Franz2

Wir reden eh vom selben.

Wenn du in der ACL 110 vor

access-list 110 permit ip 192.168.100.0 0.0.0.255 any

access-list 110 permit ip 10.10.10.0 0.0.0.255 any

access-list 110 permit ip 10.10.12.0 0.0.0.255 any

deny ip Client Netze -> VPN Netz konfigurierst, wird dieser Traffic nicht genattet.

Du kannst es aber auch über die Route-map machen

Eine ACL erstellen zb 199

permit ip Client Netze -> VPN Netz

route-map NAT_DSL deny 5

match ip address 199

lg franz

Ich denke mal jetzt funktioniert dein Internet Zugriff für die Clients nicht mehr.

Du mußt in der nat ACL den VPN Traffic verbieten (deny).

PC1 und 2 können auf jeden Fall ein Packet zu PC3 und 4 senden.

PC1od2 macht einen arp request da die IP im selben netz ist.

Er bekommt einen arp response und hat damit alle notwendigen Daten für ein Packet zu PC3od4

Eine Richtung funktioniert schon mal.

Für den Traffic PC3od4 zu PC1od2 ist Hilfe vom default Gateway notwendig.

Das Retour Packet befindet sich in einem anderen Subnet. Daher wird das Packet zum Gateway gesendet. Ob die Verbindung zustande kommt hängt also vom Gateway ab.

@Ich würde dir unbedingt empfehlen die Topologie zu ändern.

:-)

lg franz

Du könntest GRE Tunnel nehmen.

Point-to-Point GRE over IPsec Design Guide - Point-to-Point GRE over IPSec Design and Implementation [Design Zone for WAN/MAN] - Cisco Systems

Meiner Meinung nach hat der Tunnel auf einem L3 Switch ist nichts verloren.

Wird vermutlich auch nicht funktionieren.

Ich denke das passt besser zu einem Router oder Firewall.

Vielleicht kannst du die Situation erklären. Warum kein Routing. Wie sind die beiden Lokationen verbunden.....?

lg Franz

Teste bitte nochmal.

Vorher "term mon" ->

debug ip icmp

ping heise.de

traceroute heise online

danach

telnet heise online 80

lg Franz

Du brauchst keine Angst haben das der DHCP Server Clients im normalen Vlan Addr. aus dem neuen Pool vergibt.

Der Switch sendet einen Request mit der IP die am Interface konfiguriert ist an dem der Request vom Client empfangen wurde.

Der Server kann dadurch den richtigen Pool zuordnen.

Du mußt dem neuen Pool dann den richtigen Gateway zuordnen.

IP des Switches im jeweiligen Vlan. weiters Wins, DNS usw. (wie im ersten Pool).

Du solltest auch bedenken das alle Devices das neue Netz erreichen können.

Das heisst wenn z.B. irgend ein Server nicht den Switch als Gateway hat kann er das neue Netz nicht erreichen.

lg Franz

Zuerst mal Sorry :-) Hab deinen Beitrag nicht genau durchgelesen.

Die Konfig sieht recht gut aus.

Mach mal ein Sh ip int brief und sh ip Route sobald du eine Internet Verbindung hast. Danach einen Trace auf eine Offizielle Seite.

lg Franz

Ändere im Dhcp Pool die DNS Server IP auf den DNS Server vom Provider.

ip dhcp pool LAN

dns-server x.x.x.x

2tens

ip http secure-server

lg Franz

Die Ports zum 3Com würde ich nicht nicht fix einstellen.

Ich denke das sich der 3Com sonst auf 100 oder 10 half stellt.

Am besten aber ausprobieren. Ein paar mal aus und anstecken.

Testen ob die Auto Negotiation funktioniert.

Auf den Ports zu den Clients würde ich spanning-tree portfast und bpduguard aktivieren.

Innerhalb der Cisco Umgebung wirst du denke ich mal keine Probleme haben.

