Cisco 1710
VLAN-Routing im Cisco 1710
Hallo...
Ich hab folgende Frage...
Ich bin auf Arbeit gerade dabei das Netzwerk einwenig umzugestalten. Wir haben uns dazu entschieden VLAN einzusetzen (einzurichten). Das eingerichtete VLAN 2 und VLAN 3 sollen nun auch auf's Internet zugreifen. Gesteuert wird dieser Zugriff über eine Cisco 1710 Router von Arcor. Weiß jemand ob das VLAN-Routing schon automatisch funktioniert oder muss man sich erst mittels Konsolen-Kabel verbinden und dann das VLAN-Routing aktivieren...?
Eine andere Frage ist, ob man nun auch zwischen den beiden VLAN's Daten austauschen kann...?
Eigentlich ja nicht, soweit ich weiß sind die Netze nun ja logisch von einander getrennt...gibt es vllt doch irgendwie die Möglichkeit...???
Ach und dann noch ne Frage...
VLAN 2 und VLAN 3 beinhaltet nur 1 Netz (192.168.2.1 - 192.168.2.254) um VLAN's nutzen zu können muss ich das Netz jetzt in 2 Subnetze aufteilen richtig...?
Wie ihr seht hab da einige Fragen...vllt hat ja jemand nen paar antworten...
Hallo...
Ich hab folgende Frage...
Ich bin auf Arbeit gerade dabei das Netzwerk einwenig umzugestalten. Wir haben uns dazu entschieden VLAN einzusetzen (einzurichten). Das eingerichtete VLAN 2 und VLAN 3 sollen nun auch auf's Internet zugreifen. Gesteuert wird dieser Zugriff über eine Cisco 1710 Router von Arcor. Weiß jemand ob das VLAN-Routing schon automatisch funktioniert oder muss man sich erst mittels Konsolen-Kabel verbinden und dann das VLAN-Routing aktivieren...?
Eine andere Frage ist, ob man nun auch zwischen den beiden VLAN's Daten austauschen kann...?
Eigentlich ja nicht, soweit ich weiß sind die Netze nun ja logisch von einander getrennt...gibt es vllt doch irgendwie die Möglichkeit...???
Ach und dann noch ne Frage...
VLAN 2 und VLAN 3 beinhaltet nur 1 Netz (192.168.2.1 - 192.168.2.254) um VLAN's nutzen zu können muss ich das Netz jetzt in 2 Subnetze aufteilen richtig...?
Wie ihr seht hab da einige Fragen...vllt hat ja jemand nen paar antworten...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 37585
Url: https://administrator.de/contentid/37585
Ausgedruckt am: 22.11.2024 um 16:11 Uhr
17 Kommentare
Neuester Kommentar
Hallo Nucca,
wo hängen denn die VLANs dran?
Ist das ein Layer3-Switch oder ein Layer2-Switch?
Der 1710 beherrscht ja VLAN-Trunking nach IEEE 802.1Q, d.h. wenn der Switch auch das VTP (=VLAN-Trunking-Protokoll) nach 802.1Q inplementiert hat, kannst du den Router mit einer einzigen sog. Trunk-Leitung mit einem Port des Switches, der als Trunk-Port konfiguriert wird, verbinden.
Und ja, du musst die VLANs und Routen natürlich auf dem Router konfigurieren, sonst weiß der Router ja nicht, welcher PC eines VLANs in ein anderes VLAN oder ins Internet darf.
Wenn der Switch kein VTP nach 802.1Q kann, benötigst du einen Router, der mindestens 3 LAN-Schnittstellen hat, damit je eine LAN-Schnittstelle des Routers mit einem Bein in je einem VLAN steht.
Am einfachsten geht das alles natürlich mit einem Layer3-Switch der alles auf einmal kann, sprich VLAN mit VLSM (dazu später noch was), VTP, Routing, etc., dann braucht man keinen externen Router mehr.
