Inter VLAN Routing

[ThorstenWilli]

Problem:

Ich habe einen Cisco Catalyst 3550 48 Port mit IOS 12.1.
Ich möchte jeweils 16 Ports einen VLAN zuordnen.
Das ist soweit kein Problem die VLAN-Adressen sind
VLAN 1 -> 174.168.0.2
VLAN500 -> 174.168.10.2
VLAN600 -> 174.168.20.2

Ich hab auch 2 dhcp's auf dem 3550 laufen die dem vlan 500 und 600 automatisch
die Adressen vergeben.
Jetzt zu meinem eigentlichem Problem:
Ich würde gerne vom VLAN500 ins VLAN600 kommen aber nicht anders herum.
Hat folgenden Grund: Das VLAN 500 soll ein Management VLAN sein indem Admins
sind die Zugriff auf die PC's der USER im VLAN600 benötigen.
Sollte doch über INTER VLAN zu bewerkstelligen sein.
Würde mich über Antworten freuen
MfG
Klinkhammer

[Blacky_24]

Mach doch einfach eine entsprechende ACL.

Gruss
Markus

[aengel4111]

Hallo

Ein paar Infos mehr wären nicht schlecht.

Grundsätzlich könntest Du eine IP jeweils auf die VLans legen und diese dann am Client als Standard Gateway stellen. Die IPs auf den VLans müssen natürlich entsprechend dem Segment der Clients im Vlan sein. Und dann eine ACL drauf. Wäre relativ einfach gemacht.
Letztendlich fehlt dann evtl. noch eine Route raus ins Inter bzw. Intranet wenn benötigt.

Andreas

[amathar]

Hmm, also wenn man ein echtes mngt net bauen will, würde ich das ehrlich gesagt nicht mit einem packet filter auf Basis von IOS machen. Für solche Sachen vertraue ich nur ner Firewall, die ein Interface im management net hat und eines im anderen Netz und passend routet. Welche FW man da nimmt ist da immer Geschmachssache, z.B. auf Basis von Linux oder besser OpenBSD.

Gruß
Peter

[Blacky_24]

Genau.

Da kauft man sich für zig tausende Euros einen L3-Switch mit allem Tatütata und einer Backplane die non blocking und wirespeed kann und stellt nebendran eine Bastelbüchse damits auch ja schön langsam wird.

Muss ich nicht verstehen.

Gruss
Markus

[amathar]

Oh ha, da habe ich ja in ein Nest gestoßen. Schade. Für Linux User ist Windows das letzte, für Windows User sind alle Unix Derivate Mist und für Cisco Admins ? Nunja, egal. Nur alles als Bastellösung zu beschreiben ist schon argh.. Genua Firewall = OpenBSD hat BSI E3 hoch... Alles Weitere lasse ich mal lieber.

Peter

[starfoxx]

Hi,

leute ich glaube alles hat seine Vor- und Nachteile. Deswegen braucht man sich ja nicht gleich bekriegen :-) oder?
Also als Packet - Filter ist OBSD bestimmt nicht schlecht.

greetz
starfoxx

[ThorstenWilli]

Ich habe jetzt eine ACL geschreiben access-list 101 deny ip 174.168.10.0 0.0.0.255 any.
Bei nem ping bekomm ich jedoch die Meldung "Zielhost nicht erreichbar". Es muss doch ne einfache Lösung geben für von vlan 500 ip 174.168.10.0 255.255.255.0 in vlan 600 ip 174.168.20.0 255.255.255.0 zu kommen ohne nen Router oder ne Firewall einzusetzen.
ip routing ist an.

Ich weiß das das "Routen" ausschlißlich mit layer3 Switchen wie in meinem Fall keine Glanzlösung ist, aber was willst du machen wenn du nix anderes bekommst ?!?

[ThorstenWilli]

Hier mal meine Config. Danke schon mal im Voraus.

Current configuration : 7246 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Test_1
!
enable secret 5 <removed>
!
ip subnet-zero
ip routing
ip dhcp excluded-address 174.168.20.0 174.168.20.10
ip dhcp excluded-address 174.168.10.0 174.168.10.10
!
ip dhcp pool V500
network 174.168.10.0 255.255.255.0
!
ip dhcp pool V600
network 174.168.20.0 255.255.255.0
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
!
!
!
interface FastEthernet0/1
switchport access vlan 500
switchport mode access
switchport port-security
switchport port-security maximum 2
switchport port-security mac-address 0010.a4bf.2a87
switchport port-security mac-address 0010.a4bf.fd56
speed 100
duplex full
spanning-tree portfast
!
interface FastEthernet0/2
switchport access vlan 500
switchport mode access
switchport port-security
switchport port-security aging static
switchport port-security mac-address 0010.a4bf.fd62
speed 100
duplex full
spanning-tree portfast
!
interface FastEthernet0/3
switchport access vlan 500
switchport mode access
speed 100
duplex full
spanning-tree portfast
!
interface FastEthernet0/4
switchport access vlan 500
switchport mode access
speed 100
duplex full
spanning-tree portfast
!
< gekürzte Ausgabe>
!
interface FastEthernet0/47
switchport access vlan 600
switchport mode access
speed 100
duplex full
spanning-tree portfast
!
interface FastEthernet0/48
switchport access vlan 600
switchport mode access
speed 100
duplex full
spanning-tree portfast
!
interface GigabitEthernet0/1
switchport mode dynamic desirable
!
interface GigabitEthernet0/2
switchport mode dynamic desirable
!
interface Vlan1
ip address 174.168.0.2 255.255.255.0
!
interface Vlan500
ip address 174.168.10.2 255.255.255.0
!
interface Vlan600
ip address 174.168.20.2 255.255.255.0
!
ip default-gateway 174.168.0.1
ip classless
ip http server
!
access-list 101 deny ip 174.168.10.0 0.0.0.255 any
snmp-server community <removed> RO
!
line con 0
password <removed>
login
line vty 0 4
password <removed>
login
line vty 5 15
login
!
!
end

[Wordo]

Zitat von amathar Oh ha, da habe ich ja in ein Nest gestoßen. Schade. Für Linux User ist Windows das letzte, für Windows User sind alle Unix Derivate Mist und für Cisco Admins ? Nunja, egal. Nur alles als Bastellösung zu beschreiben ist schon argh.. Genua Firewall = OpenBSD hat BSI E3 hoch... Alles Weitere lasse ich mal lieber. Peter

Also fuer n paar DROP's halt ich ne extra Firewall bisschen over-sized. Da langweilt sich sogar ne Cisco