Oct 06, 2016

2636

VLAN Trunk Port, ICMP nicht mehr möglich

Hallo,
es geht um einen CISCO AccessSwitch 2960.
Ports sind auf Access-Mode gestellt - ICMP im Netz ist möglich.
Setze ich die Ports auf TrunkMode - ICMP im Netz nicht mehr möglich.

configure terminal
interface range fa0/1 -24
no sw acc vlan 100
sw mo trunk

Hier die Config dazu:

version 15.0
no service pad
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
!
hostname XXX
!
boot-start-marker
boot-end-marker
!
enable password 7 XXX
!
username XXXpassword 7 XXX
no aaa new-model
system mtu routing 1500
!
!
!
!
crypto pki trustpoint TP-self-signed-1208235648
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1208235648
revocation-check none
rsakeypair TP-self-signed-1208235648
!
!
crypto pki certificate chain TP-self-signed-1208235648
certificate self-signed 01
quit
!
!
!
!
!
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
spanning-tree uplinkfast
spanning-tree backbonefast
!
vlan internal allocation policy ascending
!
!
!

!
!
interface FastEthernet0/1
switchport access vlan 100
switchport mode access
!
interface FastEthernet0/2
switchport access vlan 100
switchport mode access
!
interface FastEthernet0/3
switchport access vlan 100
switchport mode access
!
interface FastEthernet0/4
switchport access vlan 100
switchport mode access
!
interface FastEthernet0/5
switchport access vlan 100
switchport mode access
!
interface FastEthernet0/6
switchport access vlan 100
switchport mode access
!
interface FastEthernet0/7
switchport access vlan 100
switchport mode access
!
interface FastEthernet0/8
switchport access vlan 100
switchport mode access
!
interface FastEthernet0/9
switchport access vlan 100
switchport mode access
!
interface FastEthernet0/10
switchport access vlan 100
switchport mode access
!
interface FastEthernet0/11
switchport access vlan 100
switchport mode access
!
interface FastEthernet0/12
switchport access vlan 100
switchport mode access
!
interface FastEthernet0/13
switchport access vlan 100
switchport mode access
!
interface FastEthernet0/14
switchport access vlan 100
switchport mode access
!
interface FastEthernet0/15
switchport access vlan 100
switchport mode access
!
interface FastEthernet0/16
switchport access vlan 100
switchport mode access
!
interface FastEthernet0/17
switchport access vlan 100
switchport mode access
!
interface FastEthernet0/18
switchport access vlan 100
switchport mode access
!
interface FastEthernet0/19
switchport access vlan 100
switchport mode access
!
interface FastEthernet0/20
switchport access vlan 100
switchport mode access
!
interface FastEthernet0/21
switchport access vlan 100
switchport mode access
!
interface FastEthernet0/22
switchport access vlan 100
switchport mode access
!
interface FastEthernet0/23
switchport access vlan 100
switchport mode access
!
interface FastEthernet0/24
switchport access vlan 100
switchport mode access
!
interface GigabitEthernet0/1
switchport mode trunk
switchport nonegotiate
!
interface GigabitEthernet0/2
switchport mode trunk
switchport nonegotiate
!
interface Vlan1
no ip address
no ip route-cache
shutdown
!
interface Vlan100
description NAME
ip address 172.25.18.98 255.255.255.224
no ip route-cache
!
ip default-gateway 172.25.18.97
no ip http server
ip http secure-server
snmp-server community public RO
!
!
line con 0
login local
line vty 0 4
login local
line vty 5 15
login local
!
end

Please also mark the comments that contributed to the solution of the article

Content-Key: 317038

Url: https://administrator.de/contentid/317038

Printed on: April 26, 2024 at 22:04 o'clock

10 Comments

Latest comment

Moin,

was für Geräte hängen denn dahinter und was willst du überhaupt erreichen?
Alle Ports auf Trunks umzustellen kann ja wohl nicht dein Ziel sein...

