LINUX.ORG.RU
решено ФорумAdmin

Cisco wireless controller не видится.

 


0

1

Друзья, помогите разобраться, хочу сам понять, что не так, дайте направление. Жил да был контроллер 2504 воткнутый в стэк x8 SG500X-48. Причём всеми четырьмя портами воткнутый в 48-ые порты 1-2-3-4 юнитов, port-channel, ага (ЗАЧЕМ!?). Из сетки вебморда контроллера виделась, тарелки в другом VLAN не виделись контроллером (говорят всё работало). Надо починить, решил я сначала с кабелями разобраться и сломал нахрен этот ваш etherchannel. Бы предупреждён о переносе всех интерфейсов на один порт. Не беда, развёл руками, 1-ый - management (gi1/1/48), 2-ой - гостевая wireless на vlan 3 (gi2/1/48). На 500X конечно тоже LAG 1 развалил. И всё. Из сети вебморда недоступна. arping девайс видит. Девайс орёт на всю сеть, ищет шлюз и ntp, а ему никто не отвечает. При прямом подключении ноута в 1-ый порт вебморда открывается. А хочется из сети видеть, в серверной холодно же. Есть какой-то нюанс, мной упущенный, навроде недоступности из локалки для безопасности или что? Должно же работать.

Единственно что не делал - конфигурацию на 500X не сохранил, должны же и так применяться изменения? Ещё virtual поменял на 10.11.12.13, но это к wireless относится, а тут дела локальные. gi1/1/48 untagged trunk. Там всё trunk. И папа его trunk.

Перемещено leave из talks


Перенос отправки почты с 25 на 587 порт
Не получается сменить значение net.bridge.bridge-nf-call-iptables

Ответ на: комментарий от etwrq

К консоли ком-порт нужен. И зачем? Вебморду напрямую видно, ssh-telnet есть, тоже напрямую. Через свитч ничего не видно вот… Кстати, 500X контроллер даже в соседях видят (CDP).

TepakoT
() автор топика
Последнее исправление: TepakoT (всего исправлений: 2)
Ответ на: комментарий от TepakoT

ну тогда возможно не в тот влан воткнул.
исходя из арпа: на запрос мака соответствующему gw приходит пустота. когда подключаешься напрямую, сеть же целевую прописываешь? - арп ответ приходит, ip работает.

etwrq ★★★★★
()
Ответ на: комментарий от etwrq

management интерфейс untagged. И прямой ноутбук не видел бы, если бы проблема с vlan. Мне бы понять, что LAG я разобрал правильно достаточно на контроллере снять галку LAG Mode, а на свиче вынуть порты из LAG 1 и не возвращаться к этой теме, а искать другие причины. Такое ощущение, что где-то в другом месте эти порты ещё как-то перекосоёбливает для поддержки etherchannel. А, нет, наz 24-ом порту так же…

Может и с vlan что-то. Но по настройкам вроде всё одинаково. Как другие vlan смотреть, завтра воткнусь ноутом вместо тарелки, послушаю что там на vlan 3.

TepakoT
() автор топика
Ответ на: комментарий от praseodim

Да ну. У меня этих патчкордов пятиметровых как говна за баней. Все одинаково полуработают. ARP вопли я же слышу «Who has 192.168.48.1» «Who has 192.168.48.12».

Так… Эти же вопли я вроде бы видел в vlan 3, что странно. Надо завтра поточнее посмотреть, что там происходит. Там такой ор стоит, хотя там выключенные тарелки, ZyWall и не работающий нормально контроллер вторым портом с другим IP. А шуму как в локалке.

TepakoT
() автор топика
Ответ на: комментарий от etwrq

Гляну. Жаль из дома нельзя, стэк вижу, а контроллер нет, надо дрона иметь на такие случаи, с камерой и одним пальцем :)

Интересно, а show tech-support есть ли там. Мне стэк минуты две сыпал инфы, полтора метра текстовик получился.

А, это просто сразу куча разных show.

TepakoT
() автор топика
Последнее исправление: TepakoT (всего исправлений: 2)
Ответ на: комментарий от diatryba

Что такое «облачные услуги»? Разгон облаков?

