Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Problem mit Cisco VLAN-Konfiguration

Mitglied: ef8619

ef8619 (Level 1) - Jetzt verbinden

25.01.2014, aktualisiert 29.01.2014, 3072 Aufrufe, 4 Kommentare

Hallo liebe Leute,

wir haben 2 Cisco SGE2000 und SGE2000P im Stacking Mode laufen, dazu einen Cisco ISR 1921 Router. Dort habe ich meine VLAN-Interfaces (Dot1q) definiert und die entsprechenden DHCP-Pools und die dazugehörigen Netzadressbereiche angelegt.

Auf dem Master-Switch habe ich die gewünschten VLANs mit ID und Name definiert und die benötigten VLANs als DHCP-Interfaces festgelegt. Den Port, an dem das Kabel vom Router zum Master-Switch angeschlossen ist, habe ich in den Trunk-Mode mit eingeschaltetem Tagging versetzt.

Zum Testen habe ich nun einen Rechner an einen Switchport angeschlossen und diesen Switchport in den Access-Mode für ein ausgewähltes VLAN (und nur dieses, auch kein Default VLAN) gesteckt. Der Rechner bekommt eine IP-Adresse aus dem richtigen Netzadressbereich, der für das VLAN festgelegt ist, in dem sich der Rechner befindet.

Soweit so gut. Nun besteht aber das Problem, dass ich von diesem Rechner aus trotzdem noch Geräte erreichen kann (ICMP, HTTP usw.), welche sich aber in einem anderen VLAN befinden (z.B. Default VLAN mit der ID 1).

Könnt ihr mir vielleicht erklären was hier falsch läuft? Normalerweise sind die Netze doch logisch getrennt und eine Kommunikation untereinander dürfte nicht möglich sein, solange die Ports, an denen die Endgeräte angeschlossen sind nicht Member im gleichen VLAN sind?
Mitglied: shadynet
LÖSUNG 25.01.2014, aktualisiert 29.01.2014
Hi,

ist ganz einfach: der Router macht das, was er machen soll nämlich...routen. Um das zu unterbinden musst du dem Router das routen abgewöhnen. Sollte afaik mit dem Kommand "no ip routing" zu erledigen sein.

Grüße


kleiner Edit noch dazu: wenn du die dot1q Subinterfaces (Gi0/0.1 z.B. für VLAN 1) angelegt hast, sind diese Netze als "directly connected" in der Routingtabelle im Router hinterlegt. Somit wird einfach nach der Routingtabelle gearbeitet, indem dein Client das Paket ans Gateway (der Router) sendet und er dann seiner eigentlichen Aufgabe nachgeht. Du kannst nun also die Routingfunktion deaktivieren (Kommando oben), was aber blöd ist, wenn du den Router noch ans WAN anschließt. In dem Fall musst du dann für alles und jeden eine ACL (Access Control List) anlegen, die so eingestellt sind, dass jeder Client aus jedem Netz ins Internet kommt, aber kein Client mit einem Client eines anderen Subnetzes kommunizieren kann
Bitte warten ..
Mitglied: aqui
25.01.2014, aktualisiert um 20:44 Uhr
Vermutlich ist es wirklich so wie oben vermutet.
Du solltest mal ein Traceroute oder Pathping ausführen auf die Zielsysteme, dann kannst du sehen ob der Routerhop dazwischen ist.
Muss aber, denn anders kannst du die anderen Endgeräte in den anderen IP Netzen (VLANs) auch gar nicht erreichen !
Das Design arbeitet dann eigentlich so wie es soll und routet zwischen den VLANs
Mit einer ACL auf dem Router bekommst du das aber in der Tat wieder in den Griff...

Du solltest nochmal genau klären WAS du mit der Aussage "und die benötigten VLANs als DHCP-Interfaces festgelegt." genau meinst ??
Das klingt recht verwirrend denn so hat ein VLAN erstmal mit DHCP nichts zu tun und DHCP hat auch keine "Interfaces" ?!

