12
3com 5500G-EI 48P Switche und VLAN
Hallo Leute,
ich habe folgendes Problem und komme nicht mehr weiter, hoffe ihr könnt mir da helfen.
Also, ich habe zwei der o.g. Switche über ein Stacking Kabel verbunden, das klappt alles soweit ganz gut.
Nun habe ich 3 VLAN's eingerichtet, sowie die Gateways, IP-Route, eingetragen.
VLAN 1: 1-8, 25-32 untagged
VLAN 2: 9-16, 33-40 untagged
VLAN 3: 17-24, 41-48 untagged
Im VLAN 1 hängen zwei Test-Clients das sind so zusagen die Server, die die beiden Clients im VLAN 2 und VLAN 3 erreichen sollen, in beiden hängt jeweils ein Test-Client (Laptop).
Der Test-Client 1 im VLAN 1 ist erreichbar von VLAN 2 & VLAN 3 per ping, also Verbindung klappt, nur der zweite Test-Client im VLAN 1 ist nicht erreichbar von VLAN 2 & VLAN 3, ich kann mir nicht erklären warum, Gateway etc. stimmt alles.
ich habe folgendes Problem und komme nicht mehr weiter, hoffe ihr könnt mir da helfen.
Also, ich habe zwei der o.g. Switche über ein Stacking Kabel verbunden, das klappt alles soweit ganz gut.
Nun habe ich 3 VLAN's eingerichtet, sowie die Gateways, IP-Route, eingetragen.
VLAN 1: 1-8, 25-32 untagged
VLAN 2: 9-16, 33-40 untagged
VLAN 3: 17-24, 41-48 untagged
Im VLAN 1 hängen zwei Test-Clients das sind so zusagen die Server, die die beiden Clients im VLAN 2 und VLAN 3 erreichen sollen, in beiden hängt jeweils ein Test-Client (Laptop).
Der Test-Client 1 im VLAN 1 ist erreichbar von VLAN 2 & VLAN 3 per ping, also Verbindung klappt, nur der zweite Test-Client im VLAN 1 ist nicht erreichbar von VLAN 2 & VLAN 3, ich kann mir nicht erklären warum, Gateway etc. stimmt alles.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 311096
Url: https://administrator.de/contentid/311096
Printed on: April 19, 2024 at 19:04 o'clock
12 Comments
Latest comment
Hallo,
können sich die beiden Clients untereinander anpingen und sind beide Clients vom Switch aus anpingbar?
was sagt ein tracert von Client 1 auf Client 2 und umgekehrt?
brammer
können sich die beiden Clients untereinander anpingen und sind beide Clients vom Switch aus anpingbar?
was sagt ein tracert von Client 1 auf Client 2 und umgekehrt?
brammer
Die beiden im VLAN 1 können sich anpingen und sind auch vom Switch aus anpingbar und Tracert zeigt mir auch ein Hope an mit Hostname und IP bei beiden(Tracert über beide Client).
Wenn ich über den Switch Trace Route zu Client 2 ausführe dann findet er ihn nicht, dagegen Client 1 schon.
.
Wenn ich über den Switch Trace Route zu Client 2 ausführe dann findet er ihn nicht, dagegen Client 1 schon.
.
Vermutlich Firewall dort die ICMP blockt und/oder zusätzlich den Zugriff aus fremden IP Netzen (Default Setting der Firewall)
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Hat leider auch nicht geholfen, könnte es eventuell an der fehlenden Access List (ACL) liegen?
Wir genau erstellt man eigentlich eine Access List, habe da wenig bis keine Erfahrung leider.
könnte es eventuell an der fehlenden Access List (ACL) liegen?
Nein niemals !Wenn du keine ACL eingerichtet hast, dann routet der L3 Switch ALLES transparent wie es ein normaler Router macht.
Mit einer ACL limitierst du ja bestimmten Traffic. Damit alles geroutet wird musst du folglich keinerlei ACL einrichten...logisch !
Was aber natürlich sein kann ist das schon eine ACL existiert, die diesen Traffic blockt. Dann musst du diese logischerweise anpassen.
Da du leider keinerlei Konfig hier postest können wir nur die Kristallkugel nehmen und im freien Fall raten
Im Zweifel den Switch auf Factory Reset setzen, VLANs neu definieren und Ports zuweisen. Dann MUSS es gehen, denn per Default sind keinerlei ACLs auf einem Switch vorhanden !
