» »

Problem z VLAN-i.

Problem z VLAN-i.

levaky ::

LP!

Imam naslednjo situacijo:
PC----vlan13----switch---trunk11-13----WIFI AP.

Ko iz PCja pingam IP od Wifi APja, od njega ni odgovora.

Poizkusil sem na PCju nastviti VLAN id na 13, pa vseeno zadeva ne pride skozi.

Kje bi lahko bil problem?

Če priklopim PC(brez nastavljenega VLANIDja) in WIFI AP na port, kjer imam nastavljen VLAN13, potem zadeva deluje, a verjetno zato, ker imata tako wifi kot pc vlanid 1(predvidevam, da je po defaultu untaged vlan 1).

Nastavitve na APju:
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
!
interface FastEthernet0.13
encapsulation dot1Q 13
no ip route-cache
bridge-group 1
!
interface FastEthernet0.12
encapsulation dot1Q 12
no ip route-cache
bridge-group 12
!
interface FastEthernet0.11
encapsulation dot1Q 11
no ip route-cache
bridge-group 11
!
interface BVI1
ip address x.x.x.3 255.255.255.0
no ip route-cache
!


Nastavitve na switchu:
interface Vlan11
description ===== lan1 =====
ip address y.y.y.y 255.255.255.0
ip access-group 113 in
ip access-group 112 out
no ip redirects
!
interface Vlan12
description ===== lan2 =====
ip address z.z.z.z 255.255.255.0
ip access-group 115 in
ip access-group 114 out
no ip redirects
!
interface Vlan13
description ===== mgmt =====
ip address x.x.x.1 255.255.255.0
ip access-group 117 in
ip access-group 116 out
no ip redirects
!

interface FastEthernet0/5
description ===== mgmt =====
switchport access vlan 13
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/6
description ===== mgmt =====
switchport access vlan 13
switchport mode access
!
interface FastEthernet0/7
description ===== lan1,lan2 =====
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 11-13
switchport mode trunk


IP PCja je x.x.x.2.

Dostopa do switcha nimam, le konfiguracija portov mi je bila posredovana.

Kje delam neumnost in česa ne razumem?

Hvala za pomoč, Matej
  • spremenil: levaky ()

Invictus ::

Na vseh VLAN imaš skonfigurirane ACL. Mogoče te blokirajo ping. Nisem ziher, ampak mislim da Cisco ASA ACL po defaultu blokira ping.

Poleg tega na nobenem VLANu ni vidim IP helper konfiguracije, kar pomeni najbrž da imaš statične IPje. Če lahko pingaš Wifi na VLANu 5, pomeni da ima IP iz tega VLANa, ne pa iz VLAN 13.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

levaky ::

Se oproščam za napako, tisti VLAN5 bi moral biti VLAN13.
Sem se namesto pinga poizkušal tudi SSHjat oz dostopit do web interfejsa, a prav tako neuspešno.

Ja, na VLAN13 ni ip helper konfiguracije, ker bodo samo statični ipji.

Matej

b ::

a s switcha lahko pingas ali pa se ssh-jas na AP?

levaky ::

Nimam dostopa do switcha:(

Je mogoče, da se bridge-group ne premakne iz FastEthernet0 na FastEthernet0.13? V tem primeru mi BVI1 posluša na napačnem interfejsu. Bi to lahko bil razlog?

lp, Matej

b ::

OK, PC imaš na fe0/5 ali 6 (vlan 13 mode access), AP pa na fe0/7 (trunk).

Glede na to, da je na AP-ju fe0.13 nastavljen na bridge-group 1, bi to moralo bit OK, ampak očitno nekaj ne štima.

Spomnim se, da sem imel pred časom tudi jaz podoben problem, pa sem ga rešil bolj po domače:

Na AP:

interface FastEthernet0.1
encapsulation dot1Q 1 native

interface FastEthernet0.XXX
encapsulation dot1Q XXX

interface FastEthernet0.YYY
encapsulation dot1Q YYY

na switchu pa takole:


interface FastEthernet1/0/4
description === AP PRVO N. LEVO ===
switchport trunk encapsulation dot1q
switchport trunk native vlan MGMT
switchport trunk allowed vlan XXX,MGMT,YYY
switchport mode trunk
no mdix auto


se pravi na switchu je vlan MGMT (ki ni 1 :) na portu proti AP-jem native (+ XXX in YYY v trunk mode-u), na AP-ju pa je native VLAN1, ki je tudi BVI1.

Mislim da je neka fora, da AP-ji ne marajo imet management IP-ja na drugem VLAN-u ali nekaj takega.

Ni najlepša rešitev, pa dostop do switcha moraš imet da to deluje, ampak dela pa.

Aja nisem zdej 100%, ampak se mi zdi, da moraš potem tudi izključit CDP, ker čene se switch in AP po tem menita in nista vesela, da vlan config na portu in AP ni enak :)

Zgodovina sprememb…

  • spremenilo: b ()

levaky ::

Tudi sam sem že pomislil na podobno situacijo, in sicer, da bi prosil admina, da mi spremeni vlan5 na trunk portu v native... Tako bi stvar morala delovati.

Problem je, da ne vem zakaj trenutna situacija ne deluje... Grr, ko bi vsak imel dostop do switcha!

Matej

levaky ::

Še nekaj bi prašal.

Vmware guesta sem priklopil na trunk port in mu nastavil VLAN ID na 11 in IP y.y.y.2, ter poizkusil pingati ip y.y.y.1, ki je IP od switcha za vlan 11. Ping ne gre skozi, niti kak drug promet.

Kje delam napako?

Matej


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Težave pri konfiguraciji cisco omrežja

Oddelek: Omrežja in internet
11927 (772) klemen825
»

tretji router

Oddelek: Pomoč in nasveti
8761 (652) boogie_xlr
»

Cisco 861-w setup

Oddelek: Omrežja in internet
51383 (1281) bacho
»

Cisco Soho 851 router in msn messenger ne dela

Oddelek: Omrežja in internet
112027 (1865) bacho
»

Cisco 2621 router

Oddelek: Strojna oprema
81958 (1821) Djuro

Več podobnih tem