Nisam našao ovakvu temu pa otvaram novu.
Dakle, imam hrpu "dumb" switcheva i svaki je iskonfiguriran na jedan IP range. Serveri i velik broj korisnika su na drugom IP rangeu. Funkcionira sve normalno jer firewall/router (moram provjeriti) odrade međusobnu kombinaciju.

U mreži je i nekoliko "pametnih" switcheva i sve radi normalno.
Problem je jedan novi "pametni" switch koji ima nekih problema ili ja ne znam podesiti kako treba. Vjerojanto je ovo drugo u pitanju.
Stanje je ovakvo:
- range 1 prije switcha ima pristup rangeu 1 iza switcha i obrnuto
- range 2 prije switcha ima pristup rangeu 2 iza switcha i obrnuto
- range 1 prije switcha nema pristup rangeu 2 iza switcha
- range 2 prije switcha nema pristup rangeu 1 iza switcha
- range 1 prije switcha nema uopće pristup switchu (on je na range 2)
- svi ostali imaju pristup svima ostalima u cijeloj mreži

Jedino kada sam uspio sa dc-a pingati switch je bilo kada sam radio ping test na switchu. Znači, dok switch (range 2) pokušava pingati dc (range 1), dotle i dc može pingati switch.
Zaključak je da komunikacija između dva rangea radi samo dok switch pokušava pingati range 1.
Naravno, switch bezuspješno pokušava pingati range 1, a u isto vrijeme se javlja dc-u.
Čim prestane ping test na switchu, odmah je i na serveru "request timed out".

Ima li tko kakvu ideju?
Primjer switcha koji radi bez problema: AT-GS950/48 Gigabit Ethernet WebSmart Switch FW: AT-S116 V1.0.0
Problematični switch: AT-GS950/24 Gigabit Ethernet WebSmart Switch
FW: AT-S115 V1.1.0 (nema S116 za njega, a normalno rade i switchewi sa starijim FW)
Oba su novi.

Unaprijed zahvalan za svaku pomoć.

EDIT: Jel treba dodatno objasniti problem?

Pogledaj prvo da li taj switch zna raditi ruting, jer ako si podigao 2 vlana onda ti treba.

Nema VLAN-ova. Čini mi se kao da pokušava raditi routing ili je nekakva default postavka izvor problema. Ako glupi switch ne pravi probleme, a pametni pravi, smatram da je nekakva kvačica problem :D. Samo ne znam koja i gdje. Baš taj model radi probleme, a ovaj drugi ne.

Mislim da mu ne treba level 3 routanje iz razloga što se portovi daju konfigurirat kao "trunk". Nakon toga mu se dodaju po potrebi VLAN.ovi koje pušta i to je to.... samo malo mi je čudno kako ima više IP rangeva bez VLAN.a ... ovak napamet mislim da to nije moguće osim ako switch nije level 3 pa ima routanje :D.

Možda sam napisao totalnu glupost :fiju:

Moj savjet: provjeri vlanove na 48 portnom i konfiguracije portova.

Druga stvar - glede pristupa - provjeri koja ti je mrežna adresa switcha - stranica 26 manuala.

Moguće je. FW to sve obavi. Takvo je stanje zatečeno i skupo je mijenjati sada.

Konfiguracija portova je ista i nema vlanova.

Adresa je promijenjena (to sam naveo) i podešena kao i kod ostalih switcheva. Nema IP konflikata.

A i ja sam isto biser. Odi na router firewall i slozi novu rutu koja uključuje IP tog novog switcha, mozda je to ako router/firewall handla sva usmjeravanja ...?

Postoji takva ruta. Zato ostali switchevi i rade kako treba. Samo taj jedan pravi probleme. Ubijam se traženjem, a pola dostupnih opcija ne razumijem :D.

Ono što trebaš napraviti ako sam dobro skužio sve:

Ako već imas dva subneta, oni moraju nekako doći jedan do drugoga, a to obavljaju layer 3 uređaji ( ili router ili switch) predpostavljam da ovi tvoji switchevi nisu layer 3. Što znači da na routeru moras postaviti ruting ili statičke rute.... ali...

Onda moraš na switchu naraviti dva VLAN-a... npr.

192.168.1.0/24 neka bude VLAN 10
192.168.2.0/24 neka bude VLAN 20

kad to napraviš, onda na switchu postavi trunk portove samo prema ruteru.
a ostale portove stavi kao access za pojedini VLAN.

na ruteru moraš napraviti ruting između ta dva subneta.

