9
Netgear FSM7352S - IP für jeden Port (unabhängig von der MAC) festlegbar? DHCP möglich?
Hallo!
Ich habe hier vier Managed Layer3 Netgear-Switches vom Typ FSM7352S. Leider ist die Anleitung total verwirrend und unübersichtlich (kennt jemand 'ne Seite mit 'nem guten Tutorial?)... Firmware ist auf dem neuesten Stand: v7.3.1.7 von der US-Seite... auf der deutschen Seite bekommt man die falsche Firmware (vom FSM7252S).
Nun zu meinem Problem: Ich würde die Switche gerne so konfigurieren, dass derjenige, der sich an einen Port steckt, eine vordefinierte IP-Adresse erhält und keine andere IP-Adresse von diesem Port aus nutzbar ist. Einsatzszenario: Studentenwohnheim wo es immer wieder IP-Konflikte gibt.
Irgendwie will das nicht so recht klappen. Unter Routing / IP / IP Interface Configuration kann ich z.B. eine IP-Adresse und Netzmaske eingeben. Nur wird diese nicht übernommen... die Einträge bleiben entweder auf 0.0.0.0, oder ich bekomme eine Fehlermeldung. Den DHCP-Server hab ich auch noch nicht erfolgreich zum Laufen gebracht... muss ich da über Umwege mit VLANs oder QoS arbeiten? Das Problem ist, unser IP-Bereich ist begrenzt und ich kann nicht für jeden Teilnehmer (ca. 150) zwei oder gar vier IP-Adressen (VLAN incl. Gateway) verwenden.
Hat jemand eine Idee, wie ich wenigstens eine der beiden Ideen realisieren kann? Entweder portabhängige IP-Zuweisung per DHCP oder portabhängige IP-Filter...
Vielen Dank schonmal,
Michael
Ich habe hier vier Managed Layer3 Netgear-Switches vom Typ FSM7352S. Leider ist die Anleitung total verwirrend und unübersichtlich (kennt jemand 'ne Seite mit 'nem guten Tutorial?)... Firmware ist auf dem neuesten Stand: v7.3.1.7 von der US-Seite... auf der deutschen Seite bekommt man die falsche Firmware (vom FSM7252S).
Nun zu meinem Problem: Ich würde die Switche gerne so konfigurieren, dass derjenige, der sich an einen Port steckt, eine vordefinierte IP-Adresse erhält und keine andere IP-Adresse von diesem Port aus nutzbar ist. Einsatzszenario: Studentenwohnheim wo es immer wieder IP-Konflikte gibt.
Irgendwie will das nicht so recht klappen. Unter Routing / IP / IP Interface Configuration kann ich z.B. eine IP-Adresse und Netzmaske eingeben. Nur wird diese nicht übernommen... die Einträge bleiben entweder auf 0.0.0.0, oder ich bekomme eine Fehlermeldung. Den DHCP-Server hab ich auch noch nicht erfolgreich zum Laufen gebracht... muss ich da über Umwege mit VLANs oder QoS arbeiten? Das Problem ist, unser IP-Bereich ist begrenzt und ich kann nicht für jeden Teilnehmer (ca. 150) zwei oder gar vier IP-Adressen (VLAN incl. Gateway) verwenden.
Hat jemand eine Idee, wie ich wenigstens eine der beiden Ideen realisieren kann? Entweder portabhängige IP-Zuweisung per DHCP oder portabhängige IP-Filter...
Vielen Dank schonmal,
Michael
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 114209
Url: https://administrator.de/contentid/114209
Printed on: April 25, 2024 at 21:04 o'clock
9 Comments
Latest comment
Bevor wir hier jetzt ins Eingemachte gehen, folgende Frage erstmal vorweg:
Soll die von dir vergebene IP Adresse in einem gemeinsamen IP Netzwerk liegen oder soll jeder Port in ein eigenes IP Netz münden ???
Welches IP Adresskonzept hast du dir vorgestellt ???
Ohne das zu kennen ist eine qualifizierte Antwort sehr schwierig !!!
Wenn eurer IP Adressbereich begrenzt ist nimmt man normalerweise NAT um solch ein Problem zu lösen.
Wie sagt dir z.B. dieser Thread:
Internet für die Clients
Nochwas: QoS (Quality of Service) ist Unsinn, das benötigst du bei dieser Fragestellung gar nicht !
