11
Cisco (2960 series und 3560 series switches) VLAN-Einrichtung
Hallo leidgeplagte Admins,
ich habe folgendes Problem, vielleicht kann mir jemand helfen.
Ausgangssituation ist eine Handvoll Cisco Catalyst 2960 Switches, auf denen 2 VLAN mit VTP laufen (Fred und Horst seien die Namen der VLAN).
Dazu gesellt sich ein catalyst 3560 Switch (keine VLAn eingerichtet), an dem
- ein Fileserver, auf dem auchDHCP läuft und
- das Internet (cisco2900 series router)
verbunden sind.
Fred und Horst sollen sich nicht gegenseitig stören, wohl aber
a) beide IPs von dem dhcp bekommen und
b) auf den Fileserver zugreifen können.
Momentan weiss ich nicht, wie ich den 3560 konfigurieren soll, bzw.
habe hier von Routern mit 3 Netzwerkkarten gelesen, pro VLAN ein dhcp-server usw.,
aber das muss doch auch anders gehen.
Gibt es nicht eine Möglichkeit, den 3560 so zu konfigurieren, dass a+b funktioniert?
Für Denkanstöße wäre ich sehr dankbar...
So ungefähr soll das aussehen (vielleicht):
Grüße
BB
ich habe folgendes Problem, vielleicht kann mir jemand helfen.
Ausgangssituation ist eine Handvoll Cisco Catalyst 2960 Switches, auf denen 2 VLAN mit VTP laufen (Fred und Horst seien die Namen der VLAN).
Dazu gesellt sich ein catalyst 3560 Switch (keine VLAn eingerichtet), an dem
- ein Fileserver, auf dem auchDHCP läuft und
- das Internet (cisco2900 series router)
verbunden sind.
Fred und Horst sollen sich nicht gegenseitig stören, wohl aber
a) beide IPs von dem dhcp bekommen und
b) auf den Fileserver zugreifen können.
Momentan weiss ich nicht, wie ich den 3560 konfigurieren soll, bzw.
habe hier von Routern mit 3 Netzwerkkarten gelesen, pro VLAN ein dhcp-server usw.,
aber das muss doch auch anders gehen.
Gibt es nicht eine Möglichkeit, den 3560 so zu konfigurieren, dass a+b funktioniert?
Für Denkanstöße wäre ich sehr dankbar...
So ungefähr soll das aussehen (vielleicht):
Grüße
BB
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 111588
Url: https://administrator.de/contentid/111588
Printed on: April 25, 2024 at 13:04 o'clock
11 Comments
Latest comment
Dein Konstrukt mit den vielen(?) Switchen macht für mich keinen Sinn. Sind das wirklich nur fünf PCs?
Ansonsten richtest du auf dem Layer-3-Switch ebenfalls noch zwei VLANs ein mit unterschiedlichen IP-Bereichen. Um eine IP-Adresse vom Server beziehen zu können, musst du dort ebenfalls zwei Bereiche anlegen, die die beiden VLANs widerspiegeln. Dann richtest du auf dem Layer-3-Switch in den VLANs die Helper-Adress ein (mit der Helperadress legst du fest, was der Switch mit UDP-Broadcasts machen soll, die er empfängt) und gibst im configure-Mode an, dass UDP-Pakete (bootpc) weitergeleitet werden sollen. Damit müsste es funktionieren.
Ansonsten richtest du auf dem Layer-3-Switch ebenfalls noch zwei VLANs ein mit unterschiedlichen IP-Bereichen. Um eine IP-Adresse vom Server beziehen zu können, musst du dort ebenfalls zwei Bereiche anlegen, die die beiden VLANs widerspiegeln. Dann richtest du auf dem Layer-3-Switch in den VLANs die Helper-Adress ein (mit der Helperadress legst du fest, was der Switch mit UDP-Broadcasts machen soll, die er empfängt) und gibst im configure-Mode an, dass UDP-Pakete (bootpc) weitergeleitet werden sollen. Damit müsste es funktionieren.
Dein DHCP-Server und dein Fileserver brauchen VLAN-fähige Netzwerkkarten (unter Linux immer möglich, unter Windows sollte es Intel PRO sein).
Dann fügst du den Port des Filservers "tagged" zu beiden VLANs hinzu und richtest auf dem wiederum die beiden VLANs mit ihren Subnetzen ein.
So, dass dein Fileserver nachher z.b. so konfiguriert ist:
VLAN10 172.16.0.0/24
VLAN20 172.17.0.0/24
Die Sache mit DHCP ist etwas schwerer.
