Kako rutati dva Vlana na cisco switchu?

[Ant3G]

Patim se nekoliko dana, proucavam manual switcha ali mi nije poslo za rukom da routanje izmedju dva subneta i proradi. Dakle podijelio sam portove na vlan1 i vlan2 subnet 10.0.0.1. i 192.168.1.1
Uspio sam podesiti dhcp server samo za 192 odnosno vlan2 dio.
Na koji način mogu routat ta dva vlana?
Spajam se telnetom na cisco switch 3560 24port.

Uglavnom, cilj mi je da vlan2 subnet ima različitu dodjelu ip adresa (od dhcpa) od vlan1 dijela, ali mora imati pristup internetu, a internet je na vlan1 dijelu.
Ostavim jos informacija ako ovo nije dovoljno.

[domis]

to ti je L3 switch, omoguci routing
http://www.cisco.com/en/US/tech/tk38...8019e74e.shtml


btw. poigraj se malo u cisco packet traceru da skuzis, jer kolko vidim prvi put se susreces s ovime

[the_ghost]

jel mozes pingati iz jednog vlana u drugi? si postavio default rutu?
slobodno pejstni sh run i sh ip route

[Old Iggy]

Citiraj:

Autor domis

to ti je L3 switch, omoguci routing

kako znaš da je L3 switch?

[jucca]

Citiraj:

Autor Old Iggy

kako znaš da je L3 switch?

da si procitao prvih par recenica s gore navedenog linka, uocio bi ovo:

Note: This document uses a Catalyst 3550 as an example. However, the concepts can also be applied to other Layer 3 switches that run Cisco IOS® (for example, Catalyst 3560, 3750, Catalyst 4500/4000 Series with Sup II+ or later, or Catalyst 6500/6000 Series that run Cisco IOS System software).

[Old Iggy]

Citiraj:

Autor jucca

da si procitao prvih par recenica s gore navedenog linka, uocio bi ovo:

Note: This document uses a Catalyst 3550 as an example. However, the concepts can also be applied to other Layer 3 switches that run Cisco IOS® (for example, Catalyst 3560, 3750, Catalyst 4500/4000 Series with Sup II+ or later, or Catalyst 6500/6000 Series that run Cisco IOS System software).

Ma nisam vidio da je 3560.

[vision19]

Citiraj:

Autor the_ghost

jel mozes pingati iz jednog vlana u drugi? si postavio default rutu?
slobodno pejstni sh run i sh ip route

Da može pingati vjerojatno bi radio inter vlan routing. Daj pejstaj stvarno sh run pa ćemo više znati reći.

[Ant3G]

Nece vam ovo pomoci, izmjenio sam neke stvari, predetaljan je info
vlan2 je na 20om portu. Taj sam odabrao za test. Kasnije proširim.

Molio bih vas samo da me navedete kako iz nule konfigurirati 2 vlana da se routaju. To je to

Code:

cisco-switch2#sh run
Building configuration...

Current configuration : 2416 bytes
!
! Last configuration change at 11:59:40 UTC Fri Dec 28 2012
! NVRAM config last updated at 09:25:23 UTC Fri Dec 28 2012 by cisco
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname cisco-switch2
!
enable secret 5 
!
no aaa new-model
clock timezone UTC 1
clock summer-time UTC recurring last Sun Mar 2:00 last Sun Oct 3:00
system mtu routing 1500
ip subnet-zero
ip routing
ip name-server 
ip name-server 
ip dhcp excluded-address 192.168.1.1 192.168.1.50
ip dhcp excluded-address 192.168.1.68
!
ip dhcp pool wifi
   network 192.168.1.0 255.255.255.0
   default-router 192.168.1.1
   option 150 ip 192.168.1.1
   dns-server 
!
ip dhcp-server 192.168.1.1
!
!
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
interface FastEthernet0/1
!
interface FastEthernet0/2
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
 switchport access vlan 2
 switchport mode access
 switchport port-security
 switchport port-security aging time 2
 switchport port-security violation restrict
 switchport port-security aging type inactivity
 macro description cisco-desktop | cisco-desktop
 spanning-tree portfast
 spanning-tree bpduguard enable
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
 ip address 10.0.0.52 255.255.255.0
!
interface Vlan2
 ip address 192.168.1.1 255.255.255.0
 ip helper-address 192.168.1.1
!
ip default-gateway 10.0.0.1
ip classless
ip route 0.0.0.0 0.0.0.0 
ip route 0.0.0.0 0.0.0.0 10.0.0.0
ip http server
!
!
control-plane
!
!
line con 0
line vty 0 4
 
 login
 length 0
line vty 5 15

 login
 length 0
!
end

cisco-switch2#

update: thx domis, taj link nisam gledao, proucim, probam pa se javim kroz 48h

[Cvorovic]

Možda je nešto trivijalno, npr je li nešto priključeno na 20. port?
Ako ti fizički port nije up, ne će ti biti niti vlan sučelje up, a samim time ne će raditi ping prema toj mreži.

