WLAN+Speedport+Cisco kein Ping

[icezero]

Hallo Zusammen,

ich habe zuhause ein kleines Problem und verstehe nicht ganz, wo das Problem ist.
Vllt ist es so primitiv, dass ich es einfach übersehe.

Ich habe ein Speedport W723 mit WLAN
am Speedport ist ein Cisco 8 Port Switch angeschlossen.
Am Ciso ist ein PC

Mit dem Notebook über WLAN (angemeldet am Speedport) möchte ich nun auf den PC zugreifen. Leider kann ich weder den PC anpingen noch über MSTSC aufrufen.

Woran könnte es liegen? Alle Port am Ciso sind im gleichen VLAN.
Alle Geräte sind im selben Subnetz (Classe C)

danke und Gruß

//Edit: den Switch kann ich über das Notebook auch nicht erreichen.

 

[marcol1979]

Kommt der PC am Cisco Switch auf den Speedport/Internet ?

den Switch kann ich über das Notebook auch nicht erreichen.

Wie auch ohne IP, oder hast dem Switch eine Management-IP zugewiesen ?

 

[icezero]

Hi,
Ja, der PC kommt ins Internet und ich komme vom PC auch auf den Speedport.
ja der Cisco hat eine statische Mngmt IP bekommen

 

[marcol1979]

Dann liegt ein Anwendungsproblem vor.

Was für ein Switch ist es genau ?
Was steht in der RunningConfig des Switch ?
Mal Firewall überprüft ?

 

[icezero]

Es ist ein Ciso 2950
welchen Auszug aus der Config würde weiterhelfen?
hm welche Firewall meinst du?

 

[Merle]

Poste mal die Netzdaten der Clients und des Switches.

Wenn der Switch als stupider Switch funktionieren soll, sollte der Uplink zum Speedport auch im selben VLAN sein wie alle Accessports.
Es gibt nicht sooo viele Möglichkeiten. Entweder ein VLAN-Konfigurationsfehler, ein IP-Konfigurationsfehler, Filterlisten oder Wireless Isolation.

Kommst du per CLI auf den Switch? Was ist das für ein Switch? Geht denn der Zugriff vom Client am Switch auf den Speedport?

Der nächste Punkt (und beim Speedport weiss ich es nicht sicher, bei Netgear und vielen anderen gehts) Wireless Isolation. Das schließt das Wirelessnetz vom Kommunizieren mit dem verkabelten Netz aus. Kann sein, dass das anders heisst beim Speedport.
=> Also wenn du mit dem Client am Switch problemlos auf Speedport und Internet kommst, liegts weder an VLANs noch an den Netzdaten des verkabelten Clients. Dann bleiben nur die Netzdaten des Laptops, eine Filterliste oder Wireless Isolation.
Was anderes fällt mir momentan nicht ein.

*edit:
Dann sende mal die Config. Wenn möglich, dann so wie sie ist (ohne eventuelle Passworte), mit allen Netzdaten. Das gibt das beste Bild.
Gerne auch als PM.

 

[marcol1979]

welchen Auszug aus der Config würde weiterhelfen?

Alles.

Firewall des Notebooks/PC

 

[icezero]

Also wenn ich beide Geräte direkt am Switch anschließe, funktioniert alles.
ich denke es liegt an der Kommunikation zwischen Speedport und Switch:

die conf:
Using 5161 out of 65536 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname switch01
!
boot-start-marker
boot-end-marker
!
enable secret 5
enable password
!
username
no aaa new-model
system mtu routing 1500
udld aggressive