Wenn du nur statische DHCP Vergabe machst ist es kein Problem, den DHCP-Server auch einfach in beide VLANs zu schmeissen.
Willst du aber für beide VLANs dynamisch IPs per DHCP vergeben landest du mit Windows in einer Sackgasse und mit Linux ist es auch nicht ganz trivial, da du mehrere Instanzen des DHCP-Servers mit unterschiedlicher Konfiguration an die verschiedenen Interfaces binden musst.
Vielleicht solltest du dich auch mal hier im Forum unter den Anleitungen umschauen - es gibt eine Gute von aqui.
Grüße
Max
Dann fügst du den Port des Filservers "tagged" zu beiden VLANs hinzu und richtest auf dem wiederum die beiden VLANs mit ihren Subnetzen ein.
So, dass dein Fileserver nachher z.b. so konfiguriert ist:
VLAN10 172.16.0.0/24
VLAN20 172.17.0.0/24
Die Sache mit DHCP ist etwas schwerer.
Wenn du nur statische DHCP Vergabe machst ist es kein Problem, den DHCP-Server auch einfach in beide VLANs zu schmeissen.
Willst du aber für beide VLANs dynamisch IPs per DHCP vergeben landest du mit Windows in einer Sackgasse und mit Linux ist es auch nicht ganz trivial, da du mehrere Instanzen des DHCP-Servers mit unterschiedlicher Konfiguration an die verschiedenen Interfaces binden musst.
Vielleicht solltest du dich auch mal hier im Forum unter den Anleitungen umschauen - es gibt eine Gute von aqui.
Grüße
Max
Danke diemilz und dog für die Infos.
@demilz:
@dog:
der Fileserver ist ein Poweredge 2850 (server 2003), dieser muss bestehen bleiben, DHCP ist auf einen Superscopes eingestellt, getrennt auf 192.168.1.0 und 192.168.2.0, die vergeben werden können.
Heisst das also, es muss zwingend für jedes VLAN ein eigener dhcp-Bereich vorhanden sein und konfiguriert werden?
Grüße
BB
@demilz:
Dein Konstrukt mit den vielen(?) Switchen macht für mich keinen Sinn. Sind das wirklich nur fünf PCs? <
- es sind insgesamt 150+ PCs, die 5 stehen nur Symbolisch für alle anderen. Habe das mit Paint hingekrickelt.Ansonsten richtest du auf dem Layer-3-Switch ebenfalls noch zwei VLANs ein mit unterschiedlichen IP-Bereichen. <
- Was meinst du mit "noch 2 VLANs"? Und warum 2? Ich meine, der Fileserver ist auch gleichzeitig DHCP!@dog:
der Fileserver ist ein Poweredge 2850 (server 2003), dieser muss bestehen bleiben, DHCP ist auf einen Superscopes eingestellt, getrennt auf 192.168.1.0 und 192.168.2.0, die vergeben werden können.
Heisst das also, es muss zwingend für jedes VLAN ein eigener dhcp-Bereich vorhanden sein und konfiguriert werden?
Grüße
BB
Die zentrale Frage ist ob einer deiner Switches eine Layer 3 SW hat also routen kann zwischen den VLANs !!!
Ist dem so reicht ein zentraler DHCP Server dem du beide Ip Ranges konfigurierst !
Im VLAN Segment ohne DHCP Server konfugurierst du dann unter der Vlan ip des Switches (int vlan xy) das Komanndo ip helper-address <ip addr dhcp server>
Genau so wie auch oben richtig beschrieben !!
Damit funktioniert das alles problemlos !!
Ist dem so reicht ein zentraler DHCP Server dem du beide Ip Ranges konfigurierst !
Im VLAN Segment ohne DHCP Server konfugurierst du dann unter der Vlan ip des Switches (int vlan xy) das Komanndo ip helper-address <ip addr dhcp server>
Genau so wie auch oben richtig beschrieben !!
Damit funktioniert das alles problemlos !!
Die zentrale Frage ist ob einer deiner Switches eine Layer 3 SW hat also routen kann zwischen den VLANs !!!
Ja, das kann er theoretisch (3560G)Ist dem so reicht ein zentraler DHCP Server dem du beide Ip Ranges konfigurierst !
beide IP-Ranges konfigurieren, damit meinst du die Netzwerkschnittstellen des DHCP selbst, korrekt?Reicht es, 2 Adressen aus beiden Adressbereichen auf eine Netzwerkkarte zu legen?
Das heist also, das ein "Schnorchel" mittels ip helper-adress in das nicht-DHCP-vlan
ermöglicht, dass alle VLAN-Mitglieder vom DHCP server IP-Adressen zugeweisen bekommen, von beiden
Scopes?
Ok, ich hab mich erst schon gewundert, warum fünf PCs mit drei Switchen versorgt werden. ;)
Bei uns haben wir das Problem so gelöst (wir haben ebenfalls zwei Cisco Catalyst 3560G Layer-3-Switche): Unser "zentrales" Netz hat die IP-Adresse 192.168.10.0/24. Der Rest des Netzes ist je nach Raum durchnummeriert (201, 202, 203, 204, etc.) und jeder Raum hat sein eigenes Subnetz. Der DHCP-Server läuft im zentralen Netz. Für jedes Subnetz, was du anlegst, musst du auf dem DHCP-Server einen eigenen Bereich (keine zusätzliche DHCP-Instanz wie bei Linux) anlegen. Auf dem Layer-3-Switch legst du die Subnetze (VLANs) selbst an.
Nun musst du dem Layer-3-Switch noch sagen, was er mit DHCP-Broadcasts aus den einzelnen Subnetzen machen soll. Dazu gehst du ins IOS auf dem Switch und verpasst dir mit "enable" höhere Berechtigungen. Danach gehst du in den Konfigurationsmodus mit der Eingabe von "configure t".
Dann gibst du ein: ip forward-protocol udp bootpc
Jetzt weiß der Switch, dass er UDP-Pakete mit Zielport 67 (bootpc ist nur ein Aliasname) weiterleiten soll. Wohin diese weitergeleitet werden, legst du jetzt in den einzelnen VLANs fest mit der IP-Helperaddress.
Beispiel (hier stehen jetzt nur die Befehle):
configure terminal
interface vlan 1
ip helper-address <IP-Adresse des DHCP-Servers)
Auf dem Fileserver musst du natürlich noch Rückrouten eintragen, sofern du kein RIP oder ein anderes Routing-Protokoll einsetzt, sonst laufen die Antworten ins Leere.
Das Routing zwischen den Subnetzen mit Ausnahme des Zentralnetzes zu verhindern, da bin ich auch noch nicht ganz schlau, denn das möchte ich bei uns auch einbauen. Kann aber nicht mehr viel sein.
Mit VLAN-Tagging haben wir bei uns überhaupt nichts gemacht, wir haben bei uns nur Subnetze.
Bei uns haben wir das Problem so gelöst (wir haben ebenfalls zwei Cisco Catalyst 3560G Layer-3-Switche): Unser "zentrales" Netz hat die IP-Adresse 192.168.10.0/24. Der Rest des Netzes ist je nach Raum durchnummeriert (201, 202, 203, 204, etc.) und jeder Raum hat sein eigenes Subnetz. Der DHCP-Server läuft im zentralen Netz. Für jedes Subnetz, was du anlegst, musst du auf dem DHCP-Server einen eigenen Bereich (keine zusätzliche DHCP-Instanz wie bei Linux) anlegen. Auf dem Layer-3-Switch legst du die Subnetze (VLANs) selbst an.
Nun musst du dem Layer-3-Switch noch sagen, was er mit DHCP-Broadcasts aus den einzelnen Subnetzen machen soll. Dazu gehst du ins IOS auf dem Switch und verpasst dir mit "enable" höhere Berechtigungen. Danach gehst du in den Konfigurationsmodus mit der Eingabe von "configure t".
Dann gibst du ein: ip forward-protocol udp bootpc
Jetzt weiß der Switch, dass er UDP-Pakete mit Zielport 67 (bootpc ist nur ein Aliasname) weiterleiten soll. Wohin diese weitergeleitet werden, legst du jetzt in den einzelnen VLANs fest mit der IP-Helperaddress.
Beispiel (hier stehen jetzt nur die Befehle):
configure terminal
interface vlan 1
ip helper-address <IP-Adresse des DHCP-Servers)
Auf dem Fileserver musst du natürlich noch Rückrouten eintragen, sofern du kein RIP oder ein anderes Routing-Protokoll einsetzt, sonst laufen die Antworten ins Leere.
Das Routing zwischen den Subnetzen mit Ausnahme des Zentralnetzes zu verhindern, da bin ich auch noch nicht ganz schlau, denn das möchte ich bei uns auch einbauen. Kann aber nicht mehr viel sein.