Soll die von dir vergebene IP Adresse in einem gemeinsamen IP Netzwerk liegen oder soll jeder Port in ein eigenes IP Netz münden ???
Welches IP Adresskonzept hast du dir vorgestellt ???
Ohne das zu kennen ist eine qualifizierte Antwort sehr schwierig !!!
Wenn eurer IP Adressbereich begrenzt ist nimmt man normalerweise NAT um solch ein Problem zu lösen.
Wie sagt dir z.B. dieser Thread:
Internet für die Clients
Nochwas: QoS (Quality of Service) ist Unsinn, das benötigst du bei dieser Fragestellung gar nicht !
Hallo!
Erstmal Danke für die schnelle Antwort.
Ich glaub ich schreib mal auf, wie es im Moment aussieht:
- Wir haben ein Subnetz mit 512 IPs (Netzmaske 255.255.254.0)
- Wir haben ca. 150 Teilnehmer in diesem Netz per LAN-Verbindung
- Jeder dieser LAN-Teilnehmer hat eine feste IP-Adresse, die auf das entsprechende Zimmer registriert ist.
- Alle Teilnehmer sollen untereinander und mit dem Internet-Gateway kommunizieren können (egal ob nun im lokalen Subnetz mit obiger Netzmaske oder über ein Zwischen-Routing über die Managed-Switche... stell mir das dann so ähnlich wie bei DSL-Anschlüssen vor).
Im Moment haben wir ein Bündel einfacher Switche zusammengehängt, an denen die Teilnehmer hängen. Und hier liegt auch das Problem: Manche Leute verstehen es nicht, die korrekte IP bei sich einzustellen und nehmen die falsche. Oder "klauen" sich eine fremde wenn sie z.B. wegen Viren oder aus anderen Gründen "gesperrt" werden (natürlich erst am Router, den Rest des Hauses können sie trotz Allem erreichen). Das stört natürlich die unbescholtenen übrigen Nutzer, deren IP benutzt wurde. Besonders tragisch ist es nebenbei wenn jemand die Gateway-Adresse als seine IP einträgt - dann steht aufgrund des IP-Konflikts das gesamte Netz still.
Anders gesagt: Wir wollen verhindern, dass jemand bei sich die falsche IP eintippen und damit Andere behindern kann (oder sich für sie ausgeben). Idealerweise sollte es so sein wie bei einem DSL-Anschluss: Kabel in die Dose, automatische Konfiguration / IP-Zuweisung, und wenn jemand in seinem Zimmer komischen Datenverkehr produziert (z.B. auch "Martian Source/Destination" durch Fehlkonfiguration oder Viren) wird der nicht in den Rest des Hauses geroutet.
Wie gesagt, IPs sind eigentlich genug da, nur können wir nicht 3/4 des IP-Bereichs "verschwenden" indem wir für jedes Zimmer ein VLAN mit vier IPs für Netzwerkadresse (*.0), Teilnehmeradresse (*.1), VLAN-Gateway (*.2) und VLAN-Broadcast (*.3) einrichten.
Danke für den Hinweis, mit dieser Problematik bin ich jedoch vertraut.
In meinem Fall geht es jedoch um die Frage, wie man einzelne Switch-Ports auf eine konkrete IP beschränkt. Konkret bei den oben genannten managed Switches.
Gruß,
Michael
Erstmal Danke für die schnelle Antwort.
Bevor wir hier jetzt ins Eingemachte gehen, folgende Frage erstmal
vorweg:
Soll die von dir vergebene IP Adresse in einem gemeinsamen IP
Netzwerk liegen oder soll jeder Port in ein eigenes IP Netz
münden ???
Welches IP Adresskonzept hast du dir vorgestellt ???
Ohne das zu kennen ist eine qualifizierte Antwort sehr schwierig !!!
vorweg:
Soll die von dir vergebene IP Adresse in einem gemeinsamen IP
Netzwerk liegen oder soll jeder Port in ein eigenes IP Netz
münden ???
Welches IP Adresskonzept hast du dir vorgestellt ???
Ohne das zu kennen ist eine qualifizierte Antwort sehr schwierig !!!
Ich glaub ich schreib mal auf, wie es im Moment aussieht:
- Wir haben ein Subnetz mit 512 IPs (Netzmaske 255.255.254.0)
- Wir haben ca. 150 Teilnehmer in diesem Netz per LAN-Verbindung
- Jeder dieser LAN-Teilnehmer hat eine feste IP-Adresse, die auf das entsprechende Zimmer registriert ist.
