Switch nicht erreichbar über Trunkport

Hallo Zusammen!
Wiedermal stehe ich vor einem "kleinen" Problem bei meinem Heimnetz und würde eure Hilfe benötigen.

Kurze Erklärung:
Mein Netzwerk ist in VLAN´s unterteilt:
VLAN 98 (Internet) 192.168.8.X
VLAN 2 (Intern) 192.168.9.X
usw.

struktur

Da mein HP Drucker keine Internetverbindung akzeptiert sobald er in einem anderen VLAN ist außer das mit dem ISP-Modem (Selbst mit korrekten GW und DNS Einstellungen bekommt er keine Verbindung zu gewissen Druck-Apps wie Scantoemail etc..)
Der Drucker steht im OG, daher brauchte ich einen VLAN fähigen Switch um den PC und den Drucker aufteilen zu können.
So kam nun der "Switch OG", ein Cisco Catalyst 2940.
Dem Switch habe ich eine IP 192.168.8.7 zugeordnet (das wäre VLAN 2).

Konfiguriert habe ich den Switch mit einem PC direkt angeschlossen am Switch. Der PC bekam eine statische IP von mir im Bereich des Switches und voila, unter der IP ist das WEB-GUI erreichbar.
Port 1 ist die Trunkverbindung zum anderen Cisco Switch, funktioniert wunderbar.
Allen anderen Ports habe ich VLAN´s zugeorndet, funktioniert auch.
Nur einen Port muss ich unkonfiguriert lassen, da ich ansonsten keinen Zugriff mehr auf den Switch (GUI) habe. (Port 2)

Sobald ich jedoch auf den Switch zugreifen (oder pingen) möchte von einem anderen PC, ist er nicht erreichbar.
Das bedeutet: ich kann den Switch nur über einen Port konfigurieren, an dem ich direkt den PC anschließe und der Port nicht auf ein VLAN zugeordnet ist. (Port 2)

Zur Verdeutlichung habe ich mal ein Bild der Config angehängt.

Ich möchte den Switch vom Netzwerk aus konfigurieren können bzw. auch bei Observium hinzufügen - Das geht natürlich auch nicht.


Ich hoffe ich konnte mich so halbwegs klar ausdrücken und bin euch sehr dankbar für die Hilfe.

LG
Klaus
catalyst_12
catalyst_11

Content-Key: 1721788741

Url: https://administrator.de/contentid/1721788741

Ausgedruckt am: 28.01.2022 um 05:01 Uhr

Mitglied: aqui
aqui 14.01.2022 aktualisiert um 11:11:15 Uhr
Goto Top
Dein Switch hat für dein VLAN 2 ja eine völlig falsche Management IP.
Oben schreibst du...
Mein Netzwerk ist in VLAN´s unterteilt: VLAN 98 (Internet) 192.168.8.X, VLAN 2 (Intern) 192.168.9.X
Unten dann aber...
Dem Switch habe ich eine IP 192.168.8.7 zugeordnet (das wäre VLAN 2).
Durch deine recht oberflächlichen Angaben mit fehlenden Subnetzmasken usw. muss man jetzt mal im freien Fall raten das du hier (vermutlich) mit 24 Bit Prefixes arbeitest ?!
Wenn dem so ist, wie bitte willst du eine Switch IP von 192.168.8.7 in einem 192.168.9.X Netz erreichen ??
IP technisch ist das nicht möglich.
Nebenbei:
GUI Screenshots bei Cisco Catalysten sind hier wenig hilfreich zum Troubleshooting. Verbinde dich per Telnet (PuTTY) auf den Catalysten und führe dort einmal ein show run aus im Enable Mode.
Das wäre wesentlich zielführender um ggf. Fehler in deiner Konfig zu entdecken !

Cisco Catalys Konfig Beispiele im VLAN Umfeld findest du z.B. auch HIER.
Das Interface was du auf dem Switch mit interface vlan x konfiguriert hast ist auch immer das Management IP Interface und "x" zeigt in welchem VLAN es erreichbar ist.
Willst du aus unterschiedlichen IP Netzen/VLANs auf diese IP zugreifen MUSST du dem Switch logischerweise noch ein Default Gateway konfigurieren mit ip default-gateway <ip_adresse> Wobei die IP Adresse hier deine Router IP ist des Routers der zwischen den VLANs routet.

Gängige VLAN Routing Konzepte findest du, wie immer hier im Forum, für ein Layer 2 Design mit externem Router hier:
https://administrator.de/contentid/110259
Und mit einem Layer 3 Switch hier:
https://administrator.de/contentid/328442#comment-1173859
Mitglied: Heffernan
Heffernan 15.01.2022 um 10:07:39 Uhr
Goto Top
Hallo aqui,

danke für deine Antwort.
Bei der IP Adresse ist mit ein Tippfehler unterlaufen, tut mir leid. Natürlich ist die Switch IP 192.168.9.7 (So ist es auch im Bild mit der Strukturskizze eingetragen)

Hier mal die Ausgabe von show run:

Catalyst_Switch#show run
Building configuration...

