Jump to content
Sign in to follow this  
ThorstenWilli

Inter VLAN Routing

Recommended Posts

Problem:

 

Ich habe einen Cisco Catalyst 3550 48 Port mit IOS 12.1.

Ich möchte jeweils 16 Ports einen VLAN zuordnen.

Das ist soweit kein Problem die VLAN-Adressen sind

VLAN 1 -> 174.168.0.2

VLAN500 -> 174.168.10.2

VLAN600 -> 174.168.20.2

 

Ich hab auch 2 dhcp's auf dem 3550 laufen die dem vlan 500 und 600 automatisch

die Adressen vergeben.

Jetzt zu meinem eigentlichem Problem:

Ich würde gerne vom VLAN500 ins VLAN600 kommen aber nicht anders herum.

Hat folgenden Grund: Das VLAN 500 soll ein Management VLAN sein indem Admins

sind die Zugriff auf die PC's der USER im VLAN600 benötigen.

Sollte doch über INTER VLAN zu bewerkstelligen sein.

Würde mich über Antworten freuen

MfG

Klinkhammer

Share this post


Link to post

Hallo

 

Ein paar Infos mehr wären nicht schlecht.

 

Grundsätzlich könntest Du eine IP jeweils auf die VLans legen und diese dann am Client als Standard Gateway stellen. Die IPs auf den VLans müssen natürlich entsprechend dem Segment der Clients im Vlan sein. Und dann eine ACL drauf. Wäre relativ einfach gemacht.

Letztendlich fehlt dann evtl. noch eine Route raus ins Inter bzw. Intranet wenn benötigt.

 

Andreas

Share this post


Link to post

Hmm, also wenn man ein echtes mngt net bauen will, würde ich das ehrlich gesagt nicht mit einem packet filter auf Basis von IOS machen. Für solche Sachen vertraue ich nur ner Firewall, die ein Interface im management net hat und eines im anderen Netz und passend routet. Welche FW man da nimmt ist da immer Geschmachssache, z.B. auf Basis von Linux oder besser OpenBSD.

 

Gruß

Peter

Share this post


Link to post

Genau.

 

Da kauft man sich für zig tausende Euros einen L3-Switch mit allem Tatütata und einer Backplane die non blocking und wirespeed kann und stellt nebendran eine Bastelbüchse damits auch ja schön langsam wird.

 

Muss ich nicht verstehen.

 

Gruss

Markus

Share this post


Link to post

Oh ha, da habe ich ja in ein Nest gestoßen. Schade. Für Linux User ist Windows das letzte, für Windows User sind alle Unix Derivate Mist und für Cisco Admins ? Nunja, egal. Nur alles als Bastellösung zu beschreiben ist schon argh.. Genua Firewall = OpenBSD hat BSI E3 hoch... Alles Weitere lasse ich mal lieber.

 

Peter

Share this post


Link to post

Hi,

 

leute ich glaube alles hat seine Vor- und Nachteile. Deswegen braucht man sich ja nicht gleich bekriegen :-) oder?

Also als Packet - Filter ist OBSD bestimmt nicht schlecht.

 

greetz

starfoxx

Share this post


Link to post

Ich habe jetzt eine ACL geschreiben access-list 101 deny ip 174.168.10.0 0.0.0.255 any.

Bei nem ping bekomm ich jedoch die Meldung "Zielhost nicht erreichbar". Es muss doch ne einfache Lösung geben für von vlan 500 ip 174.168.10.0 255.255.255.0 in vlan 600 ip 174.168.20.0 255.255.255.0 zu kommen ohne nen Router oder ne Firewall einzusetzen.

ip routing ist an.

 

Ich weiß das das "Routen" ausschlißlich mit layer3 Switchen wie in meinem Fall keine Glanzlösung ist, aber was willst du machen wenn du nix anderes bekommst ?!?

Share this post


Link to post

Hier mal meine Config. Danke schon mal im Voraus.

 

Current configuration : 7246 bytes

!

version 12.1

no service pad

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!

hostname Test_1

!

enable secret 5 <removed>

!

ip subnet-zero

ip routing

ip dhcp excluded-address 174.168.20.0 174.168.20.10

ip dhcp excluded-address 174.168.10.0 174.168.10.10

!

ip dhcp pool V500

network 174.168.10.0 255.255.255.0

!

ip dhcp pool V600

network 174.168.20.0 255.255.255.0

!

