Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Hardware Switche und Hubs

GELÖST

Unterstützung bei Einrichten von Vlans Cisco SG-300-28

Mitglied: skyacer

skyacer (Level 1) - Jetzt verbinden

17.03.2012, aktualisiert 18.10.2012, 17407 Aufrufe, 11 Kommentare

Hi,
brauche Hilfe beim Einrichten von meinem Switch

Hallo,

ich hab mir vor kurzem ein Cisco SG300-28 gekauft und diesen auch schon in den Layer-3-Modus gebracht.
Aber ich stehe vor einem großen Konfigurationsproblem. Und zwar komm ich nicht so ganz klar mit den Vlan-Porteinstellungen (Allgemein,Trunk, Zugriff)und dem Zuweisen der Ports. Vielleicht könnt ihr mir da ja mal bei helfen oder mir eine Lösung präsentieren. Das Handbuch hab ich schon mehrfach gelesen. Ich steig da trotzdem nicht durch.

Also folgendes habe ich vor:
Mehrere Vlans zur Unterteilung und der Sicherheit meines Netzwerkes.
Ich habe z.B. außen am Haus 3 IP-Kameras hängen, ein NAS, ein W2K8 Testserver, KNX Bussystem im Haus, Mediastations (Dreambox , Tv etc) und mehrere PC’s und Laptops.

Was habe ich bisher gemacht:

Ich habe folgende Vlans angelegt:
1 default
2 Router
3 KNX Bus
4 IP-Kameras
5 Mediastations
6 Server2008 Testumgebung
7 Gast Wlan
8 NAS

LAG 1 erstellt für mein NAS
LAG 2 erstellt für Cisco SG200

Wie sind die Ports angeschlossen:
GE1-GE3 Vlan 1 (diverse unbenutzte Netzwerkdosen im Haus bzw. sind hier die PC’s oder Laptops angeschlossen)
GE4-GE7 Mediastations
GE8- GE11 Server2008 Testumgebung
GE12-GE13 zwei Dlink AP
GE14-GE16 KNX Bussystem
GE17-GE22 Vlan 1 (diverse unbenutzte Netzwerkdosen im Haus bzw. sind hier die PC’s oder Laptops angeschlossen)
GE23-GE24 NAS
GE26 hängt vom Netgear Wndr3800 Port 1 dran
GE27-GE28 Cisco SG-200

Am Cisco SG-200 sind noch weitere diverse unbenutzte Netzwerkdosen für Vlan1 und die drei IP-Kameras

Internetzugriff soll für alle Vlan‘s außer für 4+5 gehen.
Vlan 7 darf auf keinen Fall auf die anderen Vlans zugreifen können außer auf das Internet.
Vlan 6 darf nur auf das Internet und auf das NAS zugreifen (Vlan8)


Ich würde jetzt noch auf dem Switch den jeweiligen Vlans ihre statischen Routen hinzufügen.
Vlan 1 10.10.10.254
Vlan 2 10.10.12.254
Vlan 3 10.10.13.254
Vlan 4 10.10.14.254
Vlan 5 10.10.15.254
Vlan 6 10.10.16.254
Vlan 7 10.10.17.254
Vlan 8 10.10.18.254

Die Router IP ist 10.10.10.1 und vergibt seine Adressen per DHCP.

Muss ich noch irgendwelche statischen Routen auf dem Netgear Router einrichten?

Also wer könnte mir dabei helfen damit ich das ganze so umsetzen kann?

Danke schonmal im vorraus.

Lg sprite
Mitglied: aqui
17.03.2012, aktualisiert 18.10.2012
Die VLAN Einrichtung sollte ja klar sein und hast du vermutlich auch gemacht. Wichtig ist das der LAG der SG300 und SG200 verbindet alle VLANs tagged eingetragen hat damit die transparent zw. den Switches übertragen werden.
VLAN Nummerierung sollte auf beiden Switches identisch sein..klar !
Beispiel findest du hier: http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Der Rest ist dann kinderleicht:
Die Endgeräte werden in den jeweiligen VLANs so eingerichtet das die IP Adressen passen und das Default Gateway IMMER die IP Adresse des SG300 in dem jeweiligen VLAN ist...fertig !
Statische Routen auf dem SG-300 Switch ist natürlich Blödsinn und auch Quatsch.
Der Switch "kennt" ja alle VLANs da diese ja direkt physisch an ihm angeschlossen sind und kann sie dann logischerweise auch problemlos routen lokal.
Das einzige was der SG-300 benötigt ist eine Default Route auf den NetGear Router !

