Debian9 + Cisco switch VLAN beállítás

 ( KicsiBocs | 2019. február 14., csütörtök - 19:18 )

Üdvözlet!

Egy Debian9-en szeretnék VLAN-t beállítani. A Cisco switch-en a trunk port-ot stb. sikerült beállítani, de a Debian9-en a VLAN-ok, IP címek, interfészek stb. után sem sincsen forgalom. Csak a natív (fizikai) interfészen megy a forgalom. A VLAN interfészeken sajnos nem. Ping-re sajnos csak a Destination Host Unreachable üzenetet kapom. Érdekes módon IPv6-os forgalom (globális címekkel) tökéletesen megy a VLAN-okból, csak az IPv4-es forgalom nem megy. A 800-as VLAN lenne a menedzsment VLAN.

Előre is köszönöm a segítséget!

####################################################################################################

ifconfig -a
enp0s25: flags=4163 mtu 1500
inet 10.1.1.20 netmask 255.255.255.0 broadcast 10.1.1.255
inet6 fe80::20f:feff:fe57:8e3d prefixlen 64 scopeid 0x20
inet6 globális ipv6 cím prefixlen 64 scopeid 0x0
ether 00:0f:fe:57:8e:3d txqueuelen 1000 (Ethernet)
RX packets 1665 bytes 157383 (153.6 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1365 bytes 128303 (125.2 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
device interrupt 19 memory 0xf0500000-f0520000

enp0s25.2: flags=4163 mtu 1500
inet 172.16.2.3 netmask 255.255.255.240 broadcast 172.16.2.15
inet6 fe80::20f:feff:fe57:8e3d prefixlen 64 scopeid 0x20
ether 00:0f:fe:57:8e:3d txqueuelen 1000 (Ethernet)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 17 bytes 1278 (1.2 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

enp0s25.800: flags=4163 mtu 1500
inet 10.1.1.25 netmask 255.255.255.0 broadcast 10.1.1.255
inet6 fe80::20f:feff:fe57:8e3d prefixlen 64 scopeid 0x20
ether 00:0f:fe:57:8e:3d txqueuelen 1000 (Ethernet)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 17 bytes 1278 (1.2 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

lo: flags=73 mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10
loop txqueuelen 1 (Local Loopback)
RX packets 82 bytes 6180 (6.0 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 82 bytes 6180 (6.0 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

########################################################################################################

cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug enp0s25
iface enp0s25 inet static
address 10.1.1.20/24
gateway 10.1.1.1
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 10.1.1.12
#auto enp0s25

auto enp0s25.2
iface enp0s25.2 inet static
address 172.16.2.3
netmask 255.255.255.240
vlan-raw-device enp0s25

auto enp0s25.800
iface enp0s25.800 inet static
address 10.1.1.25
netmask 255.255.255.0
vlan-raw-device enp0s25

#######################################################################################################

/proc/net/vlan# ls -al
sszesen 0
dr-xr-xr-x 2 root root 0 febr 14 18:03 .
dr-xr-xr-x 6 root root 0 febr 14 18:03 ..
-rw------- 1 root root 0 febr 14 18:03 config
-rw------- 1 root root 0 febr 14 18:03 enp0s25.2
-rw------- 1 root root 0 febr 14 18:03 enp0s25.800

########################################################################################################

cat /etc/sysctl.conf
net.ipv4.ip_forward=1
net.ipv4.conf.default.rp_filter=0
net.ipv4.conf.all.rp_filter=0

#########################################################################################################

cat /etc/modules
# /etc/modules: kernel modules to load at boot time.
#
# This file contains the names of kernel modules that should be loaded
# at boot time, one per line. Lines beginning with "#" are ignored.

8021q

##########################################################################################################

cat /proc/net/vlan/config
VLAN Dev name | VLAN ID
Name-Type: VLAN_NAME_TYPE_RAW_PLUS_VID_NO_PAD
enp0s25.2 | 2 | enp0s25
enp0s25.800 | 800 | enp0s25

###########################################################################################################

ip route
default via 10.1.1.1 dev enp0s25 onlink
10.1.1.0/24 dev enp0s25 proto kernel scope link src 10.1.1.20
10.1.1.0/24 dev enp0s25.800 proto kernel scope link src 10.1.1.25
172.16.2.0/28 dev enp0s25.2 proto kernel scope link src 172.16.2.3

###########################################################################################################

ping 172.16.2.1
PING 172.16.2.1 (172.16.2.1) 56(84) bytes of data.
From 172.16.2.3 icmp_seq=1 Destination Host Unreachable
From 172.16.2.3 icmp_seq=2 Destination Host Unreachable
From 172.16.2.3 icmp_seq=3 Destination Host Unreachable
From 172.16.2.3 icmp_seq=4 Destination Host Unreachable
From 172.16.2.3 icmp_seq=5 Destination Host Unreachable
From 172.16.2.3 icmp_seq=6 Destination Host Unreachable
From 172.16.2.3 icmp_seq=7 Destination Host Unreachable
From 172.16.2.3 icmp_seq=8 Destination Host Unreachable
From 172.16.2.3 icmp_seq=9 Destination Host Unreachable

