Lanjunkie 10 Geschrieben 5. November 2008 Melden Teilen Geschrieben 5. November 2008 Habe mal eine Frage zu Trunkports zwischen 2 Switchen. Habe hier nen Catalyst 3750G und 2 Catalyst 2950 in folgender Config SW1 (3750G) <--Fiber 1Gbit Trunk --> SW2 (2950) <---Kupfer 100Mbit Trunk --> SW3 (2950) Sind also alle in Reihe und der 3750 ist der Kopf der Anlage, es sind zwar noch mehr Switche verbaut aber um dieses Segment gehts halt. Auf allen Switchen läuft Port-Security im shutdown modus, funktioniert auch wunderbar! Nur ist mir aufgefallen, dass wenn ich aus dem SW2 die Verbindung zum SW3 rausnehme und statt dessen mein Notebook anklemme aufs Netz Zugriff bekomme. (Die MAC von meinem Laptop ist not allowed auf den Switchports). Beide Trunkports von SW2 und SW3 sind auf mode trunk gesetzt, aber mein Notebook geht trotzdem. Die Frage ist also ob man das auch wegbekommt und quasi es nur erlaubt das die beiden Switche mit einander reden dürfen? Und dann noch eine Frage, wie macht ihr das mit den SNMP Traps und Syslognachrichten? Wollte das bei uns auch nutzen aber ich habs noch nie gemacht, bringt Win2003 Server einen Server dafür mit, oder gibts da was gutes als Freeware? Oder was könnt ihr empfehlen? Danke für eure Hilfe! Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 6. November 2008 Melden Teilen Geschrieben 6. November 2008 Poste mal die Config der beiden Ports. Ist das ein Windows Notebook? Zitieren Link zu diesem Kommentar
Lanjunkie 10 Geschrieben 6. November 2008 Autor Melden Teilen Geschrieben 6. November 2008 Abschnitt von SW2 ! interface FastEthernet0/21 description UplinkSW3 switchport mode trunk ! Abschnitt von Von SW3: ! interface FastEthernet0/21 shutdown ! interface FastEthernet0/22 description UplinkSW2 switchport mode trunk ! interface FastEthernet0/23 shutdown ! Über den Trunk sollen 2 VLANs übertragen werden (1&2) Ja ist ein Windows Notebook mit XP prof2 und SP2 mit Domainanmeldung (AD) Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 8. November 2008 Melden Teilen Geschrieben 8. November 2008 Hallo, das port sec Feature ist ein ingress Featute am Switchport (non trunk). Wenn du nun den .Q Trunk zwischen den Switches absteckst und dein notebook ansteckst, wirst du in VLAN 1 landen. In der defaultconfig wird das native vlan, dass nicht getagged geführt wird VLAN 1 sein ==> du kannst alles in VLAN 1 erreichen. Falls eine Routinginstanz konfiguriert ist, kannst du natürlich auch alles aus VLAN 2 erreichen. Best Practise ist hier: a. Native Vlan VLAN 1 nicht verwenden und unterschiedliche dummy native vlans auf den trunks verwenden. Vlan 1 wird nur für die interswitch kommunikation genutzt (CDP, ...) ! interfa x/y switchport trun encap dot1q switchport mode trunk switchport trunk allowed vl <A>,<B>,<DUMMY> switchport trunk native vlan <DUMMY> switchport nonegotiate ! A und B sind deine "Nutzvlans" b. All VLAN tagged Variante a ist mit konfigurationsaufwand verbunden. Ein nicht 802.1q getaggtes VLAN gibt es nur aus backwardscompability Gründen im IEEE Standard. Generell bringt das native vlan keinerlei vorteile. Fall nun in einem [shared medium] segment bridges, die kein 802.1q unterstützen, vorhanden wären, wären diese über das native vlan erreichbar. Desshalb gibt es das native vlan. Derartige Switches sollte es nicht mehr geben (Falls vorhanden sollte eine migration auf "state of the art" Switches angestrebt werden (;-)). Es gibt auf Catalyst Switches die Möglichkeit auch das native VLAN 802.1q tagged zu transportieren: ! conf t vlan dot1q tag native ! Nun werden alle VLAN via 802.1q Header übertragen.. Bei der Implementierung sollte man natürlich Downtime kalkulieren. Falls man nun eine 802.1q fähige karte hätte, könnte man natürlich wieder auf die VLANS zugreifen. Switches sind jedoch in gesicherten Räumen installiert, um physikalischen Zugriff zu vermeiden. hope this helps brgds and have a great day Zitieren Link zu diesem Kommentar
Lanjunkie 10 Geschrieben 10. November 2008 Autor Melden Teilen Geschrieben 10. November 2008 Hallo daking, also erstmal Danke für die ausführliche Antwort! Den Befehl switchport trun encap dot1q kennt mein 2950 zwar nicht (altes IOS, denke ich) Aber der Rest nach Lösung A klappt wunderbar. Allerdings muss das native DUMMY Vlan der beiden gegenüberliegenen Trunkports das gleiche sein, da sonst ständig vlan configuration errors über das CPD Protokoll ermittelt werden. Da ich immo das def Vlan 1 nicht einfach so ändern kann, weil es ein Teil eines großen Netzes ist was bisher nicht mit VLANs und Port-Securitys betrieben wurde, habe ich das erstmal so gelassen und lediglich die native vlans auf den Trunks auf X gesetzt. Hat es denn überhaupt einen Nachteil VLAN 1 auch für Nutzdaten zu benutzen, außer das da auch die CDP Daten übertragen werden? Danke! Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 11. November 2008 Melden Teilen Geschrieben 11. November 2008 solange vlan 1 tagged ist sollts wurst sein. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.