snowman_x2 10 Geschrieben 11. Dezember 2008 Melden Teilen Geschrieben 11. Dezember 2008 Hallo, ich habe hier einen Catalyst 3560G mit 48 Gigabit Ports. IOS ist das neuste "C3560-ADVIPSERVICESK9-M, Version 12.2(46)SE". Hier die Config: Building configuration... Current configuration : 9836 bytes ! version 12.2 no service pad service timestamps debug datetime service timestamps log uptime service password-encryption ! hostname xxx ! boot-start-marker boot-end-marker ! enable secret 5 xxx ! no aaa new-model system mtu routing 1500 vtp mode transparent ip subnet-zero ip routing ip domain-name xxx.com ip name-server xxx.xxx.xxx.xxx ip name-server xxx.xxx.xxx.xxx ! ! ! ! ! ! ! ! ! ! ! spanning-tree mode pvst spanning-tree extend system-id no spanning-tree vlan 1,98-99,101,110,112-115 ! vlan internal allocation policy ascending ! vlan 98 name 98-xxx ! vlan 99 name 99-xxx ! vlan 101 name 101-xxx ! vlan 110 name 110-xxx ! vlan 112 name 112-xxx ! vlan 113 name 113-xxx ! vlan 114 name 114-xxx ! vlan 115 name 115-xxx ! ip ssh time-out 60 ip ssh version 2 ! ! ! interface GigabitEthernet0/1 switchport access vlan 113 ! interface GigabitEthernet0/2 switchport access vlan 113 ! interface GigabitEthernet0/3 switchport access vlan 113 ! interface GigabitEthernet0/4 switchport access vlan 113 ! interface GigabitEthernet0/5 switchport access vlan 113 ! interface GigabitEthernet0/6 switchport access vlan 113 ! ... ! interface GigabitEthernet0/17 switchport access vlan 114 ! interface GigabitEthernet0/18 switchport access vlan 114 ! interface GigabitEthernet0/19 switchport access vlan 114 ! interface GigabitEthernet0/20 switchport access vlan 114 ! ... ! interface GigabitEthernet0/49 shutdown ! interface GigabitEthernet0/50 shutdown ! interface GigabitEthernet0/51 shutdown ! interface GigabitEthernet0/52 shutdown ! interface Vlan1 no ip address shutdown ! interface Vlan98 no ip address ! interface Vlan99 ip address xxx ! interface Vlan101 ip address xxx ! interface Vlan110 ip address xxx ! interface Vlan112 no ip address ! interface Vlan113 ip address 172.16.113.1 255.255.255.224 ip access-group vlan113_IN in ! interface Vlan114 ip address 172.16.114.1 255.255.255.192 ip access-group vlan114_IN in ! interface Vlan115 ip address xxxx ! ip classless ip route 0.0.0.0 0.0.0.0 xxxx no ip http server no ip http secure-server ! ! ... ip access-list extended vlan113_IN deny tcp 172.16.113.0 0.0.0.31 host 172.16.113.1 eq ftp deny tcp 172.16.113.0 0.0.0.31 host 172.16.114.1 eq ftp deny tcp 172.16.113.0 0.0.0.31 host 172.16.113.1 eq 22 deny tcp 172.16.113.0 0.0.0.31 host 172.16.114.1 eq 22 deny tcp 172.16.113.0 0.0.0.31 host 172.16.113.1 eq telnet deny tcp 172.16.113.0 0.0.0.31 host 172.16.114.1 eq telnet permit ip 172.16.113.0 0.0.0.31 172.16.113.0 0.0.0.31 permit ip 172.16.113.0 0.0.0.31 172.16.114.0 0.0.0.63 deny ip any any log-input ip access-list extended vlan114_IN deny tcp 172.16.114.0 0.0.0.63 host 172.16.114.1 eq ftp deny tcp 172.16.114.0 0.0.0.63 host 172.16.114.1 eq 22 deny tcp 172.16.114.0 0.0.0.63 host 172.16.114.1 eq telnet permit ip 172.16.114.0 0.0.0.63 172.16.113.0 0.0.0.31 permit ip 172.16.114.0 0.0.0.63 172.16.114.0 0.0.0.63 deny ip any any log-input ! no cdp run ! control-plane ! banner motd ^C blabla ^C ! line con 0 password 7 xxx logging synchronous login line vty 0 4 password 7 xxx logging synchronous login transport input ssh line vty 5 14 password 7 xxx logging synchronous login transport input ssh line vty 15 password 7 xxx login transport input ssh ! ntp clock-period 36029338 ntp server xxx end Zitieren Link zu diesem Kommentar
