Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Routing zwischen VLANs

Frage Netzwerke

Mitglied: synex-m

synex-m (Level 1) - Jetzt verbinden

24.09.2011, aktualisiert 18.10.2012, 16507 Aufrufe, 25 Kommentare, 1 Danke

Hi,

ich versuche gerade ein bestehendes Netzwerk in mehrere Subnetze/VLANs zu trennen. Ein paar der VLANs sollen aber auch von anderen VLANs erreichbar sein.
Ich habe jetzt schon einiges probiert, aber ich habe es noch nicht geschafft dieses Problem zu lösen. (Basis war dieses Tutorial: http://www.administrator.de/index.php?content=110259 )

Im Moment versuche ich das Szenario mit einem Cisco Small Business RV 220W Router und einem (Layer 2) VLAN Switch von Netgear umzusetzen.

So ist mein derzeitiger Aufbau (kleiner Testaufbau um die Machbarkeit zu testen):
7ec2da1f59c612bf04faecf4c7bd6040 - Klicke auf das Bild, um es zu vergrößern
Rechner befinden sich in zwei Subnetzen und lassen sich nicht anpingen.

Config-Menü:
a93fe3da18bd2961430201d0c0c167b5 - Klicke auf das Bild, um es zu vergrößern
f9c0b45651b491ca53e45ea15b3aac8a - Klicke auf das Bild, um es zu vergrößern

Einstellung Switch:
c4bebc22c42c4c8ae5ec22a8105e2cdf - Klicke auf das Bild, um es zu vergrößern
4a05ddca8841fc7a762c21f2ce4139fa - Klicke auf das Bild, um es zu vergrößern
d1b6d2734018f2abdad801ed936f5868 - Klicke auf das Bild, um es zu vergrößern
36cb6981e9b5ca6d01c6fc2540329275 - Klicke auf das Bild, um es zu vergrößern

Wie kann ich denn erreichen, dass jetzt z.B. die Rechner aus VLAN1 auch Mitglieder aus VLAN2 sind und erreichbar sind?

Ist das so wie ich mir das vorstelle überhaupt möglich und reichen meine Komponenten (brauch ich doch Layer 3-Switches oder einen anderen Router)?

Hoffe mir kann da einer weiter helfen.
Mitglied: Lousek
24.09.2011 um 15:48 Uhr
Hallo synex-m

Dein Link ist tot ...

Laut deiner Zeichnung hast du zwischen dem Switch und dem Router bereits ein Trunk für die beiden VLANs (1 & 2) gemacht?
Hast du ein einziges Kabel zwischen Router und Switch, oder zwei? Eines sollte reichen ...
Versuch es auf dem Router mal mit Subinterfaces:
Auf der Kommandozeile zuerst in den "Config"-Modus wechseln, danach das Subinterfaces aufrufen und danach die "Encapsulation" sprich das Tagging setzten ... du musst pro VLAN ein Subinterface generieren:
01.
Router>enable 
02.
Router#configure terminal 
03.
Enter configuration commands, one per line.  End with CNTL/Z. 
04.
Router(config)#interface FastEthernet0/0.20 
05.
Router(config-subif)#no shutdown 
06.
Router(config-subif)#encapsulation dot1Q 20 
07.
Router(config-subif)#exit 
08.
Router(config)#interface FastEthernet0/0.30 
09.
Router(config-subif)#no shutdown 
10.
Router(config-subif)#encapsulation dot1Q 30 
11.
Router(config-subif)#exit
Ich weiss aber leider nicht, ob der Small Business Router überhaupt ein CLI (Command Line Interface) hat ...
Wenn nicht: Die Konfiguration sollte dann auch ähnlich über das Web-GUI möglich sein.
Du musst auf jeden Fall mit den Sub-Interfaces sowie "Encapsulation" / "Tagging" auch auf den Subinterfaces arbeiten.
Auf dem "Hauptinterface" (FastEthernet0/0) musst du nichts konfigurieren ... evt. musst du es aber noch "aktivieren" ...

Die Zugriffssteuerung kannst du nachher (wenn unterstützt und benötigt) über so genannte ACL (Access Control Lists) machen, wo du entweder gar nichts angibst (dann ist alles offen zwischen den beiden VLANs), oder du erlaubst nur bestimmte IP-Adressen / Bereiche auf das jeweilige andere VLAN zuzugreifen.