Ili... ako nemas puno uređaja u mreži onda stavi sve na isti subnet i bok, naravno ako to politika dozvoljava.

teško je to ovako preko foruma... moze bit sitnica a moze bit i sve. :)

Podešeno je na routeru sve i radi bez problema. Jedino ovaj switch zeza. Nije mi jasno zašto 48-portni ne radi probleme. I 48-portni je smart switch, a njega nisam posebno podešavao. Samo fiksna IP i radi sve.

Na "glupim" switchevima i na ostalim "pametnim" sve radi, a na ovom ne.

I dalje stojim kod toga da treba istražit da nisu VLANovi u igri. I ne kužim komentar "i skupo je mjenjat sad" - VLAN-ovi kao takvi se podešavaju na switchevima i routeru koji radi usmjeravanje prometa - krajnjim korisnicima i "glupim" switchevima se ništa ne mjenja ... jer oni nisu niti svjesni postojanja niti pripadnosti nekom VLAN segmentu.

I ja ovako, kao padobranac, sumnjam na VLAN-ove, iako ih ti možda nemaš kao takve konfigurirane, po svemu sudeći problem je u tome.

Znači 2 IP subneta imaš, sigurno router ili FW radi rutanje, nebitno, jesi dobro postavio gateway, nemaš IP conflict, trunk portovi, možda nebi bilo loše da staviš logičku shemu mreže. Stvarno svašta može biti uzrok.

Da nemaš možda L2 petlju u igri pa da te neki od default protokola ne zeza i blokira neki port?

Čisto za info slike oba switcha. Ista serija, samo razlika u broju portova. 48 radi, a 24 ne.
Malo sam u gužvi pa je tek sada opet došao na red taj switch.
http://www.pohrani.com/t/31/86/5Ds6q6X/48.jpg
http://www.pohrani.com/t/3O/5y/2pu2JzJF/24.jpg
Isto je i sa port based VLAN-om.
Probao sam podesiti 48-portni switch na istu IP adresu, kao i 24-portni i sve radi bez greške. Znači, ugasio i maknuo 24-portni i stavio 48-portni. Resetirao oba na tvorničke postavke i postavio samo IP adresu sa maskom i gatewayem. Taj problem nije visokoprioritetan, ali kad tad će biti. Za sada koristim rezervni 48-portni switch, ali moram ovo riješiti.

Ako netko ima još kakvu ideju, unaprijed hvala.

Kad si kod skrinshotova ajd stavi routing tablicu iz rutera ako IP adrese nisu tajna tj. ako su lokali u pitanju :).

Jer ako se ne koriste VLAN.ovi onda netko mora routat promet između različitih subnetova, a to vjerojatno radi router. Sad je samo pitanje kako su route namještene i da li su vezane na portove koji idu prema switchevima?


I malo mi je isto nejasna mrežna topologija: jel ti jedan switch iza sebe ima 2 subneta ili svaki switch iza sebe ima jedan subnet?

Ako sam dobro shvatio: imaš 2rangea iza svakog switcha? Stari switch routa dobro između rangeva, novi ne?

I šta je sa rečenicom: "svi ostali imaju pristup svima ostalima u mreži" !? Tko su svi ostali - range 3 ?

I još jedno pitanje: šta je sa IP adresama iza tog problematičnog switcha? Statične ili su na DHCP.u? Pretpostavljam da su statične ....

Ne morem :D.

Radi ruter. Nisu vezane za portove na switchevima.

Svaki switch propušta oba range-a, osim tog jednog switcha.

2 rangea, da. Oba switcha su novi.

Kad su iza 24-portnog, uređaji sa prvog range-a iza sw imaju pristup samo uređajima sa prvog rangea ispred sw i obrnuto. Isto i za drugi range. Ne vide se međusobno. Kad je 48-portni u igri, sve je ok i svi imaju pristup i ostalim rangeovima. Ostali nisu bitni za tu zgradu pa ih nisam ni spominjao.
Svi switchevi u firmi su optikom spojeni u jedan glavni.

Fiksna je adresa. Iste postavke na drugom switchu rade normalno. Naravno, nisu oba uključeni u isto vrijeme :D.

Oba su nova:
1) AT-GS950/24 ok
2) AT-GS950/48 nije ok

Aha jesam ja dobro shvatio: ti ovaj od 24 mjenjaš sa 48 i sad 48 odbija poslušnost?

:D.

Ak je tako - stavio si mu istu IP adresu ko ovom od 24 koji je ok?

Provjeri si DHCP i IGMP snoping postavke na obojici. Poglavlja 16 i 17, a kad si tamo provjeri da ti je isključen security na portovima - poglavlje 18 :D.

Nope. Mijenjam stari switch i išao sam staviti 24, ali zeza. 48 je za drugu namjenu, ali poslužio je za testiranje.

But, offcourse :D.

Na tvorničkim postavkama su, ali provjeriti ću. Samo su IPv4 postavke podešavane.

Tvorničke postavke kao resetirao si ih nakon paljenja ili tvorničke postavke - ništa nije dirano nakon paljenja :D. Ponekad postoji velika razlika :D.

Prvo ništa osim IP adrese nije dirano, a onda je i "restore factory defaults" napravljen. Jedino je opet IP adresa namještena. Nema konflikata jer ništa ne ide na tu adresu i nije u DHCP scopeu.
Uostalom, da postoji konflikt, 48 portni ne bi radio kako treba.

Pretpostavljam da ima neka kvačica negdje :D.

Ma nisam ni sumljao na konflikte. Ono šta sam napisao je jedino koliko sam vidio da ima neku mogućnost filtriranja prometa ...

Thx svoj četvorici na sudjelovanju u temi. Nisam siguran jeli se netko ne želi uključiti, jesam li nedovoljno opisao problem, jesam li na nekoj ignore listi ili pišem gluposti :D.

Možda ništa od tog, možda sve to :D:D.
Ima tu previše "kvačica" koje mogu biti krivo odabrane / namještene,
kolege su pokušale pomoći, ali je teško ovako na daljinu ...

Stvar je u tome da nisam ništa podešavao, osim IP adrese i nije mi jasno zašto jedan SW radi kako treba, a drugi ne. To jest, što treba podesiti na drugom. Oba su isti model, samo više portova.

Gle možemo iz početka: ali kako nikky kaže ima puno kvačica i teško je na daljinu. Ne daješ baš ni ti feadback: provjerio, provjerio - nisam još itd.

S druge strane jedino što ja nisam spominjao je STP i RSTP zato što mislim da on ne može utjecat na to što se tebi dešava, slobodno me se može ispravit.

Pročitaj manual - lijepo ti u njemu piše šta je šta, dovoljno je da ideš samo po uvodnim poglavljima.

Jedino što ti još nisam provjeravao (a možeš sam): logove promjena firmwarea - znači ovisno firmwareu piše ti u njemu šta je krpano što nije itd. Kažem možda tamo ima nešto ... ali ono to ti je longshoot.

Meni se recimo na cisco AP.u (bivšem netgearu) desilo da jedna funkcionalnost uopće nije postojala do jedne novije revizije firmwarea.

Što me dovodi do: obavezno pazi da li ti manual odgovara reviziji firmwarea na uređaju :D.


Nevisno o kolegi Nikkyu:

Imaš par stvari, a većinu smo naveli:
VLAN problemi?
Security problemi (ovo sa DHCP.om i IGMP.om) - može switch odbacit paket.
Flow control ili storm control - uglavnom ako imaš loop može ti bit namješten da blokira port.
STP i RSTP što sumljam ... oni su obično podešeni po serijskom broju (barem na ciscovim uređajima) ali koliko sam shvatio to je više za kvalitetu samog protoka podataka ....

Nema beskonačno mnogo kvačica i opcija.

Ok. Kasno je i ne da mi se spajati na firmu. Sutra update. Napiši koje te točno postavke zanimaju i slikati ću ih, ako smijem. Ne dajem previše feedbacka jer ne smijem :D.

Gle sutra kad se spojiš/budeš fizički tamo :D. Idi po redu i provjeravaj moš valjda oba upalit switcha i spojit se na njih. Onda provjeri ovu listu iz mog zadnjeg posta, vlanovi nisu. Provjeri security i taj DHCP snoopih te IGMP kod obje postavke postoji filtriranje koje ako nije isključeno može dropat pakete (čitaj uzrokovat to što imaš).

Poanta je da sve projveriš: bez pretpostavki "tipa nisam dirao, ne može biti i slično"

Najgora stvar koju možeš u uklanjanju greške je pretpostaviti nešto :D.

Provjerio sam ponovno, čisto za svaki slučaj. Naravno da sam usporedio opcije prije postanja na forumu. Oboje je pogašeno na oba.
Da drugi range potpuno ne radi, razumio bih. Ovako je to jako čudan problem :D.

Onda ti još preostaje samo router. Probaj radit tracert da vidiš nodove preko kojih paket pokušava ić i gdje zapne.

Kako ti je router spojen na switch, u obične portove, optiku ili na ona dva zadnja?

Tracert mi vrati samo:
1 1ms 1ms 1ms IP-switcha

Nema ništa drugo.

