audunr Skrevet 11. juni 2008 Skrevet 11. juni 2008 Vi har en Cisco ASA 5505 og en HP ProCurve 2510-48 switch. Målet er at dette utstyret skal håndtere to separerte nett, et for gjester og et internt i bedriften. Ciscoen har tre vlan knyttet til tre porter: "internett", "bedrift" og "gjest. Opprinnelig var kabelmodemet koblet til den ene, og to switcher til de to andre. Den ene switchen var da for maskinene til bedriften, og den andre for gjester. De hadde hvert sitt vlan. Dette fungerte helt fint. Når jeg nå prøver å få til samme funksjonalitet med bare én switch, så opplever vi ustabilitet på det bedriftsinterne nettverket. Får beskjed om at man ikke kan koble seg til mail-server, slike ting. Har ingen feilmeldinger å vise til fra switchen eller ruteren, da jeg ikke finner noenting i loggene. Portene på den nye switchen (ProCurven) er fordelt mellom to vlan, og det er en uplink-port knyttet til hvert vlan. Det går da to kabler fra switchen til Ciscoen, slik at halvparten av portene skal bruke den ene uplinken, og den andre halvparten den andre uplinken. Alle portene er untagged. Det er ikke allverdens med konfigurasjonsmuligheter på ProCurven, og i min kunnskapsløshet trodde jeg at dette var såre enkelt i og med at jeg kom på nett både på det bedriftsinterne og gjestenettverket etter at jeg hadde satt det opp. Jeg har prøvd å reboote det som står det av utstyr etter å ha endret konfigurasjonen, uten hell. Er det noen som har noen tips? MVH Audun
Joachimv Skrevet 13. juni 2008 Skrevet 13. juni 2008 uplinkporten skal vell ha tagga vlan mens "utportene" skal ha utagga verll å merke.
Dal Skrevet 19. juni 2008 Skrevet 19. juni 2008 Og du er sikker på at de to uplink-kablene og de tilhørende portene står på hver sine VLAN ID? Hvis ikke så får du loop, og det er det det høres ut som du har. Strengt tatt trenger du bare en uplink-kabel som du kjører Trunk over, men det krever bittelitt konfigurasjon.
audunr Skrevet 25. juni 2008 Forfatter Skrevet 25. juni 2008 Tenker dere at problemet kan komme av en feil mellom switchen og ruteren, eller trenger jeg bare å fikse noe på switchen i og med at ruter + 2 separate switcher funker fint? Skal forsøke det dere foreslår så snart jeg er alene her. MVH Audun
Demantios Skrevet 25. juni 2008 Skrevet 25. juni 2008 (endret) Vil ikke dette bli mest riktig da? Altså at begge nettene har tilgang til et vlan som heter internett, men ikke til hverandre? Tar forbehold om at jeg kan være helt på jordet. Ikke utført i praksis edit: ooops, fant en liten feil, skal redigere edit2: lagt til tegning av begge burkene med nytt ny vlanoppsett som bør fungere uten tilgang til hverandre Endret 25. juni 2008 av PepsiCo
audunr Skrevet 25. juni 2008 Forfatter Skrevet 25. juni 2008 Jo, forsåvidt. Men vi har to eksterne IP-adresser, og det bedriftsinterne nettverket brukar den eine, og gjestenettverket det andre. MVH Audun
Demantios Skrevet 25. juni 2008 Skrevet 25. juni 2008 (endret) To eksterne iper? Fra ett modem? Noen vlan-innstillinger i modemet også da? btw: har forandret forrige post Endret 25. juni 2008 av PepsiCo
audunr Skrevet 25. juni 2008 Forfatter Skrevet 25. juni 2008 (endret) Ja, det er tre vlan. bedrift, gjest og internett. "internett"-interfacet har en ekstern ip, og for at gjestenettverket ikke skal bruke denne er det en dynamisk NAT-regel som gjør at brukere på gjestenettverket får en annen ekstern ip. Men jeg hadde håpet at det i første omgang var noe på switchen, og ikke i ruteren... EDIT: Så den andre tegningen din er helt korrekt, bare at vi trikser det til for å få to IP-adresser ut. Men jeg har altså brukt uplink-portene på switchen til nå mellom switchen og ruteren, burde det ha noe å si? MVH Audun Endret 25. juni 2008 av audunr
Demantios Skrevet 25. juni 2008 Skrevet 25. juni 2008 (endret) Uplinkporten er krysset. Det kan ha noe å si Ja, det er tre vlan. bedrift, gjest og internett. "internett"-interfacet har en ekstern ip, og for at gjestenettverket ikke skal bruke denne er det en dynamisk NAT-regel som gjør at brukere på gjestenettverket får en annen ekstern ip. Ehm, siden internett-interfacet ligger internt må det vel være en annen intern IP dem får? Endret 25. juni 2008 av PepsiCo
audunr Skrevet 25. juni 2008 Forfatter Skrevet 25. juni 2008 Ja, de er på et annet subnett. Det jeg mente var at den eksterne IP-adressen som ruteren skjuler brukerne bak er forskjellig fra bedriftsnettverket til gjestenettverket. MVH Audun
audunr Skrevet 26. juni 2008 Forfatter Skrevet 26. juni 2008 Fant dette i en manual for ASA 5505: http://www.cisco.com/univercd/cc/td/doc/pr...ral/int5505.pdf In routed firewall mode, all VLAN interfaces share a MAC address. Ensure that any connected switchescan support this scenario. If the connected switches require unique MAC addresses, you can manually assign MAC addresses. In transparent firewall mode, each VLAN has a unique MAC address. You can override the generated MAC addresses if desired by manually assigning MAC addresses. Ciscoen er i routed firewall mode. Når man er kobla på bedriftsnettverket har den IP-adresse 192.168.1.1, og en viss MAC-adresse. Når man er kobla på gjestenettverket er IP-adressen 192.168.2.1, men MAC-adressen er den samme. Har nå endra MAC-adressen til interfacet for gjestenettverket, og skal se om det fungerer. Forslaget med å sette uplink-portene til tagged har vel ikke noe særlig for seg her, siden hver port bare skal håndtere trafikk for ett vlan? MVH Audun
audunr Skrevet 27. juni 2008 Forfatter Skrevet 27. juni 2008 Ser ut som det fungerte fint å endre til to forskjellige MAC-adresser. Er litt vanskelig å si, i og med at problemene som oppstod var litt udefinerbare. Men har ikke merka noe rart til nå. MVH Audun
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå