Vlan

[mr._oiso]

hi morte

Gegenfarge :

Von welchen zwei Router sprichst Du ?

Die beiden Switches sind keine Layer 3 Maschinen, mit denen Du nicht routen kannst.
Das Routing übernimmt nacher der 2621 Router !

Für die Vlan Trunk Verbindung der Switches benötigst Du nur ein Crossover von einem
der FastEthernet Port von einem Switch zum nächsten. Oder Du gehst über Gigabit !
Welcher 2900XL ist es ?
C2924-XL-EN
C2924C-XL-EN
C2912-XL-EN
oder sagar
C2912MF-XL
C2924M-XL-EN

?????


MfG

Mr. Oiso

[mr._oiso]

hi morte

O.k. ! Hatte übersehen !
C2924M-XL-EN

Hast Du in der oberen Expansion Slot Leiste überhaupt ein Modul stecken ?
Wenn ja, welches ?
Ansonsten must du eben nur ein Crossover von einem der 24 10/100 Ports darunter auf den 2950 stecken ! Und fertig !

Danach kannst Du dann konfigurieren !
Eben genau diese beiden fastethernet Ports !

interface fastethernet 0/x x=der Port auf welchem da Crossover steckt !

MfG

Mr. Oiso

[daking]

Hola,

wenn du eine solche Config realisieren musst (dynamische Vlans) solltest du eher auf Alcatel (Xylan) Hardware zurückgreifen, da diese HW GroupMobility unterstüzt. Mit dem Group Moblitity Feature kann ein Server ode Client gleichzeitig in verschiedenen VLANs sein.
Hier ein Beispiel:

Server mit IPX APPlE TAlk und Ip.

Durch das GP Feature werden Pakete für IPX ins VLAn 100 (IPX), Pakete für AppleTalk
in das VLAN 20 (AppleTalk) und für Ip in das VLAN 210 (Ip) geleitet!

Ciao

[Morte]

Hey zusammen,

nach langer Zeit melde ich mich noch mal zurück. War leider verhindert.

Nun zurück zum Thema. Ich habe nun den VTP, wie Mr.Oiso es beschrieben hat, auf den beiden Switchen (2900XL - Server; 2950 - Client) eingerichtet.

Beide Switche sind nun jeweils über einen der Ports mit einem Crosskabel verbunden.
Kann ich diese Verbindung irgendwie testen?

Nun ja... nun kann ich mich doch dran geben, die VLANs zu konfigurieren, richtig?
Das würde ich so machen:

vlan database
vlan 5 name name5
vlan 6 name name6
vlan 7 name name7
vlan 8 name name8
vlan 9 name name9

Dann müssten sie ja erstellt sein. Muss ich bei den VLANs weitere Einstellungen vornehmen?

MfG,
Swen

[mr._oiso]

Hi Morte

Wie in meiner Mail geschrieben, habe ich nachgesehen, ob der 2621XM Router mit
seinem IOS Vlan Routing via 802.1q unterstützt.
Ja, er macht es !
Auch Deine Konfiguration:
vlan database
vlan 5 name name5
vlan 6 name name6
vlan 7 name name7
vlan 8 name name8
vlan 9 name name9

ist richtig.
Du mußt nicht aber könntest nun natürlich noch diverse Parameter für die einzelnen Vlan's
konfigurieren. (z.B. MTU Size etc.)
In der Regel reicht es aber so aus, wie Du es gemacht hast.
Nun hoffe ich natürlich, dass Du die Trunk's zwischen den Switches via 802.1q konfiguriert hast, somit hast Du in etwa schon eine Ahnung, wie nun ein Trunk hin zum Router gebildet werden muss.

z.B.

interface FastEthernet0/27
switchport mode trunk

Dieses reicht auf einem 2950 völlig aus, um den Router an diesem Port 0/27 mit den Vlan's
zu versorgen.