Какая связь между облачными мераками и 2504 который показывает вебморду при прямом подключении и не виден в локалке?

TepakoT
() автор топика
Ответ на: комментарий от etwrq

Не вижу никакого криминала.

Port Summary
           STP   Admin   Physical   Physical   Link   Link
Pr  Type   Stat   Mode     Mode      Status   Status  Trap     POE  
-- ------- ---- ------- ---------- ---------- ------ ------- -------
1  Normal  Forw Enable  Auto       100 Full   Up     Enable  N/A     
2  Normal  Forw Enable  Auto       1000 Full  Up     Enable  N/A     
3  Normal  Disa Enable  Auto       Auto       Down   Enable  Disable 
4  Normal  Disa Enable  Auto       Auto       Down   Enable  Disable 

Interface Configuration
Interface Name................................... management
MAC Address...................................... c0:8c:60:c7:42:a0
IP Address....................................... 192.168.48.40
IP Netmask....................................... 255.255.252.0
IP Gateway....................................... 192.168.48.1
External NAT IP State............................ Disabled
External NAT IP Address.......................... 0.0.0.0
VLAN............................................. untagged  
Quarantine-vlan.................................. 0
Active Physical Port............................. 1         
Primary Physical Port............................ 1         
Backup Physical Port............................. Unconfigured
DHCP Proxy Mode.................................. Disabled
Primary DHCP Server.............................. Unconfigured
Secondary DHCP Server............................ Unconfigured
DHCP Option 82................................... Disabled
ACL.............................................. Unconfigured
mDNS Profile Name................................ Unconfigured
AP Manager....................................... Yes
Guest Interface.................................. No
L2 Multicast..................................... Enabled

Interface Name................................... virtual
MAC Address...................................... c0:8c:60:c7:42:a0
IP Address....................................... 10.11.12.13
Virtual DNS Host Name............................ 2504
AP Manager....................................... No
Guest Interface.................................. No

Interface Name................................... wifiguest-vlan
MAC Address...................................... c0:8c:60:c7:42:a5
IP Address....................................... 172.16.3.2
IP Netmask....................................... 255.255.255.0
IP Gateway....................................... 172.16.3.1
External NAT IP State............................ Disabled
External NAT IP Address.......................... 0.0.0.0
VLAN............................................. 3         
Quarantine-vlan.................................. 0
NAS-Identifier................................... wlc-core-korp1
Active Physical Port............................. 2         
Primary Physical Port............................ 2         
Backup Physical Port............................. Unconfigured
DHCP Proxy Mode.................................. Disabled
Primary DHCP Server.............................. Unconfigured
Secondary DHCP Server............................ Unconfigured
DHCP Option 82................................... Disabled
ACL.............................................. Unconfigured
mDNS Profile Name................................ Unconfigured
AP Manager....................................... No
Guest Interface.................................. No
L2 Multicast..................................... Enabled
TepakoT
() автор топика
Ответ на: комментарий от TepakoT

«Обычная практика такова, что все физические интерфесы контроллера объединяют в EtherChannel группу (вы можете сделать это позднее), и в таком общем канале настраиваете сколько требуется логических интерфейсов, каждый в своем VLANе.»

О как. А может вернуть всё взад как было.

TepakoT
() автор топика
Ответ на: комментарий от etwrq

У нас все порты trunk, native VLAN 1. Вон он, 1/1/48

Vlan       Name                   Ports                Type     Authorization
---- ----------------- --------------------------- ------------ -------------
 1           1         gi1/1/1-11,gi1/1/13-17,       Default      Required
                       gi1/1/20-41,gi1/1/43-46,
                       gi1/1/48

Накидал в Packer Tracer 2504, ПК и 2950 - настройки IP и всё завелось. Чисто проверить, что я не дурак.

TepakoT
() автор топика
Ответ на: комментарий от TepakoT

Пипец.

Port 1 VLAN 0 management -> gi1/1/48 trunk untagged - орёт и никто ему не отвечает

Port 2 VLAN 3 guest-wifi -> gi2/1/48 trunk tagged VLAN 3 вообще тишина. И nmap’ом не видится. ZyWall вижу, стэк вижу, контроллер не вижу.

TepakoT
() автор топика
Ответ на: комментарий от TepakoT

Стоп, появился 172.16.3.2, который guest-wifi. 22,23,443 не открываются, подозреваю потому что guest-wifi запрещено management. Но меня уже не остановить, психанул, интерфейс management засунул в VLAN 3, ip 172.16.3.240, щас tagged и посмотрим. Продолжаю наблюдение.

PS Все в vlan 3 и мой комп тоже. Вижу guest-wifi 3.2, вижу managemet 3.240, вижу порты 22,23,443, ничего не открывается на обоих, ssh - «Unable to negotiate with 172.16.3.240 port 22: no matching key exchange method found», telnet - «Sorry, telnet is not allowed on this port!», https - ругается на сертификат и после игнора «При соединении с 172.16.3.240 произошла ошибка.»

management - port 1 vlan 3 -> gi1/1/48 видится только при untagged, что противоречит моим верованиям. Ересь.

TepakoT
() автор топика
Ответ на: комментарий от TepakoT

В стэк воткнут ещё один свитч. Тупо воткнут. Искаропки. Портов не хватало. Воткнул в него себя и контроллер. Я стал видеть контроллер со своего компа. Вижу сеть. Меня пингуют без проблем. Контроллер не видят. На контроллере фабричные настройки и два интерфейса, management с настроенным IP и virtual. Класс. Ковыряем стэк.

TepakoT
() автор топика
Ответ на: комментарий от etwrq

Да это просто решается.

KexAlgorithms +diffie-hellman-group1-sha1
Ciphers aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc
HostKeyAlgorithms +ssh-dss

Вопрос-то в том, что стэк не пропускает трафик от management контроллера в натив влан.

Привезли новый сервер, с proxmox интереснее возиться чем с этим. Надо себя как-то заставить вернуться к проблеме.

TepakoT
() автор топика
Ответ на: комментарий от etwrq

«SW1#sh vlan dot1q tag native». Как же вам на каталистах хорошо живётся…

sw-core-corp1#sh vlan
  internal             internal
  macs-groups          macs-group
  multicast-tv         multicast transmissions from a vlan
  protocols-groups     protocols-group
  tag                  Display by VLAN Tags.
  name                 Display by VLAN name.
   <CR>

Ладно, у нас свои команды имеются:

sw-core-corp1#show interfaces switchport gi1/1/24
Port : gi1/1/24
Port Mode: Trunk
Gvrp Status: disabled
Ingress Filtering: true
Acceptable Frame Type: admitAll
Ingress UnTagged VLAN ( NATIVE ): 1

Port is member in:

Vlan               Name               Egress rule Port Membership Type
---- -------------------------------- ----------- --------------------
 1                  1                  Untagged          System

Тут как-то грустно:

sw-core-corp1#sh run inter gi1/1/24
interface gigabitethernet1/1/24
 spanning-tree portfast
 no macro auto smartport
!

Статьи противоречат друг другу.

На тех транках которые привыкли, что native vlan идет без тега (а это все транки между оборудованием Cisco, да и любых других производителей, придерживающихся стандартов)

Из соображений безопасности (например, для защиты от VLAN Hopping) рекомендуется в транке выполнять тегирование даже для native VLAN.

Но вообще информация полезная, есть над чем подумать. Похоже те, кто сделал все порты стэка транковыми что-то глобально накрутили. Но почему вебморда виделась через port-channel, пока я его не сломал? Или port-channel вышел из этой кривой настройки потому что он не GE… Хм…

TepakoT
() автор топика
Ответ на: комментарий от etwrq

В sh run мало что изменилось

sw-core-corp1#sh run inter gi1/1/24
interface gigabitethernet1/1/24
 spanning-tree portfast
 switchport trunk allowed vlan add 3 (это wifi-guest, для красоты)
 no macro auto smartport
!

Впрочем как и в поведении

No.	Time	Source	Destination	Protocol	Length	Info
38598	65.472549	Cisco_c7:42:a0	Broadcast	ARP	60	Who has 192.168.48.1? Tell 192.168.48.40
38702	65.672511	Cisco_c7:42:a0	Broadcast	ARP	60	Who has 192.168.48.1? Tell 192.168.48.40
38703	65.672592	Cisco_c7:42:a0	Broadcast	ARP	60	Who has 192.168.48.1? Tell 192.168.48.40
38742	65.776357	Cisco_c7:42:a0	Broadcast	ARP	60	Who has 192.168.48.12? Tell 192.168.48.40
39896	67.725714	Cisco_c7:42:a0	Broadcast	ARP	118	Gratuitous ARP for 192.168.48.42 (Reply)
39924	67.776546	Cisco_c7:42:a0	Broadcast	ARP	60	Who has 192.168.48.12? Tell 192.168.48.40
39943	67.793238	Cisco_c7:42:a0	Broadcast	ARP	118	Gratuitous ARP for 192.168.48.42 (Reply)
40071	68.092300	Cisco_c7:42:a0	Broadcast	ARP	118	Gratuitous ARP for 192.168.50.48 (Request)
40090	68.096732	Cisco_c7:42:a0	Broadcast	ARP	118	Gratuitous ARP for 192.168.50.49 (Request)
40516	68.776635	Cisco_c7:42:a0	Broadcast	ARP	60	Who has 192.168.48.12? Tell 192.168.48.40
41078	69.776726	Cisco_c7:42:a0	Broadcast	ARP	60	Who has 192.168.48.12? Tell 192.168.48.40
44057	75.022761	192.168.50.107	192.168.48.40	TCP	66	26085 → 80 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM
44285	75.283860	192.168.50.107	192.168.48.40	TCP	66	26086 → 80 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM
44375	75.473440	Cisco_c7:42:a0	Broadcast	ARP	60	Who has 192.168.48.1? Tell 192.168.48.40
44466	75.673403	Cisco_c7:42:a0	Broadcast	ARP	60	Who has 192.168.48.1? Tell 192.168.48.40
44467	75.673486	Cisco_c7:42:a0	Broadcast	ARP	60	Who has 192.168.48.1? Tell 192.168.48.40
44623	76.031339	192.168.50.107	192.168.48.40	TCP	66	[TCP Retransmission] [TCP Port numbers reused] 26085 → 80 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM
44850	76.284478	192.168.50.107	192.168.48.40	TCP	66	[TCP Retransmission] [TCP Port numbers reused] 26086 → 80 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM
45802	78.032981	192.168.50.107	192.168.48.40	TCP	66	[TCP Retransmission] [TCP Port numbers reused] 26085 → 80 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM
46051	78.286513	192.168.50.107	192.168.48.40	TCP	66	[TCP Retransmission] [TCP Port numbers reused] 26086 → 80 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM
46899	79.785636	Cisco_c7:42:a0	Broadcast	ARP	60	Who has 192.168.48.12? Tell 192.168.48.40
47491	80.785720	Cisco_c7:42:a0	Broadcast	ARP	60	Who has 192.168.48.12? Tell 192.168.48.40
47628	81.068710	ASRockIn_49:91:a2	Cisco_c7:42:a0	ARP	42	Who has 192.168.48.40? Tell 192.168.50.107
48079	81.785813	Cisco_c7:42:a0	Broadcast	ARP	60	Who has 192.168.48.12? Tell 192.168.48.40
48197	82.035065	192.168.50.107	192.168.48.40	TCP	66	[TCP Retransmission] [TCP Port numbers reused] 26085 → 80 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM
48215	82.066267	ASRockIn_49:91:a2	Cisco_c7:42:a0	ARP	42	Who has 192.168.48.40? Tell 192.168.50.107

50.107 это мой комп случайно вкладку с его вебмордой открыл.

Завтра подключу контроллер опять в LAG. Посмотрим что получится.

TepakoT
() автор топика
Последнее исправление: TepakoT (всего исправлений: 1)
Ответ на: комментарий от TepakoT

Два порта всунул в LAG, залил старый конфиг, поправил 1.1.1.1, отключил https с протухшими сертификатами и всё взлетело. Пусть так, надо asterisk изучать, нет времени возиться.

TepakoT
() автор топика
Перенос отправки почты с 25 на 587 порт
Admin
Не получается сменить значение net.bridge.bridge-nf-call-iptables