- Alle Teilnehmer sollen untereinander und mit dem Internet-Gateway kommunizieren können (egal ob nun im lokalen Subnetz mit obiger Netzmaske oder über ein Zwischen-Routing über die Managed-Switche... stell mir das dann so ähnlich wie bei DSL-Anschlüssen vor).
Im Moment haben wir ein Bündel einfacher Switche zusammengehängt, an denen die Teilnehmer hängen. Und hier liegt auch das Problem: Manche Leute verstehen es nicht, die korrekte IP bei sich einzustellen und nehmen die falsche. Oder "klauen" sich eine fremde wenn sie z.B. wegen Viren oder aus anderen Gründen "gesperrt" werden (natürlich erst am Router, den Rest des Hauses können sie trotz Allem erreichen). Das stört natürlich die unbescholtenen übrigen Nutzer, deren IP benutzt wurde. Besonders tragisch ist es nebenbei wenn jemand die Gateway-Adresse als seine IP einträgt - dann steht aufgrund des IP-Konflikts das gesamte Netz still.
Anders gesagt: Wir wollen verhindern, dass jemand bei sich die falsche IP eintippen und damit Andere behindern kann (oder sich für sie ausgeben). Idealerweise sollte es so sein wie bei einem DSL-Anschluss: Kabel in die Dose, automatische Konfiguration / IP-Zuweisung, und wenn jemand in seinem Zimmer komischen Datenverkehr produziert (z.B. auch "Martian Source/Destination" durch Fehlkonfiguration oder Viren) wird der nicht in den Rest des Hauses geroutet.
Wenn eurer IP Adressbereich begrenzt ist nimmt man normalerweise NAT
um solch ein Problem zu lösen.
Über eine NAT laufen wir schon an der Uni... dann müssten wir hier noch eine zweite NAT aufstellen, und die einzelnen Rechner wären vom Campus aus nicht mehr erreichbar. Das ist leider nicht drin, zumal der Datenverkehr nicht völlig in einen Topf geworfen werden soll (sonst wird z.B. unsre NAT gesperrt, wenn einer 'nen entsprechenden Virus erwischt...).um solch ein Problem zu lösen.
Wie gesagt, IPs sind eigentlich genug da, nur können wir nicht 3/4 des IP-Bereichs "verschwenden" indem wir für jedes Zimmer ein VLAN mit vier IPs für Netzwerkadresse (*.0), Teilnehmeradresse (*.1), VLAN-Gateway (*.2) und VLAN-Broadcast (*.3) einrichten.
Danke für den Hinweis, mit dieser Problematik bin ich jedoch vertraut.
In meinem Fall geht es jedoch um die Frage, wie man einzelne Switch-Ports auf eine konkrete IP beschränkt. Konkret bei den oben genannten managed Switches.
Nochwas: QoS (Quality of Service) ist Unsinn, das benötigst du
bei dieser Fragestellung gar nicht !
Ich hatte lediglich einige Optionen gesehen, wo sich der Datenverkehr scheinbar auch über die IP-Adresse filtern lässt. Stichwort Access Conrol Lists (ACL), läuft im Handbuch und der Konfiguration unter "QoS Commands"...bei dieser Fragestellung gar nicht !
Gruß,
Michael
OK, es geht also im Grunde genommen nur darum etwas Ordnung in eure IP Adressierung zu bringen.
Gut, dann hast du folgende Rahmenbedingungen:
So, innerhalb dieser Möglichkeiten musst du dich bewegen, denn andere Möglichkeiten hast du nicht !!!
Die Kardinalsfrage ist jetzt was ist am besten ohne viel Verwaltungsaufwand, denn du willst ja sicher nicht täglich dieses Konstrukt pflegen !
Eins ist schon mal klar: Die IP Adressverteilung sollte in jedem Falle mit DHCP geschehen, denn das erleichtert die korrekte IP Adressvergabe und verhindert erstmal mehr oder minder sicher eine Adressdopplung.
Natürlich kann so niemand verhindern das Kommilitonen sich statische IP Adressen selber vergeben und es so wieder zu Konflikten kommt.
Entweder nimmt man das in Kauf oder arbeitet mit IP Accesslisten auf dem Switch.
Damit legst du dann pro Port eine IP Quelladresse fest ohne die der Port sonst geblockt wäre.
