-model
ip cef
no ip domain lookup
ip domain name xxxx.local
ip name-server 192.168.1.1
!
!
dot11 syslog
!
dot11 ssid ssid1
   vlan 1
   authentication open
   authentication key-management wpa
   mbssid guest-mode
   wpa-psk ascii 7 xxx
!
dot11 ssid ssdid2
   vlan 2
   authentication open
   authentication key-management wpa
   mbssid guest-mode
   wpa-psk ascii 7 xxx
!
crypto pki token default removal timeout 0
!
username user_network privilege 15 secret 5 xxx 
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
bridge irb
!
interface Dot11Radio0
 no ip address
 !
 encryption vlan 1 mode ciphers aes-ccm
 !
 encryption vlan 2 mode ciphers aes-ccm
 !
 ssid ssid1
 !
 ssid ssid2
 !
 antenna gain 0
 stbc
 mbssid
 station-role root
 no cdp enable
!
interface Dot11Radio0.1
 encapsulation dot1Q 1 native
 no cdp enable
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.2
 encapsulation dot1Q 2
 no cdp enable
 bridge-group 2
 bridge-group 2 subscriber-loop-control
 bridge-group 2 spanning-disabled
 bridge-group 2 block-unknown-source
 no bridge-group 2 source-learning
 no bridge-group 2 unicast-flooding
!
interface Dot11Radio1
 no ip address
 shutdown
 antenna gain 0
 no dfs band block
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 duplex auto
 speed auto
!
interface GigabitEthernet0.1
 encapsulation dot1Q 1 native
 no cdp enable
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface GigabitEthernet0.2
 encapsulation dot1Q 2
 no cdp enable
 bridge-group 2
 bridge-group 2 spanning-disabled
 no bridge-group 2 source-learning
!
interface BVI1
 ip address 192.168.1.240 255.255.255.0
!
interface BVI2
 ip address 192.168.2.240 255.255.255.0
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
no cdp run
bridge 1 protocol ieee
bridge 1 route ip
bridge 2 protocol ieee
bridge 2 route ip
!
line con 0
 exec-timeout 5 0
 logging synchronous
 login local
 transport output none
line vty 0 4
 exec-timeout 5 0
 login local
 transport input ssh
 transport output none
!
end

[ Voor 13% gewijzigd door plizz op 29-04-2013 20:54 ]

dinsdag 30 april 2013 00:01

Acties:
  • Dikke Foaf
  • Registratie: November 2002
  • Laatst online: 30-11 18:51

Dikke Foaf

Zit je pc bij in vlan 1? of vlan 2?
De switch waar de AP aan hangt draait CDP?
Wat zegt show cdp neigh? Zien ze elkaar wel via CDP?

Misschien staat hier iets interessants tussen: http://packetlife.net/blo...ps-bridge-groups-and-bvi/

Toevallig geen VLAN 1 tagged/untagged issue? icm een HP switch kan dat al eens gebeuren.
Probleem zit met zekerheid niet in de switch config van de AP poort of pc poort?
Niet beter afstappen van VLAN 1 voor mgmt?

[ Voor 255% gewijzigd door Dikke Foaf op 30-04-2013 00:37 ]

dinsdag 30 april 2013 08:17

Acties:
  • WhizzCat
  • Registratie: November 2001
  • Laatst online: 03-10 00:20

WhizzCat

www.lichtsignaal.nl

Gooi die Dot1Q rommel er eens af en een IP direct op de Gbit interface. Werkt het dan wel? Anders zit het hem toch ergens in je vlan tagging. :)

Gezocht: netwerkbeheerder
Als je het niet aan een 6-jarige kan uitleggen, snap je er zelf ook niks van! - A. Einstein

dinsdag 30 april 2013 09:21

Acties:
  • plizz
  • Registratie: Juni 2009
  • Laatst online: 21:50

plizz

Topicstarter
Dikke Foaf schreef op dinsdag 30 april 2013 @ 00:01:
Zit je pc bij in vlan 1? of vlan 2?
De switch waar de AP aan hangt draait CDP?
Wat zegt show cdp neigh? Zien ze elkaar wel via CDP?

