SG500 i PXE

Problemy związane ze switchingiem

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba

Wiadomość
Autor
CISCOFun
member
member
Posty: 34
Rejestracja: 19 wrz 2014, 20:49
Lokalizacja: Lublin
Kontakt:

SG500 i PXE

#1

#1 Post autor: CISCOFun » 27 mar 2019, 13:25

Witam serdecznie mam problem z konfiguracja w sieci PXE, w skrócie mam UTM od stormshileda oraz CISCO SG500, DHCP oraz routing na Stormshieldzie, mam kompa testowego w vlanie 3 oraz serwer PXE w vlan-nie 2, skonfigurowalem pola odnośnie PXE na stormshieldzie, sam proces DORA przebiega pomyślnie otrzymuje od storma niezbedne informacje o PXE, natomiast moje zapytania o pliki startowe do pxe leca do 3.4 czyli interfejsu na stormshieldzie, po wstepnych ogledzinach swierdzilem iz problem lezy po stronie zlej konfiguracji mojego switha oto config:

Kod: Zaznacz cały

CiscoSG500P7#show running-config
config-file-header
CiscoSG500P7
v1.4.2.4 / R800_NIK_1_4_194_194
CLI v1.0
set system queues-mode 4

file SSD indicator encrypted
@
ssd-control-start
ssd config
ssd file passphrase control unrestricted
no ssd file integrity control
!
vlan database
vlan 2-10
exit
voice vlan oui-table add 0001e3 Siemens_AG_phone________
voice vlan oui-table add 00036b Cisco_phone_____________
voice vlan oui-table add 00096e Avaya___________________
voice vlan oui-table add 000fe2 H3C_Aolynk______________
voice vlan oui-table add 0060b9 Philips_and_NEC_AG_phone
voice vlan oui-table add 00d01e Pingtel_phone___________
voice vlan oui-table add 00e075 Polycom/Veritel_phone___
voice vlan oui-table add 00e0bb 3Com_phone______________
ip dhcp relay address 172.16.0.1
ip dhcp relay address 172.16.2.4
ip dhcp relay enable
ip dhcp information option
bonjour interface range vlan 1
ip access-list extended VLAN_3
deny ip 172.16.4.0 0.0.0.255 any ace-priority 20
deny ip 172.16.5.0 0.0.0.255 any ace-priority 40
deny ip 172.16.7.0 0.0.0.255 any ace-priority 60
deny ip 172.16.8.0 0.0.0.255 any ace-priority 80
deny ip 172.16.9.0 0.0.0.255 any ace-priority 100
permit ip any any ace-priority 120
exit
ip access-list extended VLAN_4
deny ip 172.16.3.0 0.0.0.255 any ace-priority 20
deny ip 172.16.5.0 0.0.0.255 any ace-priority 40
deny ip 172.16.7.0 0.0.0.255 any ace-priority 60
deny ip 172.16.8.0 0.0.0.255 any ace-priority 80
permit ip any any ace-priority 100
exit
ip access-list extended VLAN_5
deny ip 172.16.3.0 0.0.0.255 any ace-priority 20
deny ip 172.16.4.0 0.0.0.255 any ace-priority 40
deny ip 172.16.7.0 0.0.0.255 any ace-priority 60
deny ip 172.16.8.0 0.0.0.255 any ace-priority 80
permit ip any any ace-priority 100
exit
ip access-list extended VLAN_6
deny ip 172.16.0.0 0.0.0.255 any ace-priority 20
deny ip 172.16.8.0 0.0.0.255 any ace-priority 40
deny ip 172.16.9.0 0.0.0.255 any ace-priority 60
permit ip any any ace-priority 80
exit
ip access-list extended VLAN_7
deny ip 172.16.3.0 0.0.0.255 any ace-priority 20
deny ip 172.16.4.0 0.0.0.255 any ace-priority 40
deny ip 172.16.5.0 0.0.0.255 any ace-priority 60
deny ip 172.16.8.0 0.0.0.255 any ace-priority 80
deny ip 172.16.9.0 0.0.0.255 any ace-priority 100
permit ip any any ace-priority 120
exit
ip access-list extended VLAN_8
deny ip 172.16.2.0 0.0.0.255 any ace-priority 20
deny ip 172.16.3.0 0.0.0.255 any ace-priority 40
deny ip 172.16.4.0 0.0.0.255 any ace-priority 60
deny ip 172.16.5.0 0.0.0.255 any ace-priority 80
deny ip 172.16.6.0 0.0.0.255 any ace-priority 100
deny ip 172.16.7.0 0.0.0.255 any ace-priority 120
permit ip any any ace-priority 140
exit
hostname CiscoSG500P7
management access-list SNMP
permit service snmp
exit
logging file informational
                                                                                                                                                       lege 15
ip ssh server
snmp-server host 172.16.2.23 traps version 2c cisco
snmp-server group Zabbix v3 auth read Default
clock timezone " " +2
clock source sntp
sntp unicast client enable
sntp unicast client poll
sntp server 172.16.2.20
sntp server 0.centos.pool.ntp.org