Jesi li na vlan sučelju napravio no shut kod kreiranja?

Što kaže ispis naredbe: show ip interface brief ili show inteface status?

[vision19]

Evo u PT složeno. 2 VLAN-a, VLAN 10 i VLAN 20. Moraš svakom VLAN-u kao interfaceu dati adresu što si i napravio

Citiraj:

!
interface Vlan1
ip address 10.0.0.52 255.255.255.0
!
interface Vlan2
ip address 192.168.1.1 255.255.255.0

I taj dio je okej. Sada PC koji ima adresu iz subneta 192.168.1.0/24 mora imati default gateway 192.168.1.1. Isto vrijedi i za PC iz drugog subneta.

Aktivirao si ip routing.
Fali ti konfiguracija za VLAN 1 na nekom od portova. Vjerujem da si to napravio.

Kada si to napravio moralo bi sve raditi. Ako imaš defaultnu rutu, ona mora voditi naravno na router preko nekoga interfacea (kod mene je to na fa0/10), ali to nisi spominjao pa nije ni bitno. Ako to radiš trebaš reći na tome portu: no switchport i dati mu adresu iz subneta u kojemu će biti router. Probaj to pa ćemo vidjeti.

CP iz PT:

Citiraj:

!
hostname Switch
!

ip routing

!
spanning-tree mode pvst
!

interface FastEthernet0/1
switchport access vlan 10
switchport mode access
!
interface FastEthernet0/10
no switchport
ip address 192.168.10.10 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/24
switchport access vlan 20
switchport mode access
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
no ip address
shutdown
!
interface Vlan10
ip address 192.168.1.1 255.255.255.0
!
interface Vlan20
ip address 10.0.0.1 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.10.100
!

line con 0
line vty 0 4
login
!
!
!
end

Nisam ništa od port securityja stavljao vjerujem da s time nemaš nikakvih problema.

Što se tiče drugoga dijela DHCP-a ne vidim pool za taj dio pa nema šanse da će raditi. Ako ćeš trebati pomoć oko toga javi se ovdje.

I jedna napomena, svakako bi ti preporučio da ne koristiš taj VLAN 1. On je ovako 'gadan' po svojoj naravi i dosta problema sam imao s njime. Znaš da je nativni i radio je sranja pa probaj promijeniti to. I zbog sigurnosti i svega. Recimo ja sam izgubio 2 dana dok nisam skužio da u nativnom VLAN-u (dakle VLAN 1) switch skida DSCP oznake iz svih paketa i QoS mi nikako nije htio proraditi. Uopće se ne bi čudio da je to đubre puno takvih trikova pa eto.
Nadam se da sam pomogao.

[Ant3G]

Citiraj:

Što se tiče drugoga dijela DHCP-a ne vidim pool za taj dio pa nema šanse da će raditi. Ako ćeš trebati pomoć oko toga javi se ovdje.

Drugi dhcp je od strane rutera. Tako da ga i neću uključivati za vlan1.

Riskantno mi je remote sve ovo mijenjati dok nisam fizički kraj switcha. Tako da par dana neću ništa mijenjati na switchu. Javim se kad probam.
Hvala na pomoći

[DiTech]

Na koji uređaj tocno ova linija baca rutu?
ip route 0.0.0.0 0.0.0.0 192.168.10.100

[vision19]

Citiraj:

Autor DiTech

Na koji uređaj tocno ova linija baca rutu?
ip route 0.0.0.0 0.0.0.0 192.168.10.100

To sam ja testirao nešto s routerom koji je spojen na ovaj fa0/10 port. Zanemari taj dio.

[Cvorovic]

Citiraj:

Autor Ant3G

Riskantno mi je remote sve ovo mijenjati dok nisam fizički kraj switcha.

I za ovo ima lijeka: postoji naredba reload in i onda navedeš nakon koliko minuta će se uređaj restartati.

Prije nego išta mijenjaš staviš npr reload in 10 (za 10 minuta) i staviš novu konfiguracju ali ju ne spremiš. Ako se slučajno "odrežeš", nakon 10 minuta će se uređaj restartati sa starom konfiguracijom koja radi.

Ako ti prihvati novu konfiguraciju tj ne odrežeš se, onda prekineš reload s reload cancel.

Nego, nisam dobio odgovor na prethodno pitanje, je li nešto priključeno na port 20 tj je li navedeni port up?

[Ant3G]

Nije, ali ubaciti ću port 19 na kojem jest jedno računalo. Imam remote pristup na njega pa cu testirati.

Sve što je tokom reload in podešeno, neće biti spremljeno u slučaju da se switch odsječe? Znači nakon što aktiviram reload in 15, onda mi neće spremat konfiguraciju dok ju ručno ne spremim?
Prvi put radim s tim tako da imam hrpu pitanja

[vision19]

Citiraj:

Autor Ant3G

Nije, ali ubaciti ću port 19 na kojem jest jedno računalo. Imam remote pristup na njega pa cu testirati.