Mehr Aufmerksamkeit solltest du der NetGear Router Gurke schenken !
Dort kommen ja nun Pachtete mit Absender IP Adressen aus allen deinen VLANs die auf dem SG-300 installiert sind. Damit der der NG Hobel die nun nicht doof ins Internet routet (Da er die 10er Netze ja sonst nicht kennt außer dem in dem er selber mit seinem LAN Port ist !) gehen die sonst ins (Internet) Nirwana, denn dahin hat er ja seine Default Route...logo !
Also musst du ihm einen statische Route aller deiner VLAN IP Netze eintragen die auf die SG-300 IP Adresse zeigt in dem Netz in dem sein LAN Interface ist !
Sinnvollerweise hast du ja schon eine 10er IP Adresse verwendet mit entsprechenden Subnetzen. Es reicht also eine Default Route ala:
Zielnetz: 10.10.0.0 255.255.0.0, Gateway: <ip_sg-300>
ihm einzutragen.
Damit werden dann alle Pakete die vorne 10.10. als Netzwerk haben an den L3 Switch geschickt der sie dann wieder lokal zustellen kann...er kennt ja alle diese Netze !
Falls die NetGear Gurke kein solches Supernetting kann musst du alle 10er Subnetze dann ala:
Zielnetz: 10.10.x.0 255.255.255.0, Gateway : <ip_sg-300> einzeln eintragen.
So einfach ist das !!
Also Grundlage zum Verständnis hilft ggf. das_hier ?!
Bitte warten ..
Mitglied: skyacer
18.03.2012 um 15:05 Uhr
Hi,

danke erstmal für deine Hilfe. Ein paar offene Fragen hab ich da aber noch.

Vlans hab ich eingerichtet aber ich hab die Ports noch keinen VLans zugeordnet. Mir will noch immer nicht ganz klar werden wie ich diese Konfigurieren soll. Also als Trunk, Zugriff oder Allgemein. Wann wird den ein Port mit den vorhergennanten Namen überhaupt eingesetzt?
Hättest du da sonst eine Befehlszeile für die CLI für mich?

Wie trenn ich den die Vlans jetzt voneinander ab, so dass ich wie oben schon beschrieben z.B das Vlan7 nur Zugriff auf Vlan2 haben dard aber auf die anderen nicht. Könntest du mir da auch ein Beispiel nennen? Geht das Überhaupt wenn die beiden AP mit der einen SSID in Vlan1 sind und in den Einstellungen das Gastnetzwerk mit der SSID2 mit Vlan7 angegeben ist?

Grüße
Bitte warten ..
Mitglied: delemming
18.03.2012 um 20:08 Uhr
Aaaaaaaaaaaalso.
Zuordnen würdest du ports so:

unpriv mode>ena
priv mode#>conf t
global conf#> int gi0/1
für gigabit ethernet port 1 (ausgeben lassen kannst du dir die ports per "sh int sum" oder "sh ip int br" - eventuell musst die die portnummer an dein gerät anpassen )
int#>switchport access vlan X
X ist deine VLAN Nummer.
int#>switchport mode access
int#>end
priv mode#>wr me
(oder copy run start)
speichert die aktuelle config

trunk ports, access ports, allgemein:

bei cisco switches liegen die ports per default in vlan 1 und sind auf access gesetzt.
per se kannst du nicht von einem vlan ins andere schnattern, ausnahme wäre private vlans, aber das ist ne andere baustelle.
Trunks sind dazu da mehrere VLANs über einen Link zu transportieren. Dafür markiert (taggt) der switch die Ethernetframes entsprechend.
Das brauchst du, wenn du VLANs über mehrere devices ziehst.

Das Problem ist bei deiner VLAN-config das die mehr oder minder alle ins gleiche netz geroutet werden und über diesen umweg jedes vlan mit jedem sprechen kann.

die bequemste lösung das zu unterbinden wäre eine ACL.
http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_not ...
und
http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SXF/n ...
dürften dir da weiterhelfen.