ip name-server  172.16.2.30
!
interface vlan 1
 ip address 172.16.0.2 255.255.255.0
 no ip address dhcp
!
interface vlan 2
 ip address 172.16.2.2 255.255.255.0
 ip dhcp relay enable
!
interface vlan 3
 ip address 172.16.3.2 255.255.255.0
 ip dhcp relay enable
!
interface vlan 4
 ip address 172.16.4.2 255.255.255.0
!
interface vlan 5
 ip address 172.16.5.2 255.255.255.0
!
interface vlan 6
 ip address 172.16.6.2 255.255.255.0
!
interface vlan 7
 ip address 172.16.7.2 255.255.255.0
!
interface vlan 8
 ip address 172.16.8.2 255.255.255.0
!
interface vlan 9
 ip address 172.16.9.2 255.255.255.0
!
interface vlan 10
 ip address 172.16.10.2 255.255.255.0
!
interface gigabitethernet1/1/1
 switchport trunk allowed vlan add 2-10
!
interface gigabitethernet1/1/2
 switchport mode access
 switchport access vlan 2
!
interface gigabitethernet1/1/3
 switchport mode access
 switchport access vlan 2
!
interface gigabitethernet1/1/4
 switchport mode access
 switchport access vlan 2
!
interface gigabitethernet1/1/5
 switchport mode access
 switchport access vlan 2
!
interface gigabitethernet1/1/6
 switchport mode access
 switchport access vlan 2
!
interface gigabitethernet1/1/7
 switchport mode access
 switchport access vlan 2
!
interface gigabitethernet1/1/8
 switchport mode access
 switchport access vlan 2
!
interface gigabitethernet1/1/9
 switchport mode access
!
interface gigabitethernet1/1/10
 switchport mode access
 switchport access vlan 3
!
interface gigabitethernet1/1/11
 port monitor GigabitEthernet 1/1/1
 switchport mode access
!
interface gigabitethernet1/1/12
 switchport mode access
 switchport access vlan 3
!
interface gigabitethernet1/1/13
 switchport mode access
 switchport access vlan 3
!
interface gigabitethernet1/1/14
 switchport mode access
 switchport access vlan 3
!
interface gigabitethernet1/1/15
 switchport mode access
 switchport access vlan 3
!
interface gigabitethernet1/1/16
 switchport mode access
 switchport access vlan 3
!
interface gigabitethernet1/1/17
 switchport mode access
 switchport access vlan 3
!
interface gigabitethernet1/1/18
 switchport mode access
 switchport access vlan 3
!
interface gigabitethernet1/1/19
 switchport mode access
 switchport access vlan 3
!
interface gigabitethernet1/1/20
 switchport mode access
 switchport access vlan 3
!
interface gigabitethernet1/1/21
 switchport mode access
 switchport access vlan 3
!
interface gigabitethernet1/1/22
 switchport mode access
 switchport access vlan 3
!
interface gigabitethernet1/1/23
 switchport mode access
 switchport access vlan 3
!
interface gigabitethernet1/1/24
 switchport mode access
 switchport access vlan 3
!
interface gigabitethernet1/1/25
 switchport mode access
 switchport access vlan 8
!
interface gigabitethernet1/1/26
 switchport mode access
 switchport access vlan 8
!
interface gigabitethernet1/1/27
 switchport mode access
 switchport access vlan 8
!
interface gigabitethernet1/1/28
 switchport mode access
 switchport access vlan 8
!
interface gigabitethernet1/1/29
 switchport mode access
 switchport access vlan 4
!
interface gigabitethernet1/1/30
 switchport mode access
!
interface gigabitethernet1/1/31
 switchport mode access
 switchport access vlan 5
!
interface gigabitethernet1/1/32
 switchport mode access
 switchport access vlan 5
!
interface gigabitethernet1/1/33
 switchport mode access
 switchport access vlan 5
!
interface gigabitethernet1/1/34
 switchport mode access
 switchport access vlan 5
!
interface gigabitethernet1/1/35
 switchport mode access
 switchport access vlan 5
!
interface gigabitethernet1/1/36
 switchport mode access
 switchport access vlan 5
!
interface gigabitethernet1/1/37
 switchport mode access
 switchport access vlan 6
!
interface gigabitethernet1/1/38
 switchport mode access
 switchport access vlan 6
!
interface gigabitethernet1/1/39
 switchport mode access
 switchport access vlan 6
!
interface gigabitethernet1/1/40
 switchport mode access
 switchport access vlan 7
!
interface gigabitethernet1/1/41
 switchport mode access
!
interface gigabitethernet1/1/42
 switchport mode access
 switchport access vlan 10
!
interface gigabitethernet1/1/43
 switchport mode access
 switchport access vlan 10
!
interface gigabitethernet1/1/44
 switchport mode access
 switchport access vlan 10
!
interface gigabitethernet1/1/45
 switchport mode access
 switchport access vlan 10
!
interface gigabitethernet1/1/46
 switchport mode access
 switchport access vlan 3
!
interface gigabitethernet1/1/47
 switchport trunk allowed vlan add 2-6,8
!
interface gigabitethernet1/1/48
 switchport mode access
 switchport access vlan 3
!
interface tengigabitethernet1/1/1
 switchport mode access
 switchport access vlan 2
!
exit
ip helper-address all 172.16.2.50 37 42 49 53 137 138
ip helper-address all 172.16.3.4 37 42 49 53 137 138
ip default-gateway 172.16.0.1
 CiscoSG500P7#