Zum Austausch von Daten zwischen VLANs:
Wie schon oben erwähnt, brauchst du dazu einen Router, der sich um den Transport zwischen den VLANs kümmert. Dafür gibt es je nach Geräten (d.h. je nach unterstützten Protokollen und Schnittstellen) wie schon gesagt, grundsätzlich folgende Möglichkeiten (evtl. auch noch mehr, die ich nicht kenne, bin ja auch nicht allwissend, lerne aber gerne dazu, falls noch jemand was weis!):
Zu dem Problem mit dem einen Netz 192.168.2.0:
Du kannst/musst das Netz in Subnetze unterteilen, mit entsprechender Subnet-Mask, jedoch muss der Router bzw. der Layer3-Switch mit VLSM (=Variable Lenght Subnet Mask) umgehen können, sonst funktioniert das nicht. Ansonsten bleibt nur die Option, für jeweils ein VLAN ein ganzes C-Netz zu benutzen.
Ich hoffe, ich konnte etwas weiterhelfen.
Falls etwas falsch sein sollte, bitte nicht gleich umbringen, ich bin auch noch relativer Anfänger...
Ach ja, schreib doch mal, was für Switches/Router ihr verwendet.
Viele Grüße,
Jochgeier
wo hängen denn die VLANs dran?
Ist das ein Layer3-Switch oder ein Layer2-Switch?
Der 1710 beherrscht ja VLAN-Trunking nach IEEE 802.1Q, d.h. wenn der Switch auch das VTP (=VLAN-Trunking-Protokoll) nach 802.1Q inplementiert hat, kannst du den Router mit einer einzigen sog. Trunk-Leitung mit einem Port des Switches, der als Trunk-Port konfiguriert wird, verbinden.
Und ja, du musst die VLANs und Routen natürlich auf dem Router konfigurieren, sonst weiß der Router ja nicht, welcher PC eines VLANs in ein anderes VLAN oder ins Internet darf.
Wenn der Switch kein VTP nach 802.1Q kann, benötigst du einen Router, der mindestens 3 LAN-Schnittstellen hat, damit je eine LAN-Schnittstelle des Routers mit einem Bein in je einem VLAN steht.
Am einfachsten geht das alles natürlich mit einem Layer3-Switch der alles auf einmal kann, sprich VLAN mit VLSM (dazu später noch was), VTP, Routing, etc., dann braucht man keinen externen Router mehr.
Zum Austausch von Daten zwischen VLANs:
Wie schon oben erwähnt, brauchst du dazu einen Router, der sich um den Transport zwischen den VLANs kümmert. Dafür gibt es je nach Geräten (d.h. je nach unterstützten Protokollen und Schnittstellen) wie schon gesagt, grundsätzlich folgende Möglichkeiten (evtl. auch noch mehr, die ich nicht kenne, bin ja auch nicht allwissend, lerne aber gerne dazu, falls noch jemand was weis!):
- Layer3-Switch der alles kann
- "normaler" Layer2-Switch mit VLAN aber OHNE VTP + Router mit entsprechend vielen LAN-Schnittstellen
- "normaler" Layer2-Switch mit VLAN UND VTP + Router der VTP kann (nur 1xLAN nötig)
Zu dem Problem mit dem einen Netz 192.168.2.0:
Du kannst/musst das Netz in Subnetze unterteilen, mit entsprechender Subnet-Mask, jedoch muss der Router bzw. der Layer3-Switch mit VLSM (=Variable Lenght Subnet Mask) umgehen können, sonst funktioniert das nicht. Ansonsten bleibt nur die Option, für jeweils ein VLAN ein ganzes C-Netz zu benutzen.
Ich hoffe, ich konnte etwas weiterhelfen.
Falls etwas falsch sein sollte, bitte nicht gleich umbringen, ich bin auch noch relativer Anfänger...
Ach ja, schreib doch mal, was für Switches/Router ihr verwendet.
Viele Grüße,
Jochgeier
Der Linksys srw 2016 kann ja zum Glück schon mal VTP nach 802.1q, d.h. du kannst schon mal das Trunking in Verbindung mit dem Router benutzen (du brauchst also nur ein Netzwerkkabel vom Switch zum Router)
Ob der Cisco 1710 VLSM kann, weiß ich leider auch nicht. Hab mal grad ein bisschen im Netz gesucht, aber auf die schnell nichts gefunden.
