Discussion:
GVRP aktiviert, Lancom-Switch antwortet nicht.
(zu alt für eine Antwort)
Kay Martinen
2017-11-28 20:59:54 UTC
Permalink
Hallo.

Ein Lancom ES-2126+ bei dem in der WebUI GVRP aktiviert wurde, reagierte
dann nicht mehr. Die WebUI wird zwar noch dargestellt, es kommt aber
nichts mehr wenn man das menü wechselt. Auch der LANMonitor verliert
dann die Verbindung zum Gerät. Es läuft aber offenbar normal weiter denn
die "CPU Run" LED blinkt zyklisch weiter, wie sonst auch. Ein erster
Reset per Taste am Gerät scheint nicht geholfen zu haben. Ca eine Stunde
später anscheinend doch, dann war GVRP auf einmal wieder deaktiviert. (?)

Ich verstehe nur grade nicht wieso das passierte. Hat jemand eine Idee dazu?

Nebenbei. Die VLAN-Konfiguration dieses Gerätes finde ich total
unübersichtlich da man nirgends auf einen Blick sehen kann welche VLANs
einem Port zugeordnet sind.

Kay
Thomas Krenzel .
2017-11-29 22:05:26 UTC
Permalink
Post by Kay Martinen
Hallo.
Ein Lancom ES-2126+ bei dem in der WebUI GVRP aktiviert wurde, reagierte
dann nicht mehr. Die WebUI wird zwar noch dargestellt, es kommt aber
nichts mehr wenn man das menü wechselt. Auch der LANMonitor verliert
dann die Verbindung zum Gerät. Es läuft aber offenbar normal weiter denn
die "CPU Run" LED blinkt zyklisch weiter, wie sonst auch. Ein erster
Reset per Taste am Gerät scheint nicht geholfen zu haben. Ca eine Stunde
später anscheinend doch, dann war GVRP auf einmal wieder deaktiviert. (?)
Möglicherweise war die Watchdog-Funktion aktiviert und der Switch hat
dann nach erreichen des eingestellten Fehlercounts neu gebootet.

Danach wird dann die Standardkonfig geladen weil Du die veränderte
Konfig mit aktivierten GVRP nicht speichern konntest. Lancom Geräte
erwarten immer explizietes Speichern der Konfiguration.

Thomas
Kay Martinen
2017-11-29 22:36:56 UTC
Permalink
Post by Thomas Krenzel .
Post by Kay Martinen
Hallo.
Ein Lancom ES-2126+ bei dem in der WebUI GVRP aktiviert wurde,
reagierte dann nicht mehr. Die WebUI wird zwar noch dargestellt, es
kommt aber nichts mehr wenn man das menü wechselt. Auch der LANMonitor
verliert dann die Verbindung zum Gerät. Es läuft aber offenbar normal
weiter denn die "CPU Run" LED blinkt zyklisch weiter, wie sonst auch.
Ein erster Reset per Taste am Gerät scheint nicht geholfen zu haben.
Ca eine Stunde später anscheinend doch, dann war GVRP auf einmal
wieder deaktiviert. (?)
Möglicherweise war die Watchdog-Funktion aktiviert und der Switch hat
dann nach erreichen des eingestellten Fehlercounts neu gebootet.
Leider nein. Watchdog hatte ich schon gesehen und es aus gelassen. Das
pingt m.W. nur eine ip an und bietet dann wählbare Aktionen wenn dies x
mal fehlschlägt.
Post by Thomas Krenzel .
Danach wird dann die Standardkonfig geladen weil Du die veränderte
Konfig mit aktivierten GVRP nicht speichern konntest. Lancom Geräte
erwarten immer explizietes Speichern der Konfiguration.
Du meinst unter "Configuration-Save/restore" oder? Das kenne ich von
Cisco mit 'wr mem' o.ä.

Aber eine Frage zum Verhalten bei Lancom. Es gibt in diversen Menüs
Disable/enable optionen mit einem Apply button. So habe ich auch GVRP
aktiviert, es auf Enabled gesetzt und dann Apply gedrückt. So GEHT es
wohl auch bei STP und den anderen Funktionen.

Wird das mit diesem Apply nur zur Laufzeit aktiviert und ist nicht
automatisch in einer user- oder start-konfiguration gespeichert, richtig?

Ich hatte ihn nach dem Verbindungsverlust ja per Reset-taster neu
gestartet. Bekam dann aber keine Verbindung. Ich musste dann noch für
ca. 1 Std. weg. Als ich es dann wieder versuchte war Verbindung möglich
und GVRP aus.

Das ist die Merkwürdigkeit die ich nicht verstehe. Nach dem 1. Reset
hatte ich auch gewartet bis er wieder normal läuft und bekam eben
dennoch keine Verbindung.

