Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Problem mit Cisco VLAN-Konfiguration

Frage Netzwerke Router & Routing

Mitglied: ef8619

ef8619 (Level 1) - Jetzt verbinden

25.01.2014, aktualisiert 29.01.2014, 2475 Aufrufe, 4 Kommentare

Hallo liebe Leute,

wir haben 2 Cisco SGE2000 und SGE2000P im Stacking Mode laufen, dazu einen Cisco ISR 1921 Router. Dort habe ich meine VLAN-Interfaces (Dot1q) definiert und die entsprechenden DHCP-Pools und die dazugehörigen Netzadressbereiche angelegt.

Auf dem Master-Switch habe ich die gewünschten VLANs mit ID und Name definiert und die benötigten VLANs als DHCP-Interfaces festgelegt. Den Port, an dem das Kabel vom Router zum Master-Switch angeschlossen ist, habe ich in den Trunk-Mode mit eingeschaltetem Tagging versetzt.

Zum Testen habe ich nun einen Rechner an einen Switchport angeschlossen und diesen Switchport in den Access-Mode für ein ausgewähltes VLAN (und nur dieses, auch kein Default VLAN) gesteckt. Der Rechner bekommt eine IP-Adresse aus dem richtigen Netzadressbereich, der für das VLAN festgelegt ist, in dem sich der Rechner befindet.

Soweit so gut. Nun besteht aber das Problem, dass ich von diesem Rechner aus trotzdem noch Geräte erreichen kann (ICMP, HTTP usw.), welche sich aber in einem anderen VLAN befinden (z.B. Default VLAN mit der ID 1).

Könnt ihr mir vielleicht erklären was hier falsch läuft? Normalerweise sind die Netze doch logisch getrennt und eine Kommunikation untereinander dürfte nicht möglich sein, solange die Ports, an denen die Endgeräte angeschlossen sind nicht Member im gleichen VLAN sind?
Mitglied: shadynet
LÖSUNG 25.01.2014, aktualisiert 29.01.2014
Hi,

ist ganz einfach: der Router macht das, was er machen soll nämlich...routen. Um das zu unterbinden musst du dem Router das routen abgewöhnen. Sollte afaik mit dem Kommand "no ip routing" zu erledigen sein.

Grüße


kleiner Edit noch dazu: wenn du die dot1q Subinterfaces (Gi0/0.1 z.B. für VLAN 1) angelegt hast, sind diese Netze als "directly connected" in der Routingtabelle im Router hinterlegt. Somit wird einfach nach der Routingtabelle gearbeitet, indem dein Client das Paket ans Gateway (der Router) sendet und er dann seiner eigentlichen Aufgabe nachgeht. Du kannst nun also die Routingfunktion deaktivieren (Kommando oben), was aber blöd ist, wenn du den Router noch ans WAN anschließt. In dem Fall musst du dann für alles und jeden eine ACL (Access Control List) anlegen, die so eingestellt sind, dass jeder Client aus jedem Netz ins Internet kommt, aber kein Client mit einem Client eines anderen Subnetzes kommunizieren kann
Bitte warten ..
Mitglied: aqui
25.01.2014, aktualisiert um 20:44 Uhr
Vermutlich ist es wirklich so wie oben vermutet.
Du solltest mal ein Traceroute oder Pathping ausführen auf die Zielsysteme, dann kannst du sehen ob der Routerhop dazwischen ist.
Muss aber, denn anders kannst du die anderen Endgeräte in den anderen IP Netzen (VLANs) auch gar nicht erreichen !
Das Design arbeitet dann eigentlich so wie es soll und routet zwischen den VLANs
Mit einer ACL auf dem Router bekommst du das aber in der Tat wieder in den Griff...

Du solltest nochmal genau klären WAS du mit der Aussage "und die benötigten VLANs als DHCP-Interfaces festgelegt." genau meinst ??
Das klingt recht verwirrend denn so hat ein VLAN erstmal mit DHCP nichts zu tun und DHCP hat auch keine "Interfaces" ?!