Falls du noch fragen hast, kannst du dich ja nochmal melden.
Bitte warten ..
Mitglied: aqui
19.03.2012 um 08:46 Uhr
@skyacer
OK wenn du die VLANs eingerichtet hast passiert natürlich erstmal noch gar nix.
Die Frage wie du die Ports zuordnest ist kinderleicht:
untagged = Endgerätepaorts an denen PCs, Drucker usw. angeschlossen werden. Diese verstehen keinen 802.1q VLAN Tags im Paket, deshalb immer "untagged"
tagged = Das sind in der Regel Uplink Ports auf andere Switches. Klar, denn hier soll der VLAN Switch zur Erkennung der VLANs ein VLAN Tag in das zu sendende Paket einfügen mit der VLAN ID (Nummer). Logisch, denn der empfangene Switch soll ja wieder genau wissen in welches VLAN er dieses Paket senden soll !
trunk = Das ist einen Link Aggregation also das Zusammenfassen mehrer Links zu einem logischen um den Traffic zu Bündeln sofern die Bandbreite eines Links nicht ausreicht.
Relevant für dich in deinem Setup ist also erstmal die Zuordnung von tagged und untagged Ports zu deinen VLANs !!
Deinen VLAN Kenntnisse sind aber ziemlich mies wenn es bei dir schon an so ganz einfachen Basics scheitert.
Du solltest also dringenst einmal etwas zu dem Thema lesen damit dir wenigstens die allereinfachsten Grundlagen geläufig sind:
http://www.heise.de/netze/artikel/VLAN-Virtuelles-LAN-221621.html
http://de.wikipedia.org/wiki/Virtual_Local_Area_Network

Die Abtrennung der VLANs ist ja immer da. VLANs sind generell auf einem Switch vollkommen getrennte Broadcast Doamins die keinerlei Kommunikation untereinander haben. Bei einem Layer 3 Switch können sie also nur über das IP protokoll kommunizieren also mit Routing.
Richtest du kein IP Interface (IP Adresse) auf dem VLAN ein bleibt das VLAN vollkommen isoliert.
Hat das VLAN eine IP Adresse ist generell ein transparentes Routing über den Switch gegeben und auch immer aktiv wenn die Switch VLAN IP in den VLAN Endgeräten als Default Gateway angegeben ist wie es sich gehört.
Die Kommunikation der einzelnen VLANs untereinander regelst du dann mit IP Accesslisten oder IP Filterlisten wie sie auch genannt werden auf dem Switch selber.
Hier blockst du also den IP Verkehr in die IP Netze den du nicht erlauben willst individuell mit diesen Accesslisten. Die werden auf dem L3 Switch also deinem SG300 eingerichtet.
Eigentlich ganz einfach und banal.
Bitte warten ..
Mitglied: skyacer
19.03.2012 um 09:12 Uhr
Hi,

also was tagged und untagged bedeutet weiß ich. Die von dir genannten Artikel hab ich auch schon mehrfach durchgelesen . Du hast recht in Sachen Vlan bin ich absoluter Neuling *schäm*.
Nur auf dem Switch selber ist ja noch der Punkt "Allgemein" bei den Schnittstellen (Allgemein: Die Schnittstelle kann alle Funktionen gemäß der Spezifikation IEEE 802.1q unterstützen. Die Schnittstelle kann ein Mitglied mit oder ohne Tag in einem oder mehreren VLANs sein.) Wäre für mich doch auch nur ein Trunkport oder nicht?

Also ich habe jetzt erstmal alle Ports ausser dem Trunkport als Accessports gesetzt und ihm dann in das jeweilige Vlan gesteckt. Jetzt fehlt ja eigentlich nur noch das "dichtmachen" der Vlans.
Bitte warten ..
Mitglied: delemming
19.03.2012 um 10:24 Uhr
vlan trunks haben nichts mit link aggregation zu tun. Allenfalls in sofern, als das mehrere vlans auf einer Leitung zusammengefasst übertragen werden.
lacp links heisßen bei cisco etherchannel.
Bitte warten ..
Mitglied: aqui
19.03.2012 um 16:00 Uhr
Vorsicht ! Das führt immer zu allgemeiner Verwirrung, gerade bei Neulingen.
Es gilt:
Trunk = Link Aggregation (außer bei Cisco !)
Cisco Link Aggregation = "Ether Channel" und nicht Trunk !
Trunking ist also für den gesamten Rest der Netzwerk Welt Link Aggregation, außer bei Cisco da ist das "Ethern Channel" und Cisco bezeichnet als "Trunks" oft nur simple tagged Uplinks. Also hier nicht verwirren lassen !
Es mag aber sein das Cisco in seiner SG Billigschiene Link Aggregation auch "Trunk" nennt um da in Verbindung mit anderen Herstellern keine Verwirrung zu schaffen...

