[Løst] Cisco 1841 - ny ruter i heimen

[toreae]

Førtiårsdagen er feiret, og helgen etter var mine foreldre har vært på besøk. Så jeg starter nesten på bare bakke igjen.

 

Har begynt å kikke på D-Linken igjen. Ettersom jeg allerede har brukt encapsulation i Ciscoen:

!
interface FastEthernet0/1.10
description INSIDE_LAN$ES_LAN$
encapsulation dot1Q 1 native
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!

Så bør det vel allerede gå ann å sperre/åpne for trafikk i switchen? Og det fikk jeg forsåvidt til. Men det var mere på/av. Untag - åpen ,Tag/Not Member - lukket.

Trodde at dot1Q X skulle korresponere med Vid X i D-Link.

Og at INSIDE_LAN$ES_LAN$ skulle korresponere med VLAN Name i D-Link.

Men det passet ikke helt, fikk ikke bruke INSIDE_LAN$ES_LAN$ i D-Linken. Forandres?

Og Vid 1 ser ut som skal brukes til Untag - opp til ruter, stemmer dette? Og dermed må disse forandringene gjøres i Ciscoen:

 

description INSIDE_LAN
encapsulation dot1Q 2 native

Dette er som vanlig gjettninger som må korrigeres.

[ChrisCo]

Klarer ikke helt skjønne hva problemet ditt er nå, men enkeltvis forklart:

 

Native: Untagget VLAN trafikk

Dot1Q: encapsulation metode/protokoll - X: VLAN ID

Description: Kun en beskrivelse. Har ingen praktisk betydning annet enn å fortelle deg hva som er hva

 

Hvilket VLAN du skal kjøre på, er irrellevant.. Om du velger 1, 2, 10 eller 3965...

[toreae]

Legger ved ett bilde, kanskje det letter forståelsen av mine spørsmål.

 

 

 

 

sh run:

 

 

firewall#sh run
Building configuration...

Current configuration : 6385 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname firewall
!
boot-start-marker
boot system flash c1841-advsecurityk9-mz.124-15.T12.bin
boot-end-marker
!
no logging buffered
no logging console
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXX
!
no aaa new-model
clock timezone Prague 1
clock summer-time Prague date Mar 30 2003 2:00 Oct 26 2003 3:00
dot11 syslog
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.10.1 192.168.10.10
!
ip dhcp pool dhcppool1
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 8.8.8.8
lease 0 1
!
ip dhcp pool Tore-kabel
host 192.168.10.77 255.255.255.0
client-identifier XXXXXXXXXXXXXXXX
lease 0 1
!
ip dhcp pool D-Link
host 192.168.10.90 255.255.255.0
client-identifier XXXXXXXXXXXXXXX
lease 0 1
!
!
no ip domain lookup
ip domain name hjem.local
!
multilink bundle-name authenticated
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-1972925063
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1972925063
revocation-check none
rsakeypair TP-self-signed-1972925063
!
!
crypto pki certificate chain TP-self-signed-1972925063
certificate self-signed 01
3082024B 308201B4 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31393732 39323530 3633301E 170D3134 30393134 31333337
30395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 39373239
32353036 3330819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100B505 86890221 AB0E9D9A 4E5D9AA1 C6032560 A0F46D23 50D9B8A1 56F78105
FABDCBBF 69AB864B CA69FA63 4DC77E97 C2A210C2 96406C14 5DB9D7CF F2E1AF1F
80C6FEE5 07138382 771D9BE4 C74B4BCD 0F2BEA62 F93BBED4 8E627117 6E3AEFE5
22804684 95EA6583 91CCBC81 466C3609 C3FDFB14 4CA98BB1 A86E2FF3 1ED1E8EA
8CD90203 010001A3 73307130 0F060355 1D130101 FF040530 030101FF 301E0603
551D1104 17301582 13666972 6577616C 6C2E686A 656D2E6C 6F63616C 301F0603
551D2304 18301680 143A783D 92189D05 521C4D0D ADFA8F21 D4BCD954 65301D06
03551D0E 04160414 3A783D92 189D0552 1C4D0DAD FA8F21D4 BCD95465 300D0609
2A864886 F70D0101 04050003 81810042 963777BC 7B8922E0 2FE93072 E8023ACF
EECF1AD6 8F564EB1 289E432C DB9ACB14 93D8B335 BD52EDAC 0B8ECF39 6F5EA965
B9E9E999 1C881A98 A400BDE0 783EF52A 8B7F2A64 8EEF402D 853B6FB0 363A98B1
71B82BCB 7A6C58C5 4A398559 0D54C8FD 60E4D489 250510EA 4D84ECAF D9D19DD5
01D9EA05 C8116BB4 299A013C 3BD8E9
quit
!
!
username Tore privilege 15 password XXXXXXXXXXXXXXXXXXXX
archive
log config
hidekeys
!
!
!
!
controller SHDSL 0/1/0
termination cpe
!
no ip ftp passive
ip ssh version 2
!
!
!
interface FastEthernet0/0
description WAN_LINK
ip address dhcp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface FastEthernet0/1.10
description INSIDE_LAN
encapsulation dot1Q 10 native
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/0/0
!
interface FastEthernet0/0/1
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
!
interface Vlan1
no ip address
!
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
!
!
ip http server
ip http authentication local
ip http secure-server
ip nat pool INSIDE_LAN 192.168.10.1 192.168.10.254 netmask 255.255.255.0
ip nat inside source list 1 interface FastEthernet0/0 overload
!
access-list 1 permit 192.168.10.0 0.0.0.255
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
password XXXXXXXXXXXXXXXXXXXX
login local
transport input telnet ssh
line vty 5 15
login local
!
scheduler allocate 20000 1000
ntp clock-period 17178597
ntp update-calendar
ntp server 193.212.1.10 source FastEthernet0/0
end