Misschien staat hier iets interessants tussen: http://packetlife.net/blo...ps-bridge-groups-and-bvi/

Toevallig geen VLAN 1 tagged/untagged issue? icm een HP switch kan dat al eens gebeuren.
Probleem zit met zekerheid niet in de switch config van de AP poort of pc poort?
Niet beter afstappen van VLAN 1 voor mgmt?
De Pc zit in vlan 1. De Cisco switch ziet de AP via "show cdp nei detail" en uit die ouput zie ik ook het IP adres Gigabit 0.1 van AP (192.168.1.240). De poort waar de AP hangt is geconfigureerd met "switchport mode trunk".
WhizzCat schreef op dinsdag 30 april 2013 @ 08:17:
Gooi die Dot1Q rommel er eens af en een IP direct op de Gbit interface. Werkt het dan wel? Anders zit het hem toch ergens in je vlan tagging. :)
Het niks heeft met vlan tagging te maken. Want als ik "debug ip packet" intik en ga dan een IP adres pingen. Zegt de AP;"Encapsulation Failed." Cisco zegt dat het een ARP probleem is. Ik ga kijken wat het ARP probleem is.

vrijdag 3 mei 2013 12:20

Acties:
  • plizz
  • Registratie: Juni 2009
  • Laatst online: 21:50

plizz

Topicstarter
Update: ARP probleem heb ik niet kunnen achterhalen.
Nou heb ik de link van Dikke Foaf gekeken. Ik heb die voorbeeld genomen en kan nu de access-point via ssh bereiken. Hier onder de uiteindelijk config voor geïnteresseerde.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120

conf t
!
hostname AP-Cisco
no ip domain-lookup
no cdp run
service password-encryption
!
username user_network privilege 15 secret 5 xxxxxxxxxxxxxxxxxxxx
!
ip name-server 212.54.40.25
ip domain-name sample.local
!
crypto key generate rsa
1024

ip ssh version 2
ip ssh authentication-retries 2
ip ssh time-out 60
!
no ip http server
no ip http secure-server
!
line con 0
 exec-timeout 0 0
 login local
 logging synchronous
 transport output none
line vty 0 4    
exec-timeout 5 0
 transport input ssh
 transport output none
 login local
exit
!
dot11 ssid Wifi(n)
vlan 1
 authentication open
 authentication key-management wpa
 mbssid guest-mode
 wpa-psk ascii 0 xxxx
!
dot11 ssid Wifi(n)-guest
vlan 2
 authentication open
 authentication key-management wpa
 mbssid guest-mode
 wpa-psk ascii 0 xxxx
exit
!
interface Dot11Radio0
 no ip address
 no shutdown
!
encryption vlan 1 mode ciphers aes-ccm 
!
encryption vlan 2 mode ciphers aes-ccm 
 !
 ssid Wifi(n)
 !
 ssid Wifi(n)-guest
 !
 mbssid
!
interface Dot11Radio0.1
 encapsulation dot1Q 1 native
 bridge-group 1
!
interface Dot11Radio0.2
 encapsulation dot1Q 2
 bridge-group 2
!
!
interface Dot11Radio1
 no ip address
 no shutdown
!
encryption vlan 1 mode ciphers aes-ccm 
!
encryption vlan 2 mode ciphers aes-ccm
!
 ssid Wifi(n)
 !
 ssid Wifi(n)-guest
 !
 mbssid
!
interface Dot11Radio1.1
 encapsulation dot1Q 1 native
 bridge-group 1
!
interface Dot11Radio1.2
 encapsulation dot1Q 2
 bridge-group 2
!
!
interface gigabit 0
no shutdown
no ip address
!
interface gigabit 0.1
 encapsulation dot1Q 1 native
 no ip address
 bridge-group 1
 !
!
interface gigabit 0.2
 encapsulation dot1Q 2
 no ip address
 bridge-group 2
!
interface BVI1
 ip address 192.168.1.240 255.255.255.0
!
bridge 1 protocol ieee
bridge 1 route ip
bridge 2 protocol ieee
bridge 2 route ip
!
!< Internet config>
ip route 0.0.0.0 0.0.0.0 BVI 1 192.168.1.1

