Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Problem mit Vlan auf Cisco 3560G

Frage Netzwerke Router & Routing

Mitglied: alex-w

alex-w (Level 1) - Jetzt verbinden

28.05.2010, aktualisiert 18.10.2012, 5985 Aufrufe, 9 Kommentare

Hi,

ich habe auf dem oben erwähntem Switch ein neues Vlan eingerichtet. Dieses Vlan sollte nun in ein anderes geroutet werden, an welchem die Firewall hängt.
Das Problem ist nun das ich intern in alle Vlans komme nur nicht in das an welchem die FW hängt.

Die Config sieht in etwa so aus:

Das Probem Vlan
interface Vlan221
description routing-if-221
ip address 192.168.221.2 255.255.255.0
ip helper-address 192.168.100.75
ip helper-address 192.168.100.50
standby 221 ip 192.168.221.1
standby 221 priority 110
standby 221 preempt
standby 221 authentication if-221


Das FW Vlan

interface Vlan230
description Transfernetz Firewall 6MBit
ip address 192.168.230.2 255.255.255.0


Wenn ich nun aus diesem Vlan heraus ein Traceroute auf z.B. administrator.de mache passiert folgendes:

tracert administrator.de

1 1ms 1ms 1ms cs-sw-1.local.netz [192.168.0.1]
2 * * * Zeitüberschreitung der Anforderung.


Hat jemand eine Idee warum das Routing in dieses Vlan nicht geht.
Mitglied: brammer
28.05.2010 um 15:00 Uhr
Hallo,

wie hast du den dei Verbindung deinem Switch und deiner Firewall aufgebaut?
Ein Trunk?
Nur ein VLAN?
Routing Ports?

Wenn du nur ein VLAN hast dann wird das so eher nichts.
Poste doch einfach mal die config.

brammer
Bitte warten ..
Mitglied: alex-w
28.05.2010 um 15:08 Uhr
spanning-tree mode pvst
spanning-tree extend system-id
spanning-tree vlan 1-3,50,60,70,99-100,120,140,150,160,170,180 priority 8192
spanning-tree vlan 190,221 priority 8192
spanning-tree vlan 200,210,220,230 priority 16384
!
vlan internal allocation policy ascending
!
interface Port-channel1
description AS-SW-1
switchport trunk encapsulation dot1q
switchport trunk native vlan 99
switchport mode trunk
!
interface Port-channel2
description GEC-to-AS1-GBII
switchport trunk encapsulation dot1q
switchport trunk native vlan 99
switchport mode trunk
!
interface Port-channel3
description GEC-to-AS2-GBI
switchport trunk encapsulation dot1q
switchport trunk native vlan 99
switchport mode trunk
!
interface Port-channel4
description GEC-to-AS3-GBI
switchport trunk encapsulation dot1q
switchport trunk native vlan 99
switchport mode trunk
!
interface Port-channel5
description GEC-to-AS4-GBI
switchport trunk encapsulation dot1q
switchport trunk native vlan 99
switchport mode trunk
!
interface Port-channel10
description temp-trk-wo world
switchport trunk encapsulation dot1q
switchport trunk native vlan 99
switchport mode trunk
!
interface GigabitEthernet0/1
description sopsun-VLAN-2
switchport access vlan 2
switchport mode access
spanning-tree portfast
!

!
interface GigabitEthernet0/4
description Trunk-Y422241-Swit
switchport trunk encapsulation dot1q
switchport trunk native vlan 99
switchport mode trunk
spanning-tree portfast
!
interface GigabitEthernet0/5
description Firewall-VLAN-250
switchport access vlan 250
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet0/6
description Firewall-VLAN-230
switchport access vlan 230
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet0/13
description TRK-to-AS-SW-5
switchport trunk encapsulation dot1q
switchport trunk native vlan 99
switchport mode trunk
channel-group 1 mode active
!
interface GigabitEthernet0/15
description TRK-to-AS-SW-2
switchport trunk encapsulation dot1q
switchport trunk native vlan 99
switchport mode trunk
channel-group 3 mode active
!
interface GigabitEthernet0/16
description TRK-to-AS-SW-1
switchport trunk encapsulation dot1q
switchport trunk native vlan 99
switchport mode trunk
channel-group 2 mode active
!
interface GigabitEthernet0/22
description VLAN_for_WLAN_221
switchport access vlan 221
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet0/23
description sopsun-VLAN-3
switchport access vlan 3
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet0/24
description sopsun-VLAN-3
switchport access vlan 3
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet0/25
description TRK-to-AS-5-TA
switchport trunk encapsulation dot1q
switchport trunk native vlan 99
switchport mode trunk
!
interface GigabitEthernet0/26
description TRK-to-AS-7-EG
switchport trunk encapsulation dot1q
switchport trunk native vlan 99
switchport mode trunk
!
!
interface GigabitEthernet0/27
description TRK-to-AS-8-EG
switchport trunk encapsulation dot1q
switchport trunk native vlan 99
switchport mode trunk
!
interface GigabitEthernet0/28
description TRK-PORT
switchport trunk encapsulation dot1q
switchport trunk native vlan 99
switchport mode trunk
!
interface Vlan1
description -nicht_nutzen-
no ip address
shutdown
!
interface Vlan2
description routing-if-2-100
ip address 192.168.100.2 255.255.255.0
standby 2 ip 192.168.100.250
standby 2 priority 110
standby 2 preempt
standby 2 authentication if-2
!
interface Vlan3
description routing-if-3-150
ip address 192.168.150.2 255.255.255.0
ip helper-address 192.168.100.75
ip helper-address 192.168.100.50
ip helper-address 192.168.100.39
standby 3 ip 192.168.150.1
standby 3 priority 110
standby 3 preempt
standby 3 authentication if-3
!
interface Vlan230
description Transfernetz Firewall 6MBit
ip address 192.168.230.2 255.255.255.0
!
interface Vlan250
description Transfernetz Firewall 2MBit
ip address 192.168.250.253 255.255.255.252
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.250.254
ip http server
Bitte warten ..
Mitglied: aqui
28.05.2010 um 16:07 Uhr
Vermutlich fehlen schlicht und einfach auf der Firewall die Routings auf die VLAN Subnetze des Switches !!!

ip route 192.168.100.0 255.255.255.0 192.168.250.253
ip route 192.168.150.0 255.255.255.0 192.168.250.253
ip route 192.168.230.0 255.255.255.0 192.168.250.253

...oder, die Firewall blockt Source IP Adressen aus diesen Netzen, was das Firewall Log ja sofort verrät ?!
Ansonsten sieht die Konfig OK aus !
Sinnvoll wäre noch ein "sh ip route" output ! Denn verwunderlich ist das der erste Hop ein Router mit der IP 192.168.0.1 ist, den es in deinem gesamten Routingpfad eigentlich gar nicht geben kann wenn die FW das Internet Gateway ist ?!
Lässt vermuten das du das Traceroute von einem PC machst der überhaupt gar nicht in diesen VLANs des 35er Switches liegt !!!
Was passiert denn wenn du den Traceroute direkt von der CLI Konsole des 35ers machst ??
Bitte warten ..
Mitglied: aqui
31.05.2010 um 17:57 Uhr
@alex-w
Wenn es das jetzt war dann bitte auch
http://www.administrator.de/index.php?faq=32
nicht vergessen !!
Bitte warten ..
Mitglied: alex-w
07.06.2010 um 11:04 Uhr
Hi zusammen.

Leider hat das keinen Fortschritt gebracht. Das Routing auf der Firewall passt. Es muss also noch etwas in der Cisco Config sein. Es ist so kein Routin in die Vlan 192.168.230.0 sowie 192.168.250.0 möglich.
Bitte warten ..
Mitglied: aqui
07.06.2010 um 13:07 Uhr
1.) Von WELCHEM VLAN bzw. IP Segment willst du in die Netze .230.0 (Vlan230) und .250.0 (Vlan 250) ??
2.) Was ist bei deinen Endgeräten die sich untereinander in diesen VLANs erreichen sollen für ein Default Gateway angegeben ??
Bzw. 2te Frage: wo bleibt ein Traceroute (tracert) oder Pathping hängen ??

Wenn es Endgeräte in den Vlans 2 (IP Netz .100.0) und Vlan 3 (IP Netz .150.0) sind dann muss dir klar sein das in der Firewall eine statische Route ala
ip route 192.168.100.0 255.255.255.0 192.168.250.253
ip route 192.168.150.0 255.255.255.0 192.168.250.253
ip route 192.168.230.0 255.255.255.0 192.168.250.253
wie oben angeben zwingend konfiguriert sein muss.
Die Route ins .230er IP Netz kann auch entfallen wenn Endgeräte im .230er Netz die Switch IP als Gateway haben.
Wenn du allerdings ALLE Pakete eingehend über das .250er Netz zur Firewall schicken willst und alle Netze sollen nur über das .230er netz ausgehen erreicht werden können müssen die Router auf deiner Firewall natürlich anders lauten und zwar so:
ip route 192.168.100.0 255.255.255.0 192.168.230.2
ip route 192.168.150.0 255.255.255.0 192.168.230.2
Das Problem ist das nicht ganz klar sagst bzw. beschreibst WIE die Firewall in diesem Verbund agieren soll. Es fehlt also eine klare Topologiebeschreibung deinerseits.