firewall#

 

 

[ChrisCo]

Ut i fra bildet ditt, så er alt riktig, med unntak av VLAN taggingen din, som er omvendt... Native VLAN er untagged, og du har alle porter satt som tagget... Men port 1 og 2 står som untagged, noe som ikke vil fungere, da du har satt VLAN 10 som native og VLAN 1 nå fungerer som alle andre VLAN - altså tagged....

 

Hvis du bytter om, så bør ting fungere....

[toreae]

Har byttet om, fungere fremdeles ikke som jeg trodde. Skal forresten '802.1Q Management VLAN' være av eller på?

[ChrisCo]

Nei vel...? Hva er galt da? Router-configen din er riktig... Så da må det være switchen din...

 

Du trenger ikke å ha på management VLAN...

[toreae]

Har forandret til Untagged ellers er alt likt med bilde i post #103. Får fremdeles bare trafikk mellom porter med samme Vlan ID.

 

sh vlans om det gjør ting mere forståelig.

 

firewall#sh vlans

Virtual LAN ID: 1 (IEEE 802.1Q Encapsulation)

vLAN Trunk Interface: FastEthernet0/1

Protocols Configured: Address: Received: Transmitted:
Other 0 971

0 packets, 0 bytes input
971 packets, 76359 bytes output

Virtual LAN ID: 10 (IEEE 802.1Q Encapsulation)

vLAN Trunk Interface: FastEthernet0/1.10

This is configured as native Vlan for the following interface(s) :
FastEthernet0/1

Protocols Configured: Address: Received: Transmitted:
IP 192.168.10.1 1288 40
Other 0 56

1288 packets, 128650 bytes input
96 packets, 16458 bytes output

firewall#

 

At det går trafikk mellom port 1 og 2 er greit? Og 3 og 4 likeså. Men om alt var riktig burde det vel ikke gå trafikk mellom port 43 og 44 som har ID 20, når pakkene skal ha ID 10?

[ChrisCo]

Nå må du huske det at routeren din skal egentlig kun route mellom de eventuelle VLAN'ene som er aktive.. Opprettelse av sub-interfaces (trunker), er bare for at trafikken skal kunne passere ut/inn av LAN'et og eventuelt routes til andre nettverk - internett hovedsaklig...

 

"VLAN'ingen" setter du strengt tatt opp på switchen... Og de portene som er i samme VLAN, vil selvfølgelig kunne prate sammen..Det er forskjellige VLAN som ikke kommunisere uten å bruke routeren til å route i mellom av den grunn at det er logisk separate og individuelle nettverk...

[toreae]

Nå må du huske det at routeren din skal egentlig kun route mellom de eventuelle VLAN'ene som er aktive.. Opprettelse av sub-interfaces (trunker), er bare for at trafikken skal kunne passere ut/inn av LAN'et og eventuelt routes til andre nettverk - internett hovedsaklig...