Sve što je tokom reload in podešeno, neće biti spremljeno u slučaju da se switch odsječe?

Po logici, ako ne spremaš ne smije i ne može biti spremljeno (lol smiješno zvuči). Dokaz tomu je i obični reload kad radiš a ne spremaš konfiguraciju.

Imaš ovdje objašnjeno.

[Cvorovic]

@Ant3G Zato ti i nije prolazio ping, jer ako ništa nije priključeno u 20. port, onda ti niti vlan interface ne može biti up, i samim time ne možeš pingati adresu na tom sučelju.

Inače glede tvoje prve konfiguracije koju si tu stavio; upozorio bih te na par grešaka:

Ako si stavio ip routing, onda preklopnik radi u L3 načinu radi, i nikako ti ne treba naredba ip default-gateway, vać samo def. ruta ip route 0.0.0.0 0.0.0.0 x.x.x.x

Isto tako, ako na istom uređaju ima dignut dhcp, onda ti ne treba nareba ip helper-address - ona služi za slučaj kad je DHCP dignut na nekom drugom mjestu tj na drugom "subnetu".

PS bez obzira na ove greške koje sam naveo, iako možda i nisu greške već nepotreban višak naredbi, da ti je našto bilo priključeno na port 20, onda bi ti ping radio. Jedino što ne bi radilo je umjeravanje prometa prema van jer si za def. rutu kao odredište stavio adresu mreže (10.0.0.0) umjesto nekog uređaja (npr 10.0.0.1) koji će to dalje usmjeravati.

Edit: da, kako je i vision19 napisao, konfiguracija se sprema samo ručno, ne će ju automatski spremiti prije restarta.

[Ant3G]

Probao sam pinganje, prolazi. Mogu pristupiti s porta 20 (vlan2) na računalo iz subneta (vlan1). Iduća stvar je to routanje, pokušati ću jos par postavki izmijeniti ali ne znam sto tocno mi jos nedostaje i gdje to podesiti da i vlan 2 ima internet.

[DiTech]

Pretpostavljam da internet zoves neki provider ruter? ako da, onda on mora znati kud ce vratiti pakete koje si poslao sa switcha iz vlana2. Napisi malo vise info, i dal mozes pingat taj internet ruter sa pc-a iz vlana2.

[Ant3G]

Probat ću ga pingat sutra tokom dana. Uglavnom ping mi je prolazio točno na ip adresu, na ime nije radilo. Općenito nisam mogao npr vidjeti računala u drugom subnetu, ali preko upisane ip adrese radi, preko imena ne. Je li to normalno ili jos gdje sto trebam podesiti?

[vision19]

Bitno je da možeš pingati drugi subnet. Po adresama. Od gatewaya do hostova. Nisi odgovorio i pojasnio ovaj dio s Internetom. Što znači 'da VLAN 2 nema Internet' (vjerojatno hostovi u VLAN-u 2)? S tim kompovima ne možeš na net, ili ne možeš s njih pingat router? Jesi dobili PC-evi informacije od DHCP-a o gateway-u itd? Ako se radi o routeru njega vjerojatno ne možeš pingati jer je echo reply vrlo vjerojatno zabranjen.

[Ant3G]

Nemam pristup k routeru. DHCP uredno dodjeljuje ip adrese računalima - ip 192.168.1.x, gateway 192.168.1.1 a i dns ko gateway. Sto se tice pinganja na router, prolazi iz subneta1 (vlan1) ali ne prolazi iz subneta2 (vlan2). Ponavljam, subnet1 ima net, subnet2 nema, ali mogu pingati računala subnet1 iz subneta2.
Internet dolazi s routera koji je spojen na jos jedan isti switch. Tom switchu nemam pristupa. Da li se moze sto skemijati ili nista bez NAT-a. Citajuci po netu, bez nata nema ništa.

[DiTech]

Zakomplicirao si malo, daj zovi nekog ko odrzava taj ruter kojem nemas pristup i reci mu sto hoces. Tako ces najbezbolnije sloziti.

[domis]

stavi rucno gateway na racunala koja nemaju net i mirna bosna

[vision19]

Citiraj:

Autor domis

stavi rucno gateway na racunala koja nemaju net i mirna bosna

Od toga ništa iz nekoliko razloga. Jedan od glavnih je taj što će u tome VLAN-u biti pokretni korisnici spojeni na WLAN tako da ručno podešavanje neće biti opcija.

[Ant3G]

Mozemo zakljucati temu. Riješenje je bio NAT. Slozio nat, sve radi ok. Nema zauzimanja IP range-a. Napravio podmreže i to je to. Šteta jedino da to ne može odraditi i sam ciscov switch.