Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst VLAN connection issue

Mitglied: Erathon

Erathon (Level 1) - Jetzt verbinden

06.09.2016, aktualisiert 07.09.2016, 783 Aufrufe, 4 Kommentare

Hallo zusammen,

ich habe ein neues VLAN für Testzwecke erstellt.
Dieses VLAN wird später mit ACLs abgesichert.

Ich bin mir sicher das ich nur etwas ganz Simples vergessen habe, aber aktuell ist bei mir gerade irgendwie Durchzug im Kopf und ich komme nicht auf den Fehler.
Da am Core-Switch noch viele produktive Sachen hängen wollte ich nicht Anfangen herum zu probieren, und dachte vielleicht sieht jemand von euch den Fehler.


Problem:

Der Client hat keine Verbindung zu anderen Netzen / Internet (Ping funktioniert auch nicht)
Vom Core-Switch aus kann ich den Client ebenfalls nicht per Ping erreichen.


Ping Client-->Gateway:

ping 10.14.68.158

Ping wird ausgeführt für 10.14.68.158 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.


Ping Core-Switch-->Gateway

ping 10.14.68.158

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.14.68.158, timeout is 2 seconds: !!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms


Ping Core-Switch-->Client

ping 10.14.68.145

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.14.68.145, timeout is 2 seconds:.....
Success rate is 0 percent (0/5)



Hier meiner Konfiguration:


VLAN 24
Bereich 10.14.68.144 / 28 bis: 10.14.68.159
Mask 255.255.255.240
Gateway 10.14.68.158
freie Adressen 10.14.68.145 bis: 10.14.68.157
Tln: 14




Client-Config:

Ip 10.14.68.145
Sm 255.255.255.240
Gateway 10.14.68.158

DNS: 10.14.42.71



Core-Switch:

sh run int vlan 24

interface Vlan24
ip address 10.14.68.158 255.255.255.240
end

(aktuell noch keine ACLs)
Der Client hängt über 2 Switch am Core-Switch. Hier die config der Interfaces die diese Geräte verbinden

(channel zum 2ten Core-Switch)
interface Port-channel1
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2-24,30,90,101,104
switchport mode trunk
ip arp inspection trust
no ip address
mls qos trust dscp
ip dhcp snooping trust
end


(link zum ersten Switch)
interface TenGigabitEthernet6/4
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
ip arp inspection trust
no ip address
mls qos trust dscp
ip dhcp snooping trust
end


(link zum 2ten Switch)
interface GigabitEthernet1/0/37
switchport mode trunk
ip arp inspection trust
srr-queue bandwidth share 1 70 25 5
srr-queue bandwidth shape 30 0 0 0
priority-queue out
mls qos trust dscp
ip dhcp snooping trust
end


(Port config an dem der Client hängt)
interface GigabitEthernet0/5
switchport access vlan 24
switchport mode access
spanning-tree portfast
end



Das VLAN is up & aktiv

Sh ip int brief

Vlan24 10.14.68.158 YES manual up up

Sh ip route

Gateway of last resort is 10.14.0.250 to network 0.0.0.0

10.0.0.0/8 is variably subnetted, 22 subnets, 8 masks


C 10.14.68.144/28 is directly connected, Vlan24
S* 0.0.0.0/0 [1/0] via 10.14.0.250


Hier noch einige Informationen die bei der Fehlersuche hilfreich sein könnten:


CoreSwitch: show arp | i Vlan24

Internet 10.14.68.158 - 0013.5fec.6c00 ARPA Vlan24


Client:

Arp -a

Schnittstelle: 10.14.68.145 --- 0xb
Internetadresse Physische Adresse Typ
10.14.68.158 00-14-1b-ec-00-00 Dynamisch
10.14.68.159 Ff-ff-ff-ff-ff-ff Statisch
224.0.0.22 01-00-5e-00-00-16 Statisch
224.0.0.251 01-00-5e-00-00-fb Statisch
224.0.0.252 01-00-5e-00-00-fc Statisch
255.255.255.255 Ff-ff-ff-ff-ff-ff Statisch