Da ich das Gerät nicht kenne kann ich dir leider nur bedingt helfen, sorry!
Sag doch noch etwas genauer, was du auf dem Router bereits alles konfiguriert hast oder konfigurieren kannst

LG
lousek
Bitte warten ..
Mitglied: synex-m
24.09.2011 um 16:17 Uhr
So...Link sollte gehen

In der Grafik ist das ein Uplink/Kabel.

Ob der Router ein CLI hat kann ich gerade nicht sagen (muss ich erst einmal auf den Cisco-Seiten suchen). Ich befürchte nicht. Hab nur die Weboberfläche genutzt.

Mit ACLs sieht es auch sehr schlecht aus. Muss der Router diese unterstützen?

Hier gibt's einen Online-Device-Emulator (falls das hilft): http://www.cisco.com/web/sbtg/gui_mockups/RV220W_v1/home.htm
Bildet allerdings nur die Firmware Version 1.0.1.0 ab. Hab eine aktuellere drauf, wo sich das Menü komplett geändert hat (siehe ersten Post)

Update:
Kein CLI
Bitte warten ..
Mitglied: aqui
24.09.2011, aktualisiert 18.10.2012
Die Frage die sich stellt ist ob er da wirklich einen Trunk meint oder ob er 2 Leitungen gezogen hat was nicht unbedingt sein müsste. Beide Lösungen sind möglich. Allerdings muss der Trunk dann immer tagged sein für die VLANs und bei dedizierten Links ist es untagged (oder tagged wenn man will).
<edit> OK, ist nur eine Leitung </edit>
Das o.a. Tutorial ist upgedated mit einem Szenario für den Cisco RV110W.
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Die Konfiguration dürfte identisch sein. Folge dem Schritt für Schritt, dann klappt es auf Anhieb !
Vorsicht ist in deiner Konfiguration gegeben, da du ALLE Switchports identisch konfiguriert hast. Steckst du 2 Links parallel auf den Switch kommt es zu einem Loop sofern du kein Spannung Tree aktiviert hast !!
Wenn du nur mit einem einzigen Trunk auf den Switch arbeitest solltest du nur den Uplink Port am RV auf tagged setzen und alle anderen Ports auf "excluded" ! Damit stoppt man hier das Forwarding und macht es einzig nur auf dem Uplink Port ohne Loop Gefahr !
Alternativ wenn du mit einem Link pro VLAN arbeiten willst, dann forwardest du auf dem dedizierten Switchport nur das einzige VLAN was da rüber soll.
Solch ein "Link pro VLAN" Szenario skaliert aber nicht bzw. ist unsinnig wenn man mehr als 2 VLANs hat, da man dort dann pro VLAN eine Strippe ziehen muss.
Analog auf dem Switchport musst du natürlich ebenfalls alle VLANs (außer dem Default VLAN 1) tagged einstellen.
Dann dort Router und Switch auf dem Port zusammenstecken und damit klappt es auf Anhieb.
Vergiss auch den Einwand mit ACLs und CLI ! das benötigigst du für dein Setup natürlich NICHT !
Bis auf dei identische VLAN Zuordnung auf den Ports ist deine Konfig soweit auch OK.
Sinnvoll wären nochmal ein Screeshot vom Switch ob du dort ggf. einen Konfig Fehler gemacht hast !
Bitte warten ..
Mitglied: synex-m
24.09.2011 um 16:32 Uhr
Mhm...das hat mich auch schon gewundert: es gibt beim RV nur tagged und untagged. Excluded gibt's nicht.
Bitte warten ..
Mitglied: synex-m
24.09.2011 um 16:45 Uhr
Einstellungen Switch (siehe oben)
Bitte warten ..
Mitglied: sk
25.09.2011 um 11:25 Uhr
Zitat von synex-m:
Einstellungen Switch (siehe oben)

Es fehlt ein Screenshot von "Port PVID Configuration".
Bitte warten ..
Mitglied: synex-m
25.09.2011 um 12:03 Uhr
Screenshot von Port PVID Configuration hinzugefügt...
Bitte warten ..
Mitglied: Lochkartenstanzer
25.09.2011 um 13:47 Uhr
Kurze Zwischenfrage:

Benutzt Du tatsächlich in beiden untagged VLANs 192.168.2.0/24 wie in der Zeichnung angegeben oder ist das nur ein Tippfehler? Zumindest in der Router-Config scheint es ja o.k. zu sein.


