4
VLAN connection issue
Hallo zusammen,
ich habe ein neues VLAN für Testzwecke erstellt.
Dieses VLAN wird später mit ACLs abgesichert.
Ich bin mir sicher das ich nur etwas ganz Simples vergessen habe, aber aktuell ist bei mir gerade irgendwie Durchzug im Kopf und ich komme nicht auf den Fehler.
Da am Core-Switch noch viele produktive Sachen hängen wollte ich nicht Anfangen herum zu probieren, und dachte vielleicht sieht jemand von euch den Fehler.
Problem:
Der Client hat keine Verbindung zu anderen Netzen / Internet (Ping funktioniert auch nicht)
Vom Core-Switch aus kann ich den Client ebenfalls nicht per Ping erreichen.
Ping Client-->Gateway:
ping 10.14.68.158
Ping wird ausgeführt für 10.14.68.158 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Ping Core-Switch-->Gateway
ping 10.14.68.158
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.14.68.158, timeout is 2 seconds: !!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Ping Core-Switch-->Client
ping 10.14.68.145
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.14.68.145, timeout is 2 seconds:.....
Success rate is 0 percent (0/5)
Hier meiner Konfiguration:
VLAN 24
Bereich 10.14.68.144 / 28 bis: 10.14.68.159
Mask 255.255.255.240
Gateway 10.14.68.158
freie Adressen 10.14.68.145 bis: 10.14.68.157
Tln: 14
Client-Config:
Ip 10.14.68.145
Sm 255.255.255.240
Gateway 10.14.68.158
DNS: 10.14.42.71
Core-Switch:
sh run int vlan 24
interface Vlan24
ip address 10.14.68.158 255.255.255.240
end
(aktuell noch keine ACLs)
Der Client hängt über 2 Switch am Core-Switch. Hier die config der Interfaces die diese Geräte verbinden
(channel zum 2ten Core-Switch)
interface Port-channel1
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2-24,30,90,101,104
switchport mode trunk
ip arp inspection trust
no ip address
mls qos trust dscp
ip dhcp snooping trust
end
(link zum ersten Switch)
interface TenGigabitEthernet6/4
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
ip arp inspection trust
no ip address
mls qos trust dscp
ip dhcp snooping trust
end
(link zum 2ten Switch)
interface GigabitEthernet1/0/37
switchport mode trunk
ip arp inspection trust
srr-queue bandwidth share 1 70 25 5
srr-queue bandwidth shape 30 0 0 0
priority-queue out
mls qos trust dscp
ip dhcp snooping trust
end
(Port config an dem der Client hängt)
interface GigabitEthernet0/5
switchport access vlan 24
switchport mode access
spanning-tree portfast
end
Das VLAN is up & aktiv
Sh ip int brief
Vlan24 10.14.68.158 YES manual up up
Sh ip route
Gateway of last resort is 10.14.0.250 to network 0.0.0.0
10.0.0.0/8 is variably subnetted, 22 subnets, 8 masks
C 10.14.68.144/28 is directly connected, Vlan24
S* 0.0.0.0/0 [1/0] via 10.14.0.250
Hier noch einige Informationen die bei der Fehlersuche hilfreich sein könnten:
CoreSwitch: show arp | i Vlan24
Internet 10.14.68.158 - 0013.5fec.6c00 ARPA Vlan24
Client:
Arp -a
Schnittstelle: 10.14.68.145 --- 0xb
Internetadresse Physische Adresse Typ
10.14.68.158 00-14-1b-ec-00-00 Dynamisch
10.14.68.159 Ff-ff-ff-ff-ff-ff Statisch
224.0.0.22 01-00-5e-00-00-16 Statisch
224.0.0.251 01-00-5e-00-00-fb Statisch
224.0.0.252 01-00-5e-00-00-fc Statisch
255.255.255.255 Ff-ff-ff-ff-ff-ff Statisch
Danke für Eure Hilfe,
Gruß !
ich habe ein neues VLAN für Testzwecke erstellt.
Dieses VLAN wird später mit ACLs abgesichert.
Ich bin mir sicher das ich nur etwas ganz Simples vergessen habe, aber aktuell ist bei mir gerade irgendwie Durchzug im Kopf und ich komme nicht auf den Fehler.
Da am Core-Switch noch viele produktive Sachen hängen wollte ich nicht Anfangen herum zu probieren, und dachte vielleicht sieht jemand von euch den Fehler.
Problem:
Der Client hat keine Verbindung zu anderen Netzen / Internet (Ping funktioniert auch nicht)
Vom Core-Switch aus kann ich den Client ebenfalls nicht per Ping erreichen.
Ping Client-->Gateway:
ping 10.14.68.158
Ping wird ausgeführt für 10.14.68.158 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Ping Core-Switch-->Gateway
ping 10.14.68.158
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.14.68.158, timeout is 2 seconds: !!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Ping Core-Switch-->Client
ping 10.14.68.145
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.14.68.145, timeout is 2 seconds:.....
Success rate is 0 percent (0/5)
Hier meiner Konfiguration:
VLAN 24
Bereich 10.14.68.144 / 28 bis: 10.14.68.159
Mask 255.255.255.240
Gateway 10.14.68.158
freie Adressen 10.14.68.145 bis: 10.14.68.157
Tln: 14
Client-Config:
Ip 10.14.68.145
Sm 255.255.255.240
Gateway 10.14.68.158
DNS: 10.14.42.71
Core-Switch:
sh run int vlan 24
interface Vlan24
ip address 10.14.68.158 255.255.255.240
end
(aktuell noch keine ACLs)
Der Client hängt über 2 Switch am Core-Switch. Hier die config der Interfaces die diese Geräte verbinden
(channel zum 2ten Core-Switch)
interface Port-channel1
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2-24,30,90,101,104
switchport mode trunk
ip arp inspection trust
no ip address
mls qos trust dscp
ip dhcp snooping trust
end
(link zum ersten Switch)
interface TenGigabitEthernet6/4
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
ip arp inspection trust
no ip address
mls qos trust dscp
ip dhcp snooping trust
end
(link zum 2ten Switch)
interface GigabitEthernet1/0/37
switchport mode trunk
ip arp inspection trust
srr-queue bandwidth share 1 70 25 5
srr-queue bandwidth shape 30 0 0 0
priority-queue out
mls qos trust dscp
ip dhcp snooping trust
end
(Port config an dem der Client hängt)
interface GigabitEthernet0/5
switchport access vlan 24
switchport mode access
spanning-tree portfast
end
Das VLAN is up & aktiv
Sh ip int brief
Vlan24 10.14.68.158 YES manual up up
Sh ip route
Gateway of last resort is 10.14.0.250 to network 0.0.0.0
10.0.0.0/8 is variably subnetted, 22 subnets, 8 masks
C 10.14.68.144/28 is directly connected, Vlan24
S* 0.0.0.0/0 [1/0] via 10.14.0.250
Hier noch einige Informationen die bei der Fehlersuche hilfreich sein könnten:
CoreSwitch: show arp | i Vlan24
Internet 10.14.68.158 - 0013.5fec.6c00 ARPA Vlan24
Client:
Arp -a
Schnittstelle: 10.14.68.145 --- 0xb
Internetadresse Physische Adresse Typ
10.14.68.158 00-14-1b-ec-00-00 Dynamisch
10.14.68.159 Ff-ff-ff-ff-ff-ff Statisch
224.0.0.22 01-00-5e-00-00-16 Statisch
224.0.0.251 01-00-5e-00-00-fb Statisch
224.0.0.252 01-00-5e-00-00-fc Statisch
255.255.255.255 Ff-ff-ff-ff-ff-ff Statisch
Danke für Eure Hilfe,
Gruß !
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 314509
Url: https://administrator.de/contentid/314509
Ausgedruckt am: 22.11.2024 um 17:11 Uhr
4 Kommentare
Neuester Kommentar
Soweit sieht das erstmal richtig aus. Vermutlich fehlt da irgendwo ein Gateway oder ne Route ?!
Strategisch vorgehen:
Etwas unverständlich ist das Portchannel Interface. Nicht von der Konfig her aber da hast du die Member dazu vergessen ?
Auf den physischen Ports muss sowas stehen wie "channel-group 1 mode active" stehen. Das fehlte jetzt irgendwie in deinen Ausführungen oben ?!
Strategisch vorgehen:
- Ping des Clients auf das VLAN 24 Interface 10.14.68.158 ! Klappt das ?
- Ping vom L3 Core Switch auf auf den Internet Router 10.14.0.250 und danach mal auf die 8.8.8.8. Klappt das ?
- Extend Ping vom L3 Core mit Source IP 10.14.68.158 auf den Internet Router 10.14.0.250 und danach mal auf die 8.8.8.8. (Ein extended Ping machst du mit ping <return> und beantwortest in der Menüführung "extended commands" mit y um dann die Source IP einzugeben. Klappt das ?
- Das gleiche nochmal mit Traceroute falls der extended Ping fehlschlägt.
Etwas unverständlich ist das Portchannel Interface. Nicht von der Konfig her aber da hast du die Member dazu vergessen ?
Auf den physischen Ports muss sowas stehen wie "channel-group 1 mode active" stehen. Das fehlte jetzt irgendwie in deinen Ausführungen oben ?!
Hallo,
Danke für deine Hilfe!
Wie oben schon angegeben kann ich das VLAN 24 Interface vom Client aus nicht pingen.
