Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Hilfe bei ipv4 Static Routing beim Cisco Switch SG 500-52

Frage Netzwerke Router & Routing

Mitglied: theoberlin

theoberlin (Level 2) - Jetzt verbinden

30.07.2012 um 14:49 Uhr, 6224 Aufrufe, 7 Kommentare

Hallo,

Ich habe seit kurzem einen sg 500-52 Switch von Cisco

Es klappt auch alles, nur mit dem Routing zwischen den Vlans habe ich ein Problem.
Folgende Situation:

Ein VLan ID 2 worin der Router (192.168.2.1) steht.

Ein VLan id 3 worin der Client steht (192.168.3.30)

Ich dachte jetzt reicht es das ich eine Route von 192.168.3.30 auf 192.168.2.1 mache. Aber bei Verwendung der subnetzmaske 255.255.255.0 bekomme ich die Fehlermeldung
Ip mask does Not Cover destination Adress.
Das verstehe ich nicht ganz weil die Adresse liegt ja im Bereich des Subnetzes.

Vielleicht könnte mir jemand ein kurzes Beispiel für das Static Routing geben?
Im Moment nutze ich dafür die GUI.
Das Modell ist sg-500-52.

Danke schonmal.
Mitglied: catachan
30.07.2012 um 15:03 Uhr
Hi

Das verstehe ich nicht ganz weil die Adresse liegt ja im Bereich des Subnetzes.

Nein. Wenn du 192.168.3.0/24 verwendest, dann ist 192.168.2.1 nicht inkludiert.

Dachte außerdem lt. diesem Beitrag dass der Switch selber das Routing macht ?
http://www.administrator.de/forum/VLAN-erstellung%2C-kleiner-Exkurs-in- ...

Oder hast du da was geändert ?

LG
Bitte warten ..
Mitglied: theoberlin
30.07.2012 um 15:12 Uhr
Stimmt jetzt wo ich's lese...mit 255.255.0.0 sind beide inkludiert oder?

Mein bisheriges Verständnis war, das ich einzelne Vlans erstelle, die allerdings voneinander abgeschottet sind. Und ich mit statischen Routen die Verbindungen zwischen ihnen herstelle...
Ist das so nicht korrekt?
Bitte warten ..
Mitglied: aqui
30.07.2012, aktualisiert um 16:08 Uhr
Es ist völliger Unsinn eine statische Route auf dem Switch zu konfigurieren für lokale Netze am Switch, denn der Switch "kennt" ja bereits alle IP Netze (VLANs) die an ihm selbst direkt angeschlossen sind. Logisch !
In so fern sind statische Routen für diese lokalen VLANs bzw. IP Netze am Switch völlig überflüssig und auch kontraproduktiv !!
Einzig eine Default Route benötigt der Switch auf den Internet Router bzw. dessen IP.
Mehr nicht !!
Wichtig ist lediglich das bei allen Clients (Endgeräten) in den VLANs deren Default Gateway immer auf die jeweilige Switch IP im jeweiligen VLAN zeigen muss !
Mehr ist de facto NICHT erforderlich !
Beispiel für deinen VLANs:

VLan ID 2 mit der Cisco Switch IP 192.168.2.254:
Client IP: 192.168.2.100, Maske: 255.255.255.0, Gateway: 192.168.2.254

Ein VLan id 3 mit der Cisco Switch IP 192.168.3.254:
Client IP: 192.168.3.30, Maske: 255.255.255.0, Gateway: 192.168.3.254

ACHTUNG:
  • Der Cisco Switch muss einen Default Route auf die 192.168.2.1 haben !
  • Der Internet Router 192.168.2.1 MUSS einen statische Route ala Netzwerk: 192.168.3.0, Maske: 255.255.255.0, Gateway: 192.168.2.254 haben !!
Für jedes VLAN (außer dem .2.0) musst du auf dem Router so eine statische Route eintragen auf dem Internet Router !
Diese beiden letzten Punkte sind für ein sauberes IPv4 Routing in deinem netz essentiell wichtig sonst funktioniert das nicht !
Bitte warten ..
Mitglied: theoberlin
30.07.2012 um 16:02 Uhr
Gut dann fehlt mir anscheinend das Verständnis eines bestimmten Punktes...