lks
Bitte warten ..
Mitglied: synex-m
25.09.2011 um 14:19 Uhr
Jepp, noch nen Fehler in der Skizze (paste & copy)...
Bitte warten ..
Mitglied: sk
25.09.2011 um 14:40 Uhr
Bekommen die DHCP-Clients in den VLANs eine Lease?
Wie sieht das Firewallregelwerk auf dem Router aus?
Bitte warten ..
Mitglied: synex-m
26.09.2011 um 10:50 Uhr
So...soweit ich das jetzt verstehen lässt sich das Routing bei diesem Router nur Ein- oder Ausschalten. Die Firewall lässt keine Regeln für LAN-LAN zu.

Ich bin am Überlegen, ob ich diesen Router nicht ersetze durch einen Layer 3 Switch (und noch einen AP mit MBSSID/VLAN).
Wäre einer dieser Reihe evtl. geeignet: http://www.cisco.com/en/US/products/ps10898/index.html ??
Bitte warten ..
Mitglied: aqui
26.09.2011 um 11:25 Uhr
Komisch der RV110N hat auch "excluded" in der Auswahl ! Hast du das aktuelles Firmware Image geflasht ??
Was du erstmal testen solltest ist das der Switch bzw. dessen VLAN Settings auch sauber funktioniert indem du 2 Clients sich in den jeweiligen VLANs einmal anpingen lässt.
Komisch ist das der in der VID Übersicht den Port 8, der ja tagged Port ist für alle VLANs, nur mit der ID 1 anzeigt. Das wäre ja definitiv falsch, denn die IDs 10, 20 und 30 müssten dort auch auftauchen !
Der Cisco ist soweit richtig konfiguriert, da kann man auch nicht viel falsch machen.
Der böse Buhmann ist vermutlich die NetGear Gurke die an Port 8 irgendwie was fehlerhaftes anzeigt.

Spasseshalber kannst du bei VLAN 20 (oder ein anderes) einmal am Cisco einen Port 1 bis 3 auf untagged setzen und auch am Switch einen weiteren Port untagged in dieses VLAN heben.
Dann ziehst du Port 4 am Cisco mal raus und lässt nur diesen untagged Port im VLAN 20 am Switch (untagged VLAN 20 Port) angeschlossen. Am 2ten untagged VLAN 20 Port schliesst du den PC an und checkst ob er eine DHCP IP bekommt oder statisch indem du die Router IP anpingst.
Vermutung ist das der Trunk vom Cisco z.B. Port 4 und der Trunk auf dem NetGear Switch nicht zueinander kommen. Durch die fehlerhafte Anzeige ist der Fehler vermutlich auf dem NetGear.
Der Cisco ist es vermutlich nicht, denn ein RV110 funktioniert fehlerlos an diversen VLAN Switches von HP, D-Link, Cisco und anderen in dieser Konfig.
Kann man von ausgehen das der RV220 das auch macht.
Bitte warten ..
Mitglied: SlainteMhath
26.09.2011 um 11:28 Uhr
Moin,

hast Du schonmal die IP Config vom Router und den Clients überprüft?
- Der Router braucht in jedem Subnetz/VLAN eine passende IP
- Diese IP muss bei den entsprechenden Clients entweder als default gw eingetragen sein.

lg,
Slainte
Bitte warten ..
Mitglied: aqui
26.09.2011 um 11:34 Uhr
@Slainte..
Ist korrekt...kann man in den obigen Screenshots des Cisco RV220 ja sehen. Eine IP müsste der Router dann immer per DHCP vergeben natürlich wenn die Clients auf "automatisch beziehen" eingestellt sind.
Damit sollte dann Gateway usw. stimmen. Ein Check mit ipconfig kann aber sicher nicht schaden...keine Frage !
Bitte warten ..
Mitglied: SlainteMhath
26.09.2011 um 11:38 Uhr
@aqui
... ..kann man in den obigen Screenshots des Cisco RV220 ja sehen. ....
Ja, jetzt wo du's erwähnst seh' ich auch
Bitte warten ..
Mitglied: sk
26.09.2011 um 12:28 Uhr
Zitat von aqui:
Komisch ist das der in der VID Übersicht den Port 8, der ja tagged Port ist für alle VLANs, nur mit der ID 1 anzeigt.
Das wäre ja definitiv falsch, denn die IDs 10, 20 und 30 müssten dort auch auftauchen !