Wenn dieser lokale Traffic auch durch die FW soll hast du so oder so einen schweren grundlegenden Fehler begangen in der Konfig, denn dann hat das oder besser die Firewall VLANs niemals eine Layer 3 IP Adresse auf dem Switch !!
Damit ist der Switch dann eine sog. Backdor Bridge die dir die Firewall aushebeln kann. Das wäre ein fatales Fehldesign und deshalb gehören dann keine IP Adressen in den Firewall VLANs auf den Switch, denn für diese VLANs soll ja die Firewall routen und den Traffic kontrollieren.
Da aber diese Topologie bzw. Verkehrsfluss Erklärung von dir vollkommen fehlt ist eine qualifizierte Antwort auf dein Problem vollkommen unmöglich und wir können hier nur lustig weiterraten...
Bitte warten ..
Mitglied: alex-w
07.06.2010 um 17:20 Uhr
Hi folgendes zur Topologie:

am 192.168.230.0/30 Netzt hängt eine Firewall
am 192.168.250.0/30 Netz hämgt die andere Firewall

am 192.168.100.0/24 hängen unsere Clients
am 192.168.150.0/24 hängen unsere Server

So das Routing aus den Nezten 192.168.100.0 192.168.150.0 in die Vlans der IP Netze 192.168.230.0
sowie 192.168.250.0 funktioniert bestens.

Nun habe ich ein neues Vlan erzeugt in dem unsere WLAN APs hängen sollen. Hier hängt nun aus irgendeinem mir nicht ersichtlichen
Grund das Routing in die Firewall Vlans.

Traceroute aus dem 100er Netz sieht so aus:

Routenverfolgung zu tralala.de [x.x.x.x] über maximal 30 Abschnitte:

1 <1 ms <1 ms <1 ms 192.168.100.2
2 <1 ms <1 ms <1 ms 192.168.250.254
3 1 ms 1 ms 1 ms ws037.rspandline.da [x.x.x.x]

Traceroute aus dem neuen 221er Netz so:

Routenverfolgung zu tralala.de [x.x.x.x] über maximal 30 Abschnitte:

1 <1 ms <1 ms <1 ms 192.168.221.2
2 * * * * Zeitüberschreitung der Anforderung
3 * * * * Zeitüberschreitung der Anforderung


Ich hoffe das ich das Problem nun etwas deutlicher skizzieren konnte.
Bitte warten ..
Mitglied: aqui
10.06.2010, aktualisiert 18.10.2012
OK, das macht die Sache etwas klarer... !!
Dein Problem ist de facto die Firewall !!!
Der Switch hat eine default Route ip route 0.0.0.0 0.0.0.0 192.168.250.254 an die IP der Firewall im .250er Netz. Also sämtlicher Fraffic von allen VLANs am Switch der NICHT lokal vom Switch über dessen IP Netze an den VLAN Interfaces geroutet werden kann wird also zentral an die Firewall mit der 250.254 geschickt !
(Was macht übrigens die FW im .230er Netz ??? Die ist irgendwie außen vor...aber egal)

Genau das siehst du ja auch an den Ping auf tralala.de, denn das geht von den VLANs 100 und 150 auf diese Firewall und ins Internet...wie es sein soll !!
Wenn du statt dessen vom 221er VLAN mal Geräte im 100er oder 150er VLAN pingst wird es vermutlich problemlos klappen, denn das routet der Switch lokal ohne FW !!

Knöpf dir also die Firewall vor !! Hier fehlen mit an Sicherheit grenzender Wahrscheinlichkeit Access Listen für das 192.168.221.0er WLAN Netzwerk das das erlaubt ist am Ingress Port der Firewall (192.168.250.254).
Ein Ping Versuch eines WLAN Cllients aus dem .221er Netz auf die 192.168.250.253 (Switch IP, sollte klappen) oder die 192.168.250.254 (FW IP, sollte fehlschlagen wenn die ACLs nicht stimmen !) sollte dir das schnell zeigen !
Die Firewall Logs sollten das belegen können !
Ein bischen Grundlagen zu so einem Szenario kannst du hier nachlesen:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Bitte warten ..
Mitglied: alex-w
21.06.2010 um 12:17 Uhr
Hi,

so ich habe mir zu dem Thema mal einen externen Rat geholt.

Auf dem Catalyst Switch ist es so nicht möglich ein hier angelegtes Vlan auf eine spezielle Route die nicht der Default Route einspricht umzubiegen.
Hierfür wird sogenanntes Policy Based Routing verwendet.

01.
access-list 1 permit 192.168.221.0 0.0.0.255 
02.
route-map newFW permit 10 
03.
match ip address 1 
04.
set ip next-hop 192.168.230.254
Habs hier mal etwas ausführlicher beschrieben.
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Router & Routing
Problem - Router cisco 2821 hinter Fritzbox mit WLAN (23)

Frage von Cyberurmel zum Thema Router & Routing ...

Netzwerkprotokolle
gelöst Problem bei VLAN Trunk mit LACP zwischen HP und Cisco (11)

Frage von markuswo zum Thema Netzwerkprotokolle ...

LAN, WAN, Wireless
gelöst Cisco hinter Fritz!box, vom VLAN kein Internet (3)

Frage von PharIT zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst Cisco SG300 - Kein Routing ins VLAN (4)

Frage von Fluxx1337 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...