 

"VLAN'ingen" setter du strengt tatt opp på switchen... Og de portene som er i samme VLAN, vil selvfølgelig kunne prate sammen..Det er forskjellige VLAN som ikke kommunisere uten å bruke routeren til å route i mellom av den grunn at det er logisk separate og individuelle nettverk...

 

Nå kommer jeg ikke videre.

[ChrisCo]

Hvorfor ikke?

[toreae]

Ikke vet jeg. Er det ikke mening at trafikk på port 3 og utover skal nå port 1, som jeg har som uplink til ruter?

[ChrisCo]

Hvis trunkporten på switchen tillater trafikk til/fra det respektive VLAN'et, så jo, da skal trafikken flyte over linken..

[j--]

Kanskje du kunne tegnet opp nettverket ditt?

 

Ut fra bildet lenger opp så ser du jo på switchen at alle portene på VLAN 10 er tagged. Det blir nok feil. Forsøk å sette et par porter på switchen til untagged på VLAN 10, og koble klient til der. Kan du da nå 192.168.10.1 fra klienten? Mottar du IP?

[ChrisCo]

Det er gjort, j--... Post #105

[j--]

Sorry ChrisCo, fikk jeg ikke med meg.

 

Tore: Men pass på at du kjører tagged på switcheporten mot C1841, og untagged mot alle maskinene som skal være på det nettet.

 

----------

 

Edit: Native, ja... Forsøk å fjerne det, Tore. Skal ikke være nødvendig, og lager mer tull enn det hjelper mot noe.

conf t
interface FastEthernet0/1.10

no encapsulation dot1Q 10 native
encapsulation dot1Q 10

Endret 19. oktober 2014 av j--

[ChrisCo]

 

Edit: Native, ja... Forsøk å fjerne det, Tore. Skal ikke være nødvendig, og lager mer tull enn det hjelper mot noe.

conf t

interface FastEthernet0/1.10

 

no encapsulation dot1Q 10 native

encapsulation dot1Q 10

 

Forsåvidt litt hipp som happ, fordelen er at man slipper å tenke på VLAN's når man eventuelt kobler til nye enheter, da alle porter som er i native VLAN og all trafikk som ikke er tagget, blir automatisk sendt over native... Men smak og behag.... Jeg ser det som enklere å kjøre native enn å tenke på assigne porter etc til VLAN når man gjør endringer......

 

Men toreae, legg ut et komplett, relevant, konfig av både router og switch så vi får se hva som er gæli....

Endret 19. oktober 2014 av ChrisCo

[toreae]

For å begynne en plass, tagging på port 1 og 2 var ingen suksess, fikk ikke kontakt med switch etterpå.

Resett, og begynne forfra.

 

Sorry ChrisCo, fikk jeg ikke med meg.

 

Tore: Men pass på at du kjører tagged på switcheporten mot C1841, og untagged mot alle maskinene som skal være på det nettet.

 

----------

 

Edit: Native, ja... Forsøk å fjerne det, Tore. Skal ikke være nødvendig, og lager mer tull enn det hjelper mot noe.

conf t
interface FastEthernet0/1.10

no encapsulation dot1Q 10 native
encapsulation dot1Q 10

ip address 192.168.10.1 255.255.255.0 -------Viktig linje---------

 

Rette litt. Men dette førte til at jeg ikke får pinget fra ruter til switch.

 

Kommer tilbake med dette, @ChrisCo. Ser forøvrig at jeg mangler ting i menyen på D-Linken i forhold til hva som er i manualen. Begynner å lure på om det et bare var en oppgradering som var grunnen til at disse delene var kastet.

[j--]

"Rette litt" - Hva ble rettet av den endringen?

 

Om du kan sette management vlan på switchen, så sett dette til VLAN 10. Om ikke må du ha ett eget subinterface til på Fa0/1 som snapper opp trafikk uten dot1q-tag.

interface FastEthernet0/1.1
description Management - VLAN1
encapsulation dot1Q 1 native
ip address 192.168.1.1 255.255.255.0
ip nat inside

interface FastEthernet0/1.10
description Clients - VLAN10
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
ip nat inside

Men så igjen, finnes det noen måte å få ut all config fra switchen? Og så en running-config fra C1841-en. Du må gjerne forsøke å flashe switchen med nyere firmware, om det som ligger der i dag er gammelt. Det er også mulig switchen din trenger en reboot etter større VLAN-endringer.

[toreae]

Sh run, slettet lit dhcp, editer vekk passord som vanlig. Vet dog ikke om det er nødvendig.