Ping Client-->Gateway:
ping 10.14.68.158
Ping wird ausgeführt für 10.14.68.158 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Der Ping vom Core-Switch nach 10.14.0.250 funktioniert
Der Extended-Ping vom Core-Switch nach 10.14.0.250 funktionier auch
ping
Protocol [ip]:
Target IP address: 10.14.0.250
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 10.14.68.158
Type of service :
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.14.0.250, timeout is 2 seconds:
Packet sent with a source address of 10.14.68.158
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 MS
Ps: Ja auf den physischen Ports des Portchannel Interfaces ist die channdel-groupe definiert. Ich hatte diese nur nicht geposted da die Channel Interfaces ihr config vom Portchannel übernehmen.
Bsp.:
interface TenGigabitEthernet1/1
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2-24,30,90,101,104
switchport mode trunk
ip arp inspection trust
no ip address
mls qos trust dscp
channel-group 1 mode desirable
ip dhcp snooping trust
end
Mit ist gerade noch eingefallen, dass es vielleicht ein Problem mit dem VLAN tagging sein könnte.
Danke für deine Hilfe!
Pss.:
Habe einen Fehler im log gefunden, werde schauen ob ich mehr herausfinden kann
Sep 7 06:47:52: %IP-4-DUPADDR: Duplicate address 10.14.68.158 on Vlan24, sourced by 0014.1bec.0000
Sep 7 06:48:22: %IP-4-DUPADDR: Duplicate address 10.14.68.158 on Vlan24, sourced by 0014.1bec.0000
Sep 7 06:48:52: %IP-4-DUPADDR: Duplicate address 10.14.68.158 on Vlan24, sourced by 0014.1bec.0000
Habe diesen Fehler gelöst --> hatte aus versehen das VLAN24 auf beiden Cores angelegt.
Danke für deine Hilfe!
Wie oben schon angegeben kann ich das VLAN 24 Interface vom Client aus nicht pingen.
Ping Client-->Gateway:
ping 10.14.68.158
Ping wird ausgeführt für 10.14.68.158 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Der Ping vom Core-Switch nach 10.14.0.250 funktioniert
Der Extended-Ping vom Core-Switch nach 10.14.0.250 funktionier auch
ping
Protocol [ip]:
Target IP address: 10.14.0.250
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 10.14.68.158
Type of service :
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.14.0.250, timeout is 2 seconds:
Packet sent with a source address of 10.14.68.158
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 MS
Ps: Ja auf den physischen Ports des Portchannel Interfaces ist die channdel-groupe definiert. Ich hatte diese nur nicht geposted da die Channel Interfaces ihr config vom Portchannel übernehmen.
Bsp.:
interface TenGigabitEthernet1/1
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2-24,30,90,101,104
switchport mode trunk
ip arp inspection trust
no ip address
mls qos trust dscp
channel-group 1 mode desirable
ip dhcp snooping trust
end
Mit ist gerade noch eingefallen, dass es vielleicht ein Problem mit dem VLAN tagging sein könnte.
Danke für deine Hilfe!
Pss.:
Habe einen Fehler im log gefunden, werde schauen ob ich mehr herausfinden kann
Sep 7 06:47:52: %IP-4-DUPADDR: Duplicate address 10.14.68.158 on Vlan24, sourced by 0014.1bec.0000
Sep 7 06:48:22: %IP-4-DUPADDR: Duplicate address 10.14.68.158 on Vlan24, sourced by 0014.1bec.0000
Sep 7 06:48:52: %IP-4-DUPADDR: Duplicate address 10.14.68.158 on Vlan24, sourced by 0014.1bec.0000
Habe diesen Fehler gelöst --> hatte aus versehen das VLAN24 auf beiden Cores angelegt.
Habe das Problem gelöst,
Lösung:
vtp mode transparent
vtp Version 2
VTP Modus auf transparent gestellt und VTP Version manuel auf 2 gesetzt.
Auf dem Port an dem der Client hängt habe ich ebenfalls
dhcp snooping trust
arp inspection trust
konfiguriert.
Nach diesen Änderungen in meiner Konfiguration funktioniert es nun.
Danke für eure Hilfe!
Lösung:
vtp mode transparent
vtp Version 2
VTP Modus auf transparent gestellt und VTP Version manuel auf 2 gesetzt.
Auf dem Port an dem der Client hängt habe ich ebenfalls
dhcp snooping trust
arp inspection trust
konfiguriert.
Nach diesen Änderungen in meiner Konfiguration funktioniert es nun.
Danke für eure Hilfe!
Oh man. Das hättest du uns aber sagen müssen das du da DHCP Snooping machst ! Grrr...
Ohne diese Info würde man sich einen Wolf suchen.
VTP hat mit dem o.a. Problem nicht das geringste zu tun. Das propagiert nur die VLANs auf andere Switches.
DHCP Snooping war der Casus knacktus hier !!
Gut wenns nun klappt.
Ohne diese Info würde man sich einen Wolf suchen.
VTP hat mit dem o.a. Problem nicht das geringste zu tun. Das propagiert nur die VLANs auf andere Switches.
DHCP Snooping war der Casus knacktus hier !!
Gut wenns nun klappt.