Im Umkehrschluss bedeutet das aber das Aus für dynamische DHCP Adressen an diesen Ports, denn dir ist selber klar das logischerweise diese IP am Port sich durch keine Dynamik ändern darf um nicht in der ACL hängenzubleiben.
Weitergedacht schafft das aber wieder Probleme da nicht Technik affine Kommilitonen hier wieder Probleme bekommen wenn sie ggf. statische IPs eintragen müssen und nicht wissen wie man das macht...und der Pflegeaufwand steigt....!
Die Alternative wäre dann MAC Adress bezogene IPs per DHCP zu vergeben in Verbindung mit IP Accesslisten auf dem Switch !!
Auch das bedeutet einen erhöhten Pflegeaufwand, da nun jede MAC Adresse im DHCP Server eingepflegt werden muss. Mit all den Änderungen bei Umzug oder neunen Komponenten.
Das Ergebnis wäre dann aber eine recht wasserdichte Konfiguration !!!
Du hast dann dedizierte IP Adressen pro Teilnehmerport und so einen IP Adressmissbrauch fast vollständig unterbunden.
Allerdings mit dem Nachteil des erhöhten Wartungsaufwandes.
Gute Switches können selber DHCP Server sein, was den HW Aufwand verringert. Ggf. kannst du mit dem Gateway DHCP Adressen verteilen oder nimmst einen Uralt PC mit Linux oder einen billigen ausrangierten DSL Router !
Noch wasserdichter wäre das dann mit einer dynmaischen IP Adressvergabe über einen 802.1x Port Authentifizierung was aber letztlich mehr Hardware (Radius Server) und noch mehr Wartungsaufwand bedeutet.
Du kannst jetzt wählen, was dir am angenehmsten ist umzusetzen !!??
Gut, dann hast du folgende Rahmenbedingungen:
- Niemand kann so verhindern das sich Teilnehmer statische IP Adressen vergeben.
- Niemand kann so verhindern das etwas pfiffigere Kommilitonen Sniffer wie den Wireshark ans Netz klemmen, IP Adressen ersniffern und sich oder anderen Kommilitonen aus diesem Bereich IP Adressen statisch vergeben.
- Man könnte mit einem DHCP Server IP Adressen dynamisch vergeben, das würde erstmal das Problem der doppelten Adressvergabe lösen und eine geordnete Verteilung sicherstellen. Unterbindet aber nicht die weiterhin mögliche wilde statische Vergabe und damit wieder Adresschaos !
- Diese DHCP Adressverteilung wäre an eine MAC Adresse koppelbar, so das Kommilitonen ihre MACs bekanntgeben müssten um eine sichere IP zu bekommen. Nachteil ist das MACs konfigurierbar sind und das immer wieder eine Anpassung passieren muss zieht jemand um oder bekommt einen neuen Rechner. Unterbindet aber wiederum nicht die weiterhin mögliche wilde statische Vergabe und damit schon wieder Adresschaos !
- Mac Filterlisten am Switch die nur bestimmte Komponenten zulassen. Nachteil: Schaffen keine IP Sicherheit.
- IP Filterlisten am Switch die pro Port nur bestimmte IPs zu lassen.
- Benutzerauthentifizierung am Port mit 802.1x und dynamischer IP mit DHCP. Nachteil: Teilnehmer muss einen 802.1x fähiges Endgerät haben
So, innerhalb dieser Möglichkeiten musst du dich bewegen, denn andere Möglichkeiten hast du nicht !!!
Die Kardinalsfrage ist jetzt was ist am besten ohne viel Verwaltungsaufwand, denn du willst ja sicher nicht täglich dieses Konstrukt pflegen !
Eins ist schon mal klar: Die IP Adressverteilung sollte in jedem Falle mit DHCP geschehen, denn das erleichtert die korrekte IP Adressvergabe und verhindert erstmal mehr oder minder sicher eine Adressdopplung.
Natürlich kann so niemand verhindern das Kommilitonen sich statische IP Adressen selber vergeben und es so wieder zu Konflikten kommt.
Entweder nimmt man das in Kauf oder arbeitet mit IP Accesslisten auf dem Switch.
Damit legst du dann pro Port eine IP Quelladresse fest ohne die der Port sonst geblockt wäre.
Im Umkehrschluss bedeutet das aber das Aus für dynamische DHCP Adressen an diesen Ports, denn dir ist selber klar das logischerweise diese IP am Port sich durch keine Dynamik ändern darf um nicht in der ACL hängenzubleiben.
