Netzwerk Problem

[pastors 10]

Guten Morgen zusammen,

ein Kollege von mir hat ein Problem bei einem Kunden. Die Ausgangsstellung war dabei folgende. Der Kunde hat bisher 2x D-Link Switche mit je 24 Ports unmanaged. Auf anraten des Datenschutzbeauftragten soll zur Erhöhung der Sicherheit alles in VLans aufgeteilt werden. Bei diesem Fall

 

Vlan:

100 - Geschäftsführung

200 - Buchhaltung

300 - Voip

400 - Vertrieb

500 - Server

 

Da der Kunde vor Jahren Cisco 3560 gekauft hat, möchte er diese verwenden. Sind auch für seine zwecke geeignet. Die VLans sind auf beiden Ciscos gleich eingerichtet.

Die Umstellung verlief in zwei Schritten.

Im ersten Schritt wurde ein Cisco voll mit dem VLans Vertrieb und Voice bestückt und mittels Uplink an den verbleibenden D-Link übergeben. Hat tadellos funktioniert. Auf dem verbleibenden D-Link befinden sich noch 4-Ports im VLAN 300 und 400 (sind über switchport voice etc. verbunden), 8 Ports im VLan 500 und 2 Ports für das Versatel MPLS.

 

Ein Server ist dabei als Softwarerouter konfiguriert. Dieser hat 2 Netzwerkkarten. Eine für Server und eine für den Vertrieb. Dieser hat noch weitere Aufgaben wie AD,DNS,DHCP,Backup, etc. also ziemlich überladen.

 

Nun zum vorgehen:

Die beiden Switche wurden an ihren Gigabit Interfaces gekoppelt mit:

switchport mode trunk
switchport trunk encapsulation dot1q

 

Die Server im VLAN 500 (Beispiel)

interface fastethernet 0/6
switchport mode access
switchport access vlan 500

 

Die beiden Ports für MPLS

switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed 1,100,200,300,400,500

 

Das Problem ist nun, die MPLS Router sind nicht erreichbar. Kann es daran liegen, dass diese die neuen VLans nicht kennen oder stimmt mit der Konfig was nicht???

 

 

 

Wäre super wenn jemand weiterhelfen könnte :)

[Otaku19 33]

was sollen die die beiden Ports für MPLS sein ? da muss schon die gegenseite auch trunken können. Sicher das das dann nicht ein access Port sein sollte ?

[pastors 10]

Hallo,

nach einem Telefonat mit Versatel stellte sich heraus, dass keine VLANs ihrerseite konfiguriert sind.

Naja, dann sollte es mit switchport mode access klappen.

 

 

Viele Grüße

[bernd.zschill 10]

Hallo,

so toll ist die Idee nicht. Im access mode bedient er nur ein vlan, ohne weitere Angabe default vlan, der rest bleibt auf der Strecke, altenativ die vorherige Trennung wird aufgehoben.

In dem Umfeld kann der 3560 aber gut einen Router darstellen, der die vlan und das SERSATEL- Teil routed.

[pastors 10]

Hm, steh grad auf dem Schlaub. :(

Kannst du mir einen Tipp geben? Also am Versatel Router kann nur das Vlan-1 angenommen werden. Wie kriege ich die anderen Vlans auf Vlan -1 umgebogen? :confused:

 

 

Viele Grüße

 

Mike

[Otaku19 33]

bei einem Accessport (den du jedem VLAN zuordnen kannst) bekommt das Gegenüber NICHTS mit das der Switchport in einem VLAN hängt.Selbstverständlich geht dann nur eine VLAN Zugehörigkeit.

Wen Telnehmer aus anderne VLANS an den Versatelzugan "ran" müssen,dann muss ein Gerät zwischen den VLANs routen

[bernd.zschill 10]

Hallo,

ein kleines IP-Konzept entwickeln, subneting per IP-subnetz calculator die Adressbereiche bestimmen. Da Provider in der Regel ein privates Netz mit 24-Bit Netzmaske bereitstellen, der Router local die Adresse 193.168.0.1 /24 (mal nachschauen) führt, kann dieses Netz gut in 8 Subnetze zu je 30 Host geteilt werden. Die Sache ist in jeden fall mit dem Serveradmin (DHCP ranges und Optionen müssen mit dem Subneting des LAN in Übereinstimmung sein) abzustimmen.