ip subnet-zero
!
!
mls qos map cos-dscp 0 8 16 24 32 46 48 56
mls qos srr-queue input bandwidth 90 10
mls qos srr-queue input threshold 1 8 16
mls qos srr-queue input threshold 2 34 66
mls qos srr-queue input buffers 67 33
mls qos srr-queue input cos-map queue 1 threshold 2 1
mls qos srr-queue input cos-map queue 1 threshold 3 0
mls qos srr-queue input cos-map queue 2 threshold 1 2
mls qos srr-queue input cos-map queue 2 threshold 2 4 6 7
mls qos srr-queue input cos-map queue 2 threshold 3 3 5
mls qos srr-queue input dscp-map queue 1 threshold 2 9 10 11 12 13 14 15
mls qos srr-queue input dscp-map queue 1 threshold 3 0 1 2 3 4 5 6 7
mls qos srr-queue input dscp-map queue 1 threshold 3 32
mls qos srr-queue input dscp-map queue 2 threshold 1 16 17 18 19 20 21 22 23
mls qos srr-queue input dscp-map queue 2 threshold 2 33 34 35 36 37 38 39 48
mls qos srr-queue input dscp-map queue 2 threshold 2 49 50 51 52 53 54 55 56
mls qos srr-queue input dscp-map queue 2 threshold 2 57 58 59 60 61 62 63
mls qos srr-queue input dscp-map queue 2 threshold 3 24 25 26 27 28 29 30 31
mls qos srr-queue input dscp-map queue 2 threshold 3 40 41 42 43 44 45 46 47
mls qos srr-queue output cos-map queue 1 threshold 3 5
mls qos srr-queue output cos-map queue 2 threshold 3 3 6 7
mls qos srr-queue output cos-map queue 3 threshold 3 2 4
mls qos srr-queue output cos-map queue 4 threshold 2 1
mls qos srr-queue output cos-map queue 4 threshold 3 0
mls qos srr-queue output dscp-map queue 1 threshold 3 40 41 42 43 44 45 46 47
mls qos srr-queue output dscp-map queue 2 threshold 3 24 25 26 27 28 29 30 31
mls qos srr-queue output dscp-map queue 2 threshold 3 48 49 50 51 52 53 54 55
mls qos srr-queue output dscp-map queue 2 threshold 3 56 57 58 59 60 61 62 63
mls qos srr-queue output dscp-map queue 3 threshold 3 16 17 18 19 20 21 22 23
mls qos srr-queue output dscp-map queue 3 threshold 3 32 33 34 35 36 37 38 39
mls qos srr-queue output dscp-map queue 4 threshold 1 8
mls qos srr-queue output dscp-map queue 4 threshold 2 9 10 11 12 13 14 15
mls qos srr-queue output dscp-map queue 4 threshold 3 0 1 2 3 4 5 6 7
mls qos queue-set output 1 threshold 1 138 138 92 138
mls qos queue-set output 1 threshold 2 138 138 92 400
mls qos queue-set output 1 threshold 3 36 77 100 318
mls qos queue-set output 1 threshold 4 20 50 67 400
mls qos queue-set output 2 threshold 1 149 149 100 149
mls qos queue-set output 2 threshold 2 118 118 100 235
mls qos queue-set output 2 threshold 3 41 68 100 272
mls qos queue-set output 2 threshold 4 42 72 100 242
mls qos queue-set output 1 buffers 10 10 26 54
mls qos queue-set output 2 buffers 16 6 17 61
mls qos
--More--
!
!
macro global description cisco-global | cisco-global
!
!
!
errdisable recovery cause link-flap
errdisable recovery interval 60
!
spanning-tree mode rapid-pvst
spanning-tree loopguard default
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
!
interface FastEthernet0/1
description TCOM-Router
switchport mode access
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
speed 100
duplex full
macro description cisco-desktop
spanning-tree portfast
spanning-tree bpduguard enable
!
interface FastEthernet0/2
description Stormtrooper
switchport mode access
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
speed 100
duplex full
macro description cisco-desktop
spanning-tree portfast
spanning-tree bpduguard enable
!
interface FastEthernet0/3
switchport mode access
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
macro description cisco-desktop
spanning-tree portfast
spanning-tree bpduguard enable
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface GigabitEthernet0/1
!
interface Vlan1
ip address 192.168.189.74 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.189.73
ip http server
snmp-server community public RO
!
control-plane
!
banner login ^C
#############################################
## ##
## S W I T C H ##
## ##
## hostname: switch01_ ##
## IP: 192.168.189.74 ##
## ##
#############################################
^C
!
line con 0
line vty 0 4
password
login
length 0
line vty 5 15
password
!
end

 

[Merle]

Mach dein Username PW da raus! Es ist unverschlüsselt!
Schmeiß mal die Port Security am Uplink raus. Restrict kann seltsame Konsequenzen haben. Shutdown ist mir persönlich lieber.

Und bitte gib und noch ein show vlan, ein show interface status und ein show port-security (oder so ähnlich, wir haben 3750er).

*edit:
Dir ist außerdem klar, dass ein Switch nicht hinter Portfast hängen sollte? (Auch das im Speedport ist ein Switch) Kann dir mal Probleme machen, wenn du das neu steckst. "Can cause temporary bridging loops.", wenn man Huboder Switch anschliesst, sagt Cisco. Also meiner
*edit2:
Jaja ich weiß, BPDUGuard. Dennoch -.-

 

[icezero]

merci aber da kommt eh keiner drauf

VLAN:

VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4, Fa0/5, Fa0/6
Fa0/7, Fa0/8, Gi0/1
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 0 0
1003 tr 101003 1500 - - - - - 0 0
1004 fdnet 101004 1500 - - - ieee - 0 0
1005 trnet 101005 1500 - - - ibm - 0 0