Schalte dich einfach mal auf den Router und konfiguriere die Subnetze der VLANs für das Trunking. Wenn er mit diesen Subnetzen nicht klar kommt, wird er schon meckern, denke ich jedenfalls.
Geht mich vielleicht ja nichts an, aber ich bin einfach neugierig: Wieso kannst du eigentlich nur das 192.168.2.0er Netz benutzen?
Du könntest doch einfach irgendwelche anderen C-Netze aus dem privaten Bereich nehmen (evtl auch ein 10er Netz). Und wieso bzw. wo ist das Netz angemeldet? Ist doch ein privates? Fragen über Fragen...
Grüße,
Jochgeier
Ob der Cisco 1710 VLSM kann, weiß ich leider auch nicht. Hab mal grad ein bisschen im Netz gesucht, aber auf die schnell nichts gefunden.
Schalte dich einfach mal auf den Router und konfiguriere die Subnetze der VLANs für das Trunking. Wenn er mit diesen Subnetzen nicht klar kommt, wird er schon meckern, denke ich jedenfalls.
Geht mich vielleicht ja nichts an, aber ich bin einfach neugierig: Wieso kannst du eigentlich nur das 192.168.2.0er Netz benutzen?
Du könntest doch einfach irgendwelche anderen C-Netze aus dem privaten Bereich nehmen (evtl auch ein 10er Netz). Und wieso bzw. wo ist das Netz angemeldet? Ist doch ein privates? Fragen über Fragen...
Grüße,
Jochgeier
Das würde natürlich auch gehen, wenn sich die alten und neuen Server mit irgendwelchen Diensten dann nicht in die Quere kommen, dann brauchst du nicht umbedingt ein VLAN oder Subnetze um die neuen Server für Tests abzuschotten.
Ich weiß ja nicht, welche Anwendungen auf den Servern laufen, evtl. kann man ja da mit Ports/Portweiterleitung arbeiten, um die Anwendungen auf den neuen Servern zu testen, während die alten Server noch laufen, und beim richtigen Tausch dann Einstellungen der neuen Server an die Einstellungen der alten Server anpassen.
Falls ihr DHCP habt, solltest du halt die festen IPs, die du für die neuen Server verwendest, aus der IP-Range des DHCP nehmen oder aber diese im DHCP fest reservieren, nicht dass es da zu Problemen kommt.
Ich weiß ja nicht, welche Anwendungen auf den Servern laufen, evtl. kann man ja da mit Ports/Portweiterleitung arbeiten, um die Anwendungen auf den neuen Servern zu testen, während die alten Server noch laufen, und beim richtigen Tausch dann Einstellungen der neuen Server an die Einstellungen der alten Server anpassen.
Falls ihr DHCP habt, solltest du halt die festen IPs, die du für die neuen Server verwendest, aus der IP-Range des DHCP nehmen oder aber diese im DHCP fest reservieren, nicht dass es da zu Problemen kommt.
VTP hat mit dot1q überhaupt nichts zu tun und du benötigst es auch nicht !!! VTP (Virtual Trunk Protokoll) ist ein proprietäres Cisco only Protokoll was VLAN IDs in einem reinen Cisco Netzwerk automatisch propagiert.
Für das was du vorhast ist es völlig irrelevant ob dein Switch sowas kann oder nicht. Generell wenn du einen VLAN fähigen Switch hast, von welchem Hersteller auch immer, kann der mit an Sicherheit grenzender Wahrscheinlichkeit auch 802.1q Trunking.
Dot1q addiert lediglich zu den Standard Ethernet Frames am Anfang einen Header in dem die VLAN ID und Priority codiert ist. Die VLAN ID muss der Switch ja wissen, damit er das Ethernet Packet wieder dem richtigen VLAN zuordnen kann.