!

spanning-tree mode pvst

spanning-tree extend system-id

!

!

!

!

interface FastEthernet0/1

switchport access vlan 500

switchport mode access

switchport port-security

switchport port-security maximum 2

switchport port-security mac-address 0010.a4bf.2a87

switchport port-security mac-address 0010.a4bf.fd56

speed 100

duplex full

spanning-tree portfast

!

interface FastEthernet0/2

switchport access vlan 500

switchport mode access

switchport port-security

switchport port-security aging static

switchport port-security mac-address 0010.a4bf.fd62

speed 100

duplex full

spanning-tree portfast

!

interface FastEthernet0/3

switchport access vlan 500

switchport mode access

speed 100

duplex full

spanning-tree portfast

!

interface FastEthernet0/4

switchport access vlan 500

switchport mode access

speed 100

duplex full

spanning-tree portfast

!

< gekürzte Ausgabe>

!

interface FastEthernet0/47

switchport access vlan 600

switchport mode access

speed 100

duplex full

spanning-tree portfast

!

interface FastEthernet0/48

switchport access vlan 600

switchport mode access

speed 100

duplex full

spanning-tree portfast

!

interface GigabitEthernet0/1

switchport mode dynamic desirable

!

interface GigabitEthernet0/2

switchport mode dynamic desirable

!

interface Vlan1

ip address 174.168.0.2 255.255.255.0

!

interface Vlan500

ip address 174.168.10.2 255.255.255.0

!

interface Vlan600

ip address 174.168.20.2 255.255.255.0

!

ip default-gateway 174.168.0.1

ip classless

ip http server

!

access-list 101 deny ip 174.168.10.0 0.0.0.255 any

snmp-server community <removed> RO

!

line con 0

password <removed>

login

line vty 0 4

password <removed>

login

line vty 5 15

login

!

!

end

Share this post


Link to post
Oh ha, da habe ich ja in ein Nest gestoßen. Schade. Für Linux User ist Windows das letzte, für Windows User sind alle Unix Derivate Mist und für Cisco Admins ? Nunja, egal. Nur alles als Bastellösung zu beschreiben ist schon argh.. Genua Firewall = OpenBSD hat BSI E3 hoch... Alles Weitere lasse ich mal lieber.

 

Peter

 

Also fuer n paar DROP's halt ich ne extra Firewall bisschen over-sized. Da langweilt sich sogar ne Cisco ;)

Share this post


Link to post
Also fuer n paar DROP's halt ich ne extra Firewall bisschen over-sized. Da langweilt sich sogar ne Cisco ;)

 

Im Grund richtig. Bei mir stehen im mgmt-net aber die Kronjuwelen (loglost, Userdatabase etc.) des Netzes, daher deute ich die Ausgangslage vielleicht falsch. Ich möchte diese nicht nur durch ein anderes VLAN gesichert wissen, daher stateful packet filter.

Share this post


Link to post

Ich find das ja auch schön mit der Firewall ect. (wenn man eine hatt). Aber mein Problem zudem ich die config auch noch hereingestellt habe, ist immer noch nicht gelöst.

 

MfG

Thorsten

Share this post


Link to post
Im Grund richtig. Bei mir stehen im mgmt-net aber die Kronjuwelen (loglost, Userdatabase etc.) des Netzes, daher deute ich die Ausgangslage vielleicht falsch. Ich möchte diese nicht nur durch ein anderes VLAN gesichert wissen, daher stateful packet filter.

 

 

hi,

 

Kann der 3550 das nicht? Ist nur mal eine Frage. Ich dachte der kann alles.

Mir fällt sonst auch nur Stateful Filtering zu dem Thema ein.

 

fu

Share this post


Link to post

Problem:

ip routing ist eingestellt.

über den Befehl ip route 174.168.20.0 255.255.255.0 174.168.10.0 sollte auch bekannt sein

wohin geroutet werden soll. Jetzt das Problem: Wenn ich den Befehl show ip route eingebe, sollte dieser Eintrag statisch dorf auftauchen, macht er aber nicht. Der sch*** Switch holt den Befehl einfach nicht richtig an. Kann mir einer sagen was ich machen (eingeben) soll damit ich von vlan 500 174.168.10.0 in vlan 600 174.168.20.0 routen kann?

 

Gruß

Thorsten

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...