7
Hilfe bei ipv4 Static Routing beim Cisco Switch SG 500-52
Hallo,
Ich habe seit kurzem einen sg 500-52 Switch von Cisco
Es klappt auch alles, nur mit dem Routing zwischen den Vlans habe ich ein Problem.
Folgende Situation:
Ein VLan ID 2 worin der Router (192.168.2.1) steht.
Ein VLan id 3 worin der Client steht (192.168.3.30)
Ich dachte jetzt reicht es das ich eine Route von 192.168.3.30 auf 192.168.2.1 mache. Aber bei Verwendung der subnetzmaske 255.255.255.0 bekomme ich die Fehlermeldung
Ip mask does Not Cover destination Adress.
Das verstehe ich nicht ganz weil die Adresse liegt ja im Bereich des Subnetzes.
Vielleicht könnte mir jemand ein kurzes Beispiel für das Static Routing geben?
Im Moment nutze ich dafür die GUI.
Das Modell ist sg-500-52.
Danke schonmal.
Ich habe seit kurzem einen sg 500-52 Switch von Cisco
Es klappt auch alles, nur mit dem Routing zwischen den Vlans habe ich ein Problem.
Folgende Situation:
Ein VLan ID 2 worin der Router (192.168.2.1) steht.
Ein VLan id 3 worin der Client steht (192.168.3.30)
Ich dachte jetzt reicht es das ich eine Route von 192.168.3.30 auf 192.168.2.1 mache. Aber bei Verwendung der subnetzmaske 255.255.255.0 bekomme ich die Fehlermeldung
Ip mask does Not Cover destination Adress.
Das verstehe ich nicht ganz weil die Adresse liegt ja im Bereich des Subnetzes.
Vielleicht könnte mir jemand ein kurzes Beispiel für das Static Routing geben?
Im Moment nutze ich dafür die GUI.
Das Modell ist sg-500-52.
Danke schonmal.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 188829
Url: https://administrator.de/contentid/188829
Printed on: April 19, 2024 at 17:04 o'clock
7 Comments
Latest comment
Hi
Nein. Wenn du 192.168.3.0/24 verwendest, dann ist 192.168.2.1 nicht inkludiert.
Dachte außerdem lt. diesem Beitrag dass der Switch selber das Routing macht ?
Oder hast du da was geändert ?
LG
Das verstehe ich nicht ganz weil die Adresse liegt ja im Bereich des Subnetzes.
Nein. Wenn du 192.168.3.0/24 verwendest, dann ist 192.168.2.1 nicht inkludiert.
Dachte außerdem lt. diesem Beitrag dass der Switch selber das Routing macht ?
Oder hast du da was geändert ?
LG
Stimmt jetzt wo ich's lese...mit 255.255.0.0 sind beide inkludiert oder?
Mein bisheriges Verständnis war, das ich einzelne Vlans erstelle, die allerdings voneinander abgeschottet sind. Und ich mit statischen Routen die Verbindungen zwischen ihnen herstelle...
Ist das so nicht korrekt?
Mein bisheriges Verständnis war, das ich einzelne Vlans erstelle, die allerdings voneinander abgeschottet sind. Und ich mit statischen Routen die Verbindungen zwischen ihnen herstelle...
Ist das so nicht korrekt?
Es ist völliger Unsinn eine statische Route auf dem Switch zu konfigurieren für lokale Netze am Switch, denn der Switch "kennt" ja bereits alle IP Netze (VLANs) die an ihm selbst direkt angeschlossen sind. Logisch !
In so fern sind statische Routen für diese lokalen VLANs bzw. IP Netze am Switch völlig überflüssig und auch kontraproduktiv !!
Einzig eine Default Route benötigt der Switch auf den Internet Router bzw. dessen IP.
Mehr nicht !!
Wichtig ist lediglich das bei allen Clients (Endgeräten) in den VLANs deren Default Gateway immer auf die jeweilige Switch IP im jeweiligen VLAN zeigen muss !
Mehr ist de facto NICHT erforderlich !