 

 

 

firewall#sh run
Building configuration...

Current configuration : 6378 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname firewall
!
boot-start-marker
boot system flash c1841-advsecurityk9-mz.124-15.T12.bin
boot-end-marker
!
no logging buffered
no logging console
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXX
!
no aaa new-model
clock timezone Prague 1
clock summer-time Prague date Mar 30 2003 2:00 Oct 26 2003 3:00
dot11 syslog
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.10.1 192.168.10.10
!
ip dhcp pool dhcppool1
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 8.8.8.8
lease 0 1
!
!
ip dhcp pool D-Link
host 192.168.10.90 255.255.255.0
client-identifier 015c.d998.9bce.cd
lease 0 1
!
!
no ip domain lookup
ip domain name hjem.local
!
multilink bundle-name authenticated
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-1972925063
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1972925063
revocation-check none
rsakeypair TP-self-signed-1972925063
!
!
crypto pki certificate chain TP-self-signed-1972925063
certificate self-signed 01
3082024B 308201B4 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31393732 39323530 3633301E 170D3134 30393134 31333337
30395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 39373239
32353036 3330819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100B505 86890221 AB0E9D9A 4E5D9AA1 C6032560 A0F46D23 50D9B8A1 56F78105
FABDCBBF 69AB864B CA69FA63 4DC77E97 C2A210C2 96406C14 5DB9D7CF F2E1AF1F
80C6FEE5 07138382 771D9BE4 C74B4BCD 0F2BEA62 F93BBED4 8E627117 6E3AEFE5
22804684 95EA6583 91CCBC81 466C3609 C3FDFB14 4CA98BB1 A86E2FF3 1ED1E8EA
8CD90203 010001A3 73307130 0F060355 1D130101 FF040530 030101FF 301E0603
551D1104 17301582 13666972 6577616C 6C2E686A 656D2E6C 6F63616C 301F0603
551D2304 18301680 143A783D 92189D05 521C4D0D ADFA8F21 D4BCD954 65301D06
03551D0E 04160414 3A783D92 189D0552 1C4D0DAD FA8F21D4 BCD95465 300D0609
2A864886 F70D0101 04050003 81810042 963777BC 7B8922E0 2FE93072 E8023ACF
EECF1AD6 8F564EB1 289E432C DB9ACB14 93D8B335 BD52EDAC 0B8ECF39 6F5EA965
B9E9E999 1C881A98 A400BDE0 783EF52A 8B7F2A64 8EEF402D 853B6FB0 363A98B1
71B82BCB 7A6C58C5 4A398559 0D54C8FD 60E4D489 250510EA 4D84ECAF D9D19DD5
01D9EA05 C8116BB4 299A013C 3BD8E9
quit
!
!
username Tore privilege 15 password X XXXXXXXXXXXXXXXXXX
archive
log config
hidekeys
!
!
!
!
controller SHDSL 0/1/0
termination cpe
!
no ip ftp passive
ip ssh version 2
!
!
!
interface FastEthernet0/0
description WAN_LINK
ip address dhcp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface FastEthernet0/1.10
description INSIDE_LAN
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/0/0
!
interface FastEthernet0/0/1
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
!
interface Vlan1
no ip address
!
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
!
!
ip http server
ip http authentication local
ip http secure-server
ip nat pool INSIDE_LAN 192.168.10.1 192.168.10.254 netmask 255.255.255.0
ip nat inside source list 1 interface FastEthernet0/0 overload
!
access-list 1 permit 192.168.10.0 0.0.0.255
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
password X XXXXXXXXXXXXXXXXXXX
login local
transport input telnet ssh
line vty 5 15
login local
!
scheduler allocate 20000 1000
ntp clock-period 17178597
ntp update-calendar
ntp server 193.212.1.10 source FastEthernet0/0
end

firewall#

 

 

ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 er litt av og på, testing.

Tok med PVID i bilde.

 

 

Som før nevnt mangler jeg endel i menyen i forhold til manualen.

 

Manualen viser disse:
System
VLAN
L2 Functions
L3 Functions
Qos
Security
AAA
ACL
SNMP
Monitoring

[ChrisCo]

Må stikke ut en tur, men her er hvertfall en skisse/forklaring på hvordan det skal være/se ut.. Dette fungerer... Begge PCene, i hvert sitt respektive VLAN (10 og 20) får pinget hverandre...

 

Endret 19. oktober 2014 av ChrisCo