Re: Problem z pingiem z jednego punktu na drugi
: 18 gru 2016, 11:02
Ponieważ ten VLAN ma spełniać rolę mgtm i ramki mogą przychodzić untagged na niego. Z tego co zrozumiłame z literatury właśnie tak się to robi.
No właśnie to jest czasami wkurzające w tutorialach pokazują coś, ale nie do końca oglądałem tutorial i facet wspomniał, że wystrcz ustawić native na trunku, ale po drugiej stronie nie było nic wspomniane, dla nooba niestety ciężko jest się wszystkiego "Domyślać", ale cóż dzięki za info. Teraz śmiga.Tak jak napisał Seba - po stronie switcha S2 na trunku ustawiłeś "switchport trunk native vlan 99". Nie jest to błąd, ale w tej sytuacji powinieneś konsekwentnie na routerze R3 na subinterfejsie Fa0/0.99 też ustawić native komendą "encapsulation dot1q 99 native". Jeśli na R3 nie ma native na tym subinterfejsie, to konsekwentnie na S2 też nie powinno być. Musi być natomiast jakiś bug w Packet Tracerze, bo w tej sytuacji PC2 pingował R3 choć nie powinien. Switch S2 nie pingował R3 zgodnie ze stanem faktycznym. Jak usuniesz "switchport trunk native vlan 99" z portu Fa0/3 switcha S2 to będzie dobrze. No i masz jeszcze odwrotnie podłączone routery wireless. 192.168.2.1 powinien być podłączony do Fa0/1, a jest do Fa0/2 i odwrotnie.
Pozdrawiam,
JD
Niestety w wielu przypadkach niestety nie ma możliwości się domyślać - trzeba pewne rzeczy po prostu wiedzeć.No właśnie to jest czasami wkurzające w tutorialach pokazują coś, ale nie do końca oglądałem tutorial i facet wspomniał, że wystrcz ustawić native na trunku, ale po drugiej stronie nie było nic wspomniane, dla nooba niestety ciężko jest się wszystkiego "Domyślać", ale cóż dzięki za info. Teraz śmiga.
Masz mętlik w głowie. Na serwerach nie ma konfiguracji VLAN'ów. Żeby zrozumieć ten temat musisz doczytać o vlanach i trunkach i to zaczynając od absolutnych podstaw - możliwe, że te "tutoriale", które oglądałeś były już dla nieco bardziej zaawansowanych.1) Czyli w sumie każdy inny device podłączony do S2 (ustawiony native na 99), gdzie ma też lecieć VLAN 99 musi mieć ustawiony native? Dajmy na to, że polaczenie do serwera Server 00 lub do jakiegos innego switcha jest połączone VLAN 99, który ma własnie ustawiony native, tzn że na tym switchu czy sereverz 00 też oprocz vlana musze ustawić encapsulation tak ? tzn np:
Server 00 dla VLAN 99 (int f0/1 encapsulation dot1q 99 native) <----> (switchport trunk native vlan 99) S2 <----> R3 dla VLAN 99 (int f0/0.99 encapsulation dot1q 99 native)
lub
Jakis inny switch dla VLAN 99 (int f0/2 encapsulation dot1q 99 native) <----> (switchport trunk native vlan 99) S2 <----> R3 dla VLAN 99 (int f0/0.99 encapsulation dot1q 99 native)
Przykro mi, ale źle widzisz. Zresztą spróbuj z routera R3 spingować którykowiek router wireless - nie da się, a powinno się dać. Zmyliły Cię napisy na schemacie - kabel opisany jest Fa0/1, ale faktycznie podpięty jest do Fa0/2 i po drugiej stronie tak samo - napisałeś etykietkę Fa0/2, ale kabel podpięty jest do Fa0/1. Jak przytrzymasz kursor myszy na kablu to po chwili pojawią się faktyczne porty, do których jest on podpięty.2) Nie no 192.168.2.1 jest ok na vlan 11 (f0/1) a 192.168.0.1 na vlan 192 (f0/2) adresacja sie zgadza podpiecia tez z tego co widze.