Grundlagen zu dem Thema klärt sonst noch dieses Forumstutorial:
https://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Bitte warten ..
Mitglied: ef8619
29.01.2014 um 17:23 Uhr
Vielen Dank für eure Hilfe. Ihr scheint recht zu haben, dass hierfür ACLs nötig sind. Dies wird u.a. auch auf folgender Seite beschrieben:

http://www.schulnetz.info/vlan-teil5-access_lists/

"(Ohne Access Lists [ACL] sind VLANs nur der halbe Spass – es wird lediglich das Broadcasting stark reduziert, was zu einem Performancegewinn führt;
aus Sicherheitstechnischem Blickwinkel haben wir aber ohne ACLs noch nichts erreicht!"

Wo sollte ich denn nun am besten die ACLs definieren - auf dem Router oder auf dem Switch(es)?

Bzgl. "VLANs als DHCP Interfaces" meinte ich die Seite in der Weboberfläche des Cisco SGE2000. Dort kann man ein VLAN als "Interface" auswählen, für die DHCP Requests und Responses durch ein externes Gerät (Router) möglich sein sollen (mithilfe von Dot1q). Ich kann nur sagen, dass die Vergabe von IP-Adressen vom DHCP-Servers für einen Client in einem VLAN mit ID > 1 erst vergeben wurden, (der Port des Endgeräts war im Access Mode für das dazugehörige VLAN), als ich das VLAN als "DHCP Interface" in diesem Cisco Menü angegeben habe.
Bitte warten ..
Mitglied: aqui
29.01.2014, aktualisiert um 17:45 Uhr
Ihr scheint recht zu haben, dass hierfür ACLs nötig sind.
Nicht nur "scheinen" es ist wirklich so. Ohne ACLs hast du einen transparenten Router der zwischen allen IP netzen sprich VLANs ja routet.

Es gibt 2 Möglichkeiten bzw. Punkte die ACLs zu definieren:
1.) Wenn dein Switch ein Layer 3 Switch ist also ein Routing Switch, d.h. das der Switch selber zwischen den VLANs Routen kann dann werden logischerweise die IP Accesslisten an den IP Interfaces des Switches definiert !
Dein SGE2000 ist aber kein routingfähiger Switch laut Datenblatt:
http://www.cisco.com/web/DE/pdfs/ds/Cisco-SGE2000-Datenblatt-deutsch.pd ...
Bleibt also nur die 2te Option für dich....

2.) Wenn du keinen Routing fähigen Switch hast und mit einem externen Router oder Firewall arbeitest wie im o.a. Tutorial beschrieben, dann werden die IP ACLs dann logischerweise an den zum VLAN korrespondierenden Interfaces DORT konfiguriert.

Kommt man aber auch von allein drauf wenn man mal etwas nachdenkt

Was du oben beschreibst in Bezug zu DHCP sind DHCP Forwarder bzw. Helper Adressen. Ist auch logisch das eine zentrale DHCP Vergabe über einen zentralen Server nur so funktioniert, denn jeder Netzwerker weiss das DHCPs auf Broadcasts basieren, die nicht geroutet werden in den einzelnen IP Segementen. Folglich müssen diese DHCP Broadcasts irgendwie an den Server gesendet werden was diese Helper oder Forwarder bewerkstelligen.
Allerdings....da dein Switch gar kein L3 also Routing Switch ist kann er damit niemals ein ein Problem bekommen. Dieses Kommando ist nur für L3 Switches relevant. Fragt sich also was du da wirklich verschlimmbessert hast.
In der Beziehung ist das also Unsinn oder laienhaft ujnd untechnisch beschrieben, sorry !
Oder meinst du damit das DHCP Snooping Feature was im Handbuch:
http://www.cisco.com/en/US/docs/switches/lan/csbms/sfe2000/administrati ...
auf Seite 127 ff. beschrieben ist ??
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement

VLAN Konfiguration für Cisco SG300-28

gelöst Frage von SileceNetzwerkmanagement5 Kommentare

Hallo, zuhause habe ich jetzt einen Cisco SG300/28. Dem würde ich gerne VLANs beibringen, damit ich den iSCSI-Datenverkehr der ...