Zurück zu deinem Vorhaben:
Fangen wir mal mit der Trennung der VLANs an: Natürlich kannst du dein 192.168..2er Netz aufteilen in zwei (oder auch mehr..) Subnetze. Das musst du auch unbedingt machen, sonst ist ein Routing bzw. Kommunikation zwischen den Netzen (VLANs) nicht möglich.
Brauchst du wirklich nur 2 VLANs mit deinem 192.168.2er Netz musst du die Subnetzmaske ändern auf 255.255.255.128 (25 Bit). Damit generierst du nun zwei Netze einmal 192.168.2.1 bis .126 und 192.168.2.128 bis .254. D.h. in deinen VLAN Segmenten müssen dann immer jeweils diese Ranges vergeben werden. Allerdings verringert das die maximale Anzahl der Rechner bzw. Endgeräte in einem Segment auf 126. Wenn du weiter subnetten solltest dann entsprechend weniger.
Nachteil ist sicher, das du alle Subnetzmasken und ggf. Adressen bei den Endgeräten in deinen VLANs anfassen musst. Hast du DHCP ist das erheblich einfacher und kostet dich nur eine kurze Änderung am DHCP Server.
Du kannst natürlich auch ein komplett neues Netzwerk vergeben auf dem anderen VLAN z.B. 172.16.2.0/24 denn wie du an deiner 192.168.2er Adresse siehst ist dies eine RFC 1918 Adresse die im Internet gar nicht geroutet wird und Arcor auch herzlich wenig interessiert !!!
Ggf. ist eine Umstellung auf einen Class B RFC 1918 Adresse wie 172.16.0.0 besser, da du dann das komplette 3 Byte subnetten kannst und so mit einer 24 Bit maske wieder max 253 Endgeräte pro VLAN adressieren kannst. Das kannst du aber selber entscheiden...
Arcor betreibt NAT (Network Adress Translation) auf dem Cisco 1700 und da ist es völlig egal welche Adressen du auf dem VLANs vergibst denn diese Adressen werden innerhalb des Routers auf einen ARCOR interne Adresse übersetzt ! Allerdings muss diese ggf neue Adresse fürs NAT auf dem Router konfiguriert werden um sie zu aktivieren !!
Mit dem Trick des Subnetting des 192.168.2er Netzwerks oben sparst du dir das natürlich ! Allerdings ist der Aufwand der Adressumstellung der Endgeräte größer. Da musst du dir also überlegen welchen Weg du gehst....
2ter wichtiger Punkt ist die Kommunikation zwischen den VLANs. Wie du richtig erkannst hast ist die bei einem Layer 2 VLAN Switch nicht gegeben und muss durch einen externen Router erledigt werden. Hättest du einen Layer 3 Switch würde der das Routing übernehmen aber den hast du nun mal nicht.
Bleibt also nur der Cisco 1700 und damit ist die Lösung recht einfach, denn der versteht das IEEE 802.1q Trunk Protokoll.
D.h. für dich der Ethernet Link zum Router muss als 802.1q tagged Link im Switch eingerichtet werden. Auf dem Router stellst du nun folgende Konfig auf dem Ethernet Interface ein (Beispiel mit gesubnettetem .2er Netz, Die Router Interfaces sind immer die ersten Adressen im
Subnetz!):
interface FastEthernet 0
no ip address
no ip mroute-cache
speed 100
full-duplex
interface FastEthernet 0.1
encapsulation dot1q 1 native (1 ist die VLAN ID)
ip address 192.168.2.1 255.255.255.128
interface FastEthernet 0.2
encapsulation dot1q 2 (2 ist die VLAN ID)
ip address 192.168.2.129 255.255.255.128
Das ist eigentlich schon alles. Damit routet der Router zwischen den Subinterfaces und auch alle Stationen aus den Subnetzen ins Internet. Wenn du Windows Anwendungen (Sharing) hast und/oder DHCP zwischen den Segmenten musst du ggf. noch auf den Ethernet Subinterfaces "ip helper adressen" konfigurieren um UDP Broadcasts in die jeweils anderen Segmente durchzulassen.
