7
C3524 C3508 VLan Routing Netzwerkplanung
Guten Abend Forum-User,
ich bin zur Zeit dabei, ein kleines Projekt zu realisieren und bräuchte euren Rat. Freue mich natürlich über eure Antworten und hoffe das
wir das Problem lösen können.
Meine Netzwerk-Konstellation sieht zur Zeit so aus, dass wir 4x den C3524-PWR (24 Port 10/100mbit L2) Switch haben, eine PIX 515
als Firewall und PPPoe Router, sowie ein C3508G (8 Port Fibre Gigabit) Switch welchen wir als Gigabit uplink für Server und Switches
verwenden, denn Cisco 1760 als Voice-GW, ein SBS2003 mit Quad Port Fibre-Channel Nic und ein PBX..
Nun habe ich folgendes Vorhaben, ich möchte das jedes Endgerät sein eigenen VLan bekommt, so das das Endgerät
im VLan nur mit z.B. der Pix-Firewall oder den SBS-Server kommunizieren kann und so das dieses Endgeräte mit Endgeräten die sich in
anderen VLan's befinden, aber ebenfalls einen Trunk auf den Server/Pix haben, nicht mit einander kommunizieren können und das möglichst
ohne ACL's.
Meine Frage besteht hauptsächlich darin, ob man so etwas überhaupt realisieren kann und das möglichst mit vorhandener Hardware
(zur Zeit nur Layer 2), oder ob ich für dieses Vorhaben extra noch ein Layer 3 Gerät beschaffen muss.
Außerdem Freue ich mich, über jedgliche Vorschläge zur Verbesserung, Anregungen oder Konstellations Beisspiele und Config's
die mir helfen das Netzwerk zu gestalten.
Ich habe einmal versucht, dass ganze anhand einer Netzwerkskizze darzustellen:
Mit besten Grüßen
Streetfighter12
ich bin zur Zeit dabei, ein kleines Projekt zu realisieren und bräuchte euren Rat. Freue mich natürlich über eure Antworten und hoffe das
wir das Problem lösen können.
Meine Netzwerk-Konstellation sieht zur Zeit so aus, dass wir 4x den C3524-PWR (24 Port 10/100mbit L2) Switch haben, eine PIX 515
als Firewall und PPPoe Router, sowie ein C3508G (8 Port Fibre Gigabit) Switch welchen wir als Gigabit uplink für Server und Switches
verwenden, denn Cisco 1760 als Voice-GW, ein SBS2003 mit Quad Port Fibre-Channel Nic und ein PBX..
Nun habe ich folgendes Vorhaben, ich möchte das jedes Endgerät sein eigenen VLan bekommt, so das das Endgerät
im VLan nur mit z.B. der Pix-Firewall oder den SBS-Server kommunizieren kann und so das dieses Endgeräte mit Endgeräten die sich in
anderen VLan's befinden, aber ebenfalls einen Trunk auf den Server/Pix haben, nicht mit einander kommunizieren können und das möglichst
ohne ACL's.
Meine Frage besteht hauptsächlich darin, ob man so etwas überhaupt realisieren kann und das möglichst mit vorhandener Hardware
(zur Zeit nur Layer 2), oder ob ich für dieses Vorhaben extra noch ein Layer 3 Gerät beschaffen muss.
Außerdem Freue ich mich, über jedgliche Vorschläge zur Verbesserung, Anregungen oder Konstellations Beisspiele und Config's
die mir helfen das Netzwerk zu gestalten.
Ich habe einmal versucht, dass ganze anhand einer Netzwerkskizze darzustellen:
Mit besten Grüßen
Streetfighter12
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 127447
Url: https://administrator.de/contentid/127447
Printed on: April 26, 2024 at 06:04 o'clock
7 Comments
Latest comment
Es ist Blödsinn alle Endgeräte in ein eigenes VLAN zu legen dafür ! Dein Stichwort heist "Private VLAN" !
http://www.cisco.com/en/US/products/hw/switches/ps700/products_tech_not ...
Damit lässt sich das ganze viel einfacher und vor allen Dingen intelligenter lösen !
Mit deinen Cisco Switches hast du die ideale Grundlage dafür !
http://www.cisco.com/en/US/products/hw/switches/ps700/products_tech_not ...
Damit lässt sich das ganze viel einfacher und vor allen Dingen intelligenter lösen !
Mit deinen Cisco Switches hast du die ideale Grundlage dafür !
Die Idee ist nicht schlecht, allerdings bin ich mir nicht im Klaren darüber, ob einer meiner Switche
diese Funktion unterstützten, den laut folgenden Link unterstützten diese es nicht (nur Protected Port).
Link: http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_not ...
Ich werde dem morgen, aber pracktisch nachgehen.
Eine Frage habe ich noch zur pracktischen Anwendung, dieser Funktion und zwar: Ist es möglich,
mehrere Promiscuous auf einen Isolated PVlan zu mappen? Denn ich meine damals irgendwo gelesen zu haben,
das lediglich die Möglichkeit besteht, ein Promiscuous pro Isolated Vlan zu mappen.
