Hilfe bei Konfiguration benötigt (Fortgeschritten)

[Lausebub 10]

Hallo @all,

 

ich hoffe mir kann jemand weiterhelfen :)

Ich möchte demnächst ein Netzwerk konfigurieren bin mir aber in der Konfiguartion nicht so ganz sicher ob das alles so klappen wird.

 

Hier das Vorhaben (siehe Anhang Bild "Netzwerkplan"):

 

Ein Netzwerk mit einigen Clients (PC) und Telefonie (VoIP) soll getrennt werden und in verschiedene VLAN`s gepackt werden.

DHCP spielt keine Rolle da ALLE Clients (PC`s und Phone`s) die IP fest vergeben bekommen. Alle PC Client`s haben jedoch schon einen festen Default-Gateway (10.10.2.5) Eintrag welchen ich nicht mehr ändern kann.

Ein Management VLAN dient zur bequemen remote Konfiguration am Arbeitsplatz. Die Telefone werden zwischen PC und Switch geschalten.

Ich habe keine Fragen zu VTP, STP oder anderen Sachen wie der Firewall-Konfig. mir geht es einzig und allein um die VLAN Konfiguration wo ich mir unsicher bin, da ich dies längere Zeit nicht gemacht habe.

Internet Zugang soll jeder PC Client bekommen. Der Server ist ebenfalls im selben VLAN und auch dort darf jeder Client unbegrenzten Zugang haben.

 

Netzwerk:

 

VLAN 1 ( Management ) 10.10.1.0 /24

VLAN 2 ( Daten ) 10.10.2.0 /24

VLAN 3 ( Voice ) 10.10.3.0 /24

 

Könnte mir jemand sagen ob meine Konfigurationsangaben so passen würden?

Habe leider keinen Config-Output da ich es wiegesagt erst noch konfigurieren will und keine Testumgebung habe.

 

Im Anhang ist der Netzwerkplan und hier meine Konfiguration wie ich es mir dachte:

 

Layer 2 Switch ( 2960 )

 

1)

Switch(config)#vlan 2

Switch(config-vlan)#name Daten

Switch(config)#vlan 3

Switch(config-vlan)#name Voice

Switch(config)#interface Vlan 1

Switch(config-if)#ip address 10.10.1.2 255.255.255.0

Switch(config-if)#no shut

Switch(config)#ip default-gateway 10.10.2.5

 

2)

Switch(config)#interface fastethernet 0/1

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 2

Switch(config-if)#switchport access voice vlan 3

Switch(config-if)#no shut

 

3)

Switch(config)#interface fastethernet 0/24

Switch(config-if)#description Uplink_zu_3750

Switch(config-if)#switchport trunk encapsulation dot1q

Switch(config-if)#switchport mode trunk

Switch(config-if)#no shut

 

 

 

Layer 3 Switch ( 3750 )

 

4)

3750(config)#vlan 2

3750(config-vlan)#name Daten

3750(config)#vlan 3

3750(config-vlan)#name Voice

3750(config)#interface Vlan 1

3750(config-if)#ip address 10.10.1.1 255.255.255.0

3750(config-if)#no shut

3750(config)#interface Vlan 2

3750(config-if)#ip address 10.10.2.5 255.255.255.0

3750(config-if)#no shut

3750(config)#ip routing

3750(config)#ip default-route 0.0.0.0 0.0.0.0 20.20.0.1

 

5)

3750(config)#interface fastethernet 0/46

3750(config-if)#description Uplink_zu_Switch

3750(config-if)#switchport trunk encapsulation dot1q

3750(config-if)#no shut

 

6)

3750(config)#interface fastethernet 0/1

3750(config-if)#switchport mode access

3750(config-if)#switchport access vlan 2

3750(config-if)#no shut

 

7)

3750(config)#interface fastethernet 0/2

3750(config-if)#switchport mode access

3750(config-if)#switchport access vlan 3

3750(config-if)#no shut

 

8)

3750(config)#interface fastethernet 0/48

3750(config-if)#description Uplink_zu_Firewall

3750(config-if)#no switchport

3750(config-if)#ip address 20.20.0.2 255.255.255.0

3750(config-if)#no shut

 

 

 

Firewall

 

9)

ASA(config)#interface fastethernet 0/1

3750(config-if)#ip address 20.20.0.1 255.255.255.0

3750(config-if)#no shut

 

 

Ich hoffe mir kann jemand sagen ob das soweit in Ordnung ist da ich mir mit den VLAN Interfaces sehr unsicher bin, insbesondere wegen dem Voice Vlan.

 

Grüße und Danke

Lars

[blackbox 10]

Hallo,

 

auf die schnelle durchsicht fällt auf :

 

1) Das Default GW wird nicht klappen - ein Gateway muss immer in der Range des Netzes liegen, aus der der Client eine IP hat (sollte bekannt sein) (und der Switch hat ja die IP vom VLAN 1)

 

3) Den Befehl kennt der 2960er nicht und das DOT1Q ist somit default gesetzt

"switchport trunk encapsulation dot1q"

 

5) Wenn du schon den Trunk Type setzes (braucht der 3750er auch) - dann aber bitte auch in den "switchport mode trunk"

 

Rest müsste ich nochmal in Ruhe schauen

[Lausebub 10]

Hallo blackbox,

 

danke für die Antwort.

