Cisco Router + HP Procurve Switch + VLANs

Cisco Router + HP Procurve Switch + VLANs (28 Beiträge, 540 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Hallo

So, nachdem man mich heute absolut unvorbereitet vor einen HP Procurve gesetzt hat mit der Aufgabe VLANs einzurichten, bin ich jetzt ein wenig ratlos.

Kurze Zusammenfassung:
Es gibt einen Router (Cisco 1811). Dieser hat im Endeffekt einen Port in Richtung Internet (FastEthernet0). Zugewiesen sind diesem 5 IP Adressen aus dem Bereich 192.168.0.128/29. (das 192.168 ist in Wirklichkeit was öffentlich erreichbares von sil.at). Ein Port von diesem ist als Trunk Port konfiguriert (FastEthernet2). Als Encapsulation ist dot1q eingestellt.
An diesem Port hängt ein HP Procurve 2626. Dies ist ein 24port * 100MBit + 2 * 1000 MBit Switch.
Port 25 ist als tagged konfiguriert und mit Fa2 vom Cisco verbunden. Die Ports 1-24 sind in drei unterschiedliche VLANs eingeteilt.

Was ich davon habe:
Ich kann drei VLANs haben, wobei jedes einen eigenen IP Adressbereich hat und welche dann auch nach außen hin jeweils eine andere IP Adresse haben.

Was funktioniert:
Prinzipiell funktioniert die Verbindung und die Konfiguration des Cisco scheint korrekt zu sein. Ich bekomme einwandfrei eine IP Adresse zugewiesen, ich kann diverse Seiten ansurfen ABER:

* manche Seiten öffnen sich sehr langsam oder gar nicht
* Outlook bleibt hängen wenn es sich über Outlook Anywhere mit unserem Exchange verbinden will (der komplett wo anders steht)
* wenn ich z.b. orf.at anpinge, habe ich einen Loss von exakt 50%. Ein ICMP Paket funktioniert, beim zweiten bekomme ich nur ein "Request Timeout". Und es ist wirklich so dass genau jedes zweite nicht funktioniert. Dasselbe bei anderen Seiten.

So ... und jetzt frage ich mal in die Runde: Wer weiss Bescheid was es da haben könnte. Wer zwickt sich hier mit wem.
Wenn ich einen Port am Cisco ins VLAN30 stelle (eines meiner 3 VLANs) dann funktioniert der Ping einwandfrei. Erst wenn ich mich an den Switch hänge tritt das Problem auf. Hier nochmal das NW Layout:

Internet <-> (Fa0)Router(Fa2) <-> HP Procurve 2626 <-> PC

Danke für jegliche Hinweise.

Wenn der Sturm losbricht,
verstummen die Einen vor Schrecken,
und die Anderen breiten, einem Adler gleich, die Flügel aus
und schwingen sich empor.

Herzlichen Dank an Raydoo für die Fotos

Hmm, ein Bisschen in mein Cisco-Cookbook schnüffeln hat folgendes gebracht:

Am Cisco etwas wie folgendes konfigurieren:

Cisco(config)#interface FastEthernet2
Cisco(config-if)#no ip address
Cisco(config-if)#speed 100
Cisco(config-if)#full-duplex
Cisco(config-if)#exit
Cisco(config)#interface FastEthernet2.10
Cisco(config-subif)#encapsulation dot1Q 10 native
Cisco(config-subif)#ip address 192.168.10.2 255.255.255.0
Cisco(config-subif)#exit
Cisco(config)#interface FastEthernet2.20
Cisco(config-subif)#encapsulation dot1Q 20
Cisco(config-subif)#ip address 192.168.20.2 255.255.255.0
Cisco(config-subif)#exit
Cisco(config)#interface FastEthernet2.30
Cisco(config-subif)#encapsulation dot1Q 30
Cisco(config-subif)#ip address 192.168.30.2 255.255.255.0
Cisco(config-subif)#end
Cisco#

Also drei Subinterfaces auf FA2 erstellen und sie jeweils ein IP-Adresse aus den jeweilige VLANs zuordnen, nur dann kann auch gerouted werden.

Am ProCurve etwas wie folgendes konfigurieren:

Console (config)# interface ethernet 1/g2
Console (config-if)# switchport mode trunk 
Console (config-if)# switchport trunk allowed vlan add 10,20,30

Wenn das nichts bringt, kannst du dann mal beide Configs posten?

Save the Earth... it's the only planet with chocolate.

Ich glaube, die Evolution hat gemerkt, dass Intelligenz nichts bringt und geht jetzt wieder in die Gegenrichtung

Hi, erstmal danke für die Antwort.

Was ich nicht verstehe ist, wozu ich die Subinterfaces brauche. Zwischen den einzelnen VLANs will ich ja gar nicht auf layer 3 routen. Steht da diesbezüglich noch was in deinem schlauen Buch? :D

ad ProCurve Config:
kanns sein, dass das keine Procurve Konfig ist sondern eher eine Cisco Config? Was ich heute nämlich schon herausgefunden habe ist dass bei HP "trunk" nicht den Cisco Trunk bedeutet sondern eher die Cisco "Link Aggregation".

Die configs werde ich posten sobald ich wieder an das entsprechende System rankomme. Hier mal die relevanten Ausschnitte vom Cisco. Ist nicht genau die, die derzeit am Router läuft, dürfte aber keine gröberen Änderungen geben. Eine ip route 0.0.0.0 0.0.0.0 NextHopIP ist auch noch hinzugekommen (die ist im geposteten noch nicht dabei).

Ich glaube ja dass das Problem irgendwo im Zusammenspiel zwischen Cisco und HP steckt, aber ich weiss nicht wie ich das am besten debuggen könnte.


Router#sh run
Building configuration...

Current configuration : 4702 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
resource policy
!
!
!
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.20.1
ip dhcp excluded-address 192.168.30.1
ip dhcp excluded-address 192.168.10.1
ip dhcp excluded-address 192.168.40.1
!
ip dhcp pool PoolVlan20
   import all
   network 192.168.20.0 255.255.255.0
   default-router 192.168.20.1
   dns-server (...)
!
ip dhcp pool PoolVlan30
   import all
   network 192.168.30.0 255.255.255.0
   default-router 192.168.30.1
   dns-server (...)
!
ip dhcp pool PoolVlan10
   import all
   network 192.168.10.0 255.255.255.0
   default-router 192.168.10.1
   dns-server (...)
!
ip dhcp pool PoolVlan40
   import all
   network 192.168.40.0 255.255.255.0
   default-router 192.168.40.1
   dns-server (...)
!
!
!
ip name-server dns-server (...)
!
crypto pki trustpoint TP-self-signed-3575738758
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-3575738758
 revocation-check none
 rsakeypair TP-self-signed-3575738758
!
!
crypto pki certificate chain TP-self-signed-3575738758
 certificate self-signed 01
  3082023E 308201A7 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  quit

!
interface FastEthernet0
 description $ETH-LAN$
 ip address 192.168.99.5 255.255.255.248 secondary
 ip address 192.168.99.4 255.255.255.248 secondary
 ip address 192.168.99.3 255.255.255.248 secondary
 ip address 192.168.99.2 255.255.255.248
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface FastEthernet2
 description SwitchConnection
 switchport trunk native vlan 30
 switchport mode trunk
!
interface Vlan1
 no ip address
!
interface Vlan999
 ip address 192.168.1.1 255.255.255.0
!
interface Vlan10
 ip address 192.168.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Vlan20
 ip address 192.168.20.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Vlan30
 ip address 192.168.30.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Vlan40
 ip address 192.168.40.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Async1
 no ip address
 encapsulation slip
!
!
!
no ip http server
ip http authentication local
ip http secure-server
ip nat pool EXT20 192.168.99.2 192.168.99.2 prefix-length 24
ip nat pool EXT30 192.168.99.3 192.168.99.3 prefix-length 24
ip nat pool EXT40 192.168.99.4 192.168.99.4 prefix-length 24
ip nat inside source list 20 pool EXT20 overload
ip nat inside source list 30 pool EXT30 overload
ip nat inside source list 40 pool EXT40 overload
!
access-list 20 permit 192.168.20.0 0.0.0.255
access-list 30 permit 192.168.30.0 0.0.0.255
access-list 40 permit 192.168.40.0 0.0.0.255
!

Wenn der Sturm losbricht,
verstummen die Einen vor Schrecken,
und die Anderen breiten, einem Adler gleich, die Flügel aus
und schwingen sich empor.

Herzlichen Dank an Raydoo für die Fotos

Was ich nicht verstehe ist, wozu ich die Subinterfaces brauche. Zwischen den einzelnen VLANs will ich ja gar nicht auf layer 3 routen. Steht da diesbezüglich noch was in deinem schlauen Buch? :D

Na ja: in den VLANs müssen Paketen zum Router geschickt werden können, und das geht am besten indem du den 'Ausgang' jeweils eine eigene IP gibst. Du kannst dann im Router mit ACLs sorgen das keine Pakete zwischen den VLANs hin und her geschickt werden können, nur jeweils zwischen den WAN und den VLANs.

Ich glaube ja dass das Problem irgendwo im Zusammenspiel zwischen Cisco und HP steckt, aber ich weiss nicht wie ich das am besten debuggen könnte.

Das glaube ich auch

Ich habe viel zu wenig Erfahrung um so auf der Schnelle was sinnhaltiges sagen zu können. Ich glaube, du musst warten bis patos da ist...

Save the Earth... it's the only planet with chocolate.

Ich glaube, die Evolution hat gemerkt, dass Intelligenz nichts bringt und geht jetzt wieder in die Gegenrichtung

Hmmm ... Ich habe eben bis dato immer 4 VLAN Interfaces eingerichtet und diesen dann eine IP zugewiesen - so hatte ich von jedem DHCP Range aus einen Gateway pro VLAN.

Wenn du sagst, dass man sowas normalerweise über die Subinterfaces auf dem jeweiligen Port löst (was imho irgendwie "schöner" ist) dann werde ich das wohl mal probieren. Danke vorerst mal

Wenn der Sturm losbricht,
verstummen die Einen vor Schrecken,
und die Anderen breiten, einem Adler gleich, die Flügel aus
und schwingen sich empor.

Herzlichen Dank an Raydoo für die Fotos

du brauchst am router die subinterfaces, sonst weiß der trunk ja nicht wo sein layer 3 interface ist sprich... unter anderem auch wo der DHCP Pool ist.
config ca. so

int fa0.1
encapsulation dot1q "vlid1"
ip address 1.1.1.1 255.255.255.0
int fa0.2
enc dot1q "vlid2"

usw...

also am HP müsste es irgendwas sein wie
cfg/port/ "portnrx" /

tag enable
/cfg/l2/vlan/ vlid1
add portnrx
/cfg/l2/vlan/ vlid2
add portnrx
/cfg/l2/vlan/ vlid3
add portnrx

eventuell noch drauf achten dass am hp switch und cisco router das selbe native vlan configuriert ist (per default ist es vlan 1)

sollte dann klappen

edit: config sollte natürlich FA2 betreffen

26.11.2008, 14:26 Uhr - Editiert von Weedygonzales, alte Version: hier

edit : was ist dass bitte für ein router ? sieht mir nach einer router/switch mischkulanz aus von der config her

normalerweise legt man an einem router keine "int vlan xy" an, das ist switch syntax

ah.. gerade gesehen 1811

kenn mich aus... die feine englische art sind und bleiben sub-ifs

25.11.2008, 22:17 Uhr - Editiert von Weedygonzales, alte Version: hier
Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

was für ein unsinn...selbstverstädlich gibts auf Routern vlan interfaces...was machst denn sonst zB bei den 800ern ? Die können ihre LAN Interfaces ausschließlich über ein SVI mit IP Adressen versorgen...

Switch Syntax wäre wenn das VLAN an sich in der config auftauchen würde
_________________________________________________________________
Na Server's heast...

es sieht trotzdem mehr nach einem L3 switch aus, als nach einem router.
und die cisco router die ich kenne 2600-7206 serie, die lassen nur eine config vie sub-ifs zu ->

(config)#interface vla?
% Unrecognized command

Aber wennst einen "reinen" router hast, gibts dort sicher keine SVIs ... SVI = L3 switch bursche...

EDIT:
hab mal gschwind in einen 1861er getelnettet, der hat 8 switchports, dort kannst a svi anlegen.. logischerweise da ja switch ios und router ios vermischt wurde

EDIT2:
http://www.cisco.com/en/US/prod/collateral/routers/ps5853/ps6184/product_data_sheet0900aecd8028a95f_ps5853_Products_Data_Sheet.html

dürfte also beim 1811er genauso der fall sein... nichtsdesto trotz gehört auf den 2 fast ethernet routed ports die config mit sub-ifs meiner meinung, auch wenns mit den VLAN interfaces auch funktionieren würde, weil die config mit den secondary addresses auch zum speibn ist...

26.11.2008, 11:30 Uhr - Editiert von Weedygonzales, alte Version: hier

Wie würde dann denn die Konfig aussehen (die secondary IPs find ich auch hässlich, aber besseres ist mir nicht eingefallen).

Kurzum: Ich hab 2 Interfaces (Fa0, ein L3 Interface und Fa2, ein L2 Interface).

Ardjan hat gemeint subinterfaces aufs Fa2 legen - kann das gehen? - Wie löse ich dann das Problem mit den IP Adressen?

Wenn der Sturm losbricht,
verstummen die Einen vor Schrecken,
und die Anderen breiten, einem Adler gleich, die Flügel aus
und schwingen sich empor.

Herzlichen Dank an Raydoo für die Fotos

lt. cisco homepage hast du 2stk. L3 interfaces

ein Interface wird mit der subif config von oben mit dem switch verbunden

z.B.
conf t
int fa0
no ip address
int fa0.10
encapsulation dot1q 10
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
int fa0.20
encapsulation dot1q 20
ip address 192.168.20.1 255.255.255.0
ip nat inside
ip virtual-reassembly
int fa0.25
encapsulation dot1q 25 native
ip  address....

das wär so im großen und ganzen die config LAN seitig

am switch hast anscheinend ISCLI aktiviert dann schauts irgendwie so aus, bin aber nicht wirklich mit der serie vertraut:

interface GigabitEthernet 21
        tagging
        pvid 25
        speed 1000
        duplex full
        auto
vlan 10
member gigabitethernet 21
vlan 25
member gigabitethernet 21
vlan 10
member gigabitethernet 21

usw...

pvid ist bei HP das was bei Cisco das Native Vlan ist (sprich untagged)

du brauchst meiner meinung nach die ganzen secondary IPs nicht, ausser du willst hinterher noch irgendwas per ACL abfackeln, aber theoretisch bräuchtest nur eine IP und die NAT Pools versteckst hinter der einen Adresse

Hi, erstmal danke

Die LAN-seitige Config am router ist mir soweit denke ich klar - schaut irgendwie verständlich aus, der Hund liegt wieder meistens irgendwo im Detail

ISCLI hab ich sicher nicht aktiviert (

), wüsste nicht mal wo, aber so schauts schon eher nach meinem Switch aus.

Die secondary IPs habe ich deshalb verwendet, da ich intern vier VLANs haben die extern jeweils als unterschiedliche IPs aufscheinen sollen (also alles was im range 192.168.20.0/24) ist scheint extern als 192.168.99.20 auf, alles was intern im Range 192.168.30.0/24 ist scheint extern als 192.168.99.30 auf (jetzt nur mal mit irgendwelchen IPs gesprochen). Muss ich dafür nicht die IPs angeben, wenn der Traffic wieder zurückkommt? Von der ISP Seite wirds ja zu mir geschickt, aber akzeptiert der router dann diesen Traffic und weist es (ohne secondary ip) wieder dem richtigen range/vlan zu?

Wenn der Sturm losbricht,
verstummen die Einen vor Schrecken,
und die Anderen breiten, einem Adler gleich, die Flügel aus
und schwingen sich empor.

Herzlichen Dank an Raydoo für die Fotos

ISCLI - industry standard command line interface... ist stark an cisco angelehnt..

wegen der NAT config, das müsste ich mir anschauen, meine idee wäre es über loopbacks zu lösen... aber muss ich mir echt anschauen, oder evtl. mit einem NAT Pool wo du dann per accessliste globale IPs den VLANs zuweist...

wenn ich heut abend zeit finde schau ichs mir an und schick dir eine ca. config

habs jetzt gschwind runtergetippt...->

interface FastEthernet0/0 (<- dein externes int)
ip address 192.168.1.1 255.255.255.248
ip accounting output-packets
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface FastEthernet0/1.1
encapsulation dot1Q 1 native
ip address 10.200.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/1.2
encapsulation dot1Q 2
ip address 10.200.2.1 255.255.255.0
ip nat inside
ip virtual-reassembly

ip nat pool ext1 192.168.1.2 192.168.1.2 netmask 255.255.255.248
ip nat inside source list 1 pool ext1 overload

ip nat pool ext2 192.168.1.3 192.168.1.3 netmask 255.255.255.248
ip nat inside source list 2 pool ext2 overload

!
access-list 1 permit 10.200.1.0 0.0.0.255
access-list 1 deny   any log
access-list 2 permit 10.200.2.0 0.0.0.255
access-list 2 deny   any log

so ist es meiner meinung nach sauberer...
show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
icmp 192.168.1.2:10    10.200.1.1:10      10.0.0.1:10        10.0.0.1:10
icmp 192.168.1.3:9     10.200.2.1:9       10.0.0.1:9         10.0.0.1:9

10.0.0.1 ist ein loopback interface nur zum testen...
viel spaß damit

So, etwas ist mir noch aufgefallen, vielleicht kannst du mir das kurz sagen.

interface FastEthernet0/1

Ist das mein zweites physikalisches Interface? Ich habe nämlich nur FastEthernet0 und FastEthernet1 - sprich bei mir wär das dann FastEthernet1, korrekt?

Wenn der Sturm losbricht,
verstummen die Einen vor Schrecken,
und die Anderen breiten, einem Adler gleich, die Flügel aus
und schwingen sich empor.

Herzlichen Dank an Raydoo für die Fotos

korrekt

http://forum.geizhals.at/t607507,5202730.html#5202730

Wenn der Sturm losbricht,
verstummen die Einen vor Schrecken,
und die Anderen breiten, einem Adler gleich, die Flügel aus
und schwingen sich empor.

Herzlichen Dank an Raydoo für die Fotos

bevor du dich jetzt noch weiter quälst mit rumsuchen...JEDER Router der ein Switchingmodul besitzt kann auch SVIs anlegen. Es sollte eigentlich auch ne WIC-4ESW fürn 2600er geben. Bau das mal ein und du wirst sehen das du SVIs anlegen kannst.

Also zuerst mal kurz nachdenken bevor man irgendwas probiert das nicht funktionieren kann.

und ja, selbstverständlich gehören hier SubInterfaces mit IP Adressen rein.
_________________________________________________________________
Na Server's heast...

das brauchst mir nicht erzählen

Der 1811 hat 2 Routing Interfaces und 8 Switch Ports - ist also wirklich eine Mischung

Wenn der Sturm losbricht,
verstummen die Einen vor Schrecken,
und die Anderen breiten, einem Adler gleich, die Flügel aus
und schwingen sich empor.

Herzlichen Dank an Raydoo für die Fotos

hmm .. also das mit den Subinterfaces werde ich mal probieren, Danke. Die Konfiguration am HP hat aber ganz anders ausgesehen. Nur kurz: Ich bin das erste mal vor einem HP Managed Switch gestanden, war unter Zeitdruck und konnte deshalb nur ein paar kleine Dinge probieren. Konfiguriert habe ich den über die Konsole mittels:
configure
vlan 20
tagged 1-10
untagged 25
usw.

Irgendwie schaut das ganz anders aus

Kannst du da noch was dazu sagen?

Wenn der Sturm losbricht,
verstummen die Einen vor Schrecken,
und die Anderen breiten, einem Adler gleich, die Flügel aus
und schwingen sich empor.

Herzlichen Dank an Raydoo für die Fotos

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

http://forum.geizhals.at/t607507,5202730.html#5202730

Wenn der Sturm losbricht,
verstummen die Einen vor Schrecken,
und die Anderen breiten, einem Adler gleich, die Flügel aus
und schwingen sich empor.

Herzlichen Dank an Raydoo für die Fotos

So, ich wollte mich bei allen Beteiligten jetzt noch bedanken. Im Endeffekt hat die Lösung von Ardjan / Weedygonzales mittels der Subinterfaces tatsächlich zum Ziel geführt.
Zusätzlich wurden noch der Layer3 Traffic zwischen den VLANs mittels ACLs unterbunden (da ip routing aktiviert), DHCP Pools eingerichtet und ein Fernwartungszugung via SSH und von einem speziellen ip range vorgesehen.

Wenn der Sturm losbricht,
verstummen die Einen vor Schrecken,
und die Anderen breiten, einem Adler gleich, die Flügel aus
und schwingen sich empor.

Herzlichen Dank an Raydoo für die Fotos

Im Endeffekt hat die Lösung von Ardjan / Weedygonzales mittels der Subinterfaces tatsächlich zum Ziel geführt.

gerne geschehen. Dann habe ich also nicht nur Blödsinn geredet...

Save the Earth... it's the only planet with chocolate.

Ich glaube, die Evolution hat gemerkt, dass Intelligenz nichts bringt und geht jetzt wieder in die Gegenrichtung

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung