Cisco SF300 24p geen Internet meer na power down - Serversoftware en clouddiensten

Vraag

dinsdag 28 maart 2017 20:48

Acties:

Verwijderd

Topicstarter

Eerst even de situatieschets:

Bij een klant hangt achter het internet (van Signet) eerst een cisco router. (type ga ik zo even opzoeken weet ik ff niet meer)
Daaronder hangt een Cisco SF300 switch met een aantal klantjes er aan (vlans)

Na een stroomstoring bleek het Signet kastje boven (in de netwerktekening dus) de router overleden te zijn.
Is vervangen en alles is weer up; dwz andere switches die onder de router hangen.

Op de SF300 kunnen de mensen wel "Lannen" maar niet meer "Wannen"

Op de SF300 ingelogd kan ik daar de router er boven pingen, maar geen internetadressen.

Nu dacht ik gelijk dat er wel een configje niet gesaved zou zijn van running naar startup, maar ik kan eigenlijk niet zoveel vreemds ontdekken....

gecheckt:
- in de running config van de sf300 staan de poorten goed.
- in die van de router ook
- alle vlans zijn bekend op de sf300
- vlans zijn als interface geconfed op de router met de juiste ip ranges er aan.
- de routetabel op de router ziet er goed uit: alle subnetten worden naar signet geroute.

Gateway of last resort is 1blabla46 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via blablabla
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 10.10.10.0/29 is directly connected, Vlan1
L 10.10.10.1/32 is directly connected, Vlan1
172.16.0.0/16 is variably subnetted, 10 subnets, 2 masks
C 172.16.22.0/24 is directly connected, Vlan22
L 172.16.22.1/32 is directly connected, Vlan22
C 172.16.33.0/24 is directly connected, Vlan33
L 172.16.33.1/32 is directly connected, Vlan33
C 172.16.44.0/24 is directly connected, Vlan44
L 172.16.44.1/32 is directly connected, Vlan44

-poorten zijn up.

Wat mis ik hier nou weer.....

Beste antwoord (via Verwijderd op 30-03-2017 13:19)

woensdag 29 maart 2017 21:38

marcackema

Staat er op je FastEthernet4 de regel IP NAT OUTSIDE?

En staat deze regel in je router?
ip nat outside source list [xxx] interface FastEthernet4 overload

En hoe zie je NAT acl eruit? Staan daar alle subnetten in?

Voorbeeld: access-list 101 permit ip 172.16.0.0 0.0.255.255 any

En controleer even of je router daadwerkelijk nat doet door de translaties op te vragen: sh ip nat translations

Alle reacties

dinsdag 28 maart 2017 23:08

Acties:

Bl@ckbird

Kan je vanuit de router / van achter de router wel internet adressen pingen?
( Simpel: host --> router --> internet )

[ Voor 49% gewijzigd door Bl@ckbird op 28-03-2017 23:09 ]

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

dinsdag 28 maart 2017 23:42

Acties:

3DDude

I void warranty's

modem van de ISP ? Router vanaf ISP (kan je daarop dan?)

Kan je vandaar pingen? (probeer ook ping vanaf vlanid )

drop is een show run van beiden? (zou nog iets met ACL's kunnen zijn).

graag ook een:

show cdp neighbors
show ip route

Hoe is de trunk ingesteld van de switch naar de router?

switchport mode encapsulation dot1q uit mijn hoofd.
switchport mode trunk
allowed vlan all?

[ Voor 52% gewijzigd door 3DDude op 28-03-2017 23:48 ]

Be nice, You Assholes :)

woensdag 29 maart 2017 00:26

Acties:

marcackema

Doe eens een sh run | include access-list en sh run | include ip nat inside en post deze hier.

Lijkt een een beetje op ontbrekende NAT regels. En controleer of je op je outside en inside interface een NAT statement hebt staan.

woensdag 29 maart 2017 08:43

Acties:

Verwijderd

Topicstarter

Bl@ckbird schreef op dinsdag 28 maart 2017 @ 23:08:
Kan je vanuit de router / van achter de router wel internet adressen pingen?
( Simpel: host --> router --> internet )

ja op de router kan ik gewoon nog naar buiten pingen, zodra ik op een andere switch zit achter die router ook, maar zodra ik op of achter die SF300 zit niet.

woensdag 29 maart 2017 08:55

Acties:

Verwijderd

Topicstarter

Die configs wil ik wel posten maar moet daar even voor zitten want wil geen onnodige informatie over ons en klanten hier hebben staan. :-)

woensdag 29 maart 2017 09:45

Acties:

Verwijderd

Topicstarter

marcackema schreef op woensdag 29 maart 2017 @ 00:26:
Doe eens een sh run | include access-list en sh run | include ip nat inside en post deze hier.