Current configuration : 2897 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Catalyst_Switch
!
enable secret 5 $1$aqMj$G/0oPwRYDvtwdwW10Uqwi.
!
ip subnet-zero
!
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!
!
!
!
interface FastEthernet0/1
switchport mode trunk
switchport nonegotiate
mls qos trust cos
macro description cisco-switch
spanning-tree link-type point-to-point
!
interface FastEthernet0/2
!
interface FastEthernet0/3
switchport access vlan 2
switchport mode access
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
mls qos cos override
macro description cisco-desktop
spanning-tree portfast
spanning-tree bpduguard enable
!
interface FastEthernet0/4
switchport access vlan 2
switchport mode access
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
mls qos cos override
macro description cisco-desktop
spanning-tree portfast
spanning-tree bpduguard enable
!
interface FastEthernet0/5
switchport access vlan 2
switchport mode access
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
mls qos cos override
macro description cisco-desktop
spanning-tree portfast
spanning-tree bpduguard enable
!
interface FastEthernet0/6
switchport access vlan 2
switchport mode access
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
mls qos cos override
macro description cisco-desktop
spanning-tree portfast
spanning-tree bpduguard enable
!
interface FastEthernet0/7
switchport access vlan 2
switchport mode access
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
mls qos cos override
macro description cisco-desktop
spanning-tree portfast
spanning-tree bpduguard enable
!
interface FastEthernet0/8
switchport access vlan 98
switchport mode access
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
mls qos cos override
macro description cisco-desktop
spanning-tree portfast
spanning-tree bpduguard enable
!
interface FastEthernet0/9
!
interface GigabitEthernet0/1
!
interface Vlan1
ip address 192.168.9.7 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.9.254
ip http server
snmp-server community SNMP RO
!
line con 0
exec-timeout 0 0
line vty 0 4
login
line vty 5 15
login
!
!
end




Was ich hier sehe:
Port 1: Trunk Verbindung zum anderen Switch (L3, Cisco SG350)
Port 2: Das ist eben der unkonfigurierte Port, mit dem ich Zugriff auf das GUI habe wenn ich dem PC manuell eine IP vergebe z.B. 192.168.9.10
Port 3-7: VLAN 2 (Funktioniert)
Port 8: VLAN98 (Drucker) (Funktioniert)
Port 9-10: Nicht konfiguriert
Und danach noch die IP vom Switch 192.168.9.7 /255.255.255.0 mit dem GW vom L3 Switch 192.168.9.254


Dein Tutorial fürs routing mit L3 Switch habe ich natürlich schon beherzigt und hat wunderbar funktioniert bei meinem SG350.


Also ich kann weder von einem PC in VLAN2 der am SG350 Switch hängt, NOCH mit einem PC der direkt am Catalyst in VLAN2 (z.B Port 3) auf die IP vom Catalyst 192.168.9.7 zugreifen oder pingen. Internet und Zugriff ins Netzwerk funktioniert wunderbar.


Vielen Dank für deine weitere Hilfe

LG
Klaus
Mitglied: aqui
Lösung aqui 15.01.2022 aktualisiert um 17:31:27 Uhr
Goto Top
Bei der IP Adresse ist mit ein Tippfehler unterlaufen
Dafür gibt es hier doch den "Bearbeiten" Knopf der dich sowas immer nachträglich korrigieren lässt ! Solltest du besser machen damit da nicht noch andere drüber stolpern !

Das ist eben der unkonfigurierte Port, mit dem ich Zugriff auf das GUI habe wenn ich dem PC manuell eine IP vergebe z.B. 192.168.9.10
Logisch, denn der Switchport 0/2 hat ja wie du selber sehen kannst keinerlei Konfiguration. Damit ist er dann immer UNtagged Member im Default VLAN 1. (switchport access vlan 1 wird nicht angezeigt da Default)
Dein Management Interface liegt mit seiner IP ja auch im VLAN (interface vlan1) und damit ist es dann logisch das du da Zugriff hast aber eben nicht im VLAN 2 wie es eigentlich sein soll.
Mal etwas selber mitdenken... ;-) face-wink

Dein Fehler ist, das dein Management Interface statt im VLAN 2 wie es richtig wäre bei dir im VLAN 1 liegt wie du es unschwer ja an deiner Konfig sehen kannst. Der Fehler sollte einem Admin doch eigentlich sofort auffallen wenn das Management im VLAN 2 liegen soll...
Die Index Nummer vlan x des Management Interfaces zeigt immer automatisch an in welchem VLAN dein Management Interface liegt.

