Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Hilfe bei ipv4 Static Routing beim Cisco Switch SG 500-52

Frage Netzwerke Router & Routing

Mitglied: theoberlin

theoberlin (Level 2) - Jetzt verbinden

30.07.2012 um 14:49 Uhr, 6712 Aufrufe, 7 Kommentare

Hallo,

Ich habe seit kurzem einen sg 500-52 Switch von Cisco

Es klappt auch alles, nur mit dem Routing zwischen den Vlans habe ich ein Problem.
Folgende Situation:

Ein VLan ID 2 worin der Router (192.168.2.1) steht.

Ein VLan id 3 worin der Client steht (192.168.3.30)

Ich dachte jetzt reicht es das ich eine Route von 192.168.3.30 auf 192.168.2.1 mache. Aber bei Verwendung der subnetzmaske 255.255.255.0 bekomme ich die Fehlermeldung
Ip mask does Not Cover destination Adress.
Das verstehe ich nicht ganz weil die Adresse liegt ja im Bereich des Subnetzes.

Vielleicht könnte mir jemand ein kurzes Beispiel für das Static Routing geben?
Im Moment nutze ich dafür die GUI.
Das Modell ist sg-500-52.

Danke schonmal.
Mitglied: catachan
30.07.2012 um 15:03 Uhr
Hi

Das verstehe ich nicht ganz weil die Adresse liegt ja im Bereich des Subnetzes.

Nein. Wenn du 192.168.3.0/24 verwendest, dann ist 192.168.2.1 nicht inkludiert.

Dachte außerdem lt. diesem Beitrag dass der Switch selber das Routing macht ?
http://www.administrator.de/forum/VLAN-erstellung%2C-kleiner-Exkurs-in- ...

Oder hast du da was geändert ?

LG
Bitte warten ..
Mitglied: theoberlin
30.07.2012 um 15:12 Uhr
Stimmt jetzt wo ich's lese...mit 255.255.0.0 sind beide inkludiert oder?

Mein bisheriges Verständnis war, das ich einzelne Vlans erstelle, die allerdings voneinander abgeschottet sind. Und ich mit statischen Routen die Verbindungen zwischen ihnen herstelle...
Ist das so nicht korrekt?
Bitte warten ..
Mitglied: aqui
30.07.2012, aktualisiert um 16:08 Uhr
Es ist völliger Unsinn eine statische Route auf dem Switch zu konfigurieren für lokale Netze am Switch, denn der Switch "kennt" ja bereits alle IP Netze (VLANs) die an ihm selbst direkt angeschlossen sind. Logisch !
In so fern sind statische Routen für diese lokalen VLANs bzw. IP Netze am Switch völlig überflüssig und auch kontraproduktiv !!
Einzig eine Default Route benötigt der Switch auf den Internet Router bzw. dessen IP.
Mehr nicht !!
Wichtig ist lediglich das bei allen Clients (Endgeräten) in den VLANs deren Default Gateway immer auf die jeweilige Switch IP im jeweiligen VLAN zeigen muss !
Mehr ist de facto NICHT erforderlich !
Beispiel für deinen VLANs:

VLan ID 2 mit der Cisco Switch IP 192.168.2.254:
Client IP: 192.168.2.100, Maske: 255.255.255.0, Gateway: 192.168.2.254

Ein VLan id 3 mit der Cisco Switch IP 192.168.3.254:
Client IP: 192.168.3.30, Maske: 255.255.255.0, Gateway: 192.168.3.254

ACHTUNG:
  • Der Cisco Switch muss einen Default Route auf die 192.168.2.1 haben !
  • Der Internet Router 192.168.2.1 MUSS einen statische Route ala Netzwerk: 192.168.3.0, Maske: 255.255.255.0, Gateway: 192.168.2.254 haben !!
Für jedes VLAN (außer dem .2.0) musst du auf dem Router so eine statische Route eintragen auf dem Internet Router !
Diese beiden letzten Punkte sind für ein sauberes IPv4 Routing in deinem netz essentiell wichtig sonst funktioniert das nicht !
Bitte warten ..
Mitglied: theoberlin
30.07.2012 um 16:02 Uhr
Gut dann fehlt mir anscheinend das Verständnis eines bestimmten Punktes...

Auf welche Weise Regel ich denn dann welcher Rechner aus einem bestimmten VLan Zugriff auf die Ressourcen in einem Anderen hat und welche Rechner auf die Ressourcen nicht zugreifen können?
Bitte warten ..
Mitglied: aqui
30.07.2012, aktualisiert um 16:40 Uhr
Das machst du ganz einfach mit einer IP Access Liste auf dem Router IP Interface in dem VLAN !!
Zugriffsregeln macht man doch niemals mit Routing Einträgen oder ziehst du dir auch mit einer Kneifzange deine Unterhose an ??
Wozu hast du solch einen performanten Switch mit all diesen Security Funktions denn ?? Der kann mehr als ein Billigteil vom Blödmarkt Grabbeltisch !
http://www.cisco.com/en/US/docs/switches/lan/csbms/Sx500/cli_guide/CLI_ ...
Kapitel 42, Seite 615 hat alle Details dazu für dich !!
Lesen hilft !
Mal ein Beispiel für Anfänger:
Gesetzt den Fall du willst die Kommunikation von deiner VLAN ID 2 (192.168.2.0er Netz) ins VLAN 3 (192.168.3.0er Netz) verbieten aber einzig der Zigriff auf einen Webserver (TCP 80 und TCP 443) im VLAN 3 soll erlaubt sein.
Dann definierst du folgende IP Accessliste:
ip access-list extended vlan3-verboten
permit tcp 192.163.2.0 0.0.0.255 192.163.3.100 0.0.0.0 80
permit tcp 192.163.2.0 0.0.0.255 192.163.3.100 0.0.0.0 443
deny ip 192.163.2.0 0.0.0.255 192.163.3.0 0.0.0.255
permit ip 192.163.2.0 0.0.0.255 any

Fertig ! Wenn du dir die Syntax ansiehst verstehst du auch ganz schnell die Logik dahinter !
Diese Accessliste konfigurierst du nun ans Switch Routing Interface am VLAN 2 so das der Switch hier alle eingehenden Pakete daraufhin filtert:
interface vlan 2
service-acl input vlan3-verboten

Alles was nun zwischen den VLANs 2 und 3 geroutet wird muss über den Filter der in der ersten Zeile alles mit der Absender IP 192.163.2.x auf eine Ziel Host IP 192.163.3.100 mit Port TCP 80 (HTTP) erlaubt.
Ebenso in der 2ten Zeile alles mit der Absender IP 192.163.2.x auf die Host IP 192.163.3.100 mit Port TCP 443 (HTTPS)
in der 3ten Zeile verbietet er generell dann alles was außer den obigen Ausnahmen noch ins VLAN 3 will.
Alles andere an IP Traffic was NICHT ins VLAN 3 geht wird in der letzten Zeile dann generell erlaubt.
Eigentlich kinderleicht, oder ?!
Bitte warten ..
Mitglied: theoberlin
30.07.2012, aktualisiert um 17:07 Uhr
Das man es mit Accesslisten macht, habe ich mit fast gedacht, aber in einem anderen Theras hatte jemand geschrieben das man es mit Routing löst.
Kann aber auch von mir doof formuliert gewesen sein..


Vielen dank für alles
Super Support!
Bitte warten ..
Mitglied: aqui
30.07.2012, aktualisiert um 16:37 Uhr
Der "jemand" hat wie so häufig keine Ahnung von IP, sorry aber das passiert hier leider öfter das Leute mit gefährlichen Netzwerk Teil- oder Unwissen die Forumsteilnehmer in die (IP) Sackgasse schicken
Routing ist einzig und allein für die Wegefindung in einem IP Netzwerk zuständig !!
Siehe auch die Definition dazu hier: http://de.wikipedia.org/wiki/Routing
Vergiss also ganz schnell diesen Unsinn damit Zugriffsrechte in einem Netzwerk einstellen zu wollen.
Das geht einzig und allein mit IP Accesslisten ! Wie, das siehst du oben !
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Sg-500 Switch L3 Routing, Zugriff auf Management Interface unterbinden
Frage von theoberlinRouter & Routing10 Kommentare

Hallo zusammen, ich betreibe einen SG-500-52 als Core Switch. Er Routet auch zwischen den verschiedenen VLAN's. Nun ist es ...

Switche und Hubs
Mehrere Cisco sg300-52 Switches stacken
gelöst Frage von siebterZwergSwitche und Hubs4 Kommentare

Hallo admins, ich bräuchte mal euer Fachwissen, da meines noch nicht so sehr erweitert ist ;) Fragen: 1) Was ...

Switche und Hubs
Frage zu SFP+ Einschub für Cisco SG-500X Switches
gelöst Frage von the-datzlSwitche und Hubs4 Kommentare

Liebes Forum, ich verwalte als Lehrer die IT einer Schule, die momentan komplett kernsaniert wird. In diesem Zuge bekommen ...

Router & Routing
HP GL4108 - Static Routing
Frage von skibbyRouter & Routing2 Kommentare

Tag zusammen, ich bin noch relativ frisch bei einem neuen Unternehmen und löse damit den derzeitigen IT-Dienstleister ab. Natürlich ...

Neue Wissensbeiträge
Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 2 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Sicherheit

Teamviewer Sessions können gekapert werden - Update tw. verfügbar

Information von sabines vor 4 TagenSicherheit7 Kommentare

In bestimmten Konstellationen können Teamviewer Sessions gekapert werden, wahrscheinlich aber ein recht unwahrscheinliches Szenario. Da der Teamviewer gerne für ...

Heiß diskutierte Inhalte
Vmware
Installation Windows 10 VMware
Frage von Ghost108Vmware17 Kommentare

Hallo zusammen, versuche gerade mit Hilfe des vshpere clients eine virtuelle Windows 10 maschine aufzusetzen. 1. virtuelle Maschine erstellt ...

Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server14 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Windows Server
Server 2012 über Eingabeaufforderung devmgmt.msc geht nicht
gelöst Frage von achim222Windows Server9 Kommentare

Hallo, ich habe hier einen Server 2012 der im Reparaturmodus startet. Es liegt an einem falschen VirtIO Treiber für ...