white-rabbit2
Goto Top

Cisco-SG-350: VLANs werden automatisch ermittelt - abschaltbar?

Hallo.
Ich habe auf unterschiedlichen Cisco SG-350 Switches nun folgende Beobachtung gemacht:
Auf Port X soll eigentlich nur VLAN.1 liegen und auf Port Y von mir aus VLAN.2 untagged und 3 und 4 tagged.
Wenn man "aus Gründen" die Kabel am Switch zieht und wieder steckt, evtl mal tauscht und wieder steckt, hat der Switch schon mehrfach an den
Ports alles durcheinander geworfen und einfach alle VLANs tagged automatisch konfiguriert.
Das muss offenbar eine Funktion sein, die evtl sogar manchmal sinnvoll sein kann -- ich würde sie aber gerne abschalten. Weiß einer, wo ich das finde?
Danke!

Content-ID: 521331

Url: https://administrator.de/contentid/521331

Ausgedruckt am: 04.12.2024 um 08:12 Uhr

maretz
maretz 04.12.2019 um 06:36:34 Uhr
Goto Top
Habt ihr irgendeine Form vom NAC (Network access control) aktiv? Weil sonst würde mich so ein verhalten wundern, es ist mit Sicherheit keine Standard-Einstellung (da Cisco Standardmässig nur VLAN1 hat, alle anderen musst du dem ja erst mal erklären...)
em-pie
em-pie 04.12.2019 um 07:00:53 Uhr
Goto Top
Moin,

Kann das Verhalten mit einem SG350 und einem Cisco AP 27xx bestätigen.
Der Port ist auf Trunk mit div., aber nicht allen VLANs definiert. Einmal Renoir des APs und der nimmt sich alle bekannten VLANs und setzt sein eigenes VLAN ins falsche...

Ich habe die Ursache noch nicht nachverfolgt, tippe aber auf LLDP Med


Gruß
em-pie
Spirit-of-Eli
Spirit-of-Eli 04.12.2019 aktualisiert um 07:19:53 Uhr
Goto Top
Zitat von @maretz:

Habt ihr irgendeine Form vom NAC (Network access control) aktiv? Weil sonst würde mich so ein verhalten wundern, es ist mit Sicherheit keine Standard-Einstellung (da Cisco Standardmässig nur VLAN1 hat, alle anderen musst du dem ja erst mal erklären...)

Moin,

Das geht schon. Ich weiß nur nicht wie die Funktion bei Cisco heißt.

Durcheinander gewürfelt trifft es wahrscheinlich auch nicht. Es geht darum wie der Switch mit einem undefinierten Zustand umgeht. Z.b. wirft der dann alles in VLan 1 usw.

Gruß
Spirit
Spirit-of-Eli
Spirit-of-Eli 04.12.2019 aktualisiert um 07:20:13 Uhr
Goto Top
Zitat von @em-pie:
Ich habe die Ursache noch nicht nachverfolgt, tippe aber auf LLDP Med

LLDP med müsste ja auf dem Port konfiguriert sein. Sollte dann auch so in der Konfiguration auftauchen.
sabines
sabines 04.12.2019 um 07:51:56 Uhr
Goto Top
Zitat von @em-pie:

Der Port ist auf Trunk mit div., aber nicht allen VLANs definiert. Einmal Renoir des APs und der nimmt sich alle bekannten VLANs und setzt sein eigenes VLAN ins falsche...


Find ich geil, dass es jetzt impressionistische APs gibt face-wink
White-Rabbit2
White-Rabbit2 04.12.2019 um 08:08:58 Uhr
Goto Top
LLDP sagt mir nichts ... ich habe an den defaults auch nicht viel geändert, stelle das Verhalten aber imho auch erst mit der SG350er Version und nicht mit der SG300er fest. Da hat er das noch nicht gemacht.

Es ist deshalb nervig, weil es passieren kann, dass man auf die VLAN.Konfig schaut, sich absolut sicher ist, dass alles passt, später ein Kabel tauscht und dann natürlich nicht als erstes darauf kommt, dass der Switch aus irgendeinem Grund versucht hat, besonders schlau zu sein und selbstständig den Port umkonfiguriert hat. Und dann halt so, dass gar nichts ankommt...
Beim ersten Mal dachte ich noch an "eigene Blödheit -- nicht aufgepasst" aber das ist mittlerweile schon öfter an verschiedenen Switches aufgetaucht, so dass das kein Zufall sein kann. Wie gesagt: Kann ja uU sogar vernünftig sein, wenn man zwei Kabel tauscht und die Gegenseite dann nicht das richtige VLAN auf der Leitung hat aber es sollte abschaltbar sein, oder???

Ich habe übrigens schon nach "auto configuration vlan cisco sg350" gesucht ... man findet da sowas wie: https://www.cisco.com/c/en/us/support/docs/smb/switches/cisco-350x-serie ... ... aber ob es *das* ist?
aqui
Lösung aqui 04.12.2019 aktualisiert um 10:28:55 Uhr
Goto Top
ich habe an den defaults auch nicht viel geändert,
Das ist das Problem ! Du lässt damit alle Infrastruktur Autodiscovery Protokolle laufen was wenig intelligent und sinnvoll ist. Man sollte sich die Default Settings also schon mal ansehen und sinnvoll customizen als netzwerk Admin !
CDP (Cisco Discovery Protokoll) solltest du immer abschalten, damit kann sowas passieren.
Ganz wichtig ist zudem das PMP Protokoll, denn damit telefoniert der Switch "nach Hause" zu Cisco. Es ermöglicht das remote Abspeichern und Laden der Konfig in der Cisco Cloud. KEIN verantwortungsvoller netzwerk Admin will sowas deshalb sollte das zwingend deaktiviert sein !
Einzig LLDP (Link Layer Discovery Prot.) sollte aktiv sein ggf. wegen VoIP und der dynamischen Übermittlung des Voice VLANs und QoS Parameter. Wer das nicht hat oder braucht kann es auch abschalten.
Ein Intelligentes Setup dieser Protokolle am Cisco SG sähe so aus:
PNP aus:
pnp

CDP aus:
cdp

LLDP je nach Anforderung an oder aus. Im Zweifel anlassen:
lldp

Smartport Settings:
smport
White-Rabbit2
White-Rabbit2 04.12.2019 um 10:15:12 Uhr
Goto Top
Danke für die Hinweise. Werde ich so umsetzen!