Za długo by gadać. Musisz sam doczytać. Np. tutaj:3) Możecie wytłumaczyć na chlopski rozum o co common z tymi untagged ramkami dlaczego sugeruje się w dokumentacji czy w tutorialach, aby ustawiac nietagowane ramki dla native mgtm vlanów? Rozumiem juz jak sie to konfiguruje, ale nie za bardzo mogę załapać idee za tym idącą.
Coś dziwnie zauważyłeś. Jeśli po skonfigurowaniu interfejsów zapiszesz konfigurację ("copy running-config startup-config"), to po wyłączeniu i włączeniu zasilania wszystkie interfejsy, które miałeś włączone powinny być włączone. Inaczej nie będzie, chyba, że zapomniałeś zapisać konfigurację, ale wtedy tracisz też wszystkie inne rzeczy, które ustawiałeś.4) Jesli dajmy na to wylacze router przyciskiem - zauwazylem, ze wszystkie interfejsie po wlaczeniu robia sie down. Wiem, ze aby podniesc interfejs moge wejsc w niego np intf0/1 i zrobic no shut, a mozna zrobic to hurtem dla wszystkich? Bo takie pisanie po kolei jest nuzace. Oraz czy w serwerowni jakbym wylaczyl taki router to tez musze po wlaczenu jest podniesc czy w takim przypadku zalacza sie z automata?
To niedobrze, że masz mało czasu. Na naukę CCNA i zrozumienie tego trzeba poświęcić dużo czasu. Nie ma lekko.5) Tak jak wspomniałem mam mało czasu na podstawową naukę tego wszystkiego a mam przejac podobna siec, czy uwazacie, ze skoro umiem zbudowac taka siec jak w projekcie i rozumiem mniej wiecej ta zasade dzialania to czy juz mozna powiedziec, ze mam jakies podstawowe podstawy? zasadzie umiem skonfigurowac to wszystko w CLI od zera i mniej wiecej znam zasade dzialania. Mam nadzieje, ze tak
----------------------------Jakis inny switch dla VLAN 99 (int f0/2 encapsulation dot1q 99 native) <----> (switchport trunk native vlan 99) S2 <----> R3 dla VLAN 99 (int f0/0.99 encapsulation dot1q 99 native)
Czyli ogolnie cokolwiek skonfiguruje w cli i dam end exit ... musze jeszcze zrobic: copy running-config startup-config na koncu? W sumie dziwne bo nie robie tego wogole a konfiguracjeCoś dziwnie zauważyłeś. Jeśli po skonfigurowaniu interfejsów zapiszesz konfigurację ("copy running-config startup-config"), to po wyłączeniu i włączeniu zasilania wszystkie interfejsy, które miałeś włączone powinny być włączone. Inaczej nie będzie, chyba, że zapomniałeś zapisać konfigurację, ale wtedy tracisz też wszystkie inne rzeczy, które ustawiałeś.
Ogólnie tak, ale jeśli podpinasz "jakiś inny switch", to na nim powinna być komenda "switchport trunk native vlan 99".Jakis inny switch dla VLAN 99 (int f0/2 encapsulation dot1q 99 native) <----> (switchport trunk native vlan 99) S2 <----> R3 dla VLAN 99 (int f0/0.99 encapsulation dot1q 99 native)
Pytanie 1:
Sorry - wiem ze na swerwie nie ustawia sie vlanu (pomylka) - ale w powyzszym przypadku juz mam racje?
Jeśli mówisz o Cisco, to niestety "raczej" nie. Łatwo to przetestujesz - skonfiguruj cokolwiek, zrestartuj urządzenie i sprawdź czy po restarcie to coś będzie. Nie powinno. Natomiast jeśli dopiero teraz odkryłeś komendę "copy running-config startup-config" to niestety musisz koniecznie wrócić do sieciowego przedszkola.Pytanie 2:
Czyli ogolnie cokolwiek skonfiguruje w cli i dam end exit ... musze jeszcze zrobic: copy running-config startup-config na koncu? W sumie dziwne bo nie robie tego wogole a konfiguracje raczej pamieta...
Ze zdjęcia wygląda, że są to sloty SFP, czyli musisz dokupić wkładki FC albo RJ45 i wtedy po prostu masz dwa dodatkowe porty - możesz ich użyć do czegokolwiek.Pytanie 3:
Pytanko pewnie banalne dla was, ale w woli przypomnienia jak mam np taki switch: http://i.ebayimg.com/00/s/MjgwWDUwMA==/ ... G?set_id=2
Pytanie 3a:
to te dwa porty widoczne na koncu po prawej rozumiem, ze to sa porty ktore uzywam jesli chce podpiac do tego switcha nastepny switch, czyli w tym przypadku moge podpiac dwa switche, a jesli chodzi o podpiecie routera to podpinam normalnie na zwykle lanowe porty (ktorych tu jest 24)? Czy to sie zgadza?
Nie są. Są to takie same porty jak każde inne. Możesz z nimi zrobić co chcesz - kwestia konfiguracji. Po prostu przyjmij, że ten switch ma 26 portów. Tyle.Pytanie 3b:
czy te dwa porty po prawej sa z automatu trunkowe, czy nie co by znaczylo, ze zalezy ode mnie czy kablem bedzie lecialo kilka vlanow na drugi switch to wtedy dopiero robie trunk recznie. Mam rację?
Ogólnie dobrze jest aby switch posiadał adres IP dla naszej wygody, więc równie dobrze może to być adres w vlanie 99. Dobrze zauważyłeś, że każdy komputer z innego vlanu ma do niego dostęp, co nie jest bezpieczne. Może tamten admin po prostu nie zdążył tego zrobić i go wywalili, a na jego miejsce zatrudnili Ciebie za 1/20 kwoty. Natomiast zaczął całkiem dobrze - adres switcha jest w oddzielnym vlanie - jedyne, co teraz trzeba zrobić aby go odseparować od innych sieci to jakaś ACL'ka na routerze R3 i tyle. Więc do końca bezsensem to nie było, tylko raczej wygląda na niedokończoną koncepcję.Pytanie 4:
Odnosnie ip ktore nadalem dla switcha 10.0.0.253 w vlan 99, nie rozumiem sensu czemu admin zrobil to w ten sposob, przeciez PC0/1 moga pingowac to IP, co nie jest bezpieczne jako ze to powinno byc dostepne tylko dla admina. Czy w takiej konfiguracji nie jest to bezsensem?
Z tego co widzę to można tez użyc write memory. Z tego co wyczytalem nalezy zrobic wlasnie wr lub copy running-config startup-config po nowej konfiguracji, ponieważ jesli zresetuje router/switch wszystkie ustawienia zostana zapomniane. I tu chyba się zgodzisz?Quote:
Pytanie 2:
Czyli ogolnie cokolwiek skonfiguruje w cli i dam end exit ... musze jeszcze zrobic: copy running-config startup-config na koncu? W sumie dziwne bo nie robie tego wogole a konfiguracje raczej pamieta...
Jeśli mówisz o Cisco, to niestety "raczej" nie. Łatwo to przetestujesz - skonfiguruj cokolwiek, zrestartuj urządzenie i sprawdź czy po restarcie to coś będzie. Nie powinno. Natomiast jeśli dopiero teraz odkryłeś komendę "copy running-config startup-config" to niestety musisz koniecznie wrócić do sieciowego przedszkola.
