Problem: 1 Switch, 2 IP rangea, ping: request timed out

[D1viry]

Nisam našao ovakvu temu pa otvaram novu.
Dakle, imam hrpu "dumb" switcheva i svaki je iskonfiguriran na jedan IP range. Serveri i velik broj korisnika su na drugom IP rangeu. Funkcionira sve normalno jer firewall/router (moram provjeriti) odrade međusobnu kombinaciju.

U mreži je i nekoliko "pametnih" switcheva i sve radi normalno.
Problem je jedan novi "pametni" switch koji ima nekih problema ili ja ne znam podesiti kako treba. Vjerojanto je ovo drugo u pitanju.
Stanje je ovakvo:
- range 1 prije switcha ima pristup rangeu 1 iza switcha i obrnuto
- range 2 prije switcha ima pristup rangeu 2 iza switcha i obrnuto
- range 1 prije switcha nema pristup rangeu 2 iza switcha
- range 2 prije switcha nema pristup rangeu 1 iza switcha
- range 1 prije switcha nema uopće pristup switchu (on je na range 2)
- svi ostali imaju pristup svima ostalima u cijeloj mreži

Jedino kada sam uspio sa dc-a pingati switch je bilo kada sam radio ping test na switchu. Znači, dok switch (range 2) pokušava pingati dc (range 1), dotle i dc može pingati switch.
Zaključak je da komunikacija između dva rangea radi samo dok switch pokušava pingati range 1.
Naravno, switch bezuspješno pokušava pingati range 1, a u isto vrijeme se javlja dc-u.
Čim prestane ping test na switchu, odmah je i na serveru "request timed out".

Ima li tko kakvu ideju?
Primjer switcha koji radi bez problema: AT-GS950/48 Gigabit Ethernet WebSmart Switch FW: AT-S116 V1.0.0
Problematični switch: AT-GS950/24 Gigabit Ethernet WebSmart Switch
FW: AT-S115 V1.1.0 (nema S116 za njega, a normalno rade i switchewi sa starijim FW)
Oba su novi.

Unaprijed zahvalan za svaku pomoć.

EDIT: Jel treba dodatno objasniti problem?

[DiTech]

Pogledaj prvo da li taj switch zna raditi ruting, jer ako si podigao 2 vlana onda ti treba.

[D1viry]

Nema VLAN-ova. Čini mi se kao da pokušava raditi routing ili je nekakva default postavka izvor problema. Ako glupi switch ne pravi probleme, a pametni pravi, smatram da je nekakva kvačica problem . Samo ne znam koja i gdje. Baš taj model radi probleme, a ovaj drugi ne.

[Forace]

Citiraj:

Autor DiTech

Pogledaj prvo da li taj switch zna raditi ruting, jer ako si podigao 2 vlana onda ti treba.

Mislim da mu ne treba level 3 routanje iz razloga što se portovi daju konfigurirat kao "trunk". Nakon toga mu se dodaju po potrebi VLAN.ovi koje pušta i to je to.... samo malo mi je čudno kako ima više IP rangeva bez VLAN.a ... ovak napamet mislim da to nije moguće osim ako switch nije level 3 pa ima routanje .

Možda sam napisao totalnu glupost

Moj savjet: provjeri vlanove na 48 portnom i konfiguracije portova.

Druga stvar - glede pristupa - provjeri koja ti je mrežna adresa switcha - stranica 26 manuala.

[D1viry]

Citiraj:

Autor Forace

Mislim da mu ne treba level 3 routanje iz razloga što se portovi daju konfigurirat kao "trunk". Nakon toga mu se dodaju po potrebi VLAN.ovi koje pušta i to je to.... samo malo mi je čudno kako ima više IP rangeva bez VLAN.a ... ovak napamet mislim da to nije moguće osim ako switch nije level 3 pa ima routanje .

Moguće je. FW to sve obavi. Takvo je stanje zatečeno i skupo je mijenjati sada.

Citiraj:

Autor Forace

Moj savjet: provjeri vlanove na 48 portnom i konfiguracije portova.

Konfiguracija portova je ista i nema vlanova.

Citiraj:

Autor Forace

Druga stvar - glede pristupa - provjeri koja ti je mrežna adresa switcha - stranica 26 manuala.

Adresa je promijenjena (to sam naveo) i podešena kao i kod ostalih switcheva. Nema IP konflikata.

[Forace]

A i ja sam isto biser. Odi na router firewall i slozi novu rutu koja uključuje IP tog novog switcha, mozda je to ako router/firewall handla sva usmjeravanja ...?

[D1viry]

Postoji takva ruta. Zato ostali switchevi i rade kako treba. Samo taj jedan pravi probleme. Ubijam se traženjem, a pola dostupnih opcija ne razumijem .

[belinea]

Ono što trebaš napraviti ako sam dobro skužio sve:

Ako već imas dva subneta, oni moraju nekako doći jedan do drugoga, a to obavljaju layer 3 uređaji ( ili router ili switch) predpostavljam da ovi tvoji switchevi nisu layer 3. Što znači da na routeru moras postaviti ruting ili statičke rute.... ali...

Onda moraš na switchu naraviti dva VLAN-a... npr.

192.168.1.0/24 neka bude VLAN 10
192.168.2.0/24 neka bude VLAN 20

kad to napraviš, onda na switchu postavi trunk portove samo prema ruteru.
a ostale portove stavi kao access za pojedini VLAN.

na ruteru moraš napraviti ruting između ta dva subneta.

Ili... ako nemas puno uređaja u mreži onda stavi sve na isti subnet i bok, naravno ako to politika dozvoljava.

teško je to ovako preko foruma... moze bit sitnica a moze bit i sve.

[D1viry]

Podešeno je na routeru sve i radi bez problema. Jedino ovaj switch zeza. Nije mi jasno zašto 48-portni ne radi probleme. I 48-portni je smart switch, a njega nisam posebno podešavao. Samo fiksna IP i radi sve.

Na "glupim" switchevima i na ostalim "pametnim" sve radi, a na ovom ne.

[Forace]

I dalje stojim kod toga da treba istražit da nisu VLANovi u igri. I ne kužim komentar "i skupo je mjenjat sad" - VLAN-ovi kao takvi se podešavaju na switchevima i routeru koji radi usmjeravanje prometa - krajnjim korisnicima i "glupim" switchevima se ništa ne mjenja ... jer oni nisu niti svjesni postojanja niti pripadnosti nekom VLAN segmentu.

[vision19]

I ja ovako, kao padobranac, sumnjam na VLAN-ove, iako ih ti možda nemaš kao takve konfigurirane, po svemu sudeći problem je u tome.

Znači 2 IP subneta imaš, sigurno router ili FW radi rutanje, nebitno, jesi dobro postavio gateway, nemaš IP conflict, trunk portovi, možda nebi bilo loše da staviš logičku shemu mreže. Stvarno svašta može biti uzrok.

Da nemaš možda L2 petlju u igri pa da te neki od default protokola ne zeza i blokira neki port?

[D1viry]

Čisto za info slike oba switcha. Ista serija, samo razlika u broju portova. 48 radi, a 24 ne.
Malo sam u gužvi pa je tek sada opet došao na red taj switch.


Isto je i sa port based VLAN-om.
Probao sam podesiti 48-portni switch na istu IP adresu, kao i 24-portni i sve radi bez greške. Znači, ugasio i maknuo 24-portni i stavio 48-portni. Resetirao oba na tvorničke postavke i postavio samo IP adresu sa maskom i gatewayem. Taj problem nije visokoprioritetan, ali kad tad će biti. Za sada koristim rezervni 48-portni switch, ali moram ovo riješiti.

Ako netko ima još kakvu ideju, unaprijed hvala.

[Forace]

Kad si kod skrinshotova ajd stavi routing tablicu iz rutera ako IP adrese nisu tajna tj. ako su lokali u pitanju .

