Pomóżcie proszę w rozwiązaniu magicznego dla mnie problemu. Scenariusz:
Schemat sieci:
Sieć wewnętrzna produkcyjna (urządzenia produkcyjne - elementy robota, HMI, sterowniki PLC, zwykłe Windowsy) wpięte są w wewnętrznego switcha, który spięty jest do Cisco IE4000 (tryb dostępowy), a ten z kolei trunkiem (Gi 1/1) do reszty sieci.
Wewnątrz sieci produkcyjnej jest sieć wewnętrzna, nieroutowana (172.20.2.0/24), adresy przydzielane statycznie. Na zewnątrz, te adresy będą widoczne przez L2Nat, ale to kolejny krok.
Problem: Windowsy, pomimo ustawienia statycznie adresów IP nie mogą nawiązać między sobą (sieć 172.20.2.0/24) komunikacji, gdy do switcha IE4000 wpięty jest uplink do reszty sieci. Windowsy mają poprawnie ustawione adresy IP (w GUI), ale ipconfig pokazuje brak adresu IP lub APIPA (169.254.x.x), z maską 255.255.0.0, a tylko brama jest poprawna 172.20.2.254. Dzieje się to w trakcie ich konfiguracji. Gdy z kolei wypnę z IE4000 uplink do reszty sieci, wyłączę i ponownie włączę kartę sieciową, adres zostaje poprawnie ustawiony i komunikacja między urządzeniami działa poprawnie. Po jakimś czasie wpinam uplink, mija trochę czasu i Windowsy przestają się komunikować ze sobą i sytuacja się powtarza.
Dodam tylko, że wpinałem wszelkie urządzenia z sieci wewnętrznej do switcha IE4000 (z pominięciem tego switcha wewnętrznego w robocie) i sytuacja też się powtarza.
Konfiguracja IE4000:
Kod: Zaznacz cały
POLs-ZBN-9-01#sh run
Building configuration...
Current configuration : 7047 bytes
!
! Last configuration change at 09:28:42 UTC Thu Aug 29 2019 by localuser
! NVRAM config last updated at 09:28:43 UTC Thu Aug 29 2019 by localuser
!
version 15.2
service nagle
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname XXXXXX
!
boot-start-marker
boot-end-marker
!
!
logging buffered 102400 informational
no logging console
!
username xxx privilege 15 secret 5 xxxx
aaa new-model
!
!
!
!
!
!
!
!
aaa session-id common
system mtu routing 1500
no ip source-route
ip icmp rate-limit unreachable 1000
!
!
!
ip domain-name swedwoodgroup.com
ip name-server X.Y.4.1
ip name-server X.Z.224.11
profinet id xxxxx
!
!
!
!
!
udld aggressive
ptp mode e2etransparent
!
!
!
!
spanning-tree mode rapid-pvst
spanning-tree loopguard default
spanning-tree logging
spanning-tree portfast edge bpduguard default
spanning-tree extend system-id
spanning-tree pathcost method long
errdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause security-violation
errdisable recovery cause channel-misconfig
errdisable recovery cause pagp-flap
errdisable recovery cause link-flap
errdisable recovery cause sfp-config-mismatch
errdisable recovery cause gbic-invalid
errdisable recovery cause psecure-violation
errdisable recovery cause port-mode-failure
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause pppoe-ia-rate-limit
errdisable recovery cause mac-limit
errdisable recovery cause vmps
errdisable recovery cause storm-control
errdisable recovery cause inline-power
errdisable recovery cause arp-inspection
errdisable recovery cause link-monitor-failure
errdisable recovery cause oam-remote-failure
errdisable recovery cause loopback
errdisable recovery cause small-frame
errdisable recovery cause psp
errdisable recovery interval 900
!
alarm profile defaultPort
alarm not-operating
syslog not-operating
notifies not-operating
!
!
!
vlan internal allocation policy ascending
!
ip tcp synwait-time 10
lldp run
!
l2nat instance 700
instance-id 1
permit all
fixup all
outside from host X.Y.31.190 to 172.20.2.254 gateway
inside from host 172.20.2.1 to X.Y.31.129
inside from host 172.20.2.2 to X.Y.31.130
inside from host 172.20.2.4 to X.Y.31.132
inside from host 172.20.2.6 to X.Y.31.134
inside from host 172.20.2.8 to X.Y.31.136
inside from host 172.20.2.9 to X.Y.31.137
inside from host 172.20.1.1 to X.Y.31.140
inside from host 172.20.1.2 to X.Y.31.141
!