vrijdag 3 mei 2013 14:07

Acties:
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 30-11 21:38

Kabouterplop01

chown -R me base:all

Het niks heeft met vlan tagging te maken. Want als ik "debug ip packet" intik en ga dan een IP adres pingen. Zegt de AP;"Encapsulation Failed." Cisco zegt dat het een ARP probleem is. Ik ga kijken wat het ARP probleem is.
Ik denk dat je beter kan kijken wat Encapsulation failed betekent.
Je tag staat niet goed!

zaterdag 4 mei 2013 14:51

Acties:
  • plizz
  • Registratie: Juni 2009
  • Laatst online: 21:50

plizz

Topicstarter
Kabouterplop01 schreef op vrijdag 03 mei 2013 @ 14:07:
[...]


Ik denk dat je beter kan kijken wat Encapsulation failed betekent.
Je tag staat niet goed!
Ik heb via "debug ip packet" aangezet en kreeg dit te zien in de output als ik het IP adres 192.168.1.1 .
IP: s=192.168.1.240 (local), d=192.168.1.1 (Gigabit 0.1), len 100, sending
IP: s=192.168.1.240 (local), d=192.168.1.1 (Gigabit 0.1), len 100, encapsulation failed.

Volgens dit artikel van Cisco: http://www.cisco.com/en/U...ote09186a00800a6057.shtml, kopje: Address Resolution Protocol (ARP) Issue, heeft het te maken met ARP. Als ik de access-point "debug arp" doe, krijg ik exact dezelfde arp debug output als in het artikel. Dus ik vermoed een config fout maar die zie ik niet.

zondag 5 mei 2013 11:52

Acties:
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 30-11 21:38

Kabouterplop01

chown -R me base:all

Als de tag aan 1 kant niet goed staat, ook al heb je dan "hetzelfde subnet" is het voor de switch/router niet te koppelen. vandaar dat je geen mac-adress/ip adress koppeling in je arp tabel hebt.
Daarom zei whizzcat al dat je je ip adress rechtstreeks op de gig moest zetten om even te testen.

Je kunt zien of het vlan wel goed "doorgetrokken" staat, met sh vlan.

[ Voor 11% gewijzigd door Kabouterplop01 op 05-05-2013 12:24 ]

zondag 5 mei 2013 20:28

Acties:
  • plizz
  • Registratie: Juni 2009
  • Laatst online: 21:50

plizz

Topicstarter
Kabouterplop01 schreef op zondag 05 mei 2013 @ 11:52:
Als de tag aan 1 kant niet goed staat, ook al heb je dan "hetzelfde subnet" is het voor de switch/router niet te koppelen. vandaar dat je geen mac-adress/ip adress koppeling in je arp tabel hebt.
Daarom zei whizzcat al dat je je ip adress rechtstreeks op de gig moest zetten om even te testen.

Je kunt zien of het vlan wel goed "doorgetrokken" staat, met sh vlan.
Ik kan alleen een IP adres op interface BVI 1 zetten. Op interface gigabit 0 een IP adres instellen is mogelijk, maar kan de access-point niet bereiken via ssh.

Aangezien dat ik met een nieuwe configuratie wel de access-point kan bereiken via ssh, is voldoende voor mij. Nog bedankt voor het meedenken.

zondag 5 mei 2013 21:09

Acties:
  • Barman
  • Registratie: Juli 2001
  • Niet online

Barman

Het kan wel om het ip op op de interface direct te configuren, maar daarvoor moet je op de trunk op de switch een default vlan instellen. Het ip configureren op de BVI interface maakt het wel overzichtelijker wanneer je naar de config van het AP kijkt.

voorbeeld Cisco switch:
code:
1
2
3
4
5
6

int gi0/1
   description Cisco access point
   switchport trunk encapsulation dot1q
   switchport trunk native vlan 1
   switchport mode trunk
   spanning-tree portfast trunk

Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live.

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq