Cisco 9300 VLAN Konfiguration

itallrounder
Goto Top
Hallo zusammen,

wir sind derzeit dabei unsere bestehenden Switche abzulösen.
Vorgabe ist, dass alle Switche gegen Cisco Catalyst 9300 Series getauscht werden.
Der erste läuft am Hauptstandort und wurde vom Dienstleister eingerichtet.
Nun muss leider kurzfristig ein weiterer Switch getauscht werden und ich bekomme über den neuen Switch keine Verbindung.


Aufbau:
- Hauptstandort mit Rechenzentrum (Brocade 6610, Cisco 9300 [der läuft], Aruba j9729a) - Cisco ASR 901 MPLS Router
- Außenstellen (Cisco 9300) - Cisco ASR 901 MPLS Router

Die beiden Standorte sind über den Cisco ASR mit einander verbunden. (PSUDOWIRE?)
Das ganze betreut bei uns intern eine andere Abteilung, die Verbindung steht und funktioniert wohl auch!

Das Problem:
Fangen wir mal am Grundsatz an.
Ich habe am 2. Standort genau ein RJ45 Kabel was für meinen Cisco 9300 anliegt.
Über dieses muss das Management des Switches laufen, als auch der Datenverkehr aus dem Hauptstandort.
Kann das gehen? Ich würde mal behaupten: Ja! Einfach auf das interface FI 1/0/48 eine IP konfigurieren. Dabei darf der Port aber kein "no switchport" sein.

Dieses Konstrukt fahren wir an diversen Standorten, aber noch nicht mit den Cisco 9300.
Primär sind da Cisco 2960S, HP1910, Netgear XXXX im Einsatz. Alles betagte Hardware.

Verhalten:
Der Cisco 9300 am Standort 2 bekommt seinen Link über "FI 1/0/48" (switchport mode trunk, ALL VLAN).
Die VLANs kommen vom Standort 1 des Aruba Switches "interface 7" (tagged vlan 407,408,409,499,599)
Wenn der Cisco 9300 nun auf dem Interface "FI 1/0/48" auch seine Mangement IP hält (XXX.XXX.7.21/24) ist dieser weder per SSH noch WebUI erreichbar.
Also habe ich die IP auf den Port "GI 0/0" gelegt und dieser wird von Port "FI 1/0/47" (switchport access vlan 407) gespeist.

Nun gehe ich auf den Switch (Netzwerkkabel auf "FI 1/0/1") und erwarte eigentlich ein DHCP Offer aus dem VLAN 408.
Erhalte ich aber nicht. Also gebe ich mir eine statische IP in diesem Netz. Kann aber nicht in dem LAN erreichen.

Also stecke ich mein Kabel auf "FI 1/0/46" (untagged VLAN 407), verpasse mir eine statische IP und will auf den Switch per SSH zugreifen...
Erfolgreich, mit statischer IP am Client bekomme ich das Netz.

Fragen:
- Was mache ich falsch, dass ich den Switch z.B von meinem Hauptstandort nicht erreicht bekommen?
- Warum will mein VLAN 408 z.B. auf dem Interface FI 1/0/1 nicht ins LAN kommunizieren?
Hat hier ggf. jemand Erfahrung mit den Cisco 9300 ? Übersehe ich etwas grundlegendes?
Gefühlt sehe ich den Wald vor lauter Bäumen nicht mehr.
Bei dem letzten Arbeitgeber habe ich lediglich mit Cisco SG350 und Ruckus ICX 7150 zutun gehabt.
Die 9300 Serie überfordert mich aktuell ein wenig :( face-sad dabei sollte man meinen Switch = Switch!
Aber die CLI unterscheidet sich doch sehr stark.
Ruckus z.B "vlan 407 - untagged ethe 1/0/1"
Cisco hingegen "interface FI 1/0/1 - switchport access vlan 407

Ich bin dankebar für jeden Input!

Anbei eine grobe Zeichnung des Aufbaus
screen1






Konfiguration Cisco 9300 (Funktioniert nicht)


Aruba Switch Standort 1 (übergabe an MPLS)

Beste Güße

Content-Key: 2801055603

Url: https://administrator.de/contentid/2801055603

Ausgedruckt am: 29.06.2022 um 04:06 Uhr

Mitglied: maretz
maretz 16.05.2022 aktualisiert um 18:13:16 Uhr
Goto Top
Moin,

ehrlich gesagt hab ich mir nur die hälfte durchgelesen - da ich nicht glaube das du die nötigen Kenntnisse hast um sowas für ganze Standorte zu machen.

Erstmal mischt du scheinbar Access und Trunk-Ports.... was in sich schon ne schlechte Idee ist.
Dann willst du dem Switch irgendwelche IPs zuweisen - wenn du dafür keinen Grund hast dann lass es. Der braucht vermutlich nur eine Management-IP, den korrekten Trunk-Port und das richtige native vlan drauf - und schon sollte es gehen...

Aber ich würde dir empfehlen -> in einem Prod.-System lasse das lieber Leute mit Erfahrung machen. Du kannst mit deinen Einstellungen auch dafür sorgen das auf der gegenseite der Port auf "suspended" geht - und dann ist im dümmsten Fall richtig alarm...

Kleines Edit: Du verwendest nebenbei auch VLANs die du im Switch nie definiert hast - weder als vlan noch als interface vlan...
Mitglied: aqui
Lösung aqui 16.05.2022 aktualisiert um 19:48:08 Uhr
Goto Top
Kollege @maretz hat oben ja schon das Wichtigste gesagt. Es ist viel falsch auf dem Switch. Allein schon die Uhrzeit ist vollkommen falsch konfiguriert. OK, nur kosmetisch solange man nicht mit Zerifikaten arbeitet zeigt aber generell wie luschig und wenig zielorientiert vorgegangen wurde bei der Konfig.
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00

wäre korrekt.
Etwas Cisco IOS Syntax findest du im hiesigen Cisco Router Tutorial oder auch VLAN Tutorial.

Dein Kardinalsfehler ist aber das du deine IP direkt auf einem physischen Port gelegt hast. Damit wird dieser Port ein dedizierter Router Router Port und ist kein Switchport mehr.
Über so ein Interface rennt dann keinerlei Broadcast orientierter Traffic mehr wie z.B. DHCP. Weisst du als guter IT Allrounder auch selber. Damit kannst du an einem solchen Port dann lange auf DHCP warten.
Üblicherweise ist der Catalyst ein Switch und nur in sehr seltenen Fällen definiert man physische Ports als reine Router Ports. Sowas kommt nur in einer hybriden Switch und Routing Umgebung vor.
Deine IP gehört, wie bei Cisco an einem Switch üblich, immer auf auf ein vlan Interface. Eine VLAN Interface ist immer das Layer 3 IP Interface zur Routing Backplane des Switches.
Das Management Interface mit der Management VRF ist per Default an das Interface "vlan 1 gebunden"
Richtig wäre dann also
interface vlan 1
description Mein Management Interface
ip address XXX.XXX.7.21 255.255.255.0

Die IP direkt am physischen Interface 0/0 solltest du also wieder entfernen.

Nochwas Wichtiges was du bei der Migration in gemischten Hersteller Umgebungen mit Cisco unbedingt auf dem Radar haben solltest:
Cisco benutzt auf den Catalysten per Default PVSTP+ (Per VLAN Spanning Tree) als Spanning Tree Protokoll welches proprietäre BPDU Mac Adressen verwendet und damit in 2facher Hinsicht nicht mit einfachen Single Span Switches wie Aruba, HP1910, Netgear XXXX usw. kompatibel ist
Willst du weiter diesen Mischbetrieb mit den Catalysten fahren kannst du diese so nicht zusammenschalten, denn das wird in einem Chaos mit zyklischen Ausfällen und STP Link Blockings enden.
Der einzige Switch der das automatisch erkennt und entsprechend umschaltet ist der Brocade/Ruckus ICX. Wäre in dem Umfeld besser gewesen auf diese zu setzen!
Du hast nur 2 Optionen das Chaos mit den anderen Herstellern zu vermeiden:
  • Die "Billigheimer" in eine eigenen L2 Domain zu sperren mit Single Span RSTP und dann zwischen beiden routen so das sich die nicht kompatiblen STP Doamins nicht "sehen".
  • Alle Switches auf ein kompatiblen Spanning Tree Standard migrieren was MSTP ist.
Letzteres wäre die sinnvollste Option ein entsprechendes Priority Konzept natürlich vorausgesetzt.
Mitglied: ITAllrounder
ITAllrounder 17.05.2022 um 20:35:48 Uhr
Goto Top
Nabend,

