[Cisco] Switch (3750 & 2960) VLAN & Management IP ändern im Betrieb

[Klonky]

Morgen


Ich hab derzeit eine kleine Aufgabe und möchte nochmal nachfragen, ob das jemand von euch schonmal gemacht hat.


Folgendes Szenario: Bei uns laufen Cisco Switche, dessen Management IP´s und VLAN´s und Default Gateways müssen geändert werden ,bzw angepasst werden auf andere Daten. Das ganze wird über Putty und Remote erfolgen.

Das Doofe ist natürlich nun, wenn ich das ändere, haue ich meine IP Adresse, auf der ich ja derzeit eingeloggt bin, raus.

Folgende Lösung habe ich mir dort überlegt: Ich nehme einen unbenutzen Port, weise ihm das neue VLAN zu und die IP Adresse etc, während ich über der alten sitze. Dann connecte ich auf die neue eben eingerechte IP und lösche die alte.

Sollte das so funktionieren, wie ich mir das vorstelle, oder habe ich da mit Komplikationen zu rechnen? Jemand erfahrung? Die Switche dürfen nicht runtergefahren / Neu gebootet werden!

 

[Asinuss]

Versuch mal über den R232 Port die Dinger zu konfigurieren,
reboot ist eigl nicht nötig...
Wäre ja auch bei mir im Büro schlecht^^

 

[Klonky]

Naja. Die Switche stehen leider 50 Kilometer und 80 Kilometer weit weg. Ich fahre sicher nicht dafür in die anderen 4 Standorte um die zu konfigurieren, wenn es auch von hier möglich wäre. Sind 30 Switche, also ein riesen Aufwand, durch die Firma etc zu rennen.

 

[Penislebra]

Bevor du dir die Arbeit machst, ein neues VLAN einzurichten und über dieses die Änderungen vornimmst, mache es lieber über den Konsolenport, dann sparst du dir die Arbeit.
An den Switch zum Umstecken musst du so oder so, also lieber einmal kurz das Konsolenkabel dran und gut ist.

 

[Klonky]

Wieso sollte ich an die Switche zum "umstecken"?

Die Geräte werden nur in eine neue Range eingereiht, was das Management betrifft. Also bei uns war es so, das dort ein wenig "gefuscht" wurde, und 3 verschiedene Range genommen worden ist. Nun Kollidiert das etwas mit dem Setup und wir wollen alle abgleichen auf ein VLAN Range, mit aufsteigenden IP Adressen.

Ich muss an den Geräten / Infrastruktur nichts ändern, deshalb erspare ich mir auch die Arbeit über Konsolenport oder Vorort zu sein.

 

[Flo0]

Selbst wenn du einen neuen Port einrichtest kann es trozdem zu Problemen mit der Gateway umstellung kommen.
Was vllt funktionieren könnte, ist die Config auf nem unbenutzen Switch oder mit dem Cisco Configmaker zu schreiben - exportieren und dann immer mit den jeweiligen Änderungen auf dem jeweiligen Switch zu importieren.
Meine Praktische CCNA Prüfung is schon etwas her aber ich glaub um nen reload der Switche wirst du nicht rumkommen.

 

[dr.White]

Folgende Lösung habe ich mir dort überlegt: Ich nehme einen unbenutzen Port, weise ihm das neue VLAN zu und die IP Adresse etc, während ich über der alten sitze. Dann connecte ich auf die neue eben eingerechte IP und lösche die alte.

Bist du im selben Subnetz? Ansonsten musst du zuerst auch das Default Gateway ändern, sonst kommst du nicht hin... dein 3750 kann evtl. auch mit Routen umgehen... kommt auf eure IOS Version an.

Ohne eure Konfig jetzt genau zu kennen würde ich dir empfehlen, das an einem Switch vor-Ort bei dir mal auszuprobieren...

 

[Klonky]

Ja. Also das wird alles durchgeroutet. Das Ding ist nur, wovor ich Angst habe, das ich rausfliege und nicht mehr draufkomme. Das ist das Problem.

Mit den 3750 habe ich mein Konzept schon probiert. Also Vlan erstellen, auf das Vlan mit anderer IP Range zugreifen, dann alte Vlan löschen. Das funktioniert so schon.

Nur eben säge ich meinen Ast ab, aufdem ich sitze. Also eigentlich sollte das ohne Reload funktionieren, so wirds im Internet beschrieben. Richtig geroutet werde ich von hier auf die neuen VLAN schon. Das ist kein Problem!

 

[saznik]

Poste doch mal deine running-config oder zumindest den Teil, mit der Interface Konfiguration für das Interface/VLAN mit der IP Adresse des Switches. Ein reload ist quatsch, das musst du nicht machen! Besteht die Möglichkeit, dass du dir Access Ports in dem entsprechenden neuen VLAN schalten kannst? Ein paar weitere Details wären noch hiflreich wie genau du was machen musst.

 

[Klonky]

Das mit dem Access Port war auch meine Idee! Also Running Config kann ich leider hier nicht posten, die unterscheiden sich bei den 30 Switchen zu sehr, würde keinen Sinn machen!