 

zu den Punkten:

 

1) das Default-Gateway sollte dann also auf das Interface Vlan 1 zeigen (10.10.1.1)?

Die Clients aus dem Daten-VLAN (10.10.2.0) matchen aber trotzdem weiterhin richtig

auf das Interface Vlan 2? Komme da immer durcheinander :)

 

3) und 5) ja hast recht das war Flüchtigkeitsfehler sry....

 

 

Grüße

Lars

[sessi 10]

Hi Lausebub

 

Du brauchst in jedem VLAN ein "Default Gateway" dies ist die jeweilige IP deines L3 Switches. Auf dem L3 Switch wird zwischen den Vlan`s geroutet. Der L3 Switch hat dann eine weitere "default-Route".

 

Z.B.

 

VLAN 1

10.10.1.0/24 Gateway 10.10.1.5

VLAN 2

10.10.2.0/24 Gateway 10.10.2.5

 

u..s.w

 

Die Gateway Adresse steht für die Vlan Adresse des L3 Switches, wie bereits erwähnt.

 

Dies bedeutet, es ist nicht möglich, aus verschiedenen Vlan`s dieselbe Gateway Adresse zu verwenden. Da diese wie bereits erwähnt im selben Subnetz sein muss.

 

Gruss Sessi

[Lausebub 10]

Hallo Sessi,

 

auch dir danke für die Antwort.

Mir ist bewusst das ich mich nochmal mit InterVlan Routing, getaggte Frames, etc. beschäftigen muss. Mir fällt nur immer noch das Verständnis für die Vlan-Interfaces schwer.

 

Jeder Client in einem Netz benötigt ja ein Gateway (Layer 3 Instanz) um wenn erforderlich in andere Netze geroutet zu werden.

 

Ein Switch kann ja nur ein Default-Gateway besitzen.

In meinem Beispiel sind alle Switche im Management VLAN 1. Also bekommen diese das Vlan-Interface 10.10.1.1 welches auf dem Layer 3 Switch angelegt ist.

Die Clients aus dem Daten VLAN 2 haben das Vlan-Interface 10.10.2.5 (welches ebenfalls auf dem Layer 3 Switch angelegt ist als Default-Gateway. Aber nur bei sich eingetragen also am PC selber und nicht mehr zusätzlich auf dem Switch, weil dieser sein Gateway bereits hat, richtig?

 

Also mit der oben aufgeführten Konfiguration, zu dem beigefügten Netzplan sollte es funktionieren (mit der erwähnten Abänderung des Default-Gateways der Layer 2 Switche auf 10.10.1.1) oder?

 

Ich kann es halt leider vorher nicht testen....

 

Grüße

Lars

[jussi 11]

hallo Lausebub,

 

ich glaube du machst das richtige aus den falschen gründen, daher noch mal zur aufklärung:

 

" Die Clients aus dem Daten VLAN 2 haben das Vlan-Interface 10.10.2.5 [...] als Default-Gateway.[...] nicht mehr zusätzlich auf dem Switch, weil dieser sein Gateway bereits hat, richtig? "

 

das dfgw des layer 2 switches nutzt bei der wegfindung der pakete im daten netz nichts. die pakete werden ge_SWITCHED nicht ge_ROUTET. Gw für die clients ist natürlich die interface ip des vlan interfaces auf den l3 (also wie du schreibst 10.10.2.5.

 

der l2 switch braucht natürlich ein anderes gw, du willst ihn ja im mngmt netz erreichen (pakete sollen zu dir, vermutlich im daten lan sitzend zurückkommen) also die l3 if ip des mngmt vlan (10.10.1.1)

 

ansonsten die anmerkungen meiner beiden vorredner verwursten und dann sollte es laufen.

[Lausebub 10]

Hallo nochmal :)

 

es ist schwierig es zu erklären wie man es meint ohne auf den Plan zeigen zu können :D

 

Jedenfalls zusammenfassend:

 

Switche im Management Vlan 1 --> Default Geateway ist Vlan-Interface 10.10.1.1 (nur auf Switchen eintragen)

Cleints im Daten Vlan 2 --> Default Geateway ist Vlan-Interface 10.10.2.5 (nur bei PC eintragen)

 

Das mit dem Routen und Switchen ist mir klar :) Nur ob die genannte Konfiguartion oben so passt. Bis auf die gesagte Änderung des Default Gateways der Layer 2 Switche auf 10.10.1.1 müsste es also stimmen oder? Ich muss den Switchen ja ein Gateway geben.

 

Ich beziehe mich konkret auf die obige Konfiguration, stimm diese?

 

Danke und Grüße

Lars

[jussi 11]

imho schon

[blackbox 10]

Sollte so laufen - das GW auf dem Switch brauchst du nur - damit man den Switch managen kann (da das Management auf das V1 gelegt ist). Sonst hat es keinen Einfluss auf die VLAN´s.