Jer ako se ne koriste VLAN.ovi onda netko mora routat promet između različitih subnetova, a to vjerojatno radi router. Sad je samo pitanje kako su route namještene i da li su vezane na portove koji idu prema switchevima?


I malo mi je isto nejasna mrežna topologija: jel ti jedan switch iza sebe ima 2 subneta ili svaki switch iza sebe ima jedan subnet?

Ako sam dobro shvatio: imaš 2rangea iza svakog switcha? Stari switch routa dobro između rangeva, novi ne?

I šta je sa rečenicom: "svi ostali imaju pristup svima ostalima u mreži" !? Tko su svi ostali - range 3 ?

I još jedno pitanje: šta je sa IP adresama iza tog problematičnog switcha? Statične ili su na DHCP.u? Pretpostavljam da su statične ....

[D1viry]

Citiraj:

Autor Forace

Kad si kod skrinshotova ajd stavi routing tablicu iz rutera ako IP adrese nisu tajna tj. ako su lokali u pitanju .

Ne morem .

Citiraj:

Autor Forace

Jer ako se ne koriste VLAN.ovi onda netko mora routat promet između različitih subnetova, a to vjerojatno radi router. Sad je samo pitanje kako su route namještene i da li su vezane na portove koji idu prema switchevima?

Radi ruter. Nisu vezane za portove na switchevima.

Citiraj:

Autor Forace

I malo mi je isto nejasna mrežna topologija: jel ti jedan switch iza sebe ima 2 subneta ili svaki switch iza sebe ima jedan subnet?

Svaki switch propušta oba range-a, osim tog jednog switcha.

Citiraj:

Autor Forace

Ako sam dobro shvatio: imaš 2rangea iza svakog switcha? Stari switch routa dobro između rangeva, novi ne?

2 rangea, da. Oba switcha su novi.

Citiraj:

Autor Forace

I šta je sa rečenicom: "svi ostali imaju pristup svima ostalima u mreži" !? Tko su svi ostali - range 3 ?

Kad su iza 24-portnog, uređaji sa prvog range-a iza sw imaju pristup samo uređajima sa prvog rangea ispred sw i obrnuto. Isto i za drugi range. Ne vide se međusobno. Kad je 48-portni u igri, sve je ok i svi imaju pristup i ostalim rangeovima. Ostali nisu bitni za tu zgradu pa ih nisam ni spominjao.
Svi switchevi u firmi su optikom spojeni u jedan glavni.

Citiraj:

Autor Forace

I još jedno pitanje: šta je sa IP adresama iza tog problematičnog switcha? Statične ili su na DHCP.u? Pretpostavljam da su statične ....

Fiksna je adresa. Iste postavke na drugom switchu rade normalno. Naravno, nisu oba uključeni u isto vrijeme .

Oba su nova:
1) AT-GS950/24 ok
2) AT-GS950/48 nije ok

[Forace]

Aha jesam ja dobro shvatio: ti ovaj od 24 mjenjaš sa 48 i sad 48 odbija poslušnost?

.

Ak je tako - stavio si mu istu IP adresu ko ovom od 24 koji je ok?

Provjeri si DHCP i IGMP snoping postavke na obojici. Poglavlja 16 i 17, a kad si tamo provjeri da ti je isključen security na portovima - poglavlje 18 .

[D1viry]

Citiraj:

Autor Forace

Aha jesam ja dobro shvatio: ti ovaj od 24 mjenjaš sa 48 i sad 48 odbija poslušnost?

.

Nope. Mijenjam stari switch i išao sam staviti 24, ali zeza. 48 je za drugu namjenu, ali poslužio je za testiranje.

Citiraj:

Autor Forace

Ak je tako - stavio si mu istu IP adresu ko ovom od 24 koji je ok?

But, offcourse .

Citiraj:

Autor Forace

Provjeri si DHCP i IGMP snoping postavke na obojici. Poglavlja 16 i 17, a kad si tamo provjeri da ti je isključen security na portovima - poglavlje 18 .

