Catalyst 3560 routing

Coboldo · dom 03 ott , 2010 10:24 am

buon giorno a tutti,

Scrivo perchè mi ritrovo con un problema che non riesco a risolvere e spero che qualcuno mi possa consigliare

La mia attuale infrastruttura prevede:

2 catalyst 3560 48 porte (poe)
3 catalyst 3560 24 porte (poe)

4 vlan ed un unico accesso ad internet tramite un router (non cisco).

il tutto così strutturato:

1 catalyst 48 (con 3 tranceiver) che fa da vtp server direttamente collegato al router internet.
gli altri catalyst collegati in trunk al catalyst (server) in modalità client.

attualmente mi ritrovo che configurato il catalyst server con le vlan, il vtp e la porta collegata al router, mi funziona tutto tranne il routing sul router internet.
Le vlan funzionano, i client appartenenti a diverse vlan si vedono tra di loro, ma nessun client riesce a vedere il router internet.
Ho rincontrollato la configurazione diverse volte ma non trovo l'errore.

La configurazione del catalyst 48 porte (server):

Codice: Seleziona tutto

sh conf
Using 3847 out of 524288 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname CoreSwitch
!
enable secret 5 $1$Qyg0$qUqHx0O/Uvq81k/u64i2n1
enable password 7 15190E1E0A2F2776786265
!
no aaa new-model
system mtu routing 1500
ip subnet-zero
ip routing
!
!
!
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
interface GigabitEthernet0/1
 switchport access vlan 4
!
interface GigabitEthernet0/2
 switchport access vlan 4


---stessa cosa fino alla porta 28


!
interface GigabitEthernet0/29
!
interface GigabitEthernet0/30
!

--Stessa cosa fino alla 46


!
interface GigabitEthernet0/47
 description al router internet
 no switchport
ip address 192.168.0.2 255.255.255.0
!
interface GigabitEthernet0/48
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet0/49
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet0/50
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet0/51
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet0/52
!
interface Vlan1
 no ip address
!
interface Vlan2
 description 
 ip address 10.250.52.1 255.255.255.0
!
interface Vlan3
 description
 ip address 10.250.53.1 255.255.255.0
!
interface Vlan4
description 
 ip address 10.250.51.1 255.255.255.0
!
interface Vlan5
 description
 ip address 10.250.50.1 255.255.255.0
!
interface Vlan6
 description 
 ip address 10.250.54.1 255.255.255.0
!

ip classless
ip route 0.0.0.0 0.0.0.0 192.168.0.1
ip http server
!

!
control-plane
!
!
line con 0
line vty 0 4
login
 length 0
line vty 5 15
 login
!
end

CoreSwitch#

il router internet fa nat dall'ip pubblico alla sottorete 192.168.0.0/24 il suo indirizzo ip interno è il 192.168.0.1

I pc collegati alle vlan dello switch si vedono tra loro ma non vedono il router internet.

ad esempio un pc collegato alla vlan 6 così configurato
Ip: 10.250.54.33
subnet: 255.255.255.0
gateway: 10.250.54.1

pinga i pc della sua stessa vlan, i pc delle altre vlan ma non il router internet.

Mi sapete aiutare?
Grazie in anticipo

Coboldo · dom 03 ott , 2010 10:29 am

Il router internet è un banalissimo router della telecom

Gianremo.Smisek · dom 03 ott , 2010 1:47 pm

se ho capito bene la tua topologia di rete, secondo me hai bisogno di fare un altro NAT: dal catalyst dopo il router telecom ai client in rete locale.

Altra cosa: hai accesso al router telecom? sempre secondo me, dovrai mettere le rotte per il traffico di ritorno per le reti 10.250.x.x/24, il router telecom non risponde ai ping dei client perche' non sa' a chi inoltrare i pacchetti per 10.250.x.x/24, in questo caso verso il catalyst.

ciao!

Coboldo · dom 03 ott , 2010 8:00 pm

Purtroppo non ho accesso al router...

I Catalyst non mi sembra facciano nat, sbaglio?

Gianremo.Smisek · dom 03 ott , 2010 11:05 pm

se non ricordo male, con l'image EMI dovrebbero avere anche nat..

RJ45 · lun 04 ott , 2010 6:47 am

Ciao,

anche secondo me il problema è quello segnalato da intel. Se tu potessi mettere mani al router Telecom basterebbe inserire le route per le sottoreti delle vlan.
Ma dato che non puoi farlo allora l'unica alternativa è quella di fare NAT anche sul Catalyst.

Coboldo · mar 05 ott , 2010 4:16 pm

Grazie a tutti!

Alla fine mi son rifatto configurare il router telecom con le varie route e il nat e il tutto funziona perfettamente.

Ora ho un problema con le Access-list per negare/consentire il traffico tra le varie vlan.