Obrazek

na prośbę kolegi niżej, domyślam się że w zły sposób konfiguruje helper-address lub dhcp relay (lub jedno i drugie) i tutaj pojawia się moje pytanie gdzie popełniam błąd ?
Ostatnio zmieniony 27 mar 2019, 14:01 przez CISCOFun, łącznie zmieniany 1 raz.

Kyniu
wannabe
wannabe
Posty: 3491
Rejestracja: 04 lis 2006, 16:23
Kontakt:

Re: SG500 i PXE

#2

#2 Post autor: Kyniu » 27 mar 2019, 13:55

To już wiemy co stwierdziłeś. Ale chciałeś się tym pochwalić czy jednak miałeś jakieś inne intencje - na przykład chciałeś o coś spytać? Jeśli tak to zadaj owo pytanie.
Always start with why do you need this?, not how will we do it?.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)

CISCOFun
member
member
Posty: 34
Rejestracja: 19 wrz 2014, 20:49
Lokalizacja: Lublin
Kontakt:

Re: SG500 i PXE

#3

#3 Post autor: CISCOFun » 27 mar 2019, 14:02

edit w pierwszym poście dodałem owo pytanie

Kyniu
wannabe
wannabe
Posty: 3491
Rejestracja: 04 lis 2006, 16:23
Kontakt:

Re: SG500 i PXE

#4

#4 Post autor: Kyniu » 27 mar 2019, 14:14

IMHO to:

Kod: Zaznacz cały

ip helper-address all 172.16.2.50 37 42 49 53 137 138
ip helper-address all 172.16.3.4 37 42 49 53 137 138
Powinny być "per VLAN" czyli w konfiguracji "interface VLAN" aby switch wiedział, że jeśli w VLAN 2 w którym nie ma serwera DHCP otrzymał Request to ma go skierować do 172.16.3.4

Update:

A z tego co na szybko znalazłem to dla SMB taka konfiguracja ma trochę inną składnię:

Kod: Zaznacz cały

switchxxxxxx# config
switchxxxxxx(config)# interface vlan 30
switchxxxxxx(config-if)# ip dhcp relay enable
switchxxxxxx(config-if)# ip dhcp relay address 10.17.10.10
https://www.cisco.com/c/dam/en/us/td/do ... LI_500.pdf strona 296
Always start with why do you need this?, not how will we do it?.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)

CISCOFun
member
member
Posty: 34
Rejestracja: 19 wrz 2014, 20:49
Lokalizacja: Lublin
Kontakt:

Re: SG500 i PXE

#5

#5 Post autor: CISCOFun » 27 mar 2019, 14:28

dodałem i niestety nadal bez skutku, wrzuciłem kawałek obrazka może to rozjaśni sytuacje:

@poprawilem obrazek

https://zapodaj.net/0a08fc21f2498.png.html

Awatar użytkownika
judge dredd
wannabe
wannabe
Posty: 184
Rejestracja: 02 sie 2009, 15:23

Re: SG500 i PXE

#6

#6 Post autor: judge dredd » 27 mar 2019, 14:52

Cześć,

Wydaje mi się, że problemem może być brama domyślna ustawiona na switchu. Ogólnie z tego, co wiem, to zasadą działania helpera na switchu L2 jest to, że zapytanie wysłane w ramach danego vlanu trafia do interfejsu tego vlanu na switchu i z adresu tego interfejsu przekazywane jest do serwera wskazanego w helperze. Switch musi mieć możliwość komunikacji z adresu w vlanie 3 do tego adresu serwera, który jest w vlanie 2 - do tego potrzebuje bramy, a brama jest na switchu ustawiona na 172.16.0.1. Czyli tylko switch w ramach vlanu 1 ma możliwość wyjścia na świat, a interfejs switcha w vlanie 2 nie ma wyjścia na świat. Tutaj musisz przejrzeć architekturę tej sieci - co to jest za brama 172.16.0.1 i zobaczyć, czy możesz ją bezkarnie zmienić na 172.16.3.4.

Jeśli natomiast UTM jest bramą dla vlanu 3 to możesz spróbować odejść od helpera na switchu i poszukać na stormshieldzie czegoś odpowiadającego ip helper'owi.

Pozdrawiam!

JD
Zapraszam na kursy CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Więcej informacji: Akademia Sieci LANPulse (www.lanpulse.pl).

CISCOFun
member
member
Posty: 34
Rejestracja: 19 wrz 2014, 20:49
Lokalizacja: Lublin
Kontakt:

Re: SG500 i PXE

#7

#7 Post autor: CISCOFun » 03 kwie 2019, 11:04

niestety nie pomogło nadal szukam rozwiązania

Kyniu
wannabe
wannabe
Posty: 3491
Rejestracja: 04 lis 2006, 16:23
Kontakt:

Re: SG500 i PXE

#8

#8 Post autor: Kyniu » 03 kwie 2019, 11:08

Rozbij problem na składowe i rozwiązuj po kolei bo chyba masz ich tam więcej i rozwiązywanie wszystkich na raz prowadzi donikąd.
Always start with why do you need this?, not how will we do it?.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)

santo
member
member
Posty: 33
Rejestracja: 22 maja 2008, 11:43

Re: SG500 i PXE

#9

#9 Post autor: santo » 04 kwie 2019, 16:05

Wrzuć jeszcze raz konfigurację po Twoich zmianach.

ODPOWIEDZ