Beispiel für deinen VLANs:
VLan ID 2 mit der Cisco Switch IP 192.168.2.254:
Client IP: 192.168.2.100, Maske: 255.255.255.0, Gateway: 192.168.2.254
Ein VLan id 3 mit der Cisco Switch IP 192.168.3.254:
Client IP: 192.168.3.30, Maske: 255.255.255.0, Gateway: 192.168.3.254
ACHTUNG:
Diese beiden letzten Punkte sind für ein sauberes IPv4 Routing in deinem netz essentiell wichtig sonst funktioniert das nicht !
In so fern sind statische Routen für diese lokalen VLANs bzw. IP Netze am Switch völlig überflüssig und auch kontraproduktiv !!
Einzig eine Default Route benötigt der Switch auf den Internet Router bzw. dessen IP.
Mehr nicht !!
Wichtig ist lediglich das bei allen Clients (Endgeräten) in den VLANs deren Default Gateway immer auf die jeweilige Switch IP im jeweiligen VLAN zeigen muss !
Mehr ist de facto NICHT erforderlich !
Beispiel für deinen VLANs:
VLan ID 2 mit der Cisco Switch IP 192.168.2.254:
Client IP: 192.168.2.100, Maske: 255.255.255.0, Gateway: 192.168.2.254
Ein VLan id 3 mit der Cisco Switch IP 192.168.3.254:
Client IP: 192.168.3.30, Maske: 255.255.255.0, Gateway: 192.168.3.254
ACHTUNG:
- Der Cisco Switch muss einen Default Route auf die 192.168.2.1 haben !
- Der Internet Router 192.168.2.1 MUSS einen statische Route ala Netzwerk: 192.168.3.0, Maske: 255.255.255.0, Gateway: 192.168.2.254 haben !!
Diese beiden letzten Punkte sind für ein sauberes IPv4 Routing in deinem netz essentiell wichtig sonst funktioniert das nicht !
Gut dann fehlt mir anscheinend das Verständnis eines bestimmten Punktes...
Auf welche Weise Regel ich denn dann welcher Rechner aus einem bestimmten VLan Zugriff auf die Ressourcen in einem Anderen hat und welche Rechner auf die Ressourcen nicht zugreifen können?
Auf welche Weise Regel ich denn dann welcher Rechner aus einem bestimmten VLan Zugriff auf die Ressourcen in einem Anderen hat und welche Rechner auf die Ressourcen nicht zugreifen können?
Das machst du ganz einfach mit einer IP Access Liste auf dem Router IP Interface in dem VLAN !!
Zugriffsregeln macht man doch niemals mit Routing Einträgen oder ziehst du dir auch mit einer Kneifzange deine Unterhose an ??
Wozu hast du solch einen performanten Switch mit all diesen Security Funktions denn ?? Der kann mehr als ein Billigteil vom Blödmarkt Grabbeltisch !
http://www.cisco.com/en/US/docs/switches/lan/csbms/Sx500/cli_guide/CLI_ ...
Kapitel 42, Seite 615 hat alle Details dazu für dich !!
Lesen hilft !
Mal ein Beispiel für Anfänger:
Gesetzt den Fall du willst die Kommunikation von deiner VLAN ID 2 (192.168.2.0er Netz) ins VLAN 3 (192.168.3.0er Netz) verbieten aber einzig der Zigriff auf einen Webserver (TCP 80 und TCP 443) im VLAN 3 soll erlaubt sein.
Dann definierst du folgende IP Accessliste:
ip access-list extended vlan3-verboten
permit tcp 192.163.2.0 0.0.0.255 192.163.3.100 0.0.0.0 80
permit tcp 192.163.2.0 0.0.0.255 192.163.3.100 0.0.0.0 443
deny ip 192.163.2.0 0.0.0.255 192.163.3.0 0.0.0.255
permit ip 192.163.2.0 0.0.0.255 any
Fertig ! Wenn du dir die Syntax ansiehst verstehst du auch ganz schnell die Logik dahinter !
Diese Accessliste konfigurierst du nun ans Switch Routing Interface am VLAN 2 so das der Switch hier alle eingehenden Pakete daraufhin filtert:
interface vlan 2
service-acl input vlan3-verboten
Alles was nun zwischen den VLANs 2 und 3 geroutet wird muss über den Filter der in der ersten Zeile alles mit der Absender IP 192.163.2.x auf eine Ziel Host IP 192.163.3.100 mit Port TCP 80 (HTTP) erlaubt.
Ebenso in der 2ten Zeile alles mit der Absender IP 192.163.2.x auf die Host IP 192.163.3.100 mit Port TCP 443 (HTTPS)
in der 3ten Zeile verbietet er generell dann alles was außer den obigen Ausnahmen noch ins VLAN 3 will.
Alles andere an IP Traffic was NICHT ins VLAN 3 geht wird in der letzten Zeile dann generell erlaubt.
Eigentlich kinderleicht, oder ?!
Zugriffsregeln macht man doch niemals mit Routing Einträgen oder ziehst du dir auch mit einer Kneifzange deine Unterhose an ??
Wozu hast du solch einen performanten Switch mit all diesen Security Funktions denn ?? Der kann mehr als ein Billigteil vom Blödmarkt Grabbeltisch !
http://www.cisco.com/en/US/docs/switches/lan/csbms/Sx500/cli_guide/CLI_ ...
Kapitel 42, Seite 615 hat alle Details dazu für dich !!
Lesen hilft !
Mal ein Beispiel für Anfänger:
Gesetzt den Fall du willst die Kommunikation von deiner VLAN ID 2 (192.168.2.0er Netz) ins VLAN 3 (192.168.3.0er Netz) verbieten aber einzig der Zigriff auf einen Webserver (TCP 80 und TCP 443) im VLAN 3 soll erlaubt sein.
Dann definierst du folgende IP Accessliste:
ip access-list extended vlan3-verboten
permit tcp 192.163.2.0 0.0.0.255 192.163.3.100 0.0.0.0 80
permit tcp 192.163.2.0 0.0.0.255 192.163.3.100 0.0.0.0 443
deny ip 192.163.2.0 0.0.0.255 192.163.3.0 0.0.0.255
permit ip 192.163.2.0 0.0.0.255 any
Fertig ! Wenn du dir die Syntax ansiehst verstehst du auch ganz schnell die Logik dahinter !
Diese Accessliste konfigurierst du nun ans Switch Routing Interface am VLAN 2 so das der Switch hier alle eingehenden Pakete daraufhin filtert:
interface vlan 2
service-acl input vlan3-verboten
Alles was nun zwischen den VLANs 2 und 3 geroutet wird muss über den Filter der in der ersten Zeile alles mit der Absender IP 192.163.2.x auf eine Ziel Host IP 192.163.3.100 mit Port TCP 80 (HTTP) erlaubt.
Ebenso in der 2ten Zeile alles mit der Absender IP 192.163.2.x auf die Host IP 192.163.3.100 mit Port TCP 443 (HTTPS)
in der 3ten Zeile verbietet er generell dann alles was außer den obigen Ausnahmen noch ins VLAN 3 will.
Alles andere an IP Traffic was NICHT ins VLAN 3 geht wird in der letzten Zeile dann generell erlaubt.
Eigentlich kinderleicht, oder ?!
Das man es mit Accesslisten macht, habe ich mit fast gedacht, aber in einem anderen Theras hatte jemand geschrieben das man es mit Routing löst.
Kann aber auch von mir doof formuliert gewesen sein..
Vielen dank für alles
Super Support!
Kann aber auch von mir doof formuliert gewesen sein..
Vielen dank für alles
Super Support!
Der "jemand" hat wie so häufig keine Ahnung von IP, sorry aber das passiert hier leider öfter das Leute mit gefährlichen Netzwerk Teil- oder Unwissen die Forumsteilnehmer in die (IP) Sackgasse schicken 
Routing ist einzig und allein für die Wegefindung in einem IP Netzwerk zuständig !!
Siehe auch die Definition dazu hier: http://de.wikipedia.org/wiki/Routing
Vergiss also ganz schnell diesen Unsinn damit Zugriffsrechte in einem Netzwerk einstellen zu wollen.
Das geht einzig und allein mit IP Accesslisten ! Wie, das siehst du oben !
Routing ist einzig und allein für die Wegefindung in einem IP Netzwerk zuständig !!
Siehe auch die Definition dazu hier: http://de.wikipedia.org/wiki/Routing
Vergiss also ganz schnell diesen Unsinn damit Zugriffsrechte in einem Netzwerk einstellen zu wollen.
Das geht einzig und allein mit IP Accesslisten ! Wie, das siehst du oben !