Weitergedacht schafft das aber wieder Probleme da nicht Technik affine Kommilitonen hier wieder Probleme bekommen wenn sie ggf. statische IPs eintragen müssen und nicht wissen wie man das macht...und der Pflegeaufwand steigt....!
Die Alternative wäre dann MAC Adress bezogene IPs per DHCP zu vergeben in Verbindung mit IP Accesslisten auf dem Switch !!
Auch das bedeutet einen erhöhten Pflegeaufwand, da nun jede MAC Adresse im DHCP Server eingepflegt werden muss. Mit all den Änderungen bei Umzug oder neunen Komponenten.
Das Ergebnis wäre dann aber eine recht wasserdichte Konfiguration !!!
Du hast dann dedizierte IP Adressen pro Teilnehmerport und so einen IP Adressmissbrauch fast vollständig unterbunden.
Allerdings mit dem Nachteil des erhöhten Wartungsaufwandes.
Gute Switches können selber DHCP Server sein, was den HW Aufwand verringert. Ggf. kannst du mit dem Gateway DHCP Adressen verteilen oder nimmst einen Uralt PC mit Linux oder einen billigen ausrangierten DSL Router !
Noch wasserdichter wäre das dann mit einer dynmaischen IP Adressvergabe über einen 802.1x Port Authentifizierung was aber letztlich mehr Hardware (Radius Server) und noch mehr Wartungsaufwand bedeutet.
Du kannst jetzt wählen, was dir am angenehmsten ist umzusetzen !!??
Guten Morgen!
Genau darum geht es. Das wollte ich irgendwie realisieren, weiß nur noch nicht genau wie... MAC-Filterlisten kann man direkt eingeben, IP-Filterlisten nicht. Also bleibt immer noch die Frage, wie mach ich das auf den (bereits gekauften) FSM7352S-Switchen...
Genau diese IP Accesslisten brauch ich...
Das ist klar - eine dynamische IP-Vergabe wollen wir sowieso nicht, um im Zweifelsfall "Schädlinge" (Viren etc.) ohne die Umwege über Radius oder MACs einfacher identifizieren zu können.
Das ist nicht soo das Problem. Momentan müssen sie auch alles von Hand eingeben. Da können ja auch andere Mitbewohner helfen. Mit MACs wollen wir wenn möglich überhaupt nicht arbeiten, da das zu unflexibel und zu viel Wartungsaufwand ist.
Kennst du dich nun eigentlich konkret mit den besagten Sitchen aus? Mir würde es z.B. schonmal helfen wenn mir jemand erklären ann, was ich dort (Web-Interface) über Routing -> IP -> IP Interface Configuration mit der IP und Subnet einstellen kann, bzw. warum meine Einstellungen nicht angenommen werden (IP und Netzmaske bleibt immer auf 0.0.0.0). Eine weitere Hilfe wäre zu wissen, wie der DHCP-Server auf diesen Geräten die IPs vergibt, d.h. aus welchem IP-Bereich er sie auswählt. Hab mal versucht, ihn einzuschalten, bekam dann aber gar keine IP zugewiesen. Einetellungen in der DHCP-Konfiguration gibt es nur für Bereiche, die NICHT vergeben werden sollen... das kam mir ein wenig suspekt vor.
Viele Grüße,
Michael
* IP Filterlisten am Switch die pro Port nur bestimmte IPs zu
lassen.
lassen.
Genau darum geht es. Das wollte ich irgendwie realisieren, weiß nur noch nicht genau wie... MAC-Filterlisten kann man direkt eingeben, IP-Filterlisten nicht. Also bleibt immer noch die Frage, wie mach ich das auf den (bereits gekauften) FSM7352S-Switchen...
Entweder nimmt man das in Kauf oder arbeitet mit IP Accesslisten auf
dem Switch.
Damit legst du dann pro Port eine IP Quelladresse fest ohne die der
Port sonst geblockt wäre.
dem Switch.
Damit legst du dann pro Port eine IP Quelladresse fest ohne die der
Port sonst geblockt wäre.
Genau diese IP Accesslisten brauch ich...
Im Umkehrschluss bedeutet das aber das Aus für dynamische DHCP
Adressen an diesen Ports, denn dir ist selber klar das logischerweise
diese IP am Port sich durch keine Dynamik ändern darf um nicht in
der ACL hängenzubleiben.
Adressen an diesen Ports, denn dir ist selber klar das logischerweise
diese IP am Port sich durch keine Dynamik ändern darf um nicht in
der ACL hängenzubleiben.
Das ist klar - eine dynamische IP-Vergabe wollen wir sowieso nicht, um im Zweifelsfall "Schädlinge" (Viren etc.) ohne die Umwege über Radius oder MACs einfacher identifizieren zu können.
Weitergedacht schafft das aber wieder Probleme da nicht Technik
affine Kommilitonen hier wieder Probleme bekommen wenn sie ggf.
statische IPs eintragen müssen und nicht wissen wie man das
macht...und der Pflegeaufwand steigt....!
affine Kommilitonen hier wieder Probleme bekommen wenn sie ggf.
statische IPs eintragen müssen und nicht wissen wie man das
macht...und der Pflegeaufwand steigt....!
Das ist nicht soo das Problem. Momentan müssen sie auch alles von Hand eingeben. Da können ja auch andere Mitbewohner helfen. Mit MACs wollen wir wenn möglich überhaupt nicht arbeiten, da das zu unflexibel und zu viel Wartungsaufwand ist.
Kennst du dich nun eigentlich konkret mit den besagten Sitchen aus? Mir würde es z.B. schonmal helfen wenn mir jemand erklären ann, was ich dort (Web-Interface) über Routing -> IP -> IP Interface Configuration mit der IP und Subnet einstellen kann, bzw. warum meine Einstellungen nicht angenommen werden (IP und Netzmaske bleibt immer auf 0.0.0.0). Eine weitere Hilfe wäre zu wissen, wie der DHCP-Server auf diesen Geräten die IPs vergibt, d.h. aus welchem IP-Bereich er sie auswählt. Hab mal versucht, ihn einzuschalten, bekam dann aber gar keine IP zugewiesen. Einetellungen in der DHCP-Konfiguration gibt es nur für Bereiche, die NICHT vergeben werden sollen... das kam mir ein wenig suspekt vor.
Viele Grüße,
Michael
"...wie mach ich das auf den (bereits gekauften) FSM7352S-Switchen..."
Das kann ich dir auch nicht sagen nur wie man es auf einem Cisco, Foundry, 3Com oder Nortel macht !!!
Sollte ja aber im Handbuch stehen sofern er es supportet. Da wirst du ja sicher den Händler vorher gefragt haben (hoffentlich)
Billigswitches supporten L3 ACLs aus Kostengründen oft meist nur auf dem internen L3 Interface aber nicht immer auf allen Ports die zum VLAN gehören.
Ob das feature ACL per Port supportet ist solltest du den NetGear Händler fragen !!
Dieses Feature benötigst du dann natürlich wenn du mit ACLs arbeiten musst !
Was deine Routing Frage anbetrifft läuft das so das du 2 VLANs generierst, diesen dann Ports zuweist.
Pro VLAN richtest du denn ein Layer 3 Interface auf dem Switch ein was dann die Router IP hat.
Als Beispiel:
VLAN 10:
Ports 1 bis 5
VLAN 10 Switch IP Adresse 172.16.10.254, 255.255.255.0
PC an VLAN 10 Port 1
IP: 172.16.10.1
Maske: 255.255.255.0
Gateway: 172.16.10.254
VLAN 20:
Ports 5 bis 10
VLAN 20 Switch IP Adresse 172.16.20.254, 255.255.255.0
PC an VLAN 20 Port 6
IP: 172.16.20.1
Maske: 255.255.255.0
Gateway: 172.16.20.254
Das Routing zw. beiden PCs rennt so jetzt über den Switch wenn sie sich gegenseitig anpingen !!
Das kann ich dir auch nicht sagen nur wie man es auf einem Cisco, Foundry, 3Com oder Nortel macht !!!
Sollte ja aber im Handbuch stehen sofern er es supportet. Da wirst du ja sicher den Händler vorher gefragt haben (hoffentlich)
Billigswitches supporten L3 ACLs aus Kostengründen oft meist nur auf dem internen L3 Interface aber nicht immer auf allen Ports die zum VLAN gehören.
Ob das feature ACL per Port supportet ist solltest du den NetGear Händler fragen !!
Dieses Feature benötigst du dann natürlich wenn du mit ACLs arbeiten musst !
Was deine Routing Frage anbetrifft läuft das so das du 2 VLANs generierst, diesen dann Ports zuweist.