Die Lösung ist kinderleicht...
  • Entferne das interface vlan 1
  • Lege ein neues Interface vlan 2 an mit derselben Konfig
  • Fertisch
Damit hast du dann korrekten Zugang zum Management aus dem VLAN 2 !
Deine korrekte Management Interface Konfig sieht dann so aus:

interface Vlan2
description Management VLAN-2
ip address 192.168.9.7 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.9.254


Achtung !
Wenn du per Telnet oder SSH auf dem Switch bist kannst du zwar einfach no interface vlan 1 eingeben um das Interface zu entfernen aber du sägst dir dann sofort selber den Ast ab auf dem du sitzt und die Telnet oder SSH Session ist dann weg. Ohne Management IP hilft dir dann nur noch das serielle Interface.
Es gibt 2 Optionen das gefahrlos einzugeben:
  • 1.) Du nutzt das serielle Terminal des Switches (recommended)
  • 2.) Mit Telnet oder SSH erzeugst du erstmal parallel das vlan 2 Interface mit einer anderen IP z.B. 192.168.9.77 (Doppelte IPs würde der Switch anmeckern)
  • Dann schliesst du die Telnet Session, klemmst dich ins VLAN 2 über z.B. Port 0/3 oder Port 0/4 mit der 9er IP (oder DHCP sofern DHCP im VLAN 2 rennt ?!)
  • Jetzt telnetest oder SSHst du die neue vlan 2 IP 192.168.9.77 und entfernst gefahrlos mit no interface vlan 1 das alte vlan 1 Interface vollständig
  • Dann setzt du auf dem neuen vlan 2 Interface die alte IP mit ip address 192.168.9.7 255.255.255.0
  • Jetzt ist deine Telnet / SSH Session auch wieder weg (der abgesägte Ast...). Wenn du aber jetzt wieder neu Telnet/SSH auf die .9.7 machst bist du wieder drauf.
  • Ein write mem sichert deine neue Konfig im Flash
  • Fertisch
Du siehst selber... Die Option über das serielle Terminal ist weitaus einfacher, schneller und sicherer. ;-) face-wink
"Real networkers do CLI !!" :-D face-big-smile

Case closed !
Mitglied: Heffernan
Heffernan 15.01.2022 um 17:29:26 Uhr
Goto Top
Hallo Aqui,
du hast mir gerade die Augen geöffnet :D im GUI kann man nur das native VLAN einstellen, nicht jedoch das management vlan... hier liegt der Hund begraben.

Habe nun über die CLI das interface vlan 2 erstellt usw. siehe da--> funktioniert :D

Vielen Dank für deine ausführliche Beschreibung!

LG
Mitglied: aqui
aqui 15.01.2022 aktualisiert um 17:33:06 Uhr
Goto Top
👏 👍
Nebenbei: Das GUI benutzt bei Cisco kein normaler Admin... ;-) face-wink
Heiß diskutierte Beiträge
general
Generator für endlose, kostenlose Energie? Ein gut gemachter Schwindel? gelöst beidermachtvongreyscullVor 1 TagAllgemeinOff Topic35 Kommentare

Mahlzeit Kollegen! Wenn ich mich strikt an physikalische Grundsätze halte, müsste ich sagen: Nein. Es ist nicht möglich. Ich stieß aber im Internet auf ein ...

general
FYI: In zwei Tagen zieht LetsEncrypt zahlreiche Zertifikate zurückipzipzapVor 1 TagAllgemeinVerschlüsselung & Zertifikate1 Kommentar

Hallo, zur Info, falls bei Euch übermorgen was knallt: Ruhiges Wochenende! ipzipzap ...

question
"minimale" Cloud-Telefonanlage gesuchtDatenreiseVor 1 TagFrageVoice over IP13 Kommentare

Hallo zusammen, ich bin auf der Suche nach einer Cloud-Telefonanlage, die sich für einen einzelnen Arbeitsplatz eignet und wollte hier fragen, ob jemand dazu einen ...

question
Abschätzung Nutzungsdauer von neuer Serverhardware gelöst lcer00Vor 21 StundenFrageHardware9 Kommentare

Hallo zusammen, bei uns stehen 2022 Neuanschaffungen an. Dabei geht es um einen Backupserver (das Cloud-Konzept überzeugt mich immer noch nicht vollständig ) und demnächst ...

tutorial
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry PiaquiVor 1 TagAnleitungLAN, WAN, Wireless1 Kommentar

Einleitung Das folgende Tutorial erhebt keinen Anspruch auf Vollständigkeit und ist ein einfaches Framework was die Funktion eines IPsec VPN Servers im groben Rahmen aufzeigt. ...

question
Vorkehrungen für einen StromausfallahussainVor 22 StundenFrageNetzwerke10 Kommentare

Hallo, wir betreiben ein Netzwerk mit 8 Clients, Router, Switches, IP-Telefonen, NAS und einem kleinen Anwendungsserver. Unsere einzige Vorkehrung gegen einen Stromausfall/Blackout ist aktuell eine ...

question
PfSense: nach 27-stündigem Ausfall der Deutschen Telekom streiken IPSec + OpenVPN gelöst vafk18Vor 1 TagFrageNetzwerke9 Kommentare

Einen Gruß aus der Eifel, nachdem wir wieder mal von einer großflächigen Störung der Telekom-Anschlüsse (Ausfall eines DSLAM mit mehreren Tausend Teilnehmern) heimgesucht wurden, deren ...

question
Backup Software für PostgreSQLDaniVor 1 TagFrageDatenbanken11 Kommentare

Moin, für eine Anwendung kommt PostgreSQL 13.5 zum Einsatz. Leider nicht unter Linux, sondern läuft unter Windows Server 2019. Nun gibt es für jeden Kollegen ...