Cisco-SG-350: VLANs werden automatisch ermittelt - abschaltbar?
Hallo.
Ich habe auf unterschiedlichen Cisco SG-350 Switches nun folgende Beobachtung gemacht:
Auf Port X soll eigentlich nur VLAN.1 liegen und auf Port Y von mir aus VLAN.2 untagged und 3 und 4 tagged.
Wenn man "aus Gründen" die Kabel am Switch zieht und wieder steckt, evtl mal tauscht und wieder steckt, hat der Switch schon mehrfach an den
Ports alles durcheinander geworfen und einfach alle VLANs tagged automatisch konfiguriert.
Das muss offenbar eine Funktion sein, die evtl sogar manchmal sinnvoll sein kann -- ich würde sie aber gerne abschalten. Weiß einer, wo ich das finde?
Danke!
Ich habe auf unterschiedlichen Cisco SG-350 Switches nun folgende Beobachtung gemacht:
Auf Port X soll eigentlich nur VLAN.1 liegen und auf Port Y von mir aus VLAN.2 untagged und 3 und 4 tagged.
Wenn man "aus Gründen" die Kabel am Switch zieht und wieder steckt, evtl mal tauscht und wieder steckt, hat der Switch schon mehrfach an den
Ports alles durcheinander geworfen und einfach alle VLANs tagged automatisch konfiguriert.
Das muss offenbar eine Funktion sein, die evtl sogar manchmal sinnvoll sein kann -- ich würde sie aber gerne abschalten. Weiß einer, wo ich das finde?
Danke!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 521331
Url: https://administrator.de/contentid/521331
Ausgedruckt am: 04.12.2024 um 08:12 Uhr
8 Kommentare
Neuester Kommentar
Moin,
Kann das Verhalten mit einem SG350 und einem Cisco AP 27xx bestätigen.
Der Port ist auf Trunk mit div., aber nicht allen VLANs definiert. Einmal Renoir des APs und der nimmt sich alle bekannten VLANs und setzt sein eigenes VLAN ins falsche...
Ich habe die Ursache noch nicht nachverfolgt, tippe aber auf LLDP Med
Gruß
em-pie
Kann das Verhalten mit einem SG350 und einem Cisco AP 27xx bestätigen.
Der Port ist auf Trunk mit div., aber nicht allen VLANs definiert. Einmal Renoir des APs und der nimmt sich alle bekannten VLANs und setzt sein eigenes VLAN ins falsche...
Ich habe die Ursache noch nicht nachverfolgt, tippe aber auf LLDP Med
Gruß
em-pie
Zitat von @maretz:
Habt ihr irgendeine Form vom NAC (Network access control) aktiv? Weil sonst würde mich so ein verhalten wundern, es ist mit Sicherheit keine Standard-Einstellung (da Cisco Standardmässig nur VLAN1 hat, alle anderen musst du dem ja erst mal erklären...)
Habt ihr irgendeine Form vom NAC (Network access control) aktiv? Weil sonst würde mich so ein verhalten wundern, es ist mit Sicherheit keine Standard-Einstellung (da Cisco Standardmässig nur VLAN1 hat, alle anderen musst du dem ja erst mal erklären...)
Moin,
Das geht schon. Ich weiß nur nicht wie die Funktion bei Cisco heißt.
Durcheinander gewürfelt trifft es wahrscheinlich auch nicht. Es geht darum wie der Switch mit einem undefinierten Zustand umgeht. Z.b. wirft der dann alles in VLan 1 usw.
Gruß
Spirit
LLDP med müsste ja auf dem Port konfiguriert sein. Sollte dann auch so in der Konfiguration auftauchen.
Zitat von @em-pie:
Der Port ist auf Trunk mit div., aber nicht allen VLANs definiert. Einmal Renoir des APs und der nimmt sich alle bekannten VLANs und setzt sein eigenes VLAN ins falsche...
Der Port ist auf Trunk mit div., aber nicht allen VLANs definiert. Einmal Renoir des APs und der nimmt sich alle bekannten VLANs und setzt sein eigenes VLAN ins falsche...
Find ich geil, dass es jetzt impressionistische APs gibt
ich habe an den defaults auch nicht viel geändert,
Das ist das Problem ! Du lässt damit alle Infrastruktur Autodiscovery Protokolle laufen was wenig intelligent und sinnvoll ist. Man sollte sich die Default Settings also schon mal ansehen und sinnvoll customizen als netzwerk Admin !CDP (Cisco Discovery Protokoll) solltest du immer abschalten, damit kann sowas passieren.
Ganz wichtig ist zudem das PMP Protokoll, denn damit telefoniert der Switch "nach Hause" zu Cisco. Es ermöglicht das remote Abspeichern und Laden der Konfig in der Cisco Cloud. KEIN verantwortungsvoller netzwerk Admin will sowas deshalb sollte das zwingend deaktiviert sein !
Einzig LLDP (Link Layer Discovery Prot.) sollte aktiv sein ggf. wegen VoIP und der dynamischen Übermittlung des Voice VLANs und QoS Parameter. Wer das nicht hat oder braucht kann es auch abschalten.
Ein Intelligentes Setup dieser Protokolle am Cisco SG sähe so aus:
PNP aus:
CDP aus:
LLDP je nach Anforderung an oder aus. Im Zweifel anlassen:
Smartport Settings: