mikehf
Goto Top

2 VLANs mit einem Internet zugang und IP kamera über Cisco Catalyst 2900 XL

Hallo Profis,

ich hab schon seit einiger zeit Google gequält doch leider ohne Erfolg.

und zwar will ich zwei von einander gedränte Netzwerke über einen Router ins Internet bringen.

im Ersten Netzwerk (firmen Netzwerk) läuft ein WIN 2K3 DC und VPN mit 5 Clients, kann auf alles zugreifen könne muss aber nicht.
im Zweiten Netzwerk sollen einfach Clients sein die nur ins Internet sollen und nicht aufs erste Netzwerk zugreifen dürfen.

als Zugabe ist am Router noch eine IP Kamera angeschlossen auf die beide Netzwerke zugreifen können sollen.

Am WIN 2K3 Server läuft auch der DHCP Server.

Als Hardware sind ein Linksys WRT54G mit DD-WRT und ein Cisco Catalyst 2924M-XL vorhanden.
(Eine Cisco PIX 501 Firewall liegt auch noch rum ist aber nicht im Betrieb).

Welche Möglichkeiten habe ich um zu einem Erfolg zu kommen?

ich hab da an VLAns gedacht aber irgendwie komme ich da nicht weiter.

Für einen Lösungsvorschlag wäre ich sehr dankbar.

Grüsse Michael

Ps.: so soll es ungefair aussehen :
2b09ae17f6492c7e32f574ba0b42fcaa-plan

Content-Key: 92022

Url: https://administrator.de/contentid/92022

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: Nailara
Nailara 14.07.2008 um 23:55:38 Uhr
Goto Top
Hi Michael,

bei dem Stichwort Profi fällt mir gerade meine leere Hochzeitskasse ein face-wink.

Das sieht doch erstmal gut aus, zwei oder drei VLAN's einzubinden und die Ports drauf zu konfigurieren, ist nicht schwer. Das einzige Problem ist, dass es einen Router geben muss, der die zwei bzw. drei Netze miteinander verbindet.

Ich bin jetzt aber nicht sicher, ob der 2924M-XL das kann. Wenn ja, wird einfach in jedem VLAN eine Gatewayadresse auf der Cisco eingerichtet und diese wird dann in dem Netzwerk als Standardgateway angegeben. Für den Zugriff ins Internet wird der Switch dann mit einem Standardgateway in Richtung Internet ausgestattet und schon geht alles.

Natürlich muss am Übergangspunkt ins Internet auch noch was stehen, was das NAT macht und da kannste bequem die PIX einsetzen - die 501 ist nicht die Rakete, da kommste mit einem kleinen Linux Dual Core Silent Rechner besser klar, fürs erste geht das aber.

Entscheidende Frage ist, ob der 2924 als Router arbeiten kann - dazu muss, soweit ich weiss, ein Enhanced Image von CatOS oder IOS drauf sein. Wenn das drauf ist, dann kann er routen, wenn nicht, dann wird das schwierig. Der 2924 ist sicher älter, da lohnt aufrüsten kaum, dann lieber tauschen gegen einen 37xx mit Enhanced Image und IOS.

Grüße Mathias
Mitglied: mikehf
mikehf 15.07.2008 um 00:10:42 Uhr
Goto Top
Hi,

also die VLANs auf die Ports einrichten hab ich hinbekommen weiter kenne ich mich ehrlich gesagt nicht aus.

neuen Switch kaufen ? wie war das nochmal mit der leeren Kasse ? face-wink

wen es eine Möglichkeit gibt mit der Hardware die ich habe wär mir schon sehr recht.

Ach ja ein zweiter C2924 XL ist auch noch da. wir aber nicht viel bringen oder?

Gruß Michael
Mitglied: Nailara
Nailara 15.07.2008 um 00:25:47 Uhr
Goto Top
Hi,

ok - zurück zur leeren Kasse face-smile

Der Server kann mit zwei Netzkarten ausgestattet werden - die kosten so runde 10.-€ das Stück - für den Anfang reichen ja 100 MBit/s. Damit stöpselst Du den Server mit einem Füßchen in das eine Netzwerk, mit dem zweiten Füßchen in das andere Netzwerk. Möglicherweise hat der Server aber auch schon zwei Netzwerkkarten, dann bauchste nix kaufen.

In jedem Netzwerk bekommt der Server eine IP und Routing wird eingeschaltet. Die Clients bekommen jeweils für ihr Netzwerk die IP des Servers als Gatewayadresse und sollten sich dann gegenseitig sehen können. Dem Server teilst Du dann mit, dass sein Gateway die PIX ist und gut isses.

Aber Achtung - wenn das eine Windows-Möhre ist, dann darf der WINS-Server nur auf eine der beiden dann bereitzustellenden IP-Adressen gebunden werden, sonst gibt das undefinierten Ärger.


Aber mal eigentlich eine ganz andere Frage: Warum dieser Aufwand? Gut - mit ein bisserl Nachdenken und Fragen bekommt man das auch zum Laufen - keine Frage, aber warum???? Weil es geht? Weil Du mal mit VLANs spielen möchtest (das könnte ich verstehen, ich spiel auch gerne mit den Dingern)?

Ich sehe keine logische Begründung, warum erst das Netz mit VLANS aufgeteilt werden soll und dann der Server mit zwei Netzkarten das Netz wieder zusammenführt. Bis insgesamt etwa 25 Computern hast Du bei einer Cisco im Hintergrund keinen (Broadcast-) Schmerz - man nehme den Switch, ein Lan, eine Pix als Default Gateway für das Internet, einen Server mit einer Netzkarte und alles funktioniert. Einfach und simpel und .... natürlich unspektakulär, das geb ich ja zu. Dafür hast Du aber fast keine Ausfallzeiten durch VLAN-Fehler und keine Routingprobleme und keinen WINS-Ärger und sowas alles ... und kannst Dich voll auf Deine Freundin konzentrieren ...

Grüße Mathias
Mitglied: spacyfreak
spacyfreak 15.07.2008 um 07:19:54 Uhr
Goto Top
Der Linksys ist ja vlan fähig.

Also kannst du dort entweder zwei VLANs kreieren und jeweils einem LAN Port des Linksys jeweils eines der VLANs zuordnen (z. B. VLAN 1 und VLAN2) und die beiden LAN Ports mit zwei LaN Ports des Cisco Switches verbinden, wobei auch die Cisco Switchports in den selben VLANs stecken müssen in denen die Linksys Ports stecken.

Oder man konfiguriert auf dem Linksys einen 802.1Q Trunkport mit dem man den Linksys an den Cisco Switch anschliesst, also EINE Leitung über die beide VLANs schwirren.

Die Cisco Ports muss man dann noch den VLANs zuordnen, je nach dem welcher Cisco Port in welchem VLÖAN sein soll, und dann die PCs daran anschliessen.


Die PIX 501 wäre eine Option - doch sie kann keine VLANs. Man könnte allerdings auch ein einziges Subnetz für alles nehmen, und zwischen Firmen-LAN und Router die Firewall im Transparent Modus (Layer2) laufen lassen um die Firmen-PCs von den anderen zu trennen. Dann würde man allerdings noch einen kleinen Switch zusätzlich brauchen.
Mitglied: mikehf
mikehf 15.07.2008 um 11:35:07 Uhr
Goto Top
Die grundlegende Idee ist einfach das das Firmen Netzwerk sicher sein soll aber die anderen PC´s auch Internet haben sollen.