Na tvorničkim postavkama su, ali provjeriti ću. Samo su IPv4 postavke podešavane.

[Forace]

Tvorničke postavke kao resetirao si ih nakon paljenja ili tvorničke postavke - ništa nije dirano nakon paljenja . Ponekad postoji velika razlika .

[D1viry]

Citiraj:

Autor Forace

Tvorničke postavke kao resetirao si ih nakon paljenja ili tvorničke postavke - ništa nije dirano nakon paljenja . Ponekad postoji velika razlika .

Prvo ništa osim IP adrese nije dirano, a onda je i "restore factory defaults" napravljen. Jedino je opet IP adresa namještena. Nema konflikata jer ništa ne ide na tu adresu i nije u DHCP scopeu.
Uostalom, da postoji konflikt, 48 portni ne bi radio kako treba.

Pretpostavljam da ima neka kvačica negdje .

[Forace]

Ma nisam ni sumljao na konflikte. Ono šta sam napisao je jedino koliko sam vidio da ima neku mogućnost filtriranja prometa ...

[D1viry]

Thx svoj četvorici na sudjelovanju u temi. Nisam siguran jeli se netko ne želi uključiti, jesam li nedovoljno opisao problem, jesam li na nekoj ignore listi ili pišem gluposti .

[Nikky]

Možda ništa od tog, možda sve to .
Ima tu previše "kvačica" koje mogu biti krivo odabrane / namještene,
kolege su pokušale pomoći, ali je teško ovako na daljinu ...

[D1viry]

Stvar je u tome da nisam ništa podešavao, osim IP adrese i nije mi jasno zašto jedan SW radi kako treba, a drugi ne. To jest, što treba podesiti na drugom. Oba su isti model, samo više portova.

[Forace]

Gle možemo iz početka: ali kako nikky kaže ima puno kvačica i teško je na daljinu. Ne daješ baš ni ti feadback: provjerio, provjerio - nisam još itd.

S druge strane jedino što ja nisam spominjao je STP i RSTP zato što mislim da on ne može utjecat na to što se tebi dešava, slobodno me se može ispravit.

Pročitaj manual - lijepo ti u njemu piše šta je šta, dovoljno je da ideš samo po uvodnim poglavljima.

Jedino što ti još nisam provjeravao (a možeš sam): logove promjena firmwarea - znači ovisno firmwareu piše ti u njemu šta je krpano što nije itd. Kažem možda tamo ima nešto ... ali ono to ti je longshoot.

Meni se recimo na cisco AP.u (bivšem netgearu) desilo da jedna funkcionalnost uopće nije postojala do jedne novije revizije firmwarea.

Što me dovodi do: obavezno pazi da li ti manual odgovara reviziji firmwarea na uređaju .


Nevisno o kolegi Nikkyu:

Imaš par stvari, a većinu smo naveli:
VLAN problemi?
Security problemi (ovo sa DHCP.om i IGMP.om) - može switch odbacit paket.
Flow control ili storm control - uglavnom ako imaš loop može ti bit namješten da blokira port.
STP i RSTP što sumljam ... oni su obično podešeni po serijskom broju (barem na ciscovim uređajima) ali koliko sam shvatio to je više za kvalitetu samog protoka podataka ....

Nema beskonačno mnogo kvačica i opcija.

[D1viry]

Ok. Kasno je i ne da mi se spajati na firmu. Sutra update. Napiši koje te točno postavke zanimaju i slikati ću ih, ako smijem. Ne dajem previše feedbacka jer ne smijem .

[Forace]

Gle sutra kad se spojiš/budeš fizički tamo . Idi po redu i provjeravaj moš valjda oba upalit switcha i spojit se na njih. Onda provjeri ovu listu iz mog zadnjeg posta, vlanovi nisu. Provjeri security i taj DHCP snoopih te IGMP kod obje postavke postoji filtriranje koje ako nije isključeno može dropat pakete (čitaj uzrokovat to što imaš).