 

die config könnte dann etwa so aussehen (ohne policy per ACL , vlan access-map usw.):

 

ip routing

 

interface vlan 1 (Vlan in dem Versatel - Interface stehen)

ip address 192.168.0.2 255.255.255.224

no shutdown

 

interface vlan 100

ip address 192.168.0.33 255.255.255.224

ip helper address (Ip des DHCP-Servers)

no shutdown

 

Interface vlan 200

ip address 192.168.0.65 255.255.255.224

ip helper address (Ip des DHCP-Servers)

no shutdown

 

usw.

ip route 0.0.0.0 0.0.0.0 192.168.0.1 (locale IP des Versatel)

 

dem Voice Vlan solltest Du ggf. ein Qos mitgeben, Cisco bietet da eine "vorgefertigte Lösung" VOIP im config menue.

Aber dazu besser noch das Manual lesen und die lokale VOIP Lösung genau betrachten. QoS ist nicht ganz problemfrei.

 

Gruß

Bernd

[pastors 10]

Hallo Bernd,

war heute mit einem Kollegen vor Ort. Er hatte einen kleinen denkfehler. Zum Beispiel sah seine Konfig so aus:

 

interface vlan500
ip address 192.168.100.0 255.255.248.0
description Server VLAN

interface fastethernet 0/24
ip address 192.168.100.1 255.255.248.0
description Uplink zum Versatel Router


ip route 0.0.0.0 0.0.0.0 192.168.100.1

Das kann nicht funktionieren. Klar, intern das erreichen der unterschiedlichen VLANs und deren Hosts klappte. Aber zum Versatel Router kam er nicht :D

 

Viele grüße

[bernd.zschill 10]

Hallo Pastors,

ich hoffe, Ihr habt es hinbekommen und es läuft jetzt.

 

Wichtig ist die Vorbereitung, das IP-Konzept. Durch die Anzahl der Adressen in den einzelnen VLAN werden die Netzmasken bestimmt. Mit einer zu großen Netzmaske wird die vorherige Teilung wieder aufgehoben.

 

Mit einen kleinen Hilfsmittel, wie einen Kalkulator, fällt der Fehler schon beim Konzept auf (es geht auch per Hand, ist aber aufwendiger).

Gruß

Bernd

[pastors 10]

Hallo Bernd,

hat funktioniert doch nun kommt noch eine Backupleitung dazu. Am Interface 23 und 24 hängen 2 Router der Versatel die mittels HSRP eine IP haben (192.168.200.2, 192.168.200.3 und HSRP 192.168.200.4). Doch wie müssen diese nun angesprochen werden? Wie bereits geschrieben, die Versatel Router kennen die VLANs im Netz noch nicht.

 

interface vlan500
ip address 192.168.100.1 255.255.248.0
description Server VLAN

interface vlan600
ip address 192.168.200.1 255.255.255.248
description Uplink zu Versatel

interface fastethernet 0/23
switchport access vlan600
description Uplink zum Versatel Router -1

interface fastethernet 0/24
switchport access vlan600
description Uplink zum Versatel Router -2

ip route 0.0.0.0 0.0.0.0 192.168.200.4

 

Ist das so korrekt?

 

Ein Server im VLAN600 hat als GW die 192.168.100.1. Ein ping zu google geht zu 192.168.100.1 über 192.168.200.1 zum Versatel Router im Vlan600.

Weiß nicht, aber irgendwie passt was nicht :(

 

Hat jemand noch einen Tipp?

 

Viele Grüße und vielen Dank an alle :)

 

Mike

[bernd.zschill 10]

Hallo,

bin wieder im Land.

Auf den ersten Blick sollte es funktionieren, wenn der ping bis zu google ging.

Ich gehe davon aus, dass es ein tracerroute/tracert war, der zeigt nur die Hardware-Adressen auf dem Wege zum Ziel, nicht verfügbare virtuelle Adressen. Auf einem Ping auf die IP-Adressen sollten die beiden Teile und die Virtuelle Adresse antworten.

 

Im Weiteren ist von einer Backup-Leitung die Rede. Wenn kein Loadbalancing gekauft wurde, kann sie im Standby liegen oder aber Sende- und Empfangsrichtung werden verteilt. Genaueres siehst Du über mit einem Free-Sniffer(Wireshark o.ä.) am Monitor-/Mirrorport (musst Du noch konfigurienen).

 

Mit einer harten Prüfung (abwechselnd Netzstecker ziehen) wird der Kunde nicht einverstanden sein.

 

Gruß

Bernd

[rob_67 10]

Hi,

 

wie routen die versatel Router ins 192.168.100.er Netz?

 

Gruss

 

 

rob