La config dello switch (server) è la seguente:

Codice: Seleziona tutto

sh conf
Using 3907 out of 524288 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname CoreSwitch
!
enable secret 5 $1$Qyg0$qUqHx0O/Uvq81k/u64i2n1
enable password 7 030F5E19080A2D1E1E5849
!
no aaa new-model
system mtu routing 1500
ip subnet-zero
ip routing
!
!
!
!
no file verify auto
spanning-tree mode pvst
 --More--         spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
interface GigabitEthernet0/1
 switchport access vlan 4
!
interface GigabitEthernet0/2
 switchport access vlan 4

interface GigabitEthernet0/46
switchport access vlan 3
!
interface GigabitEthernet0/47
 description al router telecom
 no switchport
 ip address 192.168.1.2 255.255.255.0
!
interface GigabitEthernet0/48
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet0/49
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet0/50
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet0/51
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet0/52
!
interface Vlan1
 no ip address
!
interface Vlan2
 description sala-riunione
 ip address 10.250.52.1 255.255.255.0
!
interface Vlan3
 description tecnici
 ip address 10.250.53.1 255.255.255.0
!
interface Vlan4
description generale
 ip address 10.250.51.1 255.255.255.0
!
interface Vlan5
 description test-admin
 ip address 10.250.50.1 255.255.255.0
!
interface Vlan6
 description server-contabilita
 ip address 10.250.54.1 255.255.255.0
!
ip default-gateway 192.168.1.1
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.1.1
ip route 192.168.1.0 255.255.255.0 192.168.1.1
ip http server
!
access-list 101 permit ip any host 10.250.54.110
access-list 102 permit ip any host 10.250.54.111
access-list 103 permit ip any host 10.250.54.112
access-list 104 permit ip any host 10.250.54.113
access-list 105 permit ip any host 10.250.54.114
access-list 106 permit ip any host 10.250.54.115
access-list 107 permit ip any host 10.250.53.5
access-list 108 permit ip any host 10.250.53.6
access-list 109 permit ip 10.250.54.0 0.0.0.255 host 10.250.54.1
access-list 110 permit ip 10.250.53.0 0.0.0.255 host 10.250.53.1
access-list 111 permit ip 10.250.52.0 0.0.0.255 host 10.250.52.1
access-list 112 permit ip 10.250.51.0 0.0.0.255 host 10.250.51.1
access-list 113 permit ip 10.250.50.0 0.0.0.255 host 10.250.50.1
access-list 114 deny   ip any any
!
control-plane
!
!
line con 0
line vty 0 4
password 7 082A495C071C0945425A5C
 login
 length 0
line vty 5 15
 login
!
end

gli indirizzi ip 10.250.54.110-115 devono essere visibili da tutti così come 10.250.53.5-6
Tutto il resto non deve essere visibile tra vlan.

Purtroppo da qualsiasi vlan pingo qualsiasi pc di un altra vlan
Dove sbaglio in queste ACL ?

Coboldo · mar 05 ott , 2010 4:25 pm

se creo una solo ACL del tipo

access-list 101 deny ip any any

Continuo a pingare qualsiasi cosa

A questo punto credo che le ACL non vengano abilitate... come mai?

Gianremo.Smisek · mar 05 ott , 2010 5:38 pm

perche' vanno applicate all'interfaccia, con l'appropriata direzione.

Codice: Seleziona tutto

ip access-group XXX in/out

ciao

Coboldo · mar 05 ott , 2010 9:14 pm

ok grazie

Nel mio caso dovrei applicare la 101 102 103 104 105 106 alla interfaccia vlan 6 con parametro "in"
e riapplicarle con parametro "out" nelle altre interfaccie vlan 2-3-4-5 ?

(potrei accorpare le varie 101 102 103 104 105 106 in una sola acl 101,
access-list 101 permit ip any host 10.250.54.110
access-list 101 permit ip any host 10.250.54.111
access-list 101 permit ip any host 10.250.54.112
access-list 101 permit ip any host 10.250.54.113
access-list 101 permit ip any host 10.250.54.114
access-list 101 permit ip any host 10.250.54.115 e poi fare l'access-group 101 ?)

Gianremo.Smisek · mer 06 ott , 2010 1:41 am

si, puoi accorparle, ma dipende sempre dalla politica di firewalling che vuoi attuare...

ciao!

Coboldo · mer 13 ott , 2010 10:58 am

Grazie per le risposte!
Mi siete stati d'aiuto

Ho un'altra domanda, avendo collegato 4 switch in trunk e configurato le varie vlan sullo switch server, come posso fare per poter entrare in configurazione (ad esempio telnet) dallo switch server sugli altri switch?
Ovviamente abilito le porte vty 0-4 su ogni switch con le password, ma come posso impostare degli indirizzi ip sugli altri switch client ?

Devo forse abilitare la vlan di management (la 1 quella di default) e assegnare ad ogni switch un ip ?
Ad esempio nello switch server assegno un indirizzo ip per la vlan 1 del tipo a.b.c.x 255.255.255.0
Negli altri switch client che sono configurati per essere dei L2 come posso assegnarli un indirizzo ip appartenente alla vlan 1 ?

Grazie e scusate se la domanda è banale

Coboldo · mer 20 ott , 2010 7:39 am

Up

Riformulo in maniera (spero) più chiara:

C'è un modo per poter configurare da uno switch (vtp server) un'altro switch (vtp client) collegato al primo in trunk ?
Se si, come ?

Grazie

Gianremo.Smisek · mer 20 ott , 2010 1:37 pm

perche' non ti ci colleghi in remoto via telnet/ssh? ^_^

Coboldo · mer 20 ott , 2010 3:09 pm

Perchè sullo switch (vtp client) non so come impostare un indirizzo ip, che è appunto la mia domanda che non riesco a formulare bene

Catalyst 3560 routing

Login • Iscriviti