mehrere ips aus selben subnet auf einem interface

[yoghourt]

Tach Zusammen,

ich hab schon ne menge zu dem Thema recherchiert aber keine Lösung für folgendes Problem gefunden.

Ich habe 10 Kunden denen ich Opennet-Access über eine SDSL-Leitung verkaufen möchte. Jeder Kunde soll über Ethernet angeschlossen werden und eine feste offizielle IP bekommen. Diese soll jedem einzelnen über NAT zu verfügung stehen.

Ich möchte aber nicht jedem Kunden einen eigenen Router hinstellen müssen.

Ich habe einen 2651 mit zwei FE. Auf dem einen FE0/0 soll die Verbindung zu der SDSL hergestellt werden auf dem anderen (FE0/1) sollen die Kunden dran hängen.

Problem 1: Die Kunden dürfen sich nich gegenseitig in ihre Netze gucken können.

Lösung?: Jeder Switchport stellt ein separtes VLAN dar und kann sich nur auf den Port wo FE0/1 dran hängt konnektieren. Das Routing zwischen den Netzen liesse sich ja per Accesslisten ausschalten. Oder?

Problem 2: Das IOS akzeptiert nicht das zwei oder mehr Subinterface eine IP aus dem selben Subnet haben.

Ich hatte gehofft, dass ich je ein Subinterface ins selbe VLAN packen kann, und somit mehrere IPs aus dem selben Subnet verteilen kann...ging aba nich!!

Was schlagt ihr vor?


1000Dank im Voraus

[czappb]

Bitte...

Also du hast mehrere Externe IPs die du per NAT nach Intern bringen möchtest.
Also ich nehme mal an alle Externen-IPs sind im selben subnetz.

Dann konfigurierst du intern private ips aus verschiedenen subnetzen auf deine vlan-interface, und extern das offizielle subnetz. schreibst für die externen ips je ein static nat und fertig.

Das Routing läßt sich relativ einfach über access-listen regeln.

[yoghourt]

das funktioniert doch so nur, wenn ich ein komplettes subnetz auf den router lege, oder? das würde ich gern vermeiden und nur einige ips aus einem größeren subnetz nehmen.

das mit den privaten ips: mit verschiedenen subnetzen is klar...aber was is, wenn kunde-a und kunde-b beide die selbe private ip-range verwenden?

[fu123]

Zitat von yoghourt das funktioniert doch so nur, wenn ich ein komplettes subnetz auf den router lege, oder? das würde ich gern vermeiden und nur einige ips aus einem größeren subnetz nehmen. das mit den privaten ips: mit verschiedenen subnetzen is klar...aber was is, wenn kunde-a und kunde-b beide die selbe private ip-range verwenden?

Hi,

also den Bereich zum Provider wirst du mit Sicherheit subnetten. Wenn du 10 Addressen brauchst, dann hast brauchst du mindestens eine /28'er Subnetz, das hat dann 14 Adressen z.B. bei 192.168.1.0/28 wären das 192.168.1.1-14.

verstehe ich nicht. Du hast doch gesagt, die sollen sich nicht sehen und sind daher in verschiedenen Vlan's. Dann können sie ja auch nicht im selben Subnetz sein.


Fu

[Wurstbläser]

... das hört sich nach einem Fall für "private VLANs" an. Dort wären alle Interface im selben Subnetz, und mann könnte die Switchports trotzdem voneinander isolieren.

Du wolltest dieselbe IP auf verschiedenen Subinterfaces vergeben? das hab ich richtig verstanden? Es sollte also mehrfach dieselbe IP auf verschiedenen Interfaces des Routers auftauchen

Gruss
Robert

[daking]

Hola,

mit vrf klappt das


Ciao

[yoghourt]

Zitat von fu123 Hi, also den Bereich zum Provider wirst du mit Sicherheit subnetten. Wenn du 10 Addressen brauchst, dann hast brauchst du mindestens eine /28'er Subnetz, das hat dann 14 Adressen z.B. bei 192.168.1.0/28 wären das 192.168.1.1-14. verstehe ich nicht. Du hast doch gesagt, die sollen sich nicht sehen und sind daher in verschiedenen Vlan's. Dann können sie ja auch nicht im selben Subnetz sein. Fu

Okay, ohne neues Subnet vom Provider gehts also nich.

Klar sollen die sich nich sehen. Es könnte ja aber sein das Kunde-A in seinem bereits bestehenden Netz die IP-Range 192.168.1.0/24 verwendet und es bei Kunde-B genauso aussieht. Vschdehsde?

[fu123]

Hi,

also Setup sieht so aus:

inet - nat - subinterfaces - trunk - switch

Hört was kommt von draußen rein, geht über static NAT und landet dann auf einem Trunksubinterface.

Auf dem Switch sind die Server in verschiedenen Vlans. Wenn die auch noch in gleichen Subnetzen seien sollen, dann geht das vielleicht über eine policy. Jetzt so mal eben auf die Schnelle kann ich dir das nicht sagen. Frag noch mal in ein paar Monaten.

Fu

[yoghourt]

Zitat von daking Hola, mit vrf klappt das Ciao

könntest du dazu noch ein paar mehr worte verlieren?

1000dank

[yoghourt]

vrf war das Stichwort...damit klappts.
Allerdings hab ich jetzt das Problem, dass ich nur eine Verbindung bekomme auf dem Subinterface welches in dot1q native läuft.

Auf dem Switchport, wo die verschiedenen VLANs aus dem Router rauskommen kann ich ja nur ein VLAN untagged zuweisen. Alle weiteren nur tagged. Und es funktioniert immer nur das ungetaggde.

Gibts denn ne möglichkeit das die Pakete bereits aus dem Router ohne VLAN-Tags rauskommen? Mit nem Loopback-IF oder so?!?

Oder brauch ich nen Transfernetz?

Zur Info: Das Switch ist ein 3Com 3226 (Layer 3).


Danke