Und da nur ein Router da ist müssen halt beide Netzwerke über diesen ihr Internet beziehen.
Wie ich das anstelle versuche ich ja gerade mit eurer Hilfe raus zu finden face-wink

@Mathias

Je weniger Aufwand um so besser wäre es solange das Ziel stimmt, das zwei voneinander getrennte Netzwerke über einen Router ins Internet kommen und sich gegenseitig nicht sehen können. Die PIX muss nicht in das ganze eingebunden sein sie steht nur als Hardware zur Verfügung.
Hab da eher daran gedacht die PIX als DHCP für das zweite netz zu missbrauchen um den DHCP nicht vom Server im Firmennetz auf den Router übertragen zu müssen. Also das nicht der Router das gesamte DHCP übernimmt sondern der WIN 2K3 Server das DHCP für das Firmennetzwerk weiter macht so wie es jetzt schon ist und dann die PIX zum Beispiel das DHCP für das zweite Netzwerk macht.
Verstehst du was ich mein?

@spacyfreak

Genau so in der art habe ich mir das auch mit meinem beschiedenen wissen versuch zusammen zu reimen.

mir war nur nicht ganz klar wie ich das einrichten muss.
Vor allem nicht wie ich dann die IP Kamera auf beiden Netzwerken sichtbar machen kann.
( was aber nicht unbedingt von Nöten ist nur wen es mit der Hardware die ich zur Verfügung hab machbar ist. )

Ich stell mir das im Moment dann mal so vor:

Port 1 Router VLAN 10 Firmen Netzwerk
Port 2 Router VLAN 20 Netzwerk Zwei
Port 3 Router VLAN 30 Netzwerk für IP Kamera

Der Router soll dann von WAN in VLAN 10 und 20 Routen und von VLAN 10 nach VLAN 30 und von VLAN 20 nach VLAN 30 aber nicht von VLAN 10 nach VLAN 20.

Am Switch sind dann zb. die Ports 0/1 bis 0/12 VLAN 10 und mit dem Firmen Netzwerk und dem Port 1 des Routers verbunden un die Ports 0/13 bis 0/14 sind mit dem Zweiten Netzwerk verbunden und mit Port zwei am Router.

So richtig mein Gedankengang?

wen ja dann nur die Frage Wie muss ich den Router einrichten? das er das Routing macht?

Das mit dem Switch die VLANs auf Ports zuweisen bekomme ich ja hin aber beim Routing muss ich leider aufgeben würde es aber gerne lernen.

Gruß und Danke schon mal für eure Hilfe.

Michael
Mitglied: Nailara
Nailara 15.07.2008 um 11:59:27 Uhr
Goto Top
Hi Michael,

das mit dem Routing ist genau die Schwierigkeit - wenn die Cisco routen kann - also ein Mulitlayerswitch ist - dann gibt es auch die Möglichkeit auf den Gatewayadressen ACL's zu hinterlegen. Damit kannst Du dafür sorgen, dass Netz A nicht Netz B sieht und umgekehrt. Das geht aber eben nur wieder auf bestimmten Ciscos.

Die PIX nutzt zur Netztrennung wenig, weil die 501 nur zwei Netzwerkinterfaces hat - Du brauchst ein drittes Netzwerkinterface um das über die Pix zu trennen und dazu brachst Du mindestens eine 506.

Übrigens - egal wie Du es drehst und wendest, es gibt nur einen Server und es ist anzunehmen, dass dieser Server aus beiden Netzen erreichbar sein soll - jetzt steht dann natürlich die Frage, wie das machbar ist.

Ich möchte Dir Deinen Gedankengang bestimmt nicht ausreden, doch ich würde Dir empfehlen noch mal über die Wortgruppe "das Netzwerk ist sicher" nachzudenken - an welchem Punkt ist ein einfaches, flaches Netzwerk unsicherer als ein zusammengeschaltetes Netzwerk bei dieser geringen Anzahl von Rechnern und: kannst Du mit einer logischen Trennung tatsächlich eine höhere Sicherheit erreichen oder sind weiter Maßnahmen notwendig, so dass diese Trennung der Netze schlussendlich kaum was bringt? Gibt es ev. Stolpersteine, die eine Trennung aushebeln - wie zum Beispiel Serverzugriff aus beiden Netzwerken?