Danke für Eure Hilfe,

Gruß !
Mitglied: aqui
LÖSUNG 06.09.2016, aktualisiert um 17:37 Uhr
Soweit sieht das erstmal richtig aus. Vermutlich fehlt da irgendwo ein Gateway oder ne Route ?!
Strategisch vorgehen:
  • Ping des Clients auf das VLAN 24 Interface 10.14.68.158 ! Klappt das ?
  • Ping vom L3 Core Switch auf auf den Internet Router 10.14.0.250 und danach mal auf die 8.8.8.8. Klappt das ?
  • Extend Ping vom L3 Core mit Source IP 10.14.68.158 auf den Internet Router 10.14.0.250 und danach mal auf die 8.8.8.8. (Ein extended Ping machst du mit ping <return> und beantwortest in der Menüführung "extended commands" mit y um dann die Source IP einzugeben. Klappt das ?
  • Das gleiche nochmal mit Traceroute falls der extended Ping fehlschlägt.
Wenn diese 3 Dinge klappen stimmt soweit das Routing der Infrastruktur. Dann ists irgendwo ne Firewall die das 10.14.68.144 Netz filtert.

Etwas unverständlich ist das Portchannel Interface. Nicht von der Konfig her aber da hast du die Member dazu vergessen ?
Auf den physischen Ports muss sowas stehen wie "channel-group 1 mode active" stehen. Das fehlte jetzt irgendwie in deinen Ausführungen oben ?!
Bitte warten ..
Mitglied: Erathon
07.09.2016, aktualisiert um 10:09 Uhr
Hallo,

Danke für deine Hilfe!

Wie oben schon angegeben kann ich das VLAN 24 Interface vom Client aus nicht pingen.


Ping Client-->Gateway:

ping 10.14.68.158

Ping wird ausgeführt für 10.14.68.158 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Der Ping vom Core-Switch nach 10.14.0.250 funktioniert

Der Extended-Ping vom Core-Switch nach 10.14.0.250 funktionier auch


ping
Protocol [ip]:
Target IP address: 10.14.0.250
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 10.14.68.158
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.14.0.250, timeout is 2 seconds:
Packet sent with a source address of 10.14.68.158
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 MS

Ps: Ja auf den physischen Ports des Portchannel Interfaces ist die channdel-groupe definiert. Ich hatte diese nur nicht geposted da die Channel Interfaces ihr config vom Portchannel übernehmen.

Bsp.:

interface TenGigabitEthernet1/1
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2-24,30,90,101,104
switchport mode trunk
ip arp inspection trust
no ip address
mls qos trust dscp
channel-group 1 mode desirable
ip dhcp snooping trust
end


Mit ist gerade noch eingefallen, dass es vielleicht ein Problem mit dem VLAN tagging sein könnte.

Danke für deine Hilfe!


Pss.:

Habe einen Fehler im log gefunden, werde schauen ob ich mehr herausfinden kann

Sep 7 06:47:52: %IP-4-DUPADDR: Duplicate address 10.14.68.158 on Vlan24, sourced by 0014.1bec.0000
Sep 7 06:48:22: %IP-4-DUPADDR: Duplicate address 10.14.68.158 on Vlan24, sourced by 0014.1bec.0000
Sep 7 06:48:52: %IP-4-DUPADDR: Duplicate address 10.14.68.158 on Vlan24, sourced by 0014.1bec.0000


Habe diesen Fehler gelöst --> hatte aus versehen das VLAN24 auf beiden Cores angelegt.
Bitte warten ..
Mitglied: Erathon
08.09.2016 um 08:59 Uhr
Habe das Problem gelöst,

Lösung:

vtp mode transparent
vtp Version 2

VTP Modus auf transparent gestellt und VTP Version manuel auf 2 gesetzt.

Auf dem Port an dem der Client hängt habe ich ebenfalls

dhcp snooping trust
arp inspection trust

konfiguriert.

Nach diesen Änderungen in meiner Konfiguration funktioniert es nun.