@maretz mag sein, dass mein Kenntnisse in dem Bereich eingerostet sind, aber hier ist leider zwingender Handlungsbedarf.
Einer der alten HP Gurken ist an dem Standort zwei nämlich aus gestiegen und der Dienstleister kann mir einen Termin in Ende KW 21 anbieten.

Somit muss da leider schnellstmöglich gehandelt werden. Falls die Frage auf kommt warum ich keine anderen DL anspreche: ...Verträge von oben. Ich darf nur mit dem einen Dienstleister.

@aqui
DANKE!
Klar muss die MGMT IP auf dem VLAN Interface liegen....*Brett vorm Kopf*

Über die PVSTP und MSTP Geschichte bin ich auch schon gestolpert. Der Dienstleister möchte daher gerne im gesamten Netzwerk Spanning Tree deaktivieren. Halte ich jetzt nicht gerade für die idealste Idee.
Da der DL aber über das "Fachwissen" verfügt wird meine Meinung dazu nicht gerade stark berücksichtigt.

An dieser Stelle ganz herzlichen Dank für den Input. Die Verbindung läuft unter dessen, wie gewünscht.
Wird Zeit dass ich wieder mehr in Richtung Netzwerk gehe um da mal wieder die Kenntnisse aufzufrischen.
Aktuell hantiere ich mit Oracle DB, VMWare, Citrix, Cisco HyperFlex am meisten rum...da bleibt leider mal das ein oder andere Thema auf der Strecke. Allwissend kann man ja nie sein.

Schönen Abend noch.
Mitglied: aqui
aqui 18.05.2022 aktualisiert um 08:16:54 Uhr
Goto Top
Der Dienstleister möchte daher gerne im gesamten Netzwerk Spanning Tree deaktivieren.
Das kann man machen, ist aber eine gefährliche Sache und sollte man dann sehr gut planen. Wenn man ein klassisches Design mit Redundanz hat, wie es in Firmennetzen generell ja üblich ist, und den Access Bereich mit LACP LAGs anbindet ist das machbar, denn LACP bringt eine eigenen Loop Detection mit. Allerdings dann nicht im Edge/Access Bereich wo es besonders fatal ist wenn dort User einmal zufällig Loops stecken z.B. über kleine Desktop Switches, oder falsch konfigurierte Server LAGs usw.
Diese Gefahr sollte man nie eingehen und deshalb bei Verzicht auf STP niemals ohne ein zusätzliches Loop Detection Protokoll arbeiten.
Für die Catalysten und Ruckus/Brocade kein Problem aber die ganzen Billigheimer wie HP1910, Netgear supporten meist keine gesonderte Loop Detection. Da muss man also schon etwas aufpassen beim Design wenn man später sicher und störungsfrei arbeiten möchte. Besser ist es dann zumindestens im Edge Bereich STP bzw. in deinem Falle dann MSTP zu aktivieren.
MSTP ist sehr einfach zu konfigurieren und für euren Dienstleister sicher kein Problem. Der Thread oben zeigt ja eine Live Konfig als Beispiel.
Wenn du weiter in einem gemischten Umfeld arbeiten willst oder musst sollte daran kein Weg vorbeiführen.
Dann weiterhin viel Erfolg mit dem Setup.

Bitte deinen Thread dann auch als erledigt schliessen.
https://administrator.de/faq/32