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ranezesre akar jo is lehet a linux oldali konfig, mondjuk attol meg lehet siman a 172.16.2.1 nem valaszol icmp-re vagy nem elerheto, nem tudom mi az.
Packet capture-t (tcpdump) meg arp tablat lenne erdemes nezni (arp -an) a vlan interface-eken hogy latszik-e forgalom valoban.
Forward ehhez nem kellene onmagaban, hacsak nem pont arra akarod hasznalni. Gondolom tuzfal nem fogja meg a gepen, masik oldalon esetleg?
Esetleg ip link, ip addr bemasolhatsz hatha latszik extra belole.
Biztos jo a switch oldali konfig? Ipv6 global cimet nem latni azon amit bemasoltal vlan interface-eket, de az meg is trefalhat hogy valojaban a link local cimmel kuldi a forgalmat es lehet nem a vlan interface-en mukodott neked. Esetleg switch konfigot is masold be hogy valoban jo-e (erintett interface-ekre es vlan-okra vonatkozo reszt).

interface GigabitEthernet0/7
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1-50,800
switchport mode trunk

Gondolom a default native vlan 1 van egyebkent a konfigban, amugy a vlan-ok letre vannak hozva attol hogy itt hozzaadtad?
Illetve masik eszkoz portjan is rajta vannak ezek vagy a switch lenne a masik akkor annak az vlan interface portjai konfigjai rendben vannak?
Esetleg logokban vagy port status allapotban nem latszik valami ami miatt le lenne tiltva az a vlan a porton (pl: stp loop)?

Ahogy lentebb is irtak az hogy ugyanaz az ip tartomany van felveve a fizikai portra mint vlan 800-ra biztos nem jo, mondjuk ettol meg vlan2-n levo 172-es tartomany mukodhetne akar.

Illetve tovabbra is kerdes ha vlan interface-en tcpdump-ot vagy arp-t nezel akkor latszik-e barmi, illetve switch oldalaron azon a porton vlan-okban latszik-e mac address ( ha megprobalsz valami forgalmat kuldeni a vlan-ba pl ping-el, miutan javitottad az ugyanolyan subnetet), vagy ha swithen lenne a tartomanybol a masik ip akkor onnan pingetve latszik-e gepre beesni (tcpdump vlan es fizikai interface-eken)?

Az nem lesz gond, hogy a default VLAN és a VLAN800 egyazon IPv4 subnet-ben van?
Megnéztem 3x, remélem nem kérdeztem butaságot. Mindkettő 10.1.1.0/24 tartomány.

Szia!

Sajnos attól függetlenül sem jó, mert már kipróbáltam úgy is.

pedig ez biztos hiba.

+1

Ha felveszem a VLAN-t és adok az sub-interface-nek IP címet stb., akkor elhasal, és ping-nél dobja a Destination Host Ureachable üzenetet. De ha a router olyan VLAN interface-ét (pl: 3-as vlan) ping-elem, amely VLAN (pl: 3-as vlan) még nincs a Debian Linux-on felvéve, akkor a router VLAN IP címe elérhető (route szabály miatt). Amint felveszem az adott VLAN-t (pl: 3as vlan) a Debian Linux-ra, akkor már nem tudom ping-elni a router-t, hanem Destination Host Unreachable üzenetet kapom.

Amit irtál abból nem látszik de az enp0s25 ifacenek is upon kell lennie.

Fedora 28, Thinkpad x220

Szia!

UP-on van, és gyakorlatilag csak ott jelenik meg a forgalom. 10.1.1.1 (és a 172.16.2.1 is) a router IP címe. De csak a 10.1.1.1 válaszol a 172.16.2.1-re pedig Destination Host Unreachable-t dob. A sikeres ping-nél is csak az enp0s25-ön jelenik meg a forgalom, a sub-interface-en nem.

Akkor kezdjük az elején.

Mivel azt irtad trunk port, így feltételezem nincsen acces/untagged vlan, tehán az enp0s25, nem kell semmilyen ip. Csakis a vlan interfacekre. Esetleg jó lenne látni a switch portra vonatkozó konfigját is.

ui: lentebb írtad már látom, szóval nem kell semmilyen ip az enp0s25-re.

Fedora 28, Thinkpad x220

A sub-interface-ken érdemes a MAC címeket megváltoztatni macchanger-el?

nem.

"Mivel azt irtad trunk port, így feltételezem nincsen acces/untagged vlan"

Cisco eseten (legalabbis ios-es verzion biztosan, talan ujabbakon is) a vlan trunk azt jelenti hogy ha nem tiltod direktben le akkor melle teszi a native vlan-t (ami default-ban az 1-es) is untagged formaban. Igy akar meg lehetne azon is forgalma, attol mondjuk igaz hogy hulyeseg hogy ugyanaz a tartomany van felveve, meg nem szokas trunk port eseten nativ (untagged) vlan-t is hasznalni csak ha valami indokolja (pl auto pxe boot abban a vlan-ban megy ahonnan utana megkapja a konfigot meg hogy milyen vlan interface-eket huzzon fel a rendszer).

lsmod | grep 8021q mit mond?

lsmod | grep 8021q
8021q 28672 0
garp 16384 1 8021q
mrp 20480 1 8021q

allow-hotplug nemkell, ha szerver lesz nemfogod kibe huzogatni a kabelt.

enp0s25 -nek ne legyen ip cime, "trunk porton" ne beszelgessen senkivel. (tudom hogy lehetne def vlan miatt, de ne akarjon)
csak annyi kell, hogy:

iface enp0s25 inet manual

az ifup cucc majd lekezeli ezt jol.

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Szia!

Már csak az általad is írt sor van (iface enp0s25 inet manual), de sajnos továbbra is Destination Host Unreachable válasz jön vissza.

Egyre inkabb az az erzesem, hogy switch oldalon nincs jol beallitva ahogy fentebb is probaltam mondani par dolgot.
Ha egyszerubb ugy akkor valahova toltsd fel switchkonfigot (erzekeny reszek kitakarasaval/atirasaval), hogy atfussuk az rendben van-e, meg hozza az aktualis linux oldali konfigot.

interface GigabitEthernet0/7
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1-50,800
switchport mode trunk
switchport nonegotiate
delay 1
no keepalive
flowcontrol receive on
flowcontrol send on

sh int trunk

Port Mode Encapsulation Status Native vlan
Gi0/7 on 802.1q trunking 1

Port Vlans allowed on trunk
Gi0/7 1-50,800

Port Vlans allowed and active in management domain
Gi0/7 1-26,800

Port Vlans in spanning tree forwarding state and not pruned
Gi0/7 1-26,800

Es az ip-k amiket debian-rol akarnal elerni vlan-ban azok ezen a switchen vannak konfigolva vagy az valami masik router lesz? Az hogy nez ki, vlan interface-ek konfigja meg route tabla azon ahol destination ip-k vannak?

ugyan Cisco switch-et nem használok, de nem lehet,hogy mode=trunk helyett hybrid?

Ahogy erre rákerestem akkor viszont ezt dobta a gugli:
https://community.cisco.com/t5/switching/switch-port-modes/td-p/2635554

A trunk port is generally only used when you want to interconnect two switches together in order to pass multiple VLANs between the two switches. In this example, the switches will use Dot1Q tagging and allow vlans 10, 20 & 30 to be passed between the two switches. Vlan 10 however, will be passed without tagging since it is set as the native vlan. eg)

Switch1# interface gig0/1
switchport encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 10
switchport trunk allowed vlan 10,20,30

A tiedben hiányolom a (ezek alapján) a "native vlan" megjelölést

Az a resz rendben, egyreszt nem lenne szuksege nativ vlan-ra, de ha nem adod meg is default-ban 1-es vlan a nativ vlan cisco-n attol hogy nem irja ki.

A native VLAN az 1es VLAN.

Auto és Desirable móddal sem megy.

Ami feltűnt, hogy a 192.168.0.0/16 (régi időkből maradt fent ekkorára), és a 10.1.1.0/24 megy, de a több 172.16.0.0/27-es hálózatnál jön csak a Destination Host Ureachable üzenet. Még a több 172.16.0.0/24-re is dobja.

Eddig nem volt szo 192-es tartomanyrol a topicban, a 10.1.1-es ha tovabbra is fenn van tobb interface-en akkor tevesen megy es meg mindig nem lattunk semmit a tuloldali ip-kbol amit probalsz elerni az konkretan mi es hogy van bekonfigolva.
Valoszinuleg leggyorsabb lenne ha dobnal egy vazlatot hogy szeretned hogy kinezzen illetve most hogy neznek ki a konfigok es megmondjuk mi nem passzol.

Szia!

A 10.1.1.0/24-es hálózat a managment hálózat (eszközök stb.)
A 172.16.0.0/16-os hálózat a Wi-Fi, és pár terem vezetékesen (/27-esek)
A 192.168.0.0/16 pedig vlan-ozás előtti hálózat, de még sajnos meg kellett hagyni, üzemel.

Viszont a 172.16-os hálózatnál hozza csak a Destination Host Unreachable üzenetet. A másik 2nél nincs gond.

Hat ezzel nem vagyunk elorebb.

Melyik ip tartomany melyik vlna-hoz tartozik, melyikben mit probalsz elerni (azt meg mindig nem irtad le, hogy magat a switchet probalod-e elerni azokban a vlan-okbeli ip-vel vagy mogotte valamit), az amit el akarsz erni es a forras kozott mennyi eszkoz van, ezeken mindenhol letre van hozva a vlan, adott interface-ekhez megfeleloen hozzarendelve, celeszkozon hogy nez ki ip es vlan konfig stb.?