Falls der Router Passwortgesichert ist, schliesst du ein Terminal wie z.B. TeraTerm (http://hp.vector.co.jp/authors/VA002416/teraterm.html) an (9600 Bd, N81, keine Flow Control) drückst bei der Bootmeldung des Routers die B Taste (Break Signal) und fährst die Maschine ohne Passwort hoch. Hier:
www.cisco.com/en/US/products/hw/routers/ps221/products_password_recovery09186a0080094773.shtml
steht nochmal genau wie es geht....
Generell ist die Entscheidung große Netze in VLANs zu segementieren nicht falsch da du damit erheblich kleinere Broadcast Domains anlegen kannst und dir die Netze durch Broadcaststürme etc. weniger gefährdet sind. Auch aus Sicherheitsaspekten (ACLs etc.) ist das der richtige Weg.
Für das was du vorhast ist es völlig irrelevant ob dein Switch sowas kann oder nicht. Generell wenn du einen VLAN fähigen Switch hast, von welchem Hersteller auch immer, kann der mit an Sicherheit grenzender Wahrscheinlichkeit auch 802.1q Trunking.
Dot1q addiert lediglich zu den Standard Ethernet Frames am Anfang einen Header in dem die VLAN ID und Priority codiert ist. Die VLAN ID muss der Switch ja wissen, damit er das Ethernet Packet wieder dem richtigen VLAN zuordnen kann.
Zurück zu deinem Vorhaben:
Fangen wir mal mit der Trennung der VLANs an: Natürlich kannst du dein 192.168..2er Netz aufteilen in zwei (oder auch mehr..) Subnetze. Das musst du auch unbedingt machen, sonst ist ein Routing bzw. Kommunikation zwischen den Netzen (VLANs) nicht möglich.
Brauchst du wirklich nur 2 VLANs mit deinem 192.168.2er Netz musst du die Subnetzmaske ändern auf 255.255.255.128 (25 Bit). Damit generierst du nun zwei Netze einmal 192.168.2.1 bis .126 und 192.168.2.128 bis .254. D.h. in deinen VLAN Segmenten müssen dann immer jeweils diese Ranges vergeben werden. Allerdings verringert das die maximale Anzahl der Rechner bzw. Endgeräte in einem Segment auf 126. Wenn du weiter subnetten solltest dann entsprechend weniger.
Nachteil ist sicher, das du alle Subnetzmasken und ggf. Adressen bei den Endgeräten in deinen VLANs anfassen musst. Hast du DHCP ist das erheblich einfacher und kostet dich nur eine kurze Änderung am DHCP Server.
Du kannst natürlich auch ein komplett neues Netzwerk vergeben auf dem anderen VLAN z.B. 172.16.2.0/24 denn wie du an deiner 192.168.2er Adresse siehst ist dies eine RFC 1918 Adresse die im Internet gar nicht geroutet wird und Arcor auch herzlich wenig interessiert !!!
Ggf. ist eine Umstellung auf einen Class B RFC 1918 Adresse wie 172.16.0.0 besser, da du dann das komplette 3 Byte subnetten kannst und so mit einer 24 Bit maske wieder max 253 Endgeräte pro VLAN adressieren kannst. Das kannst du aber selber entscheiden...
Arcor betreibt NAT (Network Adress Translation) auf dem Cisco 1700 und da ist es völlig egal welche Adressen du auf dem VLANs vergibst denn diese Adressen werden innerhalb des Routers auf einen ARCOR interne Adresse übersetzt ! Allerdings muss diese ggf neue Adresse fürs NAT auf dem Router konfiguriert werden um sie zu aktivieren !!
Mit dem Trick des Subnetting des 192.168.2er Netzwerks oben sparst du dir das natürlich ! Allerdings ist der Aufwand der Adressumstellung der Endgeräte größer. Da musst du dir also überlegen welchen Weg du gehst....