Windows bringt inzwischen mit XP Sp2 eine Firewall mit. Wenn die sauber eingestellt ist, verhält sich die XP-Kiste wie ein Loch im Wasser - sie ist nicht da. Auch wenn ein DAU-User sich einen Virus fängt, die anderen Rechner sind nicht zu sehen - von der Notwendigkeit eines Clientvirenschutzes muss ich Dich sicher nicht überzeugen. Auch die Server haben Firewallfunktionalität und können sauber parametriert werden - mit Windows Server 2008 ist die Firewall noch deutlich besser geworden.

Stell' Dir die Frage, ob es wirklich nutzbringend ist, einen solchen Aufwand für wenige Rechner zu betreiben bei den vielen Möglichkeiten, ohne komplexe und komplizierte Netzwerkkonstruktionen die Sicherheit zu erhöhen?

Wenn Du den Aufwand wirklich betreiben willst, dann sind die Ideen von spacyfreak gut.

Grüße Mathias
Mitglied: mikehf
mikehf 15.07.2008 um 12:32:54 Uhr
Goto Top
Der Server soll echt nur im Firmen Netz sein das ZWEITE NETZ so wie ich es immer nenne soll nur zum surfen andere USER gut sein als keinerlei Zugriff aus Firmen netz möglich sein.

Vielleicht zum Verständnis wir sind eine sehr kleine Firma die sich einem Raum in einem Grossen Lagerhaus gemietet haben da ist unser Büro indem haben wir einen Internetzugang. Jetzt gibt es in diesem Lagerhaus auch noch andere Leute die gerne Interne hätte sich aber keinen eigenen Anschluss legen wollen. Die aber nicht auf unser Netzwerk zugreifen sollen.

Und da ich gerne bastel und was über Netzwerk lernen will würde ich das gerne über die Hardware die ich schon habe lösen. wen das nicht geht werde ich einen zweiten Router besorgen den ich nach dem ersten Router schalte und da dann das Firmen Netzwerk dahinter per Firewall halbwegs sicher mache face-wink

Virenscanner usw ist alles in Ordnung da habe ich keine angst.

Will nur vermeiden das jemand auf die Idee kommt ach da durchsuchen wir mal das netz um zu schauen was da so los ist. das kann er von mir aus aber nicht im Firmen netz sondern nur im zweiten netz .


Ach ja also Routen kann der Cisco glaube ich nicht ist ja nur ein Layer 2 Switch und eine besondere Software läuft auch nicht drauf ist nu die neueste
IOS 12.0(5) WC16

Grüße Michael
Mitglied: mikehf
mikehf 17.07.2008 um 22:41:53 Uhr
Goto Top
Ich bekomme das mit dem Trunk Port zwischen Router und Switch einfach nicht hin weis jemand wo es eine Anleitung zu Trunk Ports bei Linksys Routern und oder Cisco Catalyst Switches oder ähnliches im netz gibt ?

Bitte helft mir.
Mitglied: spacyfreak
spacyfreak 19.07.2008 um 15:53:25 Uhr
Goto Top
switch#conf t
switch(config)#interface FastEthernet 0/1
switch(config-if)#switchport
switch(config-if)#switchport mode trunk
switch(config-if)#switchport trunk encapsulation dot1q
switch(config-if)#no shut
switch(config-if)#exit
switch(config)#exit
switch#copy run start
switch#show run

Beim Linksys wird man jedoch wohl über ne grafische oberfläche den trunk einrichten.
Mitglied: mikehf
mikehf 19.07.2008 um 17:15:01 Uhr
Goto Top
Danke werde ich testen sobald ich den linksys am laufen hab scheint da nämlich nicht übers web if zu gehen sonder auch über CLI

Gruß Michael