Mit VLAN-Tagging haben wir bei uns überhaupt nichts gemacht, wir haben bei uns nur Subnetze.
musst du auf dem DHCP-Server einen eigenen Bereich (keine zusätzliche DHCP-Instanz wie bei Linux) anlegen.
Das mit den Instanzen bezog sich lediglich darauf, wenn man mehrere VLANs hat und in jedem davon dynamisch IPs vergeben will.
Da jedes VLAN auf Layer 2 auf Layer 3 ein anderes Subnetz ist musst du auch sicherstellen, dass ein DHCP-Server nicht auf VLAN A die IP-Konfiguration für Subnetz B verteilt.
Da aber VLANs auf Layer 2 arbeiten und DHCP erst darüber ist für den DHCP-Server eigentlich nicht mehr ersichtlich an welches VLAN er welche IP-Konfiguration verteilen muss. Entsprechend muss ja das Subnet an ein Interface gebunden werden.
Ich kann nicht sagen ob der ISC DHCP oder der Windows DHCP schlau genug sind zu erkennen, dass ein Subnetz zu einem bestimmen Interface gehört - ich habe einfach mal Nein angenommen, darum verschiedene Instanzen
Wenn es allerdings nur um statisches DHCP geht ist das alles nicht relevant.
Grüße
Max
Danke schonmal für die vielen Tipps, habt mich schonmal in die richtige Richtung gedreht - versuche gerade, das umzusetzen. Werde mich nächste Woche melden,
wie es geklappt hat.
Gruß BB
wie es geklappt hat.
Gruß BB
Momentan scheitert es an ganz rudimentären Dingen. Ich habe einfach mal einen DHCP (192.168.1.1/24) in VLAN 1 gestellt und einen client in vlan 2. Beide Rechner sind bzw sollen im selben Subnetz sein, ich will also nur ausprobieren, ob der Client VLAN-übergreifend eine IP bekommt. Allerdings kommt trotz IP helper-adress und ip-forwarding nichts an (?).
Nein, das kann niemals klappen, denn VLANs sind, wie du ja sicher selber weisst, vollkommen physisch getrennt auf einem Switch !!! Dein Test zeigt dies ja auch in eindeutiger Weise !!
Wie sollte also dann bitteschön Daten vom VLAN 1 ins VLAN 2 kommen ??? Das ist also ein unsinniger Versuch.
Koppeln kannst du beide VLANs nur über einen Router (also z.B. die Layer 3 (Routing) Funktion des Switches)
Das erfordert dann aber zwingend unterschiedliche IP Netze in beiden VLANs, denn sonst hättest du 2mal die gleiche IP Adresse auf unterschiedlichen Segmenten was tödlich und somit auch verboten ist bei Design von IP Netzen weil die Wegefindung nicht mehr eindeutig ist !!!
Du musst dich also entscheiden welchen Weg du gehen willst... !
Wie sollte also dann bitteschön Daten vom VLAN 1 ins VLAN 2 kommen ??? Das ist also ein unsinniger Versuch.
Koppeln kannst du beide VLANs nur über einen Router (also z.B. die Layer 3 (Routing) Funktion des Switches)
Das erfordert dann aber zwingend unterschiedliche IP Netze in beiden VLANs, denn sonst hättest du 2mal die gleiche IP Adresse auf unterschiedlichen Segmenten was tödlich und somit auch verboten ist bei Design von IP Netzen weil die Wegefindung nicht mehr eindeutig ist !!!
Du musst dich also entscheiden welchen Weg du gehen willst... !
Hallo,
hat ein bisschen gedauert, abr es funktioniert nun, dhcp funktioniert großartig, broadcasts bleiben in den VLANs unter sich. Alle VLANs haben dabei unterschiedliche IP Netze bekommen.
Danke an alle beteiligten und für die Tipps und die tollen "Cisco-Befehle-Hints!
Wenn man sich die einzelnen Beiträge am Stück durchliest, ist man doch eine ganze Ecke schlauer!
Viele Grüße
BB
hat ein bisschen gedauert, abr es funktioniert nun, dhcp funktioniert großartig, broadcasts bleiben in den VLANs unter sich. Alle VLANs haben dabei unterschiedliche IP Netze bekommen.
Danke an alle beteiligten und für die Tipps und die tollen "Cisco-Befehle-Hints!
Wenn man sich die einzelnen Beiträge am Stück durchliest, ist man doch eine ganze Ecke schlauer!
Viele Grüße
BB