!
!
!
interface GigabitEthernet1/1
switchport trunk allowed vlan 1-1000,1002-4094
switchport trunk native vlan 1001
switchport mode trunk
switchport nonegotiate
logging event trunk-status
logging event bundle-status
l2nat 700 700
spanning-tree guard loop
!
interface GigabitEthernet1/2
switchport access vlan 101
switchport mode access
spanning-tree portfast edge
!
interface GigabitEthernet1/3
switchport trunk allowed vlan 1-1000,1002-4094
switchport trunk native vlan 1001
switchport mode trunk
switchport nonegotiate
logging event trunk-status
logging event bundle-status
spanning-tree guard loop
!
interface GigabitEthernet1/4
switchport trunk allowed vlan 1-1000,1002-4094
switchport trunk native vlan 1001
switchport mode trunk
switchport nonegotiate
logging event trunk-status
logging event bundle-status
spanning-tree guard loop
!
interface FastEthernet1/5
switchport access vlan 700
switchport mode access
spanning-tree portfast edge
!
interface FastEthernet1/6
switchport access vlan 700
switchport mode access
spanning-tree portfast edge
!
interface FastEthernet1/7
description switch-Robot
switchport access vlan 700
switchport mode access
spanning-tree portfast edge
!
interface FastEthernet1/8
switchport access vlan 700
switchport mode access
spanning-tree portfast edge
!
interface FastEthernet1/9
switchport access vlan 700
switchport mode access
spanning-tree portfast edge
!
interface FastEthernet1/10
switchport access vlan 700
switchport mode access
spanning-tree portfast edge
!
interface FastEthernet1/11
switchport access vlan 700
switchport mode access
spanning-tree portfast edge
!
interface FastEthernet1/12
switchport access vlan 700
switchport mode access
spanning-tree portfast edge
!
interface FastEthernet1/13
switchport access vlan 700
switchport mode access
spanning-tree portfast edge
!
interface FastEthernet1/14
switchport access vlan 700
switchport mode access
spanning-tree portfast edge
!
interface FastEthernet1/15
switchport access vlan 700
switchport mode access
spanning-tree portfast edge
!
interface FastEthernet1/16
switchport access vlan 700
switchport mode access
spanning-tree portfast edge
!
interface FastEthernet1/17
switchport access vlan 700
switchport mode access
spanning-tree portfast edge
!
interface FastEthernet1/18
switchport access vlan 700
switchport mode access
spanning-tree portfast edge
!
interface FastEthernet1/19
switchport access vlan 700
switchport mode access
spanning-tree portfast edge
!
interface FastEthernet1/20
switchport access vlan 700
switchport mode access
spanning-tree portfast edge
!
interface Vlan1
no ip address
no ip route-cache
shutdown
!
interface Vlan134
no ip address
no ip route-cache
!
interface Vlan150
ip address X.Y.30.9 255.255.255.128
no ip redirects
no ip proxy-arp
no ip route-cache
!
ip default-gateway X.Y.30.126
ip forward-protocol nd
no ip forward-protocol udp tftp
no ip forward-protocol udp nameserver
no ip forward-protocol udp domain
no ip forward-protocol udp time
no ip forward-protocol udp netbios-ns
no ip forward-protocol udp netbios-dgm
no ip forward-protocol udp tacacs
no ip http server
no ip http secure-server
!
!
!
line con 0
line vty 0 4
privilege level 15
logging synchronous
transport input ssh
line vty 5 15
!
ntp logging
ntp server X.Y.4.1 prefer
ntp server X.Z.224.11
!
end
https://imgur.com/CgXjbXZ
To jak pokazuje IP Windows po chwili:
https://imgur.com/Tu4vpy7
UPDATE: Klienci pokazują konflikt IP z urządzeniem b0aa.77fc.aefc (Cisco). Adres mac należy do interfejsu SVI na CORE (c3750X), który jest L3 dla vlanu 700 (tego, w którym jest problem). Podejrzewam, że problmem jest "ip device tracking"....ale "sh ip device tracking all" pokazuje "IP Device Tracking = Disabled". Shut down dla interfejsu int vlan700 (tego, którego mac address jest w konflikcie) - rozwiązuje problem. Ale ten interfejs musi być 'Up'.
Ktoś ma jakiś pomysł?
Z góry dziękuję za wszelkie podpowiedzi!
/Bartek