Nein, das ist richtig so. Dies ist keine VID-Übersicht, sondern die Festlegung der PVID. Anhand derer wird untaggt eingehender Traffic in ein VLAN geschoben. Das kann logischer Weise nur eine 1:1-Beziehung sein!

Gruß
sk
Bitte warten ..
Mitglied: aqui
27.09.2011 um 14:54 Uhr
@synex-m
Wie ist der Status ? Hast du nun alles zum Fliegen ??
Wenn ja dann bitte auch
http://www.administrator.de/index.php?faq=32
nicht vergessen !!
Bitte warten ..
Mitglied: synex-m
27.09.2011 um 15:25 Uhr
Leider nein...Ich versuch jetzt mal an ein anderes Gerät zu kommen und es damit zu probieren...
Bitte warten ..
Mitglied: aqui
27.09.2011 um 15:36 Uhr
Ist vermutlich auch der Switch selber. Wie bereits gesagt ein Cisco RV110 funktioniert hier im obigen VLAN Setup wunderbar mit einem D-Link, HP, Cisco, Mikrotik Switch. Es liegt bei diesen Modellen also nicht an der VLAN Konfig.
Es wäre sinnvoll nochmal zu wissen welches NetGear Modell du einsetzt für diesen Test ?
Es ist also davon auszugehen das der RV220 das ebenso macht (aktuellste Firmware vorausgesetzt!).
Es ist aber richtig wenn du strategisch vorgehst und erstmal mit 2 Laptops / PCs die Switchkonfig wasserdicht prüfst vorher.
Bitte warten ..
Mitglied: synex-m
03.10.2011 um 19:42 Uhr
Ich hab mir jetzt mal einen Switch von Cisco (SG-300-10) ,anstatt dem Router, besorgt der auch Layer-3 Routing/Switching unterstützt.

Das obige Szenario hab ich jetzt etwas geändert:
- statt dem Router und dem Switch nur ein Layer-3 Switch
- PCs, Rotuer (unterstützt keine Subinterfaces), Server, etc. direkt am Layer-3 Switch
- gleiches Problem: Zugriff von einem VLAN auf's andere

Folgendes hab ich eingestellt:
- Switch in Layer-3 Modus versetzt
- zwei VLANs (2, 3) erzeugt
- Interfaces eine IP zugeordnet

de162c6f86bc7ff0b760287cb1d0ebbd - Klicke auf das Bild, um es zu vergrößern
11b547a99ce7ca113a3c740e258b3436 - Klicke auf das Bild, um es zu vergrößern

Jetzt weiß ich leider nicht genau weiter, was noch genau eingestellt werden muss. Statische Routen, ACLs?
Hoffe mir kann da noch einmal jemand weiter helfen.
Bitte warten ..
Mitglied: aqui
03.10.2011 um 19:47 Uhr
Nein, statische Routen sind Unsinn, denn die IP Netze sind ja direkt am Switch dran, folglich "kennt" er also alle Netze ! Eine IP Adresse pro VLAN reicht, also genau so wie du es oben schon richtig gemacht hast.
Die Endgeräte in den VLANs haben dann immer diese IP als Gateway IP, bzw. sofern der Switch auch DHCP macht ist das die Gateway IP die er per DHCP vergibt.
Die einzige statische Route ist die default Route die du eintragen musst auf deinen Internet Router in welchem VLAN der auch immer ist.
Die Router IP ist dann auch die DNS IP im DHCP Server auf dem Switch sofern du nicht einen anderen DNS Server im netz selber hast !
Damit ist alles verbunden.
Erst wenn das klappt dann kannst du die VLANs mit ACLs "dichtmachen" je nachdem was du sperren willst ! Immer erst das Routing und alles funktionsfähig machen...dann die ACLs...goldene Regel, sonst legst du dir zuviel Fallen in die du tappen kannst !!
Bitte warten ..
Mitglied: synex-m
03.10.2011 um 21:47 Uhr
Ah...ich habe völlig übersehen ein Gateway einzutragen. Ich habe keine DHCP-Server und der Switch bietet sowas nicht an, daher hatte ich vergessen diese in den Rechner-Konfigs einzutragen.
Ich denke ich komme der Sache schon näher

Jetzt lässt sich ein Client im VLAN2 vom VLAN3 aus anpingen und umgekehrt. Nur der Router (Port 1, VLAN1, 192.168.1.1) lässt sich erreichen??