Czyli tutaj sprawa jest oczywista - na switchu porty to po prostu porty traktowane tak samo - odemnie zależy co na nich poustawiam, czy wepne zwykle hosty, czy podepne kolejny switch, czy tez router - ogolnie wazne jest konfiguracja portu i nie ma fizycznej sepearacji, ze dane porty x sa tylko dla lanu, a np inne tylko do polaczen miedzy switchami. Zakładam, że teraz zrozumiałem?Quote:
Pytanie 3:
Pytanko pewnie banalne dla was, ale w woli przypomnienia jak mam np taki switch: http://i.ebayimg.com/00/s/MjgwWDUwMA==/ ... G?set_id=2
Pytanie 3a:
to te dwa porty widoczne na koncu po prawej rozumiem, ze to sa porty ktore uzywam jesli chce podpiac do tego switcha nastepny switch, czyli w tym przypadku moge podpiac dwa switche, a jesli chodzi o podpiecie routera to podpinam normalnie na zwykle lanowe porty (ktorych tu jest 24)? Czy to sie zgadza?
Ze zdjęcia wygląda, że są to sloty SFP, czyli musisz dokupić wkładki FC albo RJ45 i wtedy po prostu masz dwa dodatkowe porty - możesz ich użyć do czegokolwiek.
Quote:
Pytanie 3b:
czy te dwa porty po prawej sa z automatu trunkowe, czy nie co by znaczylo, ze zalezy ode mnie czy kablem bedzie lecialo kilka vlanow na drugi switch to wtedy dopiero robie trunk recznie. Mam rację?
Nie są. Są to takie same porty jak każde inne. Możesz z nimi zrobić co chcesz - kwestia konfiguracji. Po prostu przyjmij, że ten switch ma 26 portów. Tyle.
Czyli z tego wynika, że moja obecna konfiguracja to tak naprawdę "wszyscy widzą wszystkich" - pomimo tego ze mam odseparowane to vlanami, to i tak dzieki ruterowi R3 wszyscy maja dostep do wszystkich - i teraz zrozumialem z Twojej wypowiedzi, aby do czegoś ograniczyć dostęp muszę stworzyć tzw ACL'ki czyli access lity, ktore mogą czegoś zabronić/pozwolić tak? Załóżmy np, że nie chciałbym, aby PC2 (10.0.0.1) mógł dostać się na ten IP 10.0.0.253 (pomimo tego, że jest w tej samej podsieci) oraz ludzie z vlanu 192. Jeśli dobrze zrozumiałem należałoby ustawić na R3 - ponieważ tam są bramy należące do PC2 (10.0.0.254) oraz cla PC0/1 (192.168.59.254) i tam najpierw zostaną pakiety ramek, więc ten router R3 musiałby im powiedzieć "sorry wasz pakiet nie może zostać przekierowany na 10.0.0.253. Czy taka komenda bylaby poprawna w tym przypadku?:Quote:
Pytanie 4:
Odnosnie ip ktore nadalem dla switcha 10.0.0.253 w vlan 99, nie rozumiem sensu czemu admin zrobil to w ten sposob, przeciez PC0/1 moga pingowac to IP, co nie jest bezpieczne jako ze to powinno byc dostepne tylko dla admina. Czy w takiej konfiguracji nie jest to bezsensem?
Ogólnie dobrze jest aby switch posiadał adres IP dla naszej wygody, więc równie dobrze może to być adres w vlanie 99. Dobrze zauważyłeś, że każdy komputer z innego vlanu ma do niego dostęp, co nie jest bezpieczne. Może tamten admin po prostu nie zdążył tego zrobić i go wywalili, a na jego miejsce zatrudnili Ciebie za 1/20 kwoty. Natomiast zaczął całkiem dobrze - adres switcha jest w oddzielnym vlanie - jedyne, co teraz trzeba zrobić aby go odseparować od innych sieci to jakaś ACL'ka na routerze R3 i tyle. Więc do końca bezsensem to nie było, tylko raczej wygląda na niedokończoną koncepcję.
Kod: Zaznacz cały
ip access-list extended BAN_VLAN_192
permit tcp 192.68.59.0 255.255.255.0 established
deny tcp 192.68.59.0 255.255.255.0 any
permit ip any any
!
interface Vlan99
description SVI_VLAN99
ip address 10.0.0.0 255.255.255.0
ip access-group BAN_VLAN_192 out
!