2ter wichtiger Punkt ist die Kommunikation zwischen den VLANs. Wie du richtig erkannst hast ist die bei einem Layer 2 VLAN Switch nicht gegeben und muss durch einen externen Router erledigt werden. Hättest du einen Layer 3 Switch würde der das Routing übernehmen aber den hast du nun mal nicht.
Bleibt also nur der Cisco 1700 und damit ist die Lösung recht einfach, denn der versteht das IEEE 802.1q Trunk Protokoll.
D.h. für dich der Ethernet Link zum Router muss als 802.1q tagged Link im Switch eingerichtet werden. Auf dem Router stellst du nun folgende Konfig auf dem Ethernet Interface ein (Beispiel mit gesubnettetem .2er Netz, Die Router Interfaces sind immer die ersten Adressen im
Subnetz!):
interface FastEthernet 0
no ip address
no ip mroute-cache
speed 100
full-duplex
interface FastEthernet 0.1
encapsulation dot1q 1 native (1 ist die VLAN ID)
ip address 192.168.2.1 255.255.255.128
interface FastEthernet 0.2
encapsulation dot1q 2 (2 ist die VLAN ID)
ip address 192.168.2.129 255.255.255.128
Das ist eigentlich schon alles. Damit routet der Router zwischen den Subinterfaces und auch alle Stationen aus den Subnetzen ins Internet. Wenn du Windows Anwendungen (Sharing) hast und/oder DHCP zwischen den Segmenten musst du ggf. noch auf den Ethernet Subinterfaces "ip helper adressen" konfigurieren um UDP Broadcasts in die jeweils anderen Segmente durchzulassen.
Falls der Router Passwortgesichert ist, schliesst du ein Terminal wie z.B. TeraTerm (http://hp.vector.co.jp/authors/VA002416/teraterm.html) an (9600 Bd, N81, keine Flow Control) drückst bei der Bootmeldung des Routers die B Taste (Break Signal) und fährst die Maschine ohne Passwort hoch. Hier:
www.cisco.com/en/US/products/hw/routers/ps221/products_password_recovery09186a0080094773.shtml
steht nochmal genau wie es geht....
Generell ist die Entscheidung große Netze in VLANs zu segementieren nicht falsch da du damit erheblich kleinere Broadcast Domains anlegen kannst und dir die Netze durch Broadcaststürme etc. weniger gefährdet sind. Auch aus Sicherheitsaspekten (ACLs etc.) ist das der richtige Weg.
Mit dem VTP hab ich mich offensichtlich etwas unglücklich ausgedrückt, das stimmt. Ich wollte es lediglich als Abkürzung für VLAN-Trunking-Protokoll ganz allgemein benutzen, und dot1q ist ja wohl ein solches Protokoll. Hab grad mal bisschen was dazu im Internet gesucht, aber dass das Cisco-eigene Protokoll, mit dem sich VTP-Server und -Clients unterhalten, auch "nur" VTP heißt, daran hatte ich ehrlich gar nicht gedacht.
Naja, wieder was dazu gelernt.
Grüße,
Jochgeier
Naja, wieder was dazu gelernt.
Grüße,
Jochgeier
Hallo Jochgeier !
Nein, IEEE 8021q ist kein Protokoll ! Es sendet ja nichts aktives auf dem Netz o.ä. Der IEEE 802.1q Standard beschreibt lediglich ein Frame Format im Ethernet sonst nichts. Ums genau zu sagen einen 4 Byte Header um den der Frame verlängert wird der dann die VLAN ID und eine Priority Information enthält. Nicht .1q Endgeräte können .1q Frames ohne entsprechenden Treiber bzw. Konfiguratuon nicht lesen bzw. interpretieren diese als Framefehler. Also ein normaler XP PC würde an einem Switch, der einen Port mit 802.1q tagged konfiguriert hat, nicht funktionieren. Meist werden solche .1q tagged Links zur Verbindung von Switches genutzt um VLAN Informationen transparent über ein geswitchetes Netzwerk zu übertragen.