Beste Grüße
Streetfighter12
diese Funktion unterstützten, den laut folgenden Link unterstützten diese es nicht (nur Protected Port).
Link: http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_not ...
Ich werde dem morgen, aber pracktisch nachgehen.
Eine Frage habe ich noch zur pracktischen Anwendung, dieser Funktion und zwar: Ist es möglich,
mehrere Promiscuous auf einen Isolated PVlan zu mappen? Denn ich meine damals irgendwo gelesen zu haben,
das lediglich die Möglichkeit besteht, ein Promiscuous pro Isolated Vlan zu mappen.
Beste Grüße
Streetfighter12
Protected Port oder isolated VLANs ist das gleiche. Das sollte dein Switch können. M.E. gibt es auch die Option multiple Uplink Ports zu konfigurieren. Cisco kann ja (fast) alles !
Ich habe eben gerade einmal den Versuch gewagt. ein PVlan aufzusetzen leider ohne Erfolg.
Anscheinend unterstützt das Gerät, diese Funktion doch nicht.
Und ein Edge Vlan(http://www.cisco.com/en/US/tech/tk389/tk814/tk841/tsd_technology_suppor ...) ),
welcher von meinem Switch unterstützt wird, hilft mir meines Erachtens auch nicht wirklich weiter.
Gibt es vielleicht noch andere Möglichkeiten, mehrere VLan's die auf ein Trunk Vlan
gemap worden sind, von einander zu Isolieren?
Beste Grüße
Streetfighter12
Anscheinend unterstützt das Gerät, diese Funktion doch nicht.
Und ein Edge Vlan(http://www.cisco.com/en/US/tech/tk389/tk814/tk841/tsd_technology_suppor ...) ),
welcher von meinem Switch unterstützt wird, hilft mir meines Erachtens auch nicht wirklich weiter.
Gibt es vielleicht noch andere Möglichkeiten, mehrere VLan's die auf ein Trunk Vlan
gemap worden sind, von einander zu Isolieren?
Beste Grüße
Streetfighter12
Isoliert sind sie ja immer sofern du zwischen den VLANs nicht routest !!
Was du aber vermutlich meinst ist die Any zu Any Kommunikation zu unterbinden mit Ausnahme des Uplinks, oder ???
OK, auch wenn dein Catalyst keine PVLANs supportet so supportet er doch ganz sicher Protected Ports !!!
http://www.cisco.com/en/US/docs/switches/lan/catalyst3550/software/rele ...
Das hat genau den gleichen Effekt. Du setzt alle Ports auf denen du keine Any zu Any Kommunication haben willst innerhalb des VLANs auf protected mit Ausnahme deiner Uplinks.
Das ist doch dann genau das was du willst, oder ??
Was du aber vermutlich meinst ist die Any zu Any Kommunikation zu unterbinden mit Ausnahme des Uplinks, oder ???
OK, auch wenn dein Catalyst keine PVLANs supportet so supportet er doch ganz sicher Protected Ports !!!
http://www.cisco.com/en/US/docs/switches/lan/catalyst3550/software/rele ...
Das hat genau den gleichen Effekt. Du setzt alle Ports auf denen du keine Any zu Any Kommunication haben willst innerhalb des VLANs auf protected mit Ausnahme deiner Uplinks.
Das ist doch dann genau das was du willst, oder ??
Genau das möchte ich auch, nur irritiert mich folgender Satz von der Cisco Homepage:
Zitat von Cisco.com
and there is no isolation provided between two protected ports located on different switches.
Link zu dem Zitat: http://www.cisco.com/en/US/tech/tk389/tk814/tk841/tsd_technology_suppor ...
Wenn ich das richtig interpretiere heißt das, dass die Isolation zwischen verschiedenen Switchen nicht erhalten bleibt, oder täusche
ich mich in dieser Hinsicht?
Beste Grüße
Streetfighter12
Zitat von Cisco.com
and there is no isolation provided between two protected ports located on different switches.
Link zu dem Zitat: http://www.cisco.com/en/US/tech/tk389/tk814/tk841/tsd_technology_suppor ...
Wenn ich das richtig interpretiere heißt das, dass die Isolation zwischen verschiedenen Switchen nicht erhalten bleibt, oder täusche
ich mich in dieser Hinsicht?
Beste Grüße
Streetfighter12
Ja, sorry hat ich auch gerade gelesen. Das nützt dir also nur halb. Du solltest mal einen einfachen Testaufbau machen mit 2 Switches und einem Server und nur die beiden Uplink Ports und den Server Port nicht auf Protected setzen und checken ob so auch noch eine Any to Any Kommunikation über den Uplink gewährleistet ist.
Ggf. helfen noch die Port Kommandos switchport block xyz das feinzutunen.
Mehr Möglichkeiten hat man ohne PVLANs eh nicht..
Ggf. helfen noch die Port Kommandos switchport block xyz das feinzutunen.
Mehr Möglichkeiten hat man ohne PVLANs eh nicht..
