Czy Catalist 3560 moze blokowac porty?

[donvito7]

Sorry za lamerskie pytanie ale nie mam wiedzy w tym zakresie.

Mam mala serwerownie gdzie serwery sa wpiete do Cisco Catalist 3560.

Mam grupe 4 servery w jednym raki ktore sie nie widza wzajmnie i maja wszystko poblokowane. Sa oczywiscie inne servery z w tej samej podsieci ktore widza te 4 servery oraz te 4 servery widza cala reszte.

Jesli to mozliwe to jak to sprawdzic?

[lbromirs]

Sorry za lamerskie pytanie ale nie mam wiedzy w tym zakresie.

Mam mala serwerownie gdzie serwery sa wpiete do Cisco Catalist 3560.

Mam grupe 4 servery w jednym raki ktore sie nie widza wzajmnie i maja wszystko poblokowane. Sa oczywiscie inne servery z w tej samej podsieci ktore widza te 4 servery oraz te 4 servery widza cala reszte.

Jesli to mozliwe to jak to sprawdzic?

Co to znaczy 'poblokowane'? Mówisz o Private VLANach?

[donvito7]

Wszystko wpiete do Catalist3560 - 192.168.1.10

SERVER1 - 192.168.1.45
SERVER2 - 192.168.1.46
SERVER3 - 192.168.1.47
SERVER4 - 192.168.1.48
Te serwery sie nie komunikuja wzajemnie. Nie ma pinga w zadna strone i jak scanuje porty to wszystko filtered. Nie mam zadnego lokalnego firewalla ani antywirusa.

Natomiast te same operacje z inneych serwerow wpietych do tego samego switcha do wspomnianych wyzej i wszystko dziala.
SERVER22 - 192.168.1.17
SERVER23 - 192.168.1.19
SERVER24 - 192.168.1.62
SERVER25 - 192.168.1.25

Jest gdzies blokada i zastanawiam sie czy to nie na tym Switchu bo tylko tam moze byc.
Wszystko jest w jednej serwerowni bez firewall.

[pi2you]

Jest możliwe takie blokowanie. Kolega lbromirs już Ci napisał o co chodzi:

Mówisz o Private VLANach?

Do poczytania tutaj

[donvito7]

Czy jest jakas komenda ktora mi wylistuje te porty i potwierdzi ewentualna izolacje?

[pi2you]

show vlan private-vlan

[donvito7]

no nie ma

SW>show vlan private-vlan

Primary Secondary Type Ports
------- --------- ----------------- ------------------------------------------

SW>

ale mam za to cos takiego

interface FastEthernet0/45
description server_heartbeat_vlan14
switchport access vlan 14
speed 100
duplex full
spanning-tree portfast
!
interface FastEthernet0/46
description server_heartbeat_vlan14
switchport access vlan 14
speed 100
duplex full
spanning-tree portfast
!
interface FastEthernet0/47
description server_heartbeat_vlan14
switchport access vlan 14
speed 100
duplex full
spanning-tree portfast
!
interface FastEthernet0/48
description server_heartbeat_vlan14
switchport access vlan 14
speed 100
duplex full
spanning-tree portfast

numer portu pokrywa sie z zadresem IP tych 4 serverow. Kazdy inny port jest natomiast vlan13. Te 4 servery tez sa wpiete w we wczesniejsze porty do Vlan13

Moze cos tu?

[pi2you]

Z tego co rozumiem, to:
45,46,47,48 są wpięte do vlanu 14, natomiast kolejne interfejsy serwerów do vlan 13
17,19,62,25 są wpięte do vlanu 13.
Zgadza się?

Czy na tych wcześniejszych portach masz może ustawione switchport protected?

[koziol]

SERVER1 - 192.168.1.45
SERVER2 - 192.168.1.46
SERVER3 - 192.168.1.47
SERVER4 - 192.168.1.48
Te serwery sie nie komunikuja wzajemnie.

Jakie systemy operacyjne?
Zakladajac, ze cos z Unixow:
Dla jednej z maszyn daj:
- wynik z netstat -rn
- ifconfig

Natomiast te same operacje z inneych serwerow wpietych do tego samego switcha do wspomnianych wyzej i wszystko dziala.
SERVER22 - 192.168.1.17
SERVER23 - 192.168.1.19
SERVER24 - 192.168.1.62
SERVER25 - 192.168.1.25
.

i dla porownania - wybierz jedna z maszyn 'dzialajacych' i podrzuc wynik polecen wyzej.

[donvito7]

Wszystko windows. Napisz co potrzeba

[koziol]

Wszystko windows. Napisz co potrzeba

netstat -rn
i listing interfejsow sieciowych razem z adresami ip i maskami

[donvito7]

===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.46 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.128 192.168.1.46 192.168.1.46 20
192.168.1.46 255.255.255.255 127.0.0.1 127.0.0.1 20
172.17.255.255 255.255.255.255 192.168.1.46 192.168.1.46 20
224.0.0.0 240.0.0.0 192.168.1.46 192.168.1.46 20
255.255.255.255 255.255.255.255 192.168.1.46 192.168.1.46 1
Default Gateway: 192.168.1.1
===========================================================================
Persistent Routes:
None


Windows IP Configuration

Host Name . . . . . . . . . . . . : Server02
Primary Dns Suffix . . . . . . . : domain.com
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : domain.com

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : HP NC382i DP Multifunction Gigabit Server
Adapter #2
Physical Address. . . . . . . . . : abc
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.1.46
Subnet Mask . . . . . . . . . . . : 255.255.255.128
Default Gateway . . . . . . . . . : 192.168.1.1
DNS Servers . . . . . . . . . . . : x.x.x.204
x.x.x.252
Primary WINS Server . . . . . . . : x.x.x.113
Secondary WINS Server . . . . . . : x.x.x.222

[koziol]

===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.46 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.128 192.168.1.46 192.168.1.46 20
192.168.1.46 255.255.255.255 127.0.0.1 127.0.0.1 20
172.17.255.255 255.255.255.255 192.168.1.46 192.168.1.46 20
224.0.0.0 240.0.0.0 192.168.1.46 192.168.1.46 20
255.255.255.255 255.255.255.255 192.168.1.46 192.168.1.46 1
Default Gateway: 192.168.1.1

zakladajac, ze outputy sa identyczne na hostach z obu grup (tj. dzialajacych i nie) - szukalbym w okolicach Private VLANow tak, jak Lukasz sugerowal.
tu masz info nt. konfiguracji i sprawdzeniu Private VLAN 3560 Private VLAN
Ewentualnie poszukaj jeszcze pod katem VACL