Wir genau erstellt man eigentlich eine Access List
Das ist kinderleicht !Die richtet man immer auf dem Layer 3 sprich dem IP Interface im VLAN ein.
Mal ein kurzes Beispiel:
!
interface vlan 1
ip address 10.1.0.254 /24
ip access-group 100
!
interface vlan 2
ip address 10.2.0.254 /24
!
access-list 100
deny ip 10.1.0.0 0.0.0.255 10.2.0.0 0.0.0.255
permit ip 10.1.0.0 0.0.0.255 any
!
Die Accessliste an VLAN 1 blockiert den Zugriff von VLAN 1 auf VLAN 2 lässt aber Internet Zugang zu.
Das Beispiel sollte das klar machen wie das geht. Ohne ACL geht alles durch an dem Port (permit any any)
Moin, Moin
Die Test-VLAN Konfiguration sieht wie folgt aus:
VLAN 1 10.1.1.254/24 (Abt. A)
VLAN 2 10.1.2.254/24 (Abt. B)
.. bis
VLAN 5 10.1.5.254/24 (Abt. E)
VLAN 1-5 soll der Zugriff untereinander blockiert sein, aber alle sollen über VLAN 1 ins Internet kommen.
Die Test-VLAN Konfiguration sieht wie folgt aus:
VLAN 1 10.1.1.254/24 (Abt. A)
VLAN 2 10.1.2.254/24 (Abt. B)
.. bis
VLAN 5 10.1.5.254/24 (Abt. E)
VLAN 1-5 soll der Zugriff untereinander blockiert sein, aber alle sollen über VLAN 1 ins Internet kommen.
Na das ist dann doch kinderleicht...
Die ACL am L3 Interface von VLAN 1 und 2 lautet dann z.B. folgendermaßen:
!
access-list 101
deny ip 10.1.1.0 0.0.0.255 10.1.0.0 0.0.7.255
permit ip 10.1.1.0 0.0.0.255 any
!
access-list 102
deny ip 10.1.2.0 0.0.0.255 10.1.0.0 0.0.7.255
permit ip 10.1.2.0 0.0.0.255 any
!
interface vlan 1
ip address 10.1.1.254 255.255.255.0
ip access-group 101
!
interface vlan 2
ip address 10.1.2.254 255.255.255.0
ip access-group 102
!
Entsprechend machst du das für die anderen L3 Interfaces auch auf dem Switch.
Die ACL filtert mit der 21er Wildcard Maske (255.255.248.0) alle 10er Adressen von 10.1.0.1 bis 10.1.7.254 und lässt den Rest durch.
Macht der IT Azubi in 3 Minuten
Die ACL am L3 Interface von VLAN 1 und 2 lautet dann z.B. folgendermaßen:
!
access-list 101
deny ip 10.1.1.0 0.0.0.255 10.1.0.0 0.0.7.255
permit ip 10.1.1.0 0.0.0.255 any
!
access-list 102
deny ip 10.1.2.0 0.0.0.255 10.1.0.0 0.0.7.255
permit ip 10.1.2.0 0.0.0.255 any
!
interface vlan 1
ip address 10.1.1.254 255.255.255.0
ip access-group 101
!
interface vlan 2
ip address 10.1.2.254 255.255.255.0
ip access-group 102
!
Entsprechend machst du das für die anderen L3 Interfaces auch auf dem Switch.
Die ACL filtert mit der 21er Wildcard Maske (255.255.248.0) alle 10er Adressen von 10.1.0.1 bis 10.1.7.254 und lässt den Rest durch.
Macht der IT Azubi in 3 Minuten
Bei dem 3com L3 5500G-EI Switch ist es schon ein wenig schwieriger, ;)
Danke für deine/eurer Hilfe, habt mir echt weiter geholfen.
Danke für deine/eurer Hilfe, habt mir echt weiter geholfen.
Falsches Produkt gekauft...
Mein Einfluss ist da sehr begrenzt.
Komisch...als Netzwerk Administrator hat man doch generell Entscheidungskompetenz bzw. kann vorgeben mit welcher Technik man das bestmögliche Ergebnis für die Firma erreicht. Wer sollte es anderes beurteilen...der Einkauf ja wohl kaum...
Da scheint wohl was generell schiefzulaufen bei euch... ?!
Da scheint wohl was generell schiefzulaufen bei euch... ?!