Poanta je da sve projveriš: bez pretpostavki "tipa nisam dirao, ne može biti i slično"

Najgora stvar koju možeš u uklanjanju greške je pretpostaviti nešto .

[D1viry]

Citiraj:

Autor Forace

Poanta je da sve projveriš: bez pretpostavki "tipa nisam dirao, ne može biti i slično".

Provjerio sam ponovno, čisto za svaki slučaj. Naravno da sam usporedio opcije prije postanja na forumu. Oboje je pogašeno na oba.
Da drugi range potpuno ne radi, razumio bih. Ovako je to jako čudan problem .

[Forace]

Onda ti još preostaje samo router. Probaj radit tracert da vidiš nodove preko kojih paket pokušava ić i gdje zapne.

Kako ti je router spojen na switch, u obične portove, optiku ili na ona dva zadnja?

[D1viry]

Citiraj:

Autor Forace

Onda ti još preostaje samo router. Probaj radit tracert da vidiš nodove preko kojih paket pokušava ić i gdje zapne.

Tracert mi vrati samo:
1 1ms 1ms 1ms IP-switcha

Nema ništa drugo.

Citiraj:

Autor Forace

Kako ti je router spojen na switch, u obične portove, optiku ili na ona dva zadnja?

Ruter je preko firewalla spojen na switch u Jedan od jedina 4 lan porta. Glavni je optički switch.

[Forace]

Šta ti tracert vrati kad pingaš nešto što prolazi znači lan1-lan1, lan2-lan2 ?

Pojasni malo ovo spajanje koliko sam do sad shvatio:

neki klijenti (u dva lan segmenta lan1 i lan2) -> famozni switch -> firewall -> router ?

Pod pretpostavkom da je switch spravan i prosljeđuje pakete onda je netko drugi u tom lancu odgovoran zašto nema paketa između lan1 i lan2.

Sad može biti router ili firewall - ovisi kako je spojeno.

Jedina stvar koja mi još pada napamet je routanje ili prije firewall podešen po MAC adresi switcha ... ali to ćeš morat provjerit na routeru ili firewallu ovisi koji je prije.

[D1viry]

Citiraj:

Autor Forace

Šta ti tracert vrati kad pingaš nešto što prolazi znači lan1-lan1, lan2-lan2 ?

Ono što sam napisao gore.

Citiraj:

Autor Forace

Pojasni malo ovo spajanje koliko sam do sad shvatio:

neki klijenti (u dva lan segmenta lan1 i lan2) -> famozni switch -> firewall -> router ?

Ovako je: klijenti (lan1, lan2) -> famozni SW -> glavni SW -> firewall SW -> firewalli (master i slave) -> ruter. Tako su spojeni svi switchevi, a ima ih hrpa i svi rade normalno. Glupi/pametni, svejedno, osim ovog.

Citiraj:

Autor Forace

Pod pretpostavkom da je switch spravan i prosljeđuje pakete onda je netko drugi u tom lancu odgovoran zašto nema paketa između lan1 i lan2.
Sad može biti router ili firewall - ovisi kako je spojeno.

Vjerojatno ima nešto što se, izgleda, mora podesiti na ovom switchu, iako isti model/serija sa više portova ne zahtijeva podešavanje.

Citiraj:

Autor Forace

Jedina stvar koja mi još pada napamet je routanje ili prije firewall podešen po MAC adresi switcha ... ali to ćeš morat provjerit na routeru ili firewallu ovisi koji je prije.

Teško da može biti podešen po mac adresi jer sam ga ja otpakirao i prvi testirao čim je stigao. .
Jednostavno mi nije jasno kako i što zeza. Dodano desetak 48 portnih switcheva i samo jedan 24, jer stvarno nije bilo potrebe za više u određenom odjelu i sad on zeza.
Uređaji sa lan2 su uštekani u switch koji ne pravi probleme i problem je premošten, ali želio bih ga riješiti za ubuduće.