Der Switch sendet und akzeptiert auf Trunk Ports nur Frames mit VLAN Tag.
Also was ist dein Ziel?

VG
Val

Setze ich die Ports auf TrunkMode - ICMP im Netz nicht mehr möglich.

Sorry, aber das ist Unsinn ! Ein 2960 macht das hier nachweislich fehlerlos !
Du hast kein Portfast konfiguriert auf den Accessports. Dir ist klar das der STP Prozess dann ca. 40 Sekunden braucht im den Port in den Forwarding Mode zu schlaten ?!
Ggf. ist es das was dich verwirrt ? Kann das sein ?

Der Switch sendet und akzeptiert auf Trunk Ports nur Frames mit VLAN Tag.

Sorry, aber hier irrt der Kollege Valexus ausnahmsweise mal !!
Auf einem Cisco Trunk Port (wobei hier "Trunk" in Cisco Sprech ein einfacher Tagged Uplink ist, weil der Rest der Netzwerkwelt darunter einen Link Aggreagation Port versteht !) also auf einem Cisco Trunk wird das native VLAN, sprich das Default VLAN (In der Regel VLAN 1) immer untagged übertragen !
Cisco Tagged Uplinks arbeiten grundsätzlich immer im Dual Mode und forwarden untagegd Frames an diesen Ports immer ins Native VLAN.
In sofern ist deine Aussage oben leider falsch !

Ja stimmt hast ja Recht...

Das Problem liegt hier vermutlich daran, dass die Clients durch die Konfiguration vom VLAN 100 ins VLAN 1 geschubst werden.

VG
Val

erstmal vielen Dank für eure Unterstützung und eure Antworten.
Zur Frage was will ich:

Der Vollständigkeit-halber noch weitere Angaben:
172.25.18.97 - ist der Router, hat aber in dieser Konstellation aus meiner Sicht keine Bewandtnis.
172.25.18.98 - 2960 AccessSwitch
172.25.18.99 - Ist ein PC
172.25.18.101 - Kasse 1
172.25.18.102 - Kasse 2
172.25.18.103 - Kasse 3

Wenn eine Kasse 4 installiert wird, dann sieht die Installationsroutine der Kasse eine Default-IP-Adresse aus dem Bereich 10.10.10.x vor, die sich angeblich leider nicht anpassen lässt.
Die Kasse meldet ihren Installationsprozess an den PC, der für diese Phase kurzzeitig die IP-Adresse 10.10.10.10 erhält.
Mit einem normalen HUB geht das, aber mit dem Switch wo die Ports auf VLAN100 gesetzt sind natürlich nicht.
Um die Kassen dann nicht einmal quer durch den ganzen Laden in unterscheidliche Stockwerke zu schleppen, dachte ich könnte das über TRUNK Ports hinbekommen.
Ist meine Denke etwa falsch ?

Unabhängig davon, wenn ich die Ports von VLAN 100 und Access-Modus auf Trunk-Modus umgestellt habe, warum erreiche ich vom PC (172.25.18.99) danach den Switch(172.25.18.98) nicht mehr ?

Hallo, danke dir - Portfast ist mir klar und das ist nicht das was mich verwirrt.
Der Switch 172.25.18.98 ist nach Umstellung dann nicht mehr aus dem Netz 172.25.18.96/27 nicht mehr erreichbar.
Selbst wenn ich auf dem Switch per Konsolenkabel bin antwortet er nicht auf seine eigenen ICMP-Anfragen auf sich selbst

dass die Clients durch die Konfiguration vom VLAN 100 ins VLAN 1 geschubst werden.

Nee, kann ja nicht ! Die Accessports 1 bis 24 sind ja allesamt im VLAN 100. Das ist also schon richtig !