Ich habe jetzt auch einmal probiert eine ACL zu definieren, sodass Client aus VLAN2 auf VLAN3 zugreifen darf und nicht vice versa.
Allerdings erreicht ich dann kein Client mehr aus jeweils dem anderen Subnetz??
Bitte warten ..
Mitglied: aqui
04.10.2011 um 16:20 Uhr
Für den Router musst du eine Default Route auf dem Switch konfigurieren !!
Zusätzlich musst du auf dem Router statische Routen in deine VLAN IP Netze eintragen ausser dem Netz/VLAN in dem der Router selber drin ist !
Klar, denn sonst finden Rückpakete den Weg nicht zum Switch bzw. in die VLANs am Switch die er routet. Die kann der Internet Router ja logischerweise nicht kennen bzw. würde sie per Default gen Provider routen wo sie dann verschwinden.
Trag also diese Routen ein im Router im Bereich "statische Routen" oder "Routing" undgut ist !
Hast du einen billigen Baumarktrouter wie einen Speedport z.B. der statische Routen nicht supportet hast du erstmal ein Problem !!
Deine ACL ist nicht ganz einfach, denn du musst ja bedenken das die Antwortpakete ja auch zurückmüssen !!
Wenn Client 2 mit Client 3 redet kommen da die Pakete an bei 3 und 3 sendet an 2 ein ACK Paket zurück und du blockst das weil du generell von 3 auf 2 blockst kommt logischerweise keine Kommunikation zustande !!
Da musst du dann dedizierte Hostadressen zualssen die dürfen und danach dann den Rest des netzes sperren. Odermit Paketen und gesetztem ACK Bit arbeiten wenn die Cisco ACLs das supporten..
Die der Router und IOS switches könnene s wenigstens problemlos !
Bitte warten ..
Mitglied: synex-m
05.10.2011 um 11:43 Uhr
Ich denke ich habe jetzt endlich alles passend konfiguriert und laufend. An der Stelle vielen Dank an alle.

Aber vlt. kann mir noch jemand sagen, ob ich noch was Wichtiges zu beachten habe oder ob ich die Konfiguration so lassen kann.

1. Cisco Switch SG-300 in Layer-3 Modus versetzt
2. VLANs anlegt (VLAN 1,2,3)
3. VLAN 2, 3 auf Port 2, 3 (Untagged, PVID 2,3) gelegt
4. Interfaces für VLANs angelegt: VLAN 1 -> 192.168.1.1, VLAN 2 -> 192.168.2.1, VLAN 3 -> 192.168.3.1
5. Routen hat der Switch automatisch angelegt (Default Route etc.)
=> alle VLANs können sich gegenseitig erreichen
6. Statische Routen im Router eingestellt (192.168.2.0 -> via Switch, 192.168.3.0 -> via Switch)
7. ACLs definiert um Zugriffe zu beschränken (z.B. nur Zugriff von VLAN 2 auf VLAN 1: Deny ANY -> ANY und Permit ANY -> 192.168.1.0 und an Port 2 gebunden)
(@ aqui ACK Bits hätte man auch setzen können, aber hab ich letztendlich gar nicht für meine Konfiguration^ gebraucht )

Ansonsten ist noch ein kleines Problem: Rechner aus einem anderen VLAN erscheinen nicht in der Netzwerkübersicht??
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
gelöst Routing zwischen zwei Netzen (31)

Frage von Xaero1982 zum Thema Router & Routing ...

Netzwerke
Routing zwischen 2 Fritzboxen langsam (2)

Frage von danielr1996 zum Thema Netzwerke ...

Router & Routing
gelöst Routing - Netzwerk Problem - zwischen Filiale und Zentrale (12)

Frage von clonex zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
Suche passender Treiber (12)

Frage von stolli zum Thema Windows Server ...

Peripheriegeräte
Wlan stört Funkmaus (11)

Frage von Falaffel zum Thema Peripheriegeräte ...

Peripheriegeräte
gelöst USB Festplatte verliert Laufwerksbuchstabe (9)

Frage von cese4321 zum Thema Peripheriegeräte ...