Auf dem Router selbst sieht das dann nachher etwa so aus.

interface FastEthernet0/1
description ETE-Lan
no ip address
no ip mroute-cache
duplex auto
speed auto
!
interface FastEthernet0/1.1
encapsulation dot1Q 1 native
ip address 192.168.1.69 255.255.255.0
!
interface FastEthernet0/1.4
encapsulation dot1Q 4
ip address 10.10.1.1 255.255.255.0
!
interface FastEthernet0/1.5
encapsulation dot1Q 5
ip address 10.10.2.1 255.255.255.0
!
interface FastEthernet0/1.6
encapsulation dot1Q 6
ip address 10.10.3.1 255.255.255.0

Wie Du siehst, hat das Eth-Interface selbst keine IP-Addresse mehr.
Du erstellst einfach die von Dir erwähnten Sub-Interfaces und vergibst an ihnen die IP's für das entsprechende Vlan !
Wichtig ist hinter dem dot1Q (Vlan-ID) !
Wenn Du hier die ID 5 wählst, dan gilt das auch für Dein Vlan name5.
Anschließend richtest Du nur noch das Routing ein !
z.B.

router eigrp 111
network 10.10.1.0 0.0.0.255
network 10.10.2.0 0.0.0.255
network 10.10.3.0 0.0.0.255
network 10.10.4.0 0.0.0.255

Du kannst natürlich auch ein anderes Routingprotokoll nehmen.
Der Command "native" sollte hinter Vlan 1 stehen, da auf den Switches per default
das native Vlan = 1 ist.
Es sei denn, du hast ein anderes Vlan zum native Vlan gemacht, dann änderst Du das in der Config passend.

Jetzt sollte es so sein, dass Du von jedem Host im Vlan x das entsprechende Sub-Interface
des router's pingen kannst. Dieses wird dann sicherlich auch Dein def. Gateway aus dem
entsprechendem Vlan werden.
Ergo sollten auch die anderen Sub-Interfaces via ping erreichbar sein.

Ab jetzt kannst Du jedes Sub-Interface vom Router wie ein eigenständiges Ethernet Routinginterface für jedes Vlan nutzen.
Also auch ACL's anbinden etc.

MfG

Mr. Oiso

[Morte]

Hey zusammen,

nach einem längeren Seminar bin ich wieder zu Hause.
Ich habe ein Frage bezüglich des nativen VLANs, welches standardmäßig das Erste ist. Und zwar benötige ich 5 VLANs. Muss ich nun 5 weitere VLANs erstellen? Zum Beispiel 2, 3, 4 ,5 und 6! Oder reichen 1, 2, 3, 4 und 5 und ich kann das Einser mitbenutzen? Ich denke mal, dass ich es benutzen kann, oder nicht?

Liebe Grüße,
Swen

[Frank04]

Ja, das default-VLAN=id1 kannst Du mitbenutzen. Standardmäßig sind alle Ports im VLAN 1.
D.h. vielleicht ist hier ein Sicherheitsgedanke zu beachten.

[Morte]

Hey zusammen,

okay, die VLANs sind nun alle eingerichtet. Auf dem Router sind nun die Sub-Interfaces für jedes VLAN erstellt. Und wunderbar, die VLANs können sich untereinander anpingen.
Allerdings sollen nicht alle VLANs Zugriff untereinander haben. Das muss ich nun also mit ACLs lösen. Richtig?

Wenn ich 5 Netze habe:
- 192.168.1.0 VLAN 1
- 192.168.2.0 VLAN 2
- 192.168.3.0 VLAN 3
- 192.168.4.0 VLAN 4
- 192.168.5.0 VLAN 5

Dann sollen zum Beispiel VLAN 1 und 2 kommunizieren dürfen.
VLAN 1 mit dem VLAN 3. Aber VLAN 2 nicht mit dem VLAN 3.
VLAN 5 mit gar keinem.
usw.

Nun meine Frage... muss ich für jedes Subinterface eine eigene ACL anlegen? Oder kann ich alles in eine reinpacken und diese dem "Haupt"-Interface zuordnen, sprich Fastethernet 0/0 !?

Und kann mir vielleicht jemand dieses "in" und "out" für die Datenpakete erklären. Da habe ich im Moment meine Schwierigkeiten mit. Wenn die VLANs untereinander kommunizieren, ist das in oder out? Oder beides?