Ruter je preko firewalla spojen na switch u Jedan od jedina 4 lan porta. Glavni je optički switch.

Šta ti tracert vrati kad pingaš nešto što prolazi znači lan1-lan1, lan2-lan2 ?

Pojasni malo ovo spajanje koliko sam do sad shvatio:

neki klijenti (u dva lan segmenta lan1 i lan2) -> famozni switch -> firewall -> router ?

Pod pretpostavkom da je switch spravan i prosljeđuje pakete onda je netko drugi u tom lancu odgovoran zašto nema paketa između lan1 i lan2.

Sad može biti router ili firewall - ovisi kako je spojeno.

Jedina stvar koja mi još pada napamet je routanje ili prije firewall podešen po MAC adresi switcha ... ali to ćeš morat provjerit na routeru ili firewallu ovisi koji je prije.

Ono što sam napisao gore.

Ovako je: klijenti (lan1, lan2) -> famozni SW -> glavni SW -> firewall SW -> firewalli (master i slave) -> ruter. Tako su spojeni svi switchevi, a ima ih hrpa i svi rade normalno. Glupi/pametni, svejedno, osim ovog.

Vjerojatno ima nešto što se, izgleda, mora podesiti na ovom switchu, iako isti model/serija sa više portova ne zahtijeva podešavanje.

Teško da može biti podešen po mac adresi jer sam ga ja otpakirao i prvi testirao čim je stigao. :D.
Jednostavno mi nije jasno kako i što zeza. Dodano desetak 48 portnih switcheva i samo jedan 24, jer stvarno nije bilo potrebe za više u određenom odjelu i sad on zeza.
Uređaji sa lan2 su uštekani u switch koji ne pravi probleme i problem je premošten, ali želio bih ga riješiti za ubuduće.

Daj da rezimiramo: 48 portni su direkno iz kutije propisno propuštali lan1-lan2 bez ikakvih dodatnih podešavanja (ovdje mislim i na ostalu opremu - ništa niste dodatno na ovim ostalim switchevima radili?).

Jel znaš možda koji ti je od ovih ostalih Layer 3 tj. koji routa promet?


Na stranu ovo goreidem ti po manualu po redu, a s obzirom da sam noob šta se tiče mreže tako ni ne znam za napredne stvari poput GVRP.a.

Stranica 97 manuala - provjeri na 24 i 48 portnom taj GVRP. Inače simpa feture :D.

Upravo tako. Naknadno smo im dodijelili IP adrese iz našeg rangea, da im možemo pristupiti bez da is mijenjamo IP na 192.168.x.x

Nope, ali vjerojatno je ili ruter ili firewall. Prije optičkog je glavni switch bio glupi gigabitni 48-port lan switch. I tada je sve radilo kako treba pa smatram da nije u njemu stvar jer bi sve prestalo raditi ugradnjom istog.

Ja sam isto pomalo noob u takvim problemima. Provjeriti ću sutra.
Samo da napomenem da se i ljudi, koji se bave samo mrežom godinama, češkaju po glavi i nije im jasno zašto je nastalo trenutno stanje :D.

Krenuo citati thread pa mi odmah ovo upada u oko, sto ti znaci da je "svaki glupi" switch iskonfigurirani na jedan IP range? Koliko imas IP rangeva? Koliko VLAN-ova? I cim switch ima IP adresu nije glup jer se ocito neki management moze raditi.

Kako LAN klijenti dobivaju IPeve? DHCP-om? Od kud je IP switcha? Iz istog rangea ili neki neovisni?

Ono na pocetku s pinganjem zvuci kao da ima problema s ARP-om.

Sto ti je firewall switch? samo switch preko kojeg su firewali slozeni?

Slika mreze bi bila jako korisna jer mi nista nije jasno vise.



Uglavnom, mislim da jednostavno nemamo dovoljno informacija oko ovog svega da bi ti efikasno mogli pomoci.

Ok, krivo sam se izrazio glede "glupih" sw. Switchevi su na drugom rangeu, svi. Imam 2 rangea, koji su bitni na toj lokaciji. Nema VLAN-ova.

Klijenti dobivaju adrese od DHCP-a, koji je na prvom rangeu. Switchevi su drugi range.

Da, samo switch preko kojeg su firewalli složeni.

ne mogu stavljati sliku mreže na net. Svi switchevi i klijenti su spojeni na glavni switch, on na firewall i onda na ruter. Svaki switch je spojen direkt na glavni, nema ulančavanja. Za što je potrebna slika?