Remote SPAN VLANs
------------------------------------------------------------------------------


interface 0/1 (an dem der Speedport ist)
FastEthernet0/1 is up, line protocol is up (connected)
Hardware is Fast Ethernet, address is 0024.f785.6281 (bia 0024.f785.6281)
Description: TCOM-Router
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 249/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, media type is 10/100BaseTX
input flow-control is off, output flow-control is unsupported
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 153000 bits/sec, 10 packets/sec
5 minute output rate 3000 bits/sec, 7 packets/sec
174572 packets input, 212547460 bytes, 0 no buffer
Received 21314 broadcasts (13080 multicasts)
0 runts, 0 giants, 0 throttles
6417 input errors, 6417 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 13080 multicast, 0 pause input
0 input packets with dribble condition detected
108550 packets output, 21438141 bytes, 0 underruns
0 output errors, 0 collisions, 3 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier, 0 PAUSE output
0 output buffer failures, 0 output buffers swapped out


Primary Secondary Type Ports
------- --------- ----------------- ------------------------------------------

Ergänzung (13. März 2012)

Wie kann ich die Port Sec deaktivieren?
und was meinst Du bitte mit "Portfast"
Sorry. so gut kenne ich mich nicht aus

 

[Merle]

Macht nix. Der Switch is einfach oversized. Aber jaja ich weiß, Unternehmen schmeißen die zu tausenden weg

ena
!
conf t
!
vlan 1
name vlan
!
interface FastEthernet0/1
description TCOM-Router
switchport mode access
switchport access vlan 1
no switchport port-security
no switchport port-security aging time 2
no switchport port-security violation restrict
no switchport port-security aging type inactivity
no speed 100
no duplex full
macro description cisco-desktop
no spanning-tree portfast
no spanning-tree bpduguard enable
shutdown
no shutdown

Kopiere das hier ins Notepad, dann kopiere es nochmals und füge es in der CLI deines Switches ein.
Besser wahrscheinlich du gehst selber bis in ena und gibst dein secret ein, und kopierst nur das Zeugs danach. Sonst gibts Fehler.

*edit1:
Also ich habs gerade mit Packet Tracer nachgebaut. Da ist der 2950 auch drinne Mit der Änderung ging es bei mir.
switchport port-security violation restrict oder auch protect sind ... Naja unpraktisch. Shutdown ist gut, weil man sieht: Aha, Link weg. Da muss was sein.
Ansonsten den Befehl "show port-security" im enable Modus. Der liefert dir die Violations.
Btw hast du enorm viele CRC Fehler auf Port 0/1. Wechsel mal das Kabel und mach einen Clear Counters Fa0/1. Wenn es dann wieder CRC Fehler gibt, wechsel die Ports.

 

[icezero]

YES, es klappt. Vielen Dank.
Dann lag es an der Port Security. Jetzt muss ich mal bei Cisco nachlesen, was die genau macht, außer vermutlich bestimmte high risk ports zu deaktivieren oder so?!? ( mal ins blaue tippen)
nochmals vielen Dank!

 

[marcol1979]

Da du den Switch nur einfach als Switch nutzen möchtest würde ich von der startupconfig mal ein backup anlegen, die startup-config löschen und neustarten und dann nur das einstellen was du brauchst.

 

[Merle]

Nein. Es gibt 3 Arten.
Restrict und Protect (=> Bei meinem CCNP hat der Lehrer gemeint: "Um GOTTES WILLEN, NIEMALS verwenden!"). Musst du selber nachlesen, kenn ich nicht, außer ein paar seltsame Auswirkungen.
http://www.cisco.com/en/US/docs/swi...12.1E/native/configuration/guide/port_sec.pdf
*edit1: Ach ja. Die einzig einfach zu entstörende Port-Security hab ich nun vergessen: Shutdown.
Die fährt den Port runter.

Man kann für jeden Port eine Zahl an MAC Adressen, die erlaubt sind, definieren. Das ist üblicherweise NICHT für Trunks gedacht. (Man kann das aber schon machen, das geht nun aber zu weit in die Materie).
Standard ist eine oder 2, kP.
Nun ist dein Uplink zum Speedport kein Trunk (switchport mode access). Der Speedport selber hat eine MAC und der Laptop. Wenn die nun vom Switch IM SPEEDPORT beide mit deinem anderen Switch kommunizieren, schaltet sich der Uplink ab.
Du kannst die Security auch wieder rein machen, und die MAC-ADDRESS Anzahl hoch setzen. Aber brauchst du eh nicht. Lies das Dokument oben von Cisco.

Und gerne. Kein Problem.

*btw: Cisco Packet Tracer ist ein traumhaftes Tool zum üben. Ich habe deine Landschaft gerade in ein paar Minuten virtuell nachgebaut. (So ähnlich).

*edit2:
Da hat er natürlich recht... Wenn du einen unmanaged Switch willst, dann einfach "write erase" eingeben nach enable.
Username und interface VLAN kannst du ja wieder anlegen.
Letztes Kluggescheiße für heute von mir, ich verpreche es:
Dein Userlogin kann nicht klappen.

username DeinUsername Privilege 15 password 0 DeinPasswort
service password-encryption
line vty 0 4
login local
line console 0
login local

Dann wirst du nach deinem Username gefragt und brauchst auch kein enable mehr, da du privilege 15 hast.

So, ich bin raus.