Jump to content

Inter VLAN Routing


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Problem:

 

Ich habe einen Cisco Catalyst 3550 48 Port mit IOS 12.1.

Ich möchte jeweils 16 Ports einen VLAN zuordnen.

Das ist soweit kein Problem die VLAN-Adressen sind

VLAN 1 -> 174.168.0.2

VLAN500 -> 174.168.10.2

VLAN600 -> 174.168.20.2

 

Ich hab auch 2 dhcp's auf dem 3550 laufen die dem vlan 500 und 600 automatisch

die Adressen vergeben.

Jetzt zu meinem eigentlichem Problem:

Ich würde gerne vom VLAN500 ins VLAN600 kommen aber nicht anders herum.

Hat folgenden Grund: Das VLAN 500 soll ein Management VLAN sein indem Admins

sind die Zugriff auf die PC's der USER im VLAN600 benötigen.

Sollte doch über INTER VLAN zu bewerkstelligen sein.

Würde mich über Antworten freuen

MfG

Klinkhammer

Link zu diesem Kommentar

Hallo

 

Ein paar Infos mehr wären nicht schlecht.

 

Grundsätzlich könntest Du eine IP jeweils auf die VLans legen und diese dann am Client als Standard Gateway stellen. Die IPs auf den VLans müssen natürlich entsprechend dem Segment der Clients im Vlan sein. Und dann eine ACL drauf. Wäre relativ einfach gemacht.

Letztendlich fehlt dann evtl. noch eine Route raus ins Inter bzw. Intranet wenn benötigt.

 

Andreas

Link zu diesem Kommentar

Hmm, also wenn man ein echtes mngt net bauen will, würde ich das ehrlich gesagt nicht mit einem packet filter auf Basis von IOS machen. Für solche Sachen vertraue ich nur ner Firewall, die ein Interface im management net hat und eines im anderen Netz und passend routet. Welche FW man da nimmt ist da immer Geschmachssache, z.B. auf Basis von Linux oder besser OpenBSD.

 

Gruß

Peter

Link zu diesem Kommentar

Ich habe jetzt eine ACL geschreiben access-list 101 deny ip 174.168.10.0 0.0.0.255 any.

Bei nem ping bekomm ich jedoch die Meldung "Zielhost nicht erreichbar". Es muss doch ne einfache Lösung geben für von vlan 500 ip 174.168.10.0 255.255.255.0 in vlan 600 ip 174.168.20.0 255.255.255.0 zu kommen ohne nen Router oder ne Firewall einzusetzen.

ip routing ist an.

 

Ich weiß das das "Routen" ausschlißlich mit layer3 Switchen wie in meinem Fall keine Glanzlösung ist, aber was willst du machen wenn du nix anderes bekommst ?!?

Link zu diesem Kommentar

Hier mal meine Config. Danke schon mal im Voraus.

 

Current configuration : 7246 bytes

!

version 12.1

no service pad

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!

hostname Test_1

!

enable secret 5 <removed>

!

ip subnet-zero

ip routing

ip dhcp excluded-address 174.168.20.0 174.168.20.10

ip dhcp excluded-address 174.168.10.0 174.168.10.10

!

ip dhcp pool V500

network 174.168.10.0 255.255.255.0

!

ip dhcp pool V600

network 174.168.20.0 255.255.255.0

!

!

spanning-tree mode pvst

spanning-tree extend system-id

!

!

!

!

interface FastEthernet0/1

switchport access vlan 500

switchport mode access

switchport port-security

switchport port-security maximum 2

switchport port-security mac-address 0010.a4bf.2a87

switchport port-security mac-address 0010.a4bf.fd56

speed 100

duplex full

spanning-tree portfast

!

interface FastEthernet0/2

switchport access vlan 500

switchport mode access

switchport port-security

switchport port-security aging static

switchport port-security mac-address 0010.a4bf.fd62

speed 100

duplex full

spanning-tree portfast

!

interface FastEthernet0/3

switchport access vlan 500

switchport mode access

speed 100

duplex full

spanning-tree portfast

!

interface FastEthernet0/4

switchport access vlan 500

switchport mode access

speed 100

duplex full

spanning-tree portfast

!

< gekürzte Ausgabe>

!

interface FastEthernet0/47

switchport access vlan 600

switchport mode access

speed 100

duplex full

spanning-tree portfast

!

interface FastEthernet0/48

switchport access vlan 600

switchport mode access

speed 100

duplex full

spanning-tree portfast

!

interface GigabitEthernet0/1

switchport mode dynamic desirable

!

interface GigabitEthernet0/2

switchport mode dynamic desirable

!

interface Vlan1

ip address 174.168.0.2 255.255.255.0

!

interface Vlan500

ip address 174.168.10.2 255.255.255.0

!

interface Vlan600

ip address 174.168.20.2 255.255.255.0

!

ip default-gateway 174.168.0.1

ip classless

ip http server

!

access-list 101 deny ip 174.168.10.0 0.0.0.255 any

snmp-server community <removed> RO

!

line con 0

password <removed>

login

line vty 0 4

password <removed>

login

line vty 5 15

login

!

!

end

Link zu diesem Kommentar
Oh ha, da habe ich ja in ein Nest gestoßen. Schade. Für Linux User ist Windows das letzte, für Windows User sind alle Unix Derivate Mist und für Cisco Admins ? Nunja, egal. Nur alles als Bastellösung zu beschreiben ist schon argh.. Genua Firewall = OpenBSD hat BSI E3 hoch... Alles Weitere lasse ich mal lieber.

 

Peter

 

Also fuer n paar DROP's halt ich ne extra Firewall bisschen over-sized. Da langweilt sich sogar ne Cisco ;)

Link zu diesem Kommentar
Also fuer n paar DROP's halt ich ne extra Firewall bisschen over-sized. Da langweilt sich sogar ne Cisco ;)

 

Im Grund richtig. Bei mir stehen im mgmt-net aber die Kronjuwelen (loglost, Userdatabase etc.) des Netzes, daher deute ich die Ausgangslage vielleicht falsch. Ich möchte diese nicht nur durch ein anderes VLAN gesichert wissen, daher stateful packet filter.

Link zu diesem Kommentar
Im Grund richtig. Bei mir stehen im mgmt-net aber die Kronjuwelen (loglost, Userdatabase etc.) des Netzes, daher deute ich die Ausgangslage vielleicht falsch. Ich möchte diese nicht nur durch ein anderes VLAN gesichert wissen, daher stateful packet filter.

 

 

hi,

 

Kann der 3550 das nicht? Ist nur mal eine Frage. Ich dachte der kann alles.

Mir fällt sonst auch nur Stateful Filtering zu dem Thema ein.

 

fu

Link zu diesem Kommentar

Problem:

ip routing ist eingestellt.

über den Befehl ip route 174.168.20.0 255.255.255.0 174.168.10.0 sollte auch bekannt sein

wohin geroutet werden soll. Jetzt das Problem: Wenn ich den Befehl show ip route eingebe, sollte dieser Eintrag statisch dorf auftauchen, macht er aber nicht. Der sch*** Switch holt den Befehl einfach nicht richtig an. Kann mir einer sagen was ich machen (eingeben) soll damit ich von vlan 500 174.168.10.0 in vlan 600 174.168.20.0 routen kann?

 

Gruß

Thorsten

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...