Grundlagen zu dem Thema klärt sonst noch dieses Forumstutorial:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Bitte warten ..
Mitglied: ef8619
29.01.2014 um 17:23 Uhr
Vielen Dank für eure Hilfe. Ihr scheint recht zu haben, dass hierfür ACLs nötig sind. Dies wird u.a. auch auf folgender Seite beschrieben:

http://www.schulnetz.info/vlan-teil5-access_lists/

"(Ohne Access Lists [ACL] sind VLANs nur der halbe Spass – es wird lediglich das Broadcasting stark reduziert, was zu einem Performancegewinn führt;
aus Sicherheitstechnischem Blickwinkel haben wir aber ohne ACLs noch nichts erreicht!"

Wo sollte ich denn nun am besten die ACLs definieren - auf dem Router oder auf dem Switch(es)?

Bzgl. "VLANs als DHCP Interfaces" meinte ich die Seite in der Weboberfläche des Cisco SGE2000. Dort kann man ein VLAN als "Interface" auswählen, für die DHCP Requests und Responses durch ein externes Gerät (Router) möglich sein sollen (mithilfe von Dot1q). Ich kann nur sagen, dass die Vergabe von IP-Adressen vom DHCP-Servers für einen Client in einem VLAN mit ID > 1 erst vergeben wurden, (der Port des Endgeräts war im Access Mode für das dazugehörige VLAN), als ich das VLAN als "DHCP Interface" in diesem Cisco Menü angegeben habe.
Bitte warten ..
Mitglied: aqui
29.01.2014, aktualisiert um 17:45 Uhr
Ihr scheint recht zu haben, dass hierfür ACLs nötig sind.
Nicht nur "scheinen" es ist wirklich so. Ohne ACLs hast du einen transparenten Router der zwischen allen IP netzen sprich VLANs ja routet.

Es gibt 2 Möglichkeiten bzw. Punkte die ACLs zu definieren:
1.) Wenn dein Switch ein Layer 3 Switch ist also ein Routing Switch, d.h. das der Switch selber zwischen den VLANs Routen kann dann werden logischerweise die IP Accesslisten an den IP Interfaces des Switches definiert !
Dein SGE2000 ist aber kein routingfähiger Switch laut Datenblatt:
http://www.cisco.com/web/DE/pdfs/ds/Cisco-SGE2000-Datenblatt-deutsch.pd ...
Bleibt also nur die 2te Option für dich....

2.) Wenn du keinen Routing fähigen Switch hast und mit einem externen Router oder Firewall arbeitest wie im o.a. Tutorial beschrieben, dann werden die IP ACLs dann logischerweise an den zum VLAN korrespondierenden Interfaces DORT konfiguriert.

Kommt man aber auch von allein drauf wenn man mal etwas nachdenkt

Was du oben beschreibst in Bezug zu DHCP sind DHCP Forwarder bzw. Helper Adressen. Ist auch logisch das eine zentrale DHCP Vergabe über einen zentralen Server nur so funktioniert, denn jeder Netzwerker weiss das DHCPs auf Broadcasts basieren, die nicht geroutet werden in den einzelnen IP Segementen. Folglich müssen diese DHCP Broadcasts irgendwie an den Server gesendet werden was diese Helper oder Forwarder bewerkstelligen.
Allerdings....da dein Switch gar kein L3 also Routing Switch ist kann er damit niemals ein ein Problem bekommen. Dieses Kommando ist nur für L3 Switches relevant. Fragt sich also was du da wirklich verschlimmbessert hast.
In der Beziehung ist das also Unsinn oder laienhaft ujnd untechnisch beschrieben, sorry !
Oder meinst du damit das DHCP Snooping Feature was im Handbuch:
http://www.cisco.com/en/US/docs/switches/lan/csbms/sfe2000/administrati ...
auf Seite 127 ff. beschrieben ist ??
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Netzwerkprotokolle
gelöst Problem bei VLAN Trunk mit LACP zwischen HP und Cisco (11)

Frage von markuswo zum Thema Netzwerkprotokolle ...

Router & Routing
Übungen zu Cisco Router Konfiguration (3)

Frage von M.Marz zum Thema Router & Routing ...

Netzwerkmanagement
VLAN Konfiguration inkl. Management VLAN Zugriff auf NETGEAR Smartswitches (1)

Frage von tobitobsn zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...