Falls du die Ciscos nur mit einen port am 3Com ansteckst sollte alles funktionieren.

lg franz

Es kommt darauf an ob ihr ein vernünftiges L3 device habt das zwischen den Netzen Routet.

Wenn ihr einen L3 Switch habt dann würde ich mehrere Vlan machen.

lg franz

Ich denke das es mit den 1841 er auch geht.

Einfach Load Balancing per destination IP machen. Z.B. alle geraden IP's auf Leitung 1 und der Rest auf Leitung 2. Der retour Traffic sollte auch kein Problem sein da ja über die jeweilige offizelle IP genatted wird.

Mittels SLA Monitor und Route Track machst du das failover und load-balancing.

Habe es aber noch nicht ausprobiert. Bin aber Mo wieder im Büro und habe vielleicht Zeit zum testen.

Falls es vorher wer macht bitte um RM.

lg Franz

Punkt 2.

Keiner deiner Ciscos kann Routen. Allso mußt du eine Firebox als Router nehmen.

Eine mögliche Topologie wäre.

Alle Server auf den 3Com. Eigenes Server Lan. Verbindung 3Com und Cisco über die Firebox.

Vorteil: Cisco und 3Com getrennt.

Nachteil: Nur 100MB zwischen Client und Server Lan.

2 Möglichkeit.

3Com als Zentral Switch.

Alle Cisco mit einem Interface am 3Com angebunden.

Vorteil: Bessere Performance (Nur die Clients auf einen Switch teilen sich 100MB)

Nachteil: schlechtes Troubleshooting,

2 verschieden Hersteller, kann bei der Implentation zu Problemen führen (spanning-tree, port settings...)

3 Möglichkeit:

Du Investierst z.B. 580 Euro (excl.) für einen gebrauchten L3 Switch

http://www.venelin.com/public/Stock_Price_List.xls

Catalyst WS-C3550-12T 10x 10/100/1000T + 2x GBIC Ports

Dann kannst du einen L3 Port zum 3Com machen (eigenes Subnet, keine Probleme mit spanning tree usw.)

Weiters einen L3 Port zur Firewall.

Bleiben 8 Ports über um die anderen Switches anzubinden.

Du hast auch noch 2 GBIC Slots übrig. Vielleicht gibt es noch eine Gbic dafür.

Dann hättest du für jeden Switch 2 Ports zur Verfügung.

Du kannst dann nach Lust und Laune Vlans machen.

Es sind auch Port-Channels möglich.

Würde mir auf alle Fälle am besten gefallen.

Es werden aber noch ein paar Problemchen auf euch zukommen.

Einfach nur zusammenstecken wird nicht reichen.

Die Implementation erfordert etwas Erfahrung mit den Cisco Switches.

Weiters sind die 3550 schon etwas aus der Mode (out of sale). Vielleicht gebt ihr etwas mehr für einen neuen L3 Switch aus. 3560 oder 3750.

Als Notlösung sollte der 3550 aber reichen.

lg Franz

Befinden sich die Server und Switches im selben Vlan ?

Wenn nein: Welches Device macht das Routing zwischen den Netzen.

Den 3Com würde ich wenn möglich nicht verwenden.

Gründe:

1.) Nicht managebar

2.) Spanning Tree kompatibel ?

3.) Verschiedene Hersteller.

Ich denke deine Frage passt besser ins Cisco Forum.

lg Franz

wo liegt IN?

Hab ich noch nie gehöhrt.

lg Franz

Hallo,

Wenn du einen L3 Switch hast kannst du die redirects abdrehen.

Am Vlan Interface zum Inet Router

no ip redirects.

Dann sollte es keine Problem mehr geben.

Ich würde dir auch ein eigenes Transfer Vlan zum Internet Router empfehlen.

Das würde die Topologie vereinfachen. Die ganze Geschichte mit Redirects proxy-arp und den statischen Routen wäre Geschichte.

proxy-arp würde ich auf keinen Fall verwenden. Du hast dann für jede IP einen ARP Eintrag.

Proxy ARP [iP Addressing Services] - Cisco Systems

Ich würde ein eigenes Transfer Netz machen.

lg Franz

Hallo,

Ich sehe für dich 3, eventuell 4 Möglichkeiten.

1.)

Du Kaufst dir einen Router den du zwischen deinem Switch und dem Hausnetz ansteckst. Dieser muß dann deine IP' s über die private vom Hausnetz Routen.

Dadurch wird dann vermutlich 2 mal PAT ins Internet verwendet.

Das ist nicht zu empfehlen. Eventuell ist es möglich das du vom Hausnetz soviele Addr. bekommst wie du selbst in deinen Netz verwendest. Dann sollte es durch das Nat auf deinen Router keine Probleme geben.

1b.)

Der Betreiber des Hausnetz nattet deine interne IP statisch über eine externe,

Dan sollte es auch funktionieren

2.)

Der Betreiber des Hausnetzes richtet auf seinen Switches und am Internet Router ein Vlan ein und trennt dadurch am Internet Router und den Switches dein Netz und das Hausnetz. Zusätzlich sollte er dann noch mittels ACL am Internet Router dein Netz und das Hausnetz voneinander trennen.

Also bist du eigentlich auf den Betreiber deines Hausnetzes angewiesen.

3.)

Du besorgst dir eine ASA. Steckst sie Zwischen Hauslan und deinem Lan. Stellst sie auf Transparent. Gibst deinen Clients Addr. aus dem Hauslan und sperrst mittels ACL alle Zugriffe von und zu den Hauslan Clients.

4.) Eventuell kannst du auch auf dem 35xx IP ACL machen. Weiß leider nicht ob dein Switch das unterstützt.

Einfach die ACL aufs interface zum Hausnetz Switch.

lg Franz

um dir zu helfen brauchen wir noch ein paar infos.

Ist der 3500XL der einzige Switch. Oder sind im Hausnetz auch noch mehrere.

Wer konfiguriert den Router für den Internetzugang. Dürfen die Clients aus dem Hausnetz auch ins Internet.

Erkläre bitte kurz die Situation.

lg Franz

Hallo,

Was für eine Hardware ist dein CISCO.

Wie groß ist die Internet Bandbreite?

Könnte eventuell ein Performance Problem am Cisco sein.

Falls redirects nicht erlaubt sind.

Mit no ip redirect geht jedes Packet zum Cisco und wird dann wieder zum Linksys gesendet. Dadurch wird der Cisco mit diesen Traffic belastet.

ICMP redirect ist also in deinem Fall meiner Meinung nach besser.

Proxy arp würde ich dir nicht empfehlen

lg franz

Wenn du dir mit dem Subinterfaces leichter tust, stell dir vor es gibt einen virtuellen Router im Switch und die interface Vlan' s sind die Sub Interfaces

lg Franz

255.255.255.0 = 0.0.0.253 ist mir neu.

Kannst du das näher erläutern.

lg Franz

Mit der ASA kannst du den Rechner sicher herausfinden.

Hast du Zugriff auf die ASA?

Wenn ja, wechsle ins Cisco Forum.

lg Franz

Ich würde dir aus Performance Gründen auf jeden Fall einen L3 Switch empfehlen.

Vielleicht kann einer eurer Switches schon L3

lg Franz

Ich vermute mal es hat irgendwas mit proxy arp zu tun. Kannst du die config mal posten.

!! natürlich ohne ACL Passwörter und offizellen IP Addr. NAT sollte schon dabei sein.

lg Franz:)

Hallo Cyrrus,

Ich würde den SLA Monitor verwenden.

Damit kann man zb. Automatisch in einem vordefinierten Intervall einen Ping absetzen.

Cisco IOS IP SLAs Configuration Guide, Release 12.4 - IP SLAs--Analyzing IP Service Levels Using the ICMP Echo Operation [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems

lg Franz