Das Ding ist, ich hab mal mich umgeschaut, die Leute machen das alle über den selben Weg:

Sie übermitteln folgendes an den Switch, und das sollte ja (testweise als Beispiel 1 und 200), den Port ändern.

======================
interface Vlan 1
no ip address
shut
=====================
interface Vlan 200
ip address 10.200.0.10 255.255.0.0
ip default-gateway 10.200.0.1
no shut
================


Oder muss ich dort noch einiges anderes abändern? Das sieht so trivial aus...

 

[Flo0]

Sollte so funktioneren - aber wieso so umständlich und nicht die neue cfg via tftp importieren? Spart das umkonfigurieren der Vlans.

 

[Klonky]

Tftp ist aus Sicherheitsgründen im Netzwerk deaktiviert! Hab ich auch schon dran gedacht

 

[saznik]

Ich würde nicht pauschal sagen, dass dein Vorhaben so funktioniert. Da fehlen zu viele Informationen wie genau eure Topologie aufgebaut ist. Ich weiß immer noch nicht wie deine jetzige Konfiguration aussieht. Ist die derzeitige IP Adresse auf VLAN1 gelegt? Wenn ja, geht die Reihenfolge wie oben beschrieben wahrscheinlich schief.

 

[Pitt_G.]

Cisco Reverse Telnet via Router? Ändern des Mgmt VLANs würd ich persönlich lassen.

Je nach IOS gibst da böse Überaschungen.. erst recht wenn TACACS aktiv ist...
und der Fallback nicht so funktioniert wie gewünscht...
oder das TACACs Source interface dank IOS Bug nur VLAN 1 sein kann

Weitere Stichworte
2ndary IP
Trunk
Default Gateway...
VLAN Database
VTP
logging source
native VLAN

ACCESS VLAN Downtime gibts keine,(evtl im WLAN ja nach Config der WAPs) wenn was schiefgeht, nur brauchst nen User mit Console der von Remote aus seinen Desktop shared, die richtigen Kabel hat, nen COM Port, der mittlerweile Mangelware wurde. Hyperterminal

immer schön zwischen dem L3 Mgmt und dem L2 VLAN unterscheiden;-)

 

[Klonky]

Also das hier möchte ich halt auch gerne machen, da es genau das ist, was ich brauche:

Use the switches gateway router, telnet/ssh them from there (so you are at layer 2 with the switches)...
- change their default gateway to the new one
- be shure to add the new L2 vlan to the vlan database
- create the new interface vlan with ip address, and no shut it
- the moment you no shut the new interface vlan the connection breaks
- telnet/ssh the switch on its new ip-address and remove the old interface vlan & L2 vlan, then write mem

Das sollte an sich so funktionieren, eigentlich...

 

[saznik]

Wenn du es unbedingt so machen möchtest, dann probiere es halt einfach aus. Es gibt keine pauschale Lösung für dein Vorhaben. Das hängt von einigen weiteren Dingen ab wie einige meiner Vorredner bereits angesprochen haben.
Evtl. würde ich mir einen Access Port in dem jetzigen VLAN mit der IP Adresse des Switches einrichten. Dann an diesen Port ein Notebook anschließen und per TFTP eine vorher angepasste Konfiguration hochladen. Danach sollte der Switch bei korrekter Konfiguration die neuen Parameter übernehmen. Aber das ist nur eine von einigen Möglichkeiten und setzt voraus, dass alles korrekt konfiguriert ist.
Aber letztendlich müsst ihr wissen, was alles von diesem Interface abhängt und was schief gehen kann sollte es nicht funktionieren.

 

[Klonky]

Wie schon angesprochen: TFTP ist deaktiviert.


"Eigentlich" dürfte nicht viel Passieren... Außer das man eben keinen Zugriff mehr auf den Switch hat und ihn Lokal ansprechen müsste um die IP Davon wieder zu ändern. Der Switch wird nicht bewegt, die Infrastruktur dadran wird nicht verändert, nur seine Daten zum Ansprechen werden angepasst. Sollte eigentlich kein so großes Riskiopotenzial haben.

 

[dr.White]

"Eigentlich" dürfte nicht viel Passieren

Das ist richtig, der normale Traffic wird nicht beeinflusst.

Einen reload brauchst du auf keinen Fall (es sei denn du konfigurierst mit Absicht einen "scheduled-reload" damit der Switch mit der alten Config wieder hochkommt, falls du dich selbst abgeschossen hast.)
Die Mgt-IP zu ändern ist ansich kein Problem, wenn du aber nicht im gleichen Subnetz bist, musst du eben auch das Default-Gateway ändern, damit der Switch wieder zu dir zurück findet.

Also ich würde folgende Reihenfolge vorschlagen:
- Login über alte IP
- Neues VLAN konfigurieren
- Neue IP im neuen VLAN konfigurieren
- Einen Extended ping von der neuen IP auf das neue Gateway machen
- Wenn das geht, dann das Default-Gateway umkonfigurieren
---> Jetzt fliegst du raus
- Neue SSH/Telnet Session auf die neue IP machen
- Alte Konfig löschen

Ich würde es aber auf jeden Fall vorher einmal testen.

Und gib bitte kurze Rückmeldung, was du gemacht hast.