Router & Routing

VLAN Konfiguration auf einem Cisco ASR Router

Frage von Kingpin90Router & Routing3 Kommentare

Hallo zusammen, ich migriere momentan die Konfiguration eines Cisco ISR 2951 auf einen Cisco ASR 1001 Router. Auf meinem ...

Netzwerkmanagement

LANCOM 1781VA-4G + Cisco SG200 50FP VLAN Konfiguration

gelöst Frage von JonnyblueNetzwerkmanagement4 Kommentare

Hallo zusammen, ich hoffe auf eure Hilfe. Ich habe mich intensiv durch alle möglichen VLAN Tutorials und Hilfen gelesen ...

Switche und Hubs

VLAN-ID Konfiguration

gelöst Frage von BenjaminEngelSwitche und Hubs5 Kommentare

Hallo, ich habe einen HP aruba Switch mit einem VLAN (siehe Anhang). Wird hier jedem Paket die VLAN-ID 1 ...

Neue Wissensbeiträge
Off Topic

Rechtliche Grundlagen: Datenschutz und Datensicherheit im Homeoffice

Information von AnkhMorpork vor 57 MinutenOff Topic

Sollte bekannt sein, aber P.S.: Findet jemand ein angemessenes Thema?

Router & Routing
"Upgrade" Fritte 7520 zu Fritte 7530 :-)
Information von Lochkartenstanzer vor 3 StundenRouter & Routing5 Kommentare

Moin, wie sich herausgestellt hat, ist die 7520 eine per Software kastrierte Version der 7530. Per "Chiptuning", um es ...

Informationsdienste

RKI - Corona-Datenspende App zur Erfassung von Informationen und Ausbreitung des Coronavirus (SARS-CoV-2) in Deutschland

Information von Frank vor 1 TagInformationsdienste3 Kommentare

Das Robert Koch-Institut stellt ab sofort eine App zur Verfügung, die ergänzende Informationen dazu liefern soll, wo und wie ...

Sicherheit

Gefährliche Sicherheitslücken im HP Support Assistant sind immer noch offen

Information von transocean vor 1 TagSicherheit

Moin, es wird empfohlen, den HP Support Assistenten aus Sicherheitsgründen zu deinstallieren. Lest selbst Gruß Uwe

Heiß diskutierte Inhalte
Schulung & Training
IT-Bedarf ermitteln
gelöst Frage von malikaSchulung & Training70 Kommentare

Hallo zusammen, ich würde gerne Eure Kritik oder Ratschläge zum Ermitteln des IT-Bedarfs für ein Steuerbüro (2 Steuerberater, 1 ...

Rechtliche Fragen
Nachweispflicht für Status-Emails?
Frage von VincentGdGRechtliche Fragen33 Kommentare

Moin. Mein Kollege und Datenschutzbeauftragter erfreut mich täglich mit neuen Auslegungen. Heute erklärt er mir, wir müssen die Status-Emails, ...

Schulung & Training
Admin Hygiene an APs (Zur Zeiten von Corona.)
gelöst Frage von NebellichtSchulung & Training26 Kommentare

Hallo Admins, ich stelle mir gerade die Frage(n), wie ich als Admin mich vor Viren und Bakterien schützen kann ...

Switche und Hubs
Kaufberatung: 16 Port GBit unmanaged Switch mit POE
Frage von HTP.ProXySwitche und Hubs18 Kommentare

Hallo zusammen, ich bin auf der Suche nach einem passiv gekühlten, unmanaged Switch mit 16 oder mehr Ports und ...