Pro VLAN richtest du denn ein Layer 3 Interface auf dem Switch ein was dann die Router IP hat.
Als Beispiel:
VLAN 10:
Ports 1 bis 5
VLAN 10 Switch IP Adresse 172.16.10.254, 255.255.255.0
PC an VLAN 10 Port 1
IP: 172.16.10.1
Maske: 255.255.255.0
Gateway: 172.16.10.254
VLAN 20:
Ports 5 bis 10
VLAN 20 Switch IP Adresse 172.16.20.254, 255.255.255.0
PC an VLAN 20 Port 6
IP: 172.16.20.1
Maske: 255.255.255.0
Gateway: 172.16.20.254
Das Routing zw. beiden PCs rennt so jetzt über den Switch wenn sie sich gegenseitig anpingen !!
ACLs können Ports zugewiesen werden, das sollte nicht das Problem sein. Allerdings sind die ACLs auf 100 begrenzt... da stellt sich die Frage, was passiert, wenn man die vier Switches als Stack betreibt - ob dann insgesamt auch nur 100 ACLs möglich sein. Müßt ich bei Gelegenheit mal ausprobieren.
Ja, so ähnlich hatte ich mir das gedacht... nur mit einem Subnetz pro Port:
- Port 1: Switch IP / Gateway: 172.16.30.2, Maske 255.255.255.252
- Port 1: PC bekommt (falls möglich vom DHCP) 172.16.10.1 zugewiesen
- Port 2: Switch IP / Gateway: 172.16.30.6, Maske 255.255.255.252
- Port 2: PC bekommt (falls möglich vom DHCP) 172.16.10.5 zugewiesen
Sprich, IP-Verbrauch 4 IPs pro Port. Mal schauen, ob uns das RZ nochmal 512 weitere IPs abtreten will.
Übrigens, wie es aussieht brauch ich dafür auf dem Switch nichtmal VLANs...
Ich werd mich nochmal melden wenn ich Neues weiß. Hab jetzt genug Ideen um einige Testkonfigurationen zu probieren.
Gruß,
Michael
Was deine Routing Frage anbetrifft läuft das so das du 2 VLANs
generierst, diesen dann Ports zuweist.
Pro VLAN richtest du denn ein Layer 3 Interface auf dem Switch ein
was dann die Router IP hat.
Als Beispiel:
VLAN 10:
Ports 1 bis 5
VLAN 10 Switch IP Adresse 172.16.10.254, 255.255.255.0
PC an VLAN 10 Port 1
IP: 172.16.10.1
Maske: 255.255.255.0
Gateway: 172.16.10.254
[...]
generierst, diesen dann Ports zuweist.
Pro VLAN richtest du denn ein Layer 3 Interface auf dem Switch ein
was dann die Router IP hat.
Als Beispiel:
VLAN 10:
Ports 1 bis 5
VLAN 10 Switch IP Adresse 172.16.10.254, 255.255.255.0
PC an VLAN 10 Port 1
IP: 172.16.10.1
Maske: 255.255.255.0
Gateway: 172.16.10.254
[...]
Ja, so ähnlich hatte ich mir das gedacht... nur mit einem Subnetz pro Port:
- Port 1: Switch IP / Gateway: 172.16.30.2, Maske 255.255.255.252
- Port 1: PC bekommt (falls möglich vom DHCP) 172.16.10.1 zugewiesen
- Port 2: Switch IP / Gateway: 172.16.30.6, Maske 255.255.255.252
- Port 2: PC bekommt (falls möglich vom DHCP) 172.16.10.5 zugewiesen
Sprich, IP-Verbrauch 4 IPs pro Port. Mal schauen, ob uns das RZ nochmal 512 weitere IPs abtreten will.
Übrigens, wie es aussieht brauch ich dafür auf dem Switch nichtmal VLANs...
Ich werd mich nochmal melden wenn ich Neues weiß. Hab jetzt genug Ideen um einige Testkonfigurationen zu probieren.
Gruß,
Michael
"Übrigens, wie es aussieht brauch ich dafür auf dem Switch nichtmal VLANs..."
Wie meinst du das ???
Für dein Konzept von oben benötigst du zwangsweise VLANs dafür. Ohne ist das nicht umzusetzen.
Ist auch sehr umständlich und eigentlich unnötig. Es mag aber sein das du dazu gezwungen bist wenn dein Switch nur einen mickrigen Featureset hat und keine Layer 3 ACLs pro Port supportet.