Danke für eure Hilfe!
Bitte warten ..
Mitglied: aqui
08.09.2016 um 17:55 Uhr
Oh man. Das hättest du uns aber sagen müssen das du da DHCP Snooping machst ! Grrr...
Ohne diese Info würde man sich einen Wolf suchen.
VTP hat mit dem o.a. Problem nicht das geringste zu tun. Das propagiert nur die VLANs auf andere Switches.
DHCP Snooping war der Casus knacktus hier !!
Gut wenns nun klappt.
Bitte warten ..
Ähnliche Inhalte
Microsoft
Remote Desktop Connection
Frage von jacktheapeMicrosoft9 Kommentare

Ich habe einen Windows 2012 Terminalserver. Er läuft einwandfrei. Leider kann ich mit WINCE6.0 Client (Falcon Scanner) nicht darauf ...

Windows Server

Hochverfügbarkeit RD Connection Broker

gelöst Frage von chris123Windows Server2 Kommentare

Hallo, ich habe vor unseren RD Connection Broker hochverfügbar zu konfigurieren. Ich hatte damals bei der Installation den Fehler ...

Netzwerkgrundlagen

The Illustrated TLS Connection

Information von LochkartenstanzerNetzwerkgrundlagen4 Kommentare

Moin, Unter findet man eine gelungene Erläuterung von TLS. Fördert sehr das verständnis darüber, was da passiert. lks

Netzwerkmanagement

VLAN - vom Default vLan ins vLAN 10

gelöst Frage von DaPeddaNetzwerkmanagement2 Kommentare

Hallo zusammen, ich stehe vor der Aufgabe, VM's hosted by iSCSI von einem Rack in ein neues umzusiedeln; und ...

Neue Wissensbeiträge
Administrator.de Feedback
Hinweise auf Dienstleister oder auf Suchmaschinen
Information von Frank vor 3 TagenAdministrator.de Feedback71 Kommentare

Lieber User, Admins und Moderatoren, aus gegebenen Anlass möchte ich zwei Dinge endgültig klarstellen und für die Nachwelt festhalten: ...

Router & Routing

PfSense 2.4 IPSec VPN mobile Clients Phase 2 wird plötzlich nicht mehr aufgebaut - So einfach war die Lösung

Tipp von the-buccaneer vor 4 TagenRouter & Routing9 Kommentare

Moinsen! Nachdem ich mir hierbei nen Wolf gesucht habe, möchte ich doch die Welt an dieser simplen Lösung teilhaben ...

Humor (lol)
Wählscheiben Telefon
Information von brammer vor 4 TagenHumor (lol)4 Kommentare

Hallo, Mal wirkliche eine nette Spielerei brammer

Sicherheit

Zeitenwende: Mehr pot. Mac- (Heise Wortlaut) als Windowsbedrohungen

Information von certifiedit.net vor 5 TagenSicherheit4 Kommentare

Wir hatten es ja hier erst letztens, dass OS bzw Mac auch nicht der Weisheit letzter Schluss ist, nun ...

Heiß diskutierte Inhalte
Backup
VMware ESXi Cluster Backup
Frage von ADRNEXBackup22 Kommentare

Hallo zusammen, Ich habe eine vmware esxi cluster Umgebung mit ca. 20TB Daten, die auf einem SAN liegen. Es ...

Netzwerkmanagement
Softwareverteilung für kleines Unternehmen mit sehr gemixter Hardware
gelöst Frage von BavarianSysadNetzwerkmanagement20 Kommentare

Hallo zusammen^^, ich stehe vor dem Problem das wir im Unternehmen eine Softwareverteilung einführen soll, leider ist dies wie ...

Netzwerke
Frage zu Spanning-Tree-Layout
Frage von LordGurkeNetzwerke11 Kommentare

Hallo zusammen, ich habe aktuell das Problem, dass in einem relativ frisch aufgebauten Netzwerk mit redundanten Pfaden und MSTP ...

Router & Routing
OpenWrt Router und IPsec iptables
Frage von Achim462Router & Routing10 Kommentare

Hallo. Ich weiß nicht ob das der richtige Ort für dieses Thema ist. Falls nicht, kann ein Administrator dieses ...