Nähere Infos hier:
http://www.elektronik-kompendium.de/sites/net/0906221.htm
Cisco hat ein proprietäres Protokoll da oben draufgepackt um diese VLAN Informationen an andere Switches zu übertragen. Das funktioniert (wie so häufig bei Cisco...) aber ausschliesslich in einem Cisco Netz da, wie gesagt, proprietär. Switchnutzer die nicht in solcher Cisco "Falle" sitzen benutzen das standardisierte GVRP (Global Vlan Registration Protokoll) das können dann wieder alle Hersteller ! Sogar Cisco (...aber nur auf einigen Plattformen)
Nein, IEEE 8021q ist kein Protokoll ! Es sendet ja nichts aktives auf dem Netz o.ä. Der IEEE 802.1q Standard beschreibt lediglich ein Frame Format im Ethernet sonst nichts. Ums genau zu sagen einen 4 Byte Header um den der Frame verlängert wird der dann die VLAN ID und eine Priority Information enthält. Nicht .1q Endgeräte können .1q Frames ohne entsprechenden Treiber bzw. Konfiguratuon nicht lesen bzw. interpretieren diese als Framefehler. Also ein normaler XP PC würde an einem Switch, der einen Port mit 802.1q tagged konfiguriert hat, nicht funktionieren. Meist werden solche .1q tagged Links zur Verbindung von Switches genutzt um VLAN Informationen transparent über ein geswitchetes Netzwerk zu übertragen.
Nähere Infos hier:
http://www.elektronik-kompendium.de/sites/net/0906221.htm
Cisco hat ein proprietäres Protokoll da oben draufgepackt um diese VLAN Informationen an andere Switches zu übertragen. Das funktioniert (wie so häufig bei Cisco...) aber ausschliesslich in einem Cisco Netz da, wie gesagt, proprietär. Switchnutzer die nicht in solcher Cisco "Falle" sitzen benutzen das standardisierte GVRP (Global Vlan Registration Protokoll) das können dann wieder alle Hersteller ! Sogar Cisco (...aber nur auf einigen Plattformen)
Klar kannst du die Ports auch im VLAN 1 belassen. Welche Ports du welchen VLANs zu weist ist ja deine sache.. du willst die Endgeräte ja in die entsprechenden VLANs legen.
IP Adressen für die VLANs kannst du in der Tat nicht eingeben auf einem Layer 2 Switch lediglich die Administrations IP Adresse und die liegt per default immer im VLAN 1.
Das Routing zwischen den VLANs macht ja dann dein Router. Die IP Netze müssen natürlich unterschiedlich pro VLAN sein und deine Clients haben dann imer die Router IP des entsprechenden VLANs als default Gateway Eintrag ! Der Router muss auf den Subinterfaces noch mit der dot1q Encapsulation konfiguriert werden, sonst versteht er natürlich die Packet von deinem Switch Trunkport nicht !
Das ist eigentlich alles....
IP Adressen für die VLANs kannst du in der Tat nicht eingeben auf einem Layer 2 Switch lediglich die Administrations IP Adresse und die liegt per default immer im VLAN 1.
Das Routing zwischen den VLANs macht ja dann dein Router. Die IP Netze müssen natürlich unterschiedlich pro VLAN sein und deine Clients haben dann imer die Router IP des entsprechenden VLANs als default Gateway Eintrag ! Der Router muss auf den Subinterfaces noch mit der dot1q Encapsulation konfiguriert werden, sonst versteht er natürlich die Packet von deinem Switch Trunkport nicht !
Das ist eigentlich alles....
Genau DAS ist der Fehler wenn du das 192.168.2.0er Netzwerk gesubnettet hast !!!
Die Maske muss dann in den Clients auf 255.255.255.128 wenn du eine 25 Bit Subnetzmaske verwendest !!!