snowman_x2 10 Geschrieben 11. Dezember 2008 Autor Melden Teilen Geschrieben 11. Dezember 2008 Ich hab ein paar Server an gi0/1 - gi0/6 hängen. VLAN 113. Dann hänge ein paar Clients an gi0/17 - gi0/20. VLAN 114. ip routing ist aktiviert. Da mit der Cisco nicht alles von überall nach überall routed (sind noch mehr Ports + VLANs,... da) die Access Listen. Mein Problem: Vom Switch aus selbst kann ich alle Hosts pingen. Alle Clients und alle Server. Von den Clients aus, kann ich nur sporadisch die Server pingen, mal geht's, mal gar nicht, paar Minuten später geht's wieder,... Das macht 0,0 Sinn. Ein Problem der Clients/Server kann ich ausschließen. Es wurden verschiedene Netzwerkinterfaces an verschiedene Ports am Cisco angeschlossen. Außerdem wurden verschiedene Kabel verwendet. Zu guter letzt wurde diese config auf einem baugleichen 3560 geladen und die Ports alle umgesteckt. Immer die gleichen Symtome. Was vielleicht hilft: Kann ich z.B. von Client 1 Server 1+2+3 pingen, kann ich von Client 2 1+2 aber den 3er nicht pingen. Kann ich von Client 2 aber z.B. den 3er Pingen, geht das dann nicht parallel von Client 1. Vielleicht kann mir wer helfen, ich komm nicht weiter. PS: ACL verstöße sehe ich ja am seriellen Port, da sieht man nichts... Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 11. Dezember 2008 Melden Teilen Geschrieben 11. Dezember 2008 hm, gibts dafür: no spanning-tree vlan 1,98-99,101,110,112-115 einen bestimmten grund ? Zitieren Link zu diesem Kommentar
snowman_x2 10 Geschrieben 11. Dezember 2008 Autor Melden Teilen Geschrieben 11. Dezember 2008 Ich will alle Fehlerquellen ausschließen, RSTP mit Portfast auf Acces Ports kommt natürlich wieder rein wenn alles klappt. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 11. Dezember 2008 Melden Teilen Geschrieben 11. Dezember 2008 Mich wuerde waehrend den fehlschlagenden Pings ein "sh int status" vom Switch interessieren. Dann noch ob Clients und Server jeweils das SVI auch als Defaultgateway eingetragen haben. Es koennte auch irgendwas mit Multinetting sein, vielleicht ist ein Server im Switch auf das Client-VLAN gepatched ... Zitieren Link zu diesem Kommentar
snowman_x2 10 Geschrieben 11. Dezember 2008 Autor Melden Teilen Geschrieben 11. Dezember 2008 Dann noch ob Clients und Server jeweils das SVI auch als Defaultgateway eingetragen haben Bah nach 3 Tagen Troubleshooting draufgekommen. Hat nichts mit dem Cisco zu tun. Problem war, damit die Server 2 Netzwerkkarten hatten, mit unterschiedlichen VLANs. Wenn der Ping nun von VLAN 114 an das 113er Netz kommt, wissen die SUN server einfach nicht, damit sie Pakete an das 114er IP Netz/VLAN an 113.1 (Cisco VLAN interface) schicken sollen, sondern nehmen die Defaultroute. Da 2 Defaultroutes eingetragen sind, nimmt Solaris mal die eine, dann die andere. Eine Statische Route auf den Servern mit 172.16.114.1 nexthop 172.16.113.1 war die Lösung des Problems. thx an alle PS: Die ACL's für Port 20-22 sind ja dafür da, um bestimmte VLANs nicht auf das Admin Interface es Switches zu lassen. Geht das eleganter? Da die x.x.113.1 und x.x.114.1 ja die Defaultgateways sind, und nicht direkt addressiert werden müssen könnte ich doch einfach die 113.1 und die 114.1 komplett verbieten (also deny ip ... ...), oder nicht? Zitieren Link zu diesem Kommentar
lexus 10 Geschrieben 11. Dezember 2008 Melden Teilen Geschrieben 11. Dezember 2008 Hi, um den telnet/ssh-Zugriff auf die Devices nur auf bestimmte Clients einzuschränken, kannst du so vorgehen: access-list 1 permit <erlaute IP1> access-list 1 permit <erlaute IP2> . . access-list 1 deny any line vty 0 4 access-class 1 in Mfg Lexus Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.