Lijkt een een beetje op ontbrekende NAT regels. En controleer of je op je outside en inside interface een NAT statement hebt staan.

de NAT inside staat in de router running conf ingesteld op de verschillende vlan interfaces:

interface Vlan1
description $ETH_LAN$
ip address 10.10.10.1 255.255.255.248
ip tcp adjust-mss 1452
!
interface Vlan22
ip address 172.16.22.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Vlan33
ip address 172.16.33.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Vlan44
ip address 172.16.44.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Vlan55
ip address 172.16.55.1 255.255.255.0
ip nat inside
ip virtual-reassembly in

Maar goed, verlies niet uit het oog dat dit voor die stroomstoring wel werkte; het lijkt me sterk dat er zoveel info uit de running config niet is gesaved.

Maar ok, assumption is the mother of all fuckups toch?

woensdag 29 maart 2017 10:28

Acties:

Verwijderd

Topicstarter

3DDude schreef op dinsdag 28 maart 2017 @ 23:42:
modem van de ISP ? Router vanaf ISP (kan je daarop dan?)

Kan je vandaar pingen? (probeer ook ping vanaf vlanid )

drop is een show run van beiden? (zou nog iets met ACL's kunnen zijn).

graag ook een:

show cdp neighbors
show ip route

Hoe is de trunk ingesteld van de switch naar de router?
switchport mode encapsulation dot1q uit mijn hoofd.
switchport mode trunk
allowed vlan all?

cdp is niet enabled krijg ik terug.

routetabelletje:

CIPH-R01#ping 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/6/8 ms
CCIPH-R01#show cdp neighbours
^
% Invalid input detected at '^' marker.

CCIPH-R01#show cdp neighbors
% CDP is not enabled
CCIPH-R01#sh ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
+ - replicated route, % - next hop override

Gateway of last resort is 1blabla6 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via 1blabla.46
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 10.10.10.0/29 is directly connected, Vlan1
L 10.10.10.1/32 is directly connected, Vlan1
172.16.0.0/16 is variably subnetted, 10 subnets, 2 masks
C 172.16.22.0/24 is directly connected, Vlan22
L 172.16.22.1/32 is directly connected, Vlan22
C 172.16.33.0/24 is directly connected, Vlan33
L 172.16.33.1/32 is directly connected, Vlan33
C 172.16.44.0/24 is directly connected, Vlan44
L 172.16.44.1/32 is directly connected, Vlan44
C 172.16.55.0/24 is directly connected, Vlan55
L 172.16.55.1/32 is directly connected, Vlan55
C 172.16.77.0/24 is directly connected, Vlan77
L 172.16.77.1/32 is directly connected, Vlan77
176.74.0.0/16 is variably subnetted, 2 subnets, 2 masks
C 176.bla.40/29 is directly connected, FastEthernet4
L 176.bla1/32 is directly connected, FastEthernet4
CCIPH-R01#
CCIPH-R01#
CCIPH-R01#
CCIPH-R01#

[ Voor 58% gewijzigd door Verwijderd op 29-03-2017 10:29 ]

woensdag 29 maart 2017 20:39

Acties:

ik222

Als het alleen achter 1 switch niet werkt maar op andere switches wel dan zou ik me in eerste instantie focussen op de interface tussen de router en die switch of de switch zelf. Problemen met NAT of de routetabellen zijn niet aan de orde als dezelfde VLAN's achter andere switches wel werken. Of gebruik je op deze switch een ander VLAN dan op de andere switches?

Dus post eens van zowel de router als de betreffende switch de interface config van de interface waarmee ze aan elkaar hangen. Probeer ook eens naar buiten te pingen en vraag meteen daarna de mac adres tabel van het betreffende VLAN op.

En wat voor type is die Cisco signet L3 switch of router precies?

woensdag 29 maart 2017 21:38

Acties:

Beste antwoord ✓

marcackema

woensdag 29 maart 2017 22:02

Acties:

jvanhambelgium

Of probeer es een "extended" ping. Je "ping 8.8.8.8" gebruikt automatisch het IP van de uitgaande interface en dit is soms niet de bedoeling. Dus je ping met "source IP" een Vlan interface van 1 van de klanten ... es kijken of dat ook reply geeft....

Moest vb je NAT niet goed werken ga je dat zo ook direct te weten komen...

[ Voor 13% gewijzigd door jvanhambelgium op 29-03-2017 22:03 ]

donderdag 30 maart 2017 09:36

Acties:

Verwijderd

Topicstarter

ik222 schreef op woensdag 29 maart 2017 @ 20:39:
. Of gebruik je op deze switch een ander VLAN dan op de andere switches?

Yes. Die vlans komen niet voor op de andere switches.

donderdag 30 maart 2017 09:45

Acties:

Verwijderd

Topicstarter

ik222 schreef op woensdag 29 maart 2017 @ 20:39:

En wat voor type is die Cisco signet L3 switch of router precies?

Die Cisco is gewoon van ons, niet van Signet en het is een R800

(Dat is bij ons een wat vreemde eend in de bijt, we gebruiken voornamelijk 3560 en 3570's. Heb ook gemerkt dat de versie van de cli wat verouderd is en sommige commando's niet ondersteund worden of anders zijn)

donderdag 30 maart 2017 09:47

Acties:

Verwijderd

Topicstarter

marcackema schreef op woensdag 29 maart 2017 @ 21:38:
Staat er op je FastEthernet4 de regel IP NAT OUTSIDE?

En staat deze regel in je router?
ip nat outside source list [xxx] interface FastEthernet4 overload

En hoe zie je NAT acl eruit? Staan daar alle subnetten in?

Voorbeeld: access-list 101 permit ip 172.16.0.0 0.0.255.255 any

En controleer even of je router daadwerkelijk nat doet door de translaties op te vragen: sh ip nat translations

Ik ben wel iets verder gekomen hierdoor.

Als ik op de router een nat translation opvraag van het subnet van waaruit ik de klacht kreeg (172.16.77.1)
krijg ik geen entries.
Alle andere subnetten op die switch geven een hele waslijst.
Nu begon ik te twijfelen want ik had begrepen dat ook de andere klanten niet meer konden internetten.
Net even gebeld en die komen dus wel gewoon het web op!

Dus alleen subnet 77 niet.
Ok, dat verandert de zaak.

Thanks!!

[ Voor 29% gewijzigd door Verwijderd op 30-03-2017 11:04 ]

donderdag 30 maart 2017 11:10

Acties:

Verwijderd

Topicstarter

marcackema schreef op woensdag 29 maart 2017 @ 21:38:
Staat er op je FastEthernet4 de regel IP NAT OUTSIDE?

die heb ik niet, dus ik neem aan dat je fa0 bedoelt?

Port Name Status Vlan Duplex Speed Type
Fa0 connected trunk a-full a-100 10/100BaseTX
Fa1 notconnect 22 auto auto 10/100BaseTX
Fa2 notconnect 33 auto auto 10/100BaseTX
Fa3 notconnect 1 auto auto 10/100BaseTX

donderdag 30 maart 2017 11:12

Acties:

ik222

Als je met VLAN's werkt moet 'ip nat outside' op de VLAN interface staan. Maar daarnaast heb je dan dus nog een regel met bijbehorende ACL die definieert wat er genat mag worden. Hoe ziet dat eruit?

donderdag 30 maart 2017 13:00

Acties:

Verwijderd

Topicstarter

int fa4 heeft idd een ip nat outside staan.

maar kijk: hier ontbreekt vlan 77

access-list 1 permit 95.97.7.208 0.0.0.7
access-list 1 permit 172.16.22.0 0.0.0.255
access-list 7 permit 172.16.33.0 0.0.0.255
access-list 7 permit 172.16.44.0 0.0.0.255
access-list 7 permit 172.16.55.0 0.0.0.255
access-list 23 permit 10.10.10.0 0.0.0.7

Dus ik denk dat dat regeltje later eens een keer is toegevoegd voor die toen nieuwe klant en nooit is gesaved.

donderdag 30 maart 2017 13:18

Acties:

Verwijderd

Topicstarter

YES!!
Dat was m.

Allemaal weer bedankt voor het meedenken guys. Beste post gaat naar marcackema :-)

Thanks!

[ Voor 5% gewijzigd door Verwijderd op 30-03-2017 13:20 ]

Pagina: 1

Reageer