Vergiss das aber alles für dich ist erstmal ja Link Aggrgation gar nicht relevant !!
Bring du erstmal deine VLANs zum laufen und weise die Ports zu !
Also...
  • Uplink zwischen den beiden Switches = Hier alle VLANs tagged beidseitig eintragen !
  • Dann untagged Ports auf den beiden Switches jeweils den Endgeräten zuweisen.
  • Gateway IPs der Endgeräte zeigen dann auf die SG 300 VLAN IP Adresse
  • Statische Route am SG300 auf den Internet Router
  • Internet Router routet alle 10er Netze richtg Switch IP in seinem VLAN
  • Fertisch !
Das sind erstmal deinen ToDos !! Wenn das alles funktioniert und du mit allem alles anpingen kannst machen wir hier weiter mit Access Listen und Link Aggregation !!
Und lies dir weiterhin ein paar gute Dokumente durch zum Thema VLANs damit du die Materie richtig verstehst !!!
Sehr gut ist das Tutorial vom Kollegen edi.pfisterer hier aus dem Forum:
http://www.schulnetz.info/2011/04/
Ein Bild sagt mehr als 1000 Worte... (genau dein Design !)
http://www.schulnetz.info/vlan-teil2-woher-weiss-mein-netzwerk-aus-welc ...
Das versteht auch jeder Erstklässler....
Und auch..
http://www.tecchannel.de/netzwerk/lan/434093/einfuehrung_in_vlans_teil_ ...
Bitte warten ..
Mitglied: delemming
20.03.2012 um 21:29 Uhr
"Es mag aber sein das Cisco in seiner SG Billigschiene Link Aggregation auch "Trunk" nennt um da in Verbindung mit anderen Herstellern keine Verwirrung zu schaffen..."


Cisco, never ;)
Bitte warten ..
Mitglied: skyacer
20.03.2012 um 22:41 Uhr
@delemming: Link Aggregation = LAG bei den SG300

Was ich mich schon die ganze Zeit frage ist was trag ich den eigentlich als DNS-Server IP ein wenn ich mit festen IP arbeite.

z.B.
Vlan 1 (10.10.10.254 255.255.255.0 GW=10.10.10.254) hier befinden sich Testweise 2 PC's
Vlan 2 (10.10.12.254 255.255.255.0 GW=10.10.12.254) hier befindet sich der Netgear Router mit der IP 10.10.10.1 inkl. DHCP Server.

Welche IP Adresse trage ich den jetzt bei den PC's im Vlan 1 ein? Die vom Netgear Router oder auch die GW?
Im Switch hab ich unter DomainNameServices den DNS vom Router eingetragen.

Grüße
Bitte warten ..
Mitglied: delemming
21.03.2012 um 02:31 Uhr
Trag den Netgear ein.

mfg lemming
Bitte warten ..
Mitglied: aqui
22.03.2012 um 12:48 Uhr
Es sei denn du hast einen internen DNS um lokale Namen aufzulösen (Windows Server etc.) der dann einen Weiterleitung auf den NetGear hat.
Dann trägst du logischerweise DEN ein.
Sonst wie schon gesagt der Netgear !
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Cisco SG-300 TCAM
Frage von WaishonRouter & Routing15 Kommentare

Moin, wir sind aktuell dabei unseren Cisco SG300-10 zu testen. Wir haben in diesem 4 VLANs eingericht zwischen diesen ...

Switche und Hubs
Cisco SG 300 - MAC to VLAN?
Frage von stv.myrSwitche und Hubs9 Kommentare

Hallo liebe Community, seit einigen Wochen nutzen wir in unseren Netzwerk einen Cisco SG 300-52 Switch. Um Private Computer ...

Switche und Hubs
Cisco SG 200 VLAN
gelöst Frage von tmoserSwitche und Hubs13 Kommentare

Hallo zusammen, ich habe 2 Switche (Cisco SG200-08 und SG200-26) mit einem LAG auf Port 1&2 sowie Port 25&26 ...

Netzwerkmanagement
Cisco SG 300 DHCP Pool maximale Anzahl
Frage von Maik82Netzwerkmanagement4 Kommentare

Hallo ich teste gerade an meinem Cisco SG300 /28 herum. Mir ist aufgefallen das man nur 8 DHCP Pools ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Batch & Shell
Meltdown Microsoft Prüf Script - .zip Datei leider leer
gelöst Frage von MasterBlaster88Batch & Shell13 Kommentare

Hallo zusammen, ich patche gerade unsere Windows Server bzgl. der Meltdown Lücke. Patch vorhanden, Reg Keys gesetzt Um das ...

Batch & Shell
Shell-Skript - Syntax error: Unterminated quoted string
Frage von newit1Batch & Shell13 Kommentare

Hallo Ich schreibe ein Skript das eine CSV-Datei in eine mySQL Datenbank schieben soll. Bekomme nach start des Skrips ...

E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...