Auf welche Weise Regel ich denn dann welcher Rechner aus einem bestimmten VLan Zugriff auf die Ressourcen in einem Anderen hat und welche Rechner auf die Ressourcen nicht zugreifen können?
Bitte warten ..
Mitglied: aqui
30.07.2012, aktualisiert um 16:40 Uhr
Das machst du ganz einfach mit einer IP Access Liste auf dem Router IP Interface in dem VLAN !!
Zugriffsregeln macht man doch niemals mit Routing Einträgen oder ziehst du dir auch mit einer Kneifzange deine Unterhose an ??
Wozu hast du solch einen performanten Switch mit all diesen Security Funktions denn ?? Der kann mehr als ein Billigteil vom Blödmarkt Grabbeltisch !
http://www.cisco.com/en/US/docs/switches/lan/csbms/Sx500/cli_guide/CLI_ ...
Kapitel 42, Seite 615 hat alle Details dazu für dich !!
Lesen hilft !
Mal ein Beispiel für Anfänger:
Gesetzt den Fall du willst die Kommunikation von deiner VLAN ID 2 (192.168.2.0er Netz) ins VLAN 3 (192.168.3.0er Netz) verbieten aber einzig der Zigriff auf einen Webserver (TCP 80 und TCP 443) im VLAN 3 soll erlaubt sein.
Dann definierst du folgende IP Accessliste:
ip access-list extended vlan3-verboten
permit tcp 192.163.2.0 0.0.0.255 192.163.3.100 0.0.0.0 80
permit tcp 192.163.2.0 0.0.0.255 192.163.3.100 0.0.0.0 443
deny ip 192.163.2.0 0.0.0.255 192.163.3.0 0.0.0.255
permit ip 192.163.2.0 0.0.0.255 any

Fertig ! Wenn du dir die Syntax ansiehst verstehst du auch ganz schnell die Logik dahinter !
Diese Accessliste konfigurierst du nun ans Switch Routing Interface am VLAN 2 so das der Switch hier alle eingehenden Pakete daraufhin filtert:
interface vlan 2
service-acl input vlan3-verboten

Alles was nun zwischen den VLANs 2 und 3 geroutet wird muss über den Filter der in der ersten Zeile alles mit der Absender IP 192.163.2.x auf eine Ziel Host IP 192.163.3.100 mit Port TCP 80 (HTTP) erlaubt.
Ebenso in der 2ten Zeile alles mit der Absender IP 192.163.2.x auf die Host IP 192.163.3.100 mit Port TCP 443 (HTTPS)
in der 3ten Zeile verbietet er generell dann alles was außer den obigen Ausnahmen noch ins VLAN 3 will.
Alles andere an IP Traffic was NICHT ins VLAN 3 geht wird in der letzten Zeile dann generell erlaubt.
Eigentlich kinderleicht, oder ?!
Bitte warten ..
Mitglied: theoberlin
30.07.2012, aktualisiert um 17:07 Uhr
Das man es mit Accesslisten macht, habe ich mit fast gedacht, aber in einem anderen Theras hatte jemand geschrieben das man es mit Routing löst.
Kann aber auch von mir doof formuliert gewesen sein..


Vielen dank für alles
Super Support!
Bitte warten ..
Mitglied: aqui
30.07.2012, aktualisiert um 16:37 Uhr
Der "jemand" hat wie so häufig keine Ahnung von IP, sorry aber das passiert hier leider öfter das Leute mit gefährlichen Netzwerk Teil- oder Unwissen die Forumsteilnehmer in die (IP) Sackgasse schicken
Routing ist einzig und allein für die Wegefindung in einem IP Netzwerk zuständig !!
Siehe auch die Definition dazu hier: http://de.wikipedia.org/wiki/Routing
Vergiss also ganz schnell diesen Unsinn damit Zugriffsrechte in einem Netzwerk einstellen zu wollen.
Das geht einzig und allein mit IP Accesslisten ! Wie, das siehst du oben !
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
VLAN Mikrotik keine Verbindung zum Gateway Cisco Switch (16)

Frage von Joshua2go zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst Kein Zugriff auf Cisco Switch SG300 über OpenVPN (4)

Frage von miuliu zum Thema Router & Routing ...

Switche und Hubs
gelöst Frage zu SFP+ Einschub für Cisco SG-500X Switches (4)

Frage von the-datzl zum Thema Switche und Hubs ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...