Ne znam što fali. Mislim da sam poprilično opširno iznio problem. Napiši što još treba pa ću navesti.

A gle uvijek vam svima ostaje: miror par portova, lijepo na taj zrcaljeni port uštekat laptop ili pc sa wiresharkom instaliranim, snimit pakete i pogledat ih :D.

I odmah ćete vidjet tko šta propušta tko ne propušta i na šta je paket adresiran :D.

Malo pojašnjenje: wireshark - program za snimanje prometa iz mreže, switch ima mogućnost zrcaljenja bilo kojeg porta što upravo i služi u tu svrhu (iako se može koristiti i u druge ali dobro ... :D) i potrebno je onda samo pokrenut ping sa spornog računala prema nekome prema kome prolazi i prema kome ne prolazi ... nakon pinga probat snimit pristup nekom računalu bilo sharu ili poslat nešto na neki print ili što već radite sa prijelazom iz jedne u drugu mrežu.

Problem je što se iz tvog opisa ne kuži previše tko kuda gdje i što. Shema mreže bi bila fantastična sa ako ništa drugo izmišljenim adresama. Možeš to nacrtati u Dude-u.
http://www.mikrotik.com/thedude
Sjećam se problema iz ministarstva, tamo su neki stari switchevi (do kojih nismo imali pristupa) znali blokirati neke kompove ili druge uređaje pa smo onda te kompove spajali na neki drugi switch tj. mrežu i onda bi proradili, vjerovatno neka mac/arp/filter blokada pitaj boga što su složili.
Drugi problem je što ti je možda u firewall-u nešto podešeno da blokira taj promet, jako je teško skužiti u čemu je problem iz tvog opisa.
Ako postoje različiti subneti, a između njih je taj switch koji bi ti sad stavio da bude "glupi" to po meni ne može funkcionirati. Mora biti routing ili vlanovi. Što je bilo prije između te dvije mreže? Da li je ovaj 48 portni switch već prije bio u mreži ili je došao skupa sa ovim 24-portnim?
Nacrtaj mrežu, stavi 10.1.0.0/24, 10.2.0.0/24 rangeve, stavi router, firewall pa da vidimo tko tu koga.
Također jedna retardirana stvar, da li možeš sve (firewall/router/switcheve) ugasiti pa upaliti (preko noći?)...

Znaci ima ih vise od ta dva? Nema Vlanova? znaci imas vise subneta u jednom LANu? Zasto? Mislim, nije da nece funkcionirati ali nije bas neki best practice. Ako vec imas vise L3 mreza, zasto onda nisu odvojene VLAN-ovima? pogotovo jer ocito imas opremu koja to podrzava.

Ne trazimo te da stavis sliku iz dokumentacije koju imas nego nesto nabrzaka nacrtano da se vidi kud je sto spojeno.
Tesko je iz teksta shvatiti kako to tocno izgleda.

Gle, tesko je ovako nagadjati pogotovo sto nemamo pristup opremi.
Sto djeli DHCP? Firewall? Marka? Glavni switch je koja marka? router isto?
Niti jedan switch nema nikakvu vlan/l3 konfiguraciju osim management IP-eva? Tj sve je u jednom velikom LAN-u?

Da ... koliko sam ja shvatio sve mu je u jednom vlanu - defaultnom i onda gura dva subneta i problem nastaje što valjda 48 portni pušta kroz sebe oba dok 24 portni ne pušta ili obrnuto.

Uglavnom kad stavi drugi switch onda valjda sve radi samim time se moze elminirat routanje i ostalo jer po meni switch radi problem ili ono što sam napisao da je na l3 složeno po macu, ali onda mu ne bi radio switch iz kutije stavljen .... :), a njemu valjda radi.


zbuzanic: jes siguran da je pametno resetirat opremu u kojoj moraš konfiguraciju sejvat u boot rom :D. Znaš one priče: kak sad to ne radi a samo sam restartao switch, pa se saszna da je netko reconfiguriro al eto nije sejvo u boot :D.

meni to djeluje kao neki arp issue...

port miror na uplink port na switchu koji radi i hvatati provmet i onda to isto na onom koji ne radi i traziti razike. Ako nista ne dolazi, problem je na glavnom switchu. Ako dolazi identicno, onda je neki issue na novom switchu.

Eh, ma znam. A gle, to je škola. No kažem za reset jer smo u ministarstvu imali takav neki firewall koji je volio reboot, čak nam je i proizvođač rekao da ga rebootamo nakon određenih podešavanja. Iako nema logike, ali tako je bilo. Poslije je dobio novi FW koji je to ispravio.