Switches anderer Herstelle tun das und zwar filtern die auf Layer 3 pro Port in einem gemeinsamen VLAN.
Du kannst dann ein portbasierendes Kommando wie z.B.
ip access-group 110 in
direkt auf dem Port konfigurieren. Dazu korrespondiert dann eine ACL ala:
access-list 110
permit ip host 172.16.1.200 any
deny ip any any
Das lässt dann z.B. auf diesem Port nur Traffic für die IP 172.16.1.200 durch. Das lässt du auf jeden Port los und gut ist.
So wird es normalerweise gemacht !!
Wie meinst du das ???
Für dein Konzept von oben benötigst du zwangsweise VLANs dafür. Ohne ist das nicht umzusetzen.
Ist auch sehr umständlich und eigentlich unnötig. Es mag aber sein das du dazu gezwungen bist wenn dein Switch nur einen mickrigen Featureset hat und keine Layer 3 ACLs pro Port supportet.
Switches anderer Herstelle tun das und zwar filtern die auf Layer 3 pro Port in einem gemeinsamen VLAN.
Du kannst dann ein portbasierendes Kommando wie z.B.
ip access-group 110 in
direkt auf dem Port konfigurieren. Dazu korrespondiert dann eine ACL ala:
access-list 110
permit ip host 172.16.1.200 any
deny ip any any
Das lässt dann z.B. auf diesem Port nur Traffic für die IP 172.16.1.200 durch. Das lässt du auf jeden Port los und gut ist.
So wird es normalerweise gemacht !!
jup, so werden wir es vermutlich auch machen - nur haben wir dann noch keinen DHCP, der die korrekte IP vergibt. Oder doch? Vielleciht mal ausprobieren...
die Switche machen das schon alles, nur ist das Handbuch nicht gerade hilfreich. Hätt mir eben eine kompakte, aber klare Beschreibung der Funktionsweise des Switches gewünscht, bzw. wie verschiedene Parameter zusammenarbeiten.
Zu der oberen Frage:
Nein, ich kann pro Port in den Routing-Einstellungen eine Netz-IP (Gateway) und Netzmaske angeben. Ganz ohne VLANs.
Hmm, vielleicht informier ich mich trotzdem mal etwas genauer über VLANs, z.B. was es mit diesem Tagged und Untagged auf sich hat (hab da schon meine Vermutung, nur im Switch-Manual steht da auch nichts).
die Switche machen das schon alles, nur ist das Handbuch nicht gerade hilfreich. Hätt mir eben eine kompakte, aber klare Beschreibung der Funktionsweise des Switches gewünscht, bzw. wie verschiedene Parameter zusammenarbeiten.
Zu der oberen Frage:
Wie meinst du das ???
Für dein Konzept von oben benötigst du zwangsweise VLANs dafür. Ohne ist das nicht umzusetzen.
Für dein Konzept von oben benötigst du zwangsweise VLANs dafür. Ohne ist das nicht umzusetzen.
Nein, ich kann pro Port in den Routing-Einstellungen eine Netz-IP (Gateway) und Netzmaske angeben. Ganz ohne VLANs.
Hmm, vielleicht informier ich mich trotzdem mal etwas genauer über VLANs, z.B. was es mit diesem Tagged und Untagged auf sich hat (hab da schon meine Vermutung, nur im Switch-Manual steht da auch nichts).
Cisco, Foundry, Nortel usw. bieten auch die Möglichkeit einen DHCP Server auf dem Switch selber zu konfigurieren.
Wenn das mit deinem NetGear Hobel nicht geht nimm einfach einen ollen PC aus der Bastelkiste, Linux drauf, fertig ist dein DHCP Server !!
Oder ein oller ausrangierter DSL Router tuts auch.
Allerdings wär ich da sehr vorsichtig. Vermutlich legen die sich bei 150 IP Adressen die Karten, denn dafür sind sie nicht ausgelegt !!
Wenn das mit deinem NetGear Hobel nicht geht nimm einfach einen ollen PC aus der Bastelkiste, Linux drauf, fertig ist dein DHCP Server !!
Oder ein oller ausrangierter DSL Router tuts auch.
Allerdings wär ich da sehr vorsichtig. Vermutlich legen die sich bei 150 IP Adressen die Karten, denn dafür sind sie nicht ausgelegt !!