Die liefe allerdings über ein Baugleiches 2. Gerät bei dem all diese
Funktionen deaktiviert blieben. Es wäre also interessant zu wissen ob
das aktivierte GVRP des nicht reagierenden Switches den Link zum 2.Gerät
für eine gewisse Zeit deaktivieren konnte - und wodurch? STP ist bei dem
auch aus, die beiden haben keinen 2. Link miteinander (was einen
Loop/Storm ausschliesst).

Ich frage mich auch noch ob ich dies GVRP brauche, und ob der SVL
Schalter an oder aus sein sollte. Bei einem Catalyst 2900 sieht das
alles ein bisschen anders aus...

Kay
Friedemann Stoyan
2017-11-30 03:59:51 UTC
Permalink
Post by Kay Martinen
Ich frage mich auch noch ob ich dies GVRP brauche, und ob der SVL
Schalter an oder aus sein sollte. Bei einem Catalyst 2900 sieht das
alles ein bisschen anders aus...
Da ich GVRP so noch nicht kannte habe ich mal nachgeschaut, und siehe:

"GARP VLAN Registration Protocol (GVRP) is a Generic Attribute Registration
Protocol (GARP) application that provides VLAN registration service by means
of dynamic configuration (registration) and distribution of VLAN membership
information."

Damit tut es etwa das, was bei CISCO VTP tut. Das ist für Faule, einmal VLAN
konfigurieren und husch - auf allen Switches da. Aus Security-Sicht eher
gruselig. Nur einsetztbar wenn man alle Infrastruktur und HW definitiv unter
eigener Kontrolle hat.

mfg Friedemann
Kay Martinen
2017-12-06 22:10:12 UTC
Permalink
Post by Friedemann Stoyan
Post by Kay Martinen
Ich frage mich auch noch ob ich dies GVRP brauche, und ob der SVL
Schalter an oder aus sein sollte. Bei einem Catalyst 2900 sieht das
alles ein bisschen anders aus...
"GARP VLAN Registration Protocol (GVRP) is a Generic Attribute Registration
Protocol (GARP) application that provides VLAN registration service by means
of dynamic configuration (registration) and distribution of VLAN membership
information."
Damit tut es etwa das, was bei CISCO VTP tut. Das ist für Faule, einmal VLAN
konfigurieren und husch - auf allen Switches da.
Ja, wenn es nur so wäre, Husch und auf allen Switches da. Beim Catalyst
2900 reichte es VTP Transparent zu setzen und es tut. Tut es hier mit
den Lancoms aber nicht. Im Gegenteil, wenn ich GVRP aktiviere ist der
Switch nach kurzer Zeit nicht mehr erreichbar. Und bis dahin konnte ich
eine Liste der verschickten und Empfangen Join/Leave/Registration-Pakete
(ansteigen) sehen, und eine Tabelle die mir zeigte das er die
VLAN-Zuordnung zu den Ports eigenmächtig änderte.

Was nur bedeuten kann...
Post by Friedemann Stoyan
Aus Security-Sicht eher
gruselig. Nur einsetztbar wenn man alle Infrastruktur und HW definitiv unter
eigener Kontrolle hat.
... das durch aktivieren von GVRP Dynamische VLANs aktiviert werden. Und
da gebe ich dir dann recht, das ist Gruselig - nicht nur aus
Security-sicht. Und ich hab die HW u.a. hier unter eigener Kontrolle.
Aber ich will statische Zuordnungen von Ports, VLANs und Tagged/Untagged.

Aber genau mit letzterem komme ich nicht über einen switch hinaus. Ich
habe zwei von diesen ES-2126+ und auf beiden die gleichen VLANS/IDs
eingerichtet. Und je einen Port pro gerät mit allen diesen VLANs. Aber
es gehen keine Pakete aus dem Gerät raus zum anderen. Und der Ping-test
im Switch behauptet die IPs die in einem dieser VLANs existieren seien
tot (nicht erreichbar) Aber andere IPs im Normalen LAN kann er erreichen.

Bei lancom las ich dazu eine Anleitung (1) für einen GS-1224 und etwas
von trunk-Ports. Nun hat der ES-2126+ Zwar ein Trunk-Menü. Aber dort
keine Möglichkeit zwischen Access- und Trunk-port um zu schalten. Da
geht nur LACP und Static und Active und Passive. Klingt für mich eher
nach Portbündelung und nicht Cisco-Like nach VLAN-Trunk.

Kann mir da jemand zur Klärung weiter helfen?

Idee nebenbei: Kann es sein das die VLAN-Sachen bei Lancom nicht
funktionieren wenn STP aus ist? Ich hatte beim Cisco meist STP an und
irgend wann mal bemerkt das STP buch führt - für jedes VLAN.
Müsste es nicht auch ohne gehen?

Kay

(1) =
https://www2.lancom.de/kb.nsf/1275/CEAF8A2B1B543DDFC12576F0002F6937?OpenDocument
Loading...