Liebe Grüße,
Swen

[mr._oiso]

Hi Morte,

lange nicht gesehen ! Ja, du kannst es via ACL's an den Subinterfaces lösen.
Nicht aber durch eine ACL am Hauptinterface !
Du solltes in jeder ACL klar definieren was und wer wohin darf !

Bei "in und out" mache Dir einfach eine Eselsbrücke !
In = inbound entspricht dem Traffic welcher in das Interface hinein muss,
Out = outbound entspricht dem Traffic welcher herraus muss.

ein Beispiel :

interface FastEthernet0/1.4
encapsulation dot1Q 4
ip address 10.10.1.1 255.255.255.0
ip access-group 110 in
!
interface FastEthernet0/1.5
encapsulation dot1Q 5
ip address 10.10.2.1 255.255.255.0
ip access-group 111 out

Hier bedeutet die "access-group 110 in", das in der ACL 110 der Traffic zu definieren ist,
welcher aus dem Vlan 4 herraus in jede andere Richtung muss/darf/oder verboten wird.

Die ACL an FastEthernet0/1.5 bedeutet, dass in ihr der Traffic definiert wird, welcher nach dem Routing Prozess noch in das Vlan 5 hinein darf/muss/ oder eben nicht.

Du merkst schon an der Formulierung, dass inbound ACL's den Router schonen.
Denn solltest Du gewissen Taffic nicht in Vlan 5 nicht hineinlassen wollen, dann sollte
man diesen auch an Vlan 4 schon droppen lassen um den Route Prozess nicht unnötig
zu belasten. Wenn er aber nach Vlan 1 muss, dann must Du ihn schon reinlassen ...
in den Router !

Hope this works !

MfG

Mr. Oiso

[Morte]

Hi Mr. Oiso

vielen Dank für deine Antwort. Aber ich glaube du hast dich widersprochen. Denn bei der Eselsbrücke meinst du, dass IN den Traffic bezeichnet, welcher in das Interface hinein muss. Später im Text schreibst du allerdings bei IN, dass dies der Traffic ist, der aus dem VLAN raus, sprich aus dem Interface raus muss. Oder verstehe ich das immer noch falsch?

Ich habe da jetzt etwas getestet. Und zwar folgendes:
Ich habe 5 Subinterfaces mit je einem PC angeschlossen. Alle können sich gegenseitig anpingen. Ist ja auch erst mal richtig so. Nun sollen sich aber nur Subinterface 0/0.1 (VLAN1) und Subinterface 0/0.2 (VLAN2) anpingen können. Die restlichen nicht. Nun habe ich für Subinterface 0/0.1 eine IN-ACL angelegt. Sie ist zwar kurz, aber erst mal klappt es:

access-list 121 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 121 deny ip any any

Nun kann VLAN1 (192.168.1.0) das Netz VLAN2 (192.168.2.0) anpingen. Ist auch gut so. Nun muss ich ja definieren dass sich das Netz untereinander anpingen kann. Und was sollte man sonst noch in diese ACL einbringen? Sie sieht so knapp aus. Wenn ich andere ACLs sehe, die sind immer so komplex.

Und dann habe ich noch eine Frage. Und zwar müssen 2 VLANs ins Internet kommen.
Für den DSL Zugang habe ich folgende Config:

vpdn enable
!
vpdn-group 1
request-dialin
protocol pppoe
!
interface FastEthernet0/0
description ADSL Anschluss
no ip address
ip nat outside
pppoe enable
pppoe-client dial-pool-number 1
!
interface FastEthernet0/1
description internes LAN
ip address 192.168.1.0 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
encapsulation ppp
no ip mroute-cache
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username <t-online-nummer>@t-online.de password xxx
!
ip nat inside source list 1 interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
dialer-list 1 protocol ip permit
!
access-list 1 permit any

Wie kann ich nun den 2 VLANs Internet geben? Im Grunde doch nur die Angaben, die unter FastEthernet0/1 stehen, in die beiden Subinterfaces eintragen!?
Und wie sieht es hier mit der ACL für das Internet aus? Was sollte man standardmäßig sperren? Da gibt es doch bestimmt Sachen, die immer gesperrt werden sollten.

MfG,
Swen