Damit hat dann dein VLAN1 den Adressbereich 192.168.2.1 bis .126 und dein VLAN 2 den Bereich 192.168.2.129 bis .254 bei einer Subnetzmaske von 255.255.255.128 für alle Geräte in den beiden Segmenten (...auch der Arcor Router muss auf den Subinterfaces diese Maske haben !!!) die Konfig sieht dann so aus:
interface FastEthernet 0.1
encapsulation dot1q 1 native
ip address 192.168.2.126 255.255.255.128
interface FastEthernet 0.2
encapsulation dot1q 2
ip address 192.168.2.129 255.255.255.128
Die Maske muss dann in den Clients auf 255.255.255.128 wenn du eine 25 Bit Subnetzmaske verwendest !!!
Damit hat dann dein VLAN1 den Adressbereich 192.168.2.1 bis .126 und dein VLAN 2 den Bereich 192.168.2.129 bis .254 bei einer Subnetzmaske von 255.255.255.128 für alle Geräte in den beiden Segmenten (...auch der Arcor Router muss auf den Subinterfaces diese Maske haben !!!) die Konfig sieht dann so aus:
interface FastEthernet 0.1
encapsulation dot1q 1 native
ip address 192.168.2.126 255.255.255.128
interface FastEthernet 0.2
encapsulation dot1q 2
ip address 192.168.2.129 255.255.255.128
Klar das geht natürlich auch !
Richte einfach beide Subnetze auf dem DHCP Server ein, dann werden die automatisch zentral von ihm verteilt für beide Subnetze aber Achtung !!!:
Wenn dein 2003er DHCP Server nur in einem VLAN hängt kommen die DHCP Broadcasts aus dem anderen VLAN bei ihm nicht an (UDP Broadcasts aus dem anderen VLAN schickt der Router nicht weiter !)
Aber auch dafür gibt es eine schnelle Lösung:
Du musst auf dem Router nur eine "ip helper Adresse" einrichten die auf den Server zeigt.
Hier am Beispiel wenn der Server im VLAN 1 mit der Adresse 192.168.2.1 Maske 255.255.255.128 Gateway 192.168.2.126 steht.
Dann sähe die richtige Router Konfig so aus:
interface FastEthernet 0.1
encapsulation dot1q 1 native
ip address 192.168.2.126 255.255.255.128
interface FastEthernet 0.2
encapsulation dot1q 2
ip address 192.168.2.129 255.255.255.128
ip helper-address 192.168.2.1
Damit funktionierts dann auch mit DHCP. Ist der 2003er Server auch PDC und macht DNS reicht das. Wenn er das nicht ist und du ein any zu any Windows Resourcenbroadcast zulassen willst solltest du ggf. auch noch eine helper Adresse (192.168.2.128) auf dem Subinterface 0.1 konfigurieren.
Ist aber alles zentral Servergesteuert reicht die o.a. Konfig aus !
Richte einfach beide Subnetze auf dem DHCP Server ein, dann werden die automatisch zentral von ihm verteilt für beide Subnetze aber Achtung !!!:
Wenn dein 2003er DHCP Server nur in einem VLAN hängt kommen die DHCP Broadcasts aus dem anderen VLAN bei ihm nicht an (UDP Broadcasts aus dem anderen VLAN schickt der Router nicht weiter !)
Aber auch dafür gibt es eine schnelle Lösung:
Du musst auf dem Router nur eine "ip helper Adresse" einrichten die auf den Server zeigt.
Hier am Beispiel wenn der Server im VLAN 1 mit der Adresse 192.168.2.1 Maske 255.255.255.128 Gateway 192.168.2.126 steht.
Dann sähe die richtige Router Konfig so aus:
interface FastEthernet 0.1
encapsulation dot1q 1 native
ip address 192.168.2.126 255.255.255.128
interface FastEthernet 0.2
encapsulation dot1q 2
ip address 192.168.2.129 255.255.255.128
ip helper-address 192.168.2.1
Damit funktionierts dann auch mit DHCP. Ist der 2003er Server auch PDC und macht DNS reicht das. Wenn er das nicht ist und du ein any zu any Windows Resourcenbroadcast zulassen willst solltest du ggf. auch noch eine helper Adresse (192.168.2.128) auf dem Subinterface 0.1 konfigurieren.
Ist aber alles zentral Servergesteuert reicht die o.a. Konfig aus !