Der Switch 172.25.18.98 ist nach Umstellung dann nicht mehr aus dem Netz 172.25.18.96/27

Das kann eigentlich nicht sein ! Hast du mal versucht das int vlan 1 zu löschen mit "no int vlan 1" ?
Ich habs hier gerade mal auf einem Cat 2960 getestet und es funktioniert fehlerlos.
Die VLAN 100 Management IP liegt ja innerhalb des VLAN 100 Netzes das muss gehen.
Da ist irgendwo noch was falsch konfiguriert....

Nee, kann ja nicht ! Die Accessports 1 bis 24 sind ja allesamt im VLAN 100. Das ist also schon richtig !

Aber sobald er die Ports mit "no switchport access vlan 100" und "switchport mode trunk" versieht sind sie das ja eben nicht mehr sondern leiten wie von dir oben geschrieben jeglichen untagged Traffic ins VLAN 1.

Da die IP des Switches aber in VLAN 100 konfiguriert ist erreichen die Clients den Switch natürlich nicht mehr.
Hier müsste mit "switchport trunk native vlan 100" das VLAN 100 für untagged Traffic konfiguriert werden.

Oder seh ich hier etwas falsch?

VG
Val

richtig mit dem native vlan habe ich jetzt auch herumexperimentiert und vlan interface eingerichtet.
Hat aber soweit funktioniert.
nun der nächste Schritt, dass ich den Switch über den Router administrieren kann - der fehlt noch.
Leider hab ich gerade wenig zeit, um ausführlich zu schreiben.
Danke euch schon mal -ihr habt mich auf den vll richtigen Weg gebracht.

Werde mich Montag wieder melden

Das ist zweifelsohne richtig aber ja egal. Diese Clients hängen dann halt in der Luft. Der TO will ja vermutlich eh nur ins VLAN 100 forwarden.
Obwohl man sich dann auch fragen kann warum er die Konfig dann so umständlich macht, denn dann hätte man einfach alle Ports untagged im Default VLAN gelassen und die Uplink Ports untagged ins VLAN 100 gesteckt und fertig.
Aber warum einfach machen wenn's umständlich auch geht

Da die IP des Switches aber in VLAN 100 konfiguriert ist erreichen die Clients den Switch natürlich nicht mehr.

Das ist auch richtig aber das will der TO ja vermutlich nicht. Es sollen ja alle ins VLAN 100 folglich muss man ja an den Accessports nichts fummeln und die wie oben in der Konfig dem VLAN 100 zuweisen.

Hier müsste mit "switchport trunk native vlan 100" das VLAN 100 für untagged Traffic konfiguriert werden.

Das wäre aber eigentlich konfigtechnischer Quatsch !
Dann kann man auch alles im Default VLAN 1 rennen lassen und steckt den Uplink Port wie bereits gesagt untagged ins VLAN 100. Erreicht das gleich nur mit weniger Managementaufwand !

richtig mit dem native vlan habe ich jetzt auch herumexperimentiert und vlan interface eingerichtet.

Muss ja eigentlich nicht, denn du betreibst ja alles im VLAN 100 und überträgst das ja auf de Uplink tagged. Alles gut also.
Gefährlich sind nur die Gig Ports 1 und 2, denn darauf rennt kein Portchannel (LAG). Die darfst du also nicht parallel irgendwo aufstecken.
Vermutlich soll das auch gar nicht und auch wenn schon, bei dir rennt Spanning Tree und das sorgt dafür das kein Loop entsteht. Ausnahme natürlich du betreibst den Cisco in einem non Cisco Umfeld mit anderen Herstellern, dann gibts natürlich Chaos, denn die können kein PVSTP+ was Cisco spricht. (Ausnahme Brocade)

Was die Kommunikation mit einem Router oder in einem gerouteten Netz anbetrifft hast du auch alles richtig gemacht, denn du hast ja ein default Gateway definiert !
Solange das den Weg in das management Netz kennt ist alles gut. show ip route auf dem Cisco ist hier wie immer dein Freund

German Question LAN, WAN, Wireless Networks