untagged Vlan auf Catalyst 3500 Series

[uwej]

Hallo zusammen,
ich müsste auf einem Cisco Switch der Serie Catalyst 3500 ein untagged Vlan einrichten. Da ich mich aber leider nur wenig auf Cisco Switchen auskenne, weiß ich nicht genau wie das funktioniert. Vielleicht kann mir hier ja jemand einen Tipp geben. - Vielen Dank im Voraus Uwe -

[Operator]

Versetz den Switch doch in den Ausgangszustand
Oder alternativ: Entferne alle VLAN Konfigurationen...

Untagged ist nämlich die Standardeinstellung.

Gruß
Andre

[daking]

Hola,

wenn ein Port ein access port (user port) ist, dann ist der Port untagged,d.h. er geht nicht von Packeten mit 802.1Q Header aus. Wenn du jedoch einen trunk port konfigurierst geht dieser von getagten Packeten aus, dadurch können über diesen Port meherer VLANs transportiert werden. Die Frage ist nun:

- willst du einen User Port konfigurieren dann:

interface xy
switchport host (makro für user port)
switchport access vlan xx (hier Vlan angeben)
=>
switchport mode access
switchport access vlan xx
spanning-tree portfast
no channel-group
(optional)
switchport nonnegotiate
spanningtree bpdufilter enable
!

- oder willst du das ungetagte VLAN auf einem Trunk definieren

interface xy
switchport trunk native vlan xy
!


Ciao

[uwej]

Erst einmal danke für die Infos, aber jetzt bin ich doch etwas verwirrt. Also das Problem ist folgendes: Ich soll einen www-Server, einen Mail-Server und eine Firewall in eine DMZ setzen , die in einem Vlan (untagged) stehen. Ich vermute, das es reicht, ein Vlan einzurichten und alle drei Gerät hinein zu bringen - also sozusagen die Standardversion benutze - oder?
Gruss Uwe

[daking]

Hola,

ich denke du willst ein eigenes VLAN für die DMZ einrichten, um es gegen andere VLAns zu schützen.

Auf den 3550 oder 3560 solte das so klappen:

- Step 1 : Vlan generieren (Layer 2):
!
vlan 99 (vlan id anpassen)
name DMZ
!

- Step 2 : Ports der Server in das DMZ VLAN nehmen:
!
interface xy
description --> Connected to Mailsserver@xx
switchport mode access
switchport access vlan 99
switchport nonegotiate
no channel-group
spanning-tree portfast
spanning-tree bpdufilter enable
!alle anderen Server wie oben

- Step 3 :

normalerweise solltest du dieses VLAN auf Layer 2 belassen, d.h. es gibt keine Routinginstantz auf dem 35xx. du nimmst einfach den "DMZ Port" der Firewall mit in das VLAN (config siehe oben). Soll jedoch der Zugriff auf die DMZ (vieleicht zu mgmt zweck) auch vom internen LAN gegeben sein, dann musst du hier ein Routerbeinchen konfigurieren..

benötigst du das?

[uwej]

Hallo, hört sich gut an und werde es morgen früh gleich mal so testen und mich dann wieder melden. Zunächst erst mal vielen Dank und eine gute Nacht - Uwe

[uwej]

Vielen lieben Dank für die Hilfe - hat alles bestens geklappt. Noch ein schönes Wochenende - Uwe