Cisco 1812 Integrated Services Router VLAN-Trennung
Hi Leute,
habe hier ein funktionierendes Netzwerk. Das Gateway ist ein Cisco 1812 Integrated Services Router mit "default"-Einstellungen.
NAT bzw. Internetverbindung funktioniert. Firewall läuft auch ordnungsgemäß bzw. es kommt auch wirklich nur das von außen rein was rein soll--> getestet durch ftp-server.
Ich würde aber jetzt gerne ein weiteres netzwerk hinzufügen das parallel zu dem jetzigen läuft. Ich dachte mir Switch-Interface 1 dem VLAN1 zuzuordnen und Switch-Interface2 dem VLAN2, dahinter hänge ich jeweils ein normales switch.
Das Interface im VLAN1 bekommt dann die IP: 192.168.10.254/24....Inteface2 im VLAN2 bekommt 192.168.20.254/24
So sollten ja beide Netzwerke über das Öffentliche-Inteface ins Internet geroutet werden. Außerdem finden sie sich gegenseitig NICHT.
Allerdings sollten die Netzwerke auf einigen Protokollen kommunizieren können. Das bedeutet: ich trage Routingeinträge in die statische Tabelle ein.
Frage:
Geht dann dieses Routing von VLAN1 zu VLAN2 mit über die Firewall ?-> kann ich also durch die Firewallregelen beschreiben welche Protokolle rüber dürfen? oder ist die Firewall nur von extern(Internet) nach intern(LAN) aktiv?
habe hier ein funktionierendes Netzwerk. Das Gateway ist ein Cisco 1812 Integrated Services Router mit "default"-Einstellungen.
NAT bzw. Internetverbindung funktioniert. Firewall läuft auch ordnungsgemäß bzw. es kommt auch wirklich nur das von außen rein was rein soll--> getestet durch ftp-server.
Ich würde aber jetzt gerne ein weiteres netzwerk hinzufügen das parallel zu dem jetzigen läuft. Ich dachte mir Switch-Interface 1 dem VLAN1 zuzuordnen und Switch-Interface2 dem VLAN2, dahinter hänge ich jeweils ein normales switch.
Das Interface im VLAN1 bekommt dann die IP: 192.168.10.254/24....Inteface2 im VLAN2 bekommt 192.168.20.254/24
So sollten ja beide Netzwerke über das Öffentliche-Inteface ins Internet geroutet werden. Außerdem finden sie sich gegenseitig NICHT.
Allerdings sollten die Netzwerke auf einigen Protokollen kommunizieren können. Das bedeutet: ich trage Routingeinträge in die statische Tabelle ein.
Frage:
Geht dann dieses Routing von VLAN1 zu VLAN2 mit über die Firewall ?-> kann ich also durch die Firewallregelen beschreiben welche Protokolle rüber dürfen? oder ist die Firewall nur von extern(Internet) nach intern(LAN) aktiv?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 157647
Url: https://administrator.de/contentid/157647
Ausgedruckt am: 20.11.2024 um 08:11 Uhr
1 Kommentar
..."ich trage Routingeinträge in die statische Tabelle ein."
Das ist Blödsinn, denn statisch routen musst du gar nicht !! Warum auch, denn dein Cisco "kennt" doch beide IP Netze da sie direkt an ihm angeschlossen sind.
Was du machst hat auch so direkt nichts mit VLAN Routing zu tun, da du nur simpel und einfach 2 Interfaces am Router nutzt. Mit VLANs müsstest du einen 802.1q VLAN getaggten Link aufsetzen am Router, was der Cisco natürlich auch kann. Das was du machst ist aber effizienter da beide VLANs nicht über einen tagged Link gehen sondern getrennte, dedizierte Interfaces nutzen, hat aber mit VLANs nix zu tun ! Die VLAN bezeichnung nutzt der 1812 nur intern weil er eben ein Layer 3 Switch mit WAN Interfaces ist wenn man so will.
Infos zu VLANs findest du hier:
http://www.heise.de/netze/VLAN-Virtuelles-LAN--/artikel/77832
und
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
bzw.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Was deinen Cisco 1812 anbetrifft gehst du so vor:
router# vlan database
router(config)# vlan 10
router(config-vlan)# name VLAN-10
router(config-vlan)# exit
router(vlan)# vlan 20
router(config-vlan)# name VLAN-20
router(config-vlan)# exit
router(config)# int vlan 10
router(config-if)# ip address 192.168.10.254 255.255.255.0
router(config)# no shut
router(config)# int vlan 20
router(config-if)# ip address 192.168.20.254 255.255.255.0
router(config)# no shut
router(config)# int fa 1
router(config-if)# switchport access vlan 10
router(config-if)# spanning-tree portfast
router(config)# int fa 1
router(config-if)# switchport access vlan 10
router(config-if)# spanning-tree portfast
Das richtet dir erstmal die beiden Interfaces und deine beiden "VLANs" 10 und 20 ein und legt das VLAN 10 auf Port FastEthernet 1 und das VLAN 20 auf Port FastEthernet 2 !
Soll der Router für beide LAN Ports auch DHCP Adressen vergeben (Bereich .100 bis .150):
ip dhcp excluded-address 192.168.10.1 192.168.10.99
ip dhcp excluded-address 192.168.10.150 192.168.10.254
ip dhcp excluded-address 192.168.20.1 192.168.20.99
ip dhcp excluded-address 192.168.20.150 192.168.20.254
!
ip dhcp pool vlan-10
network 192.168.10.0 255.255.255.0
default-router 192.168.10.254
dns-server 192.168.10.254
domain-name phillip.test
!
ip dhcp pool vlan-10
network 192.168.20.0 255.255.255.0
default-router 192.168.20.254
dns-server 192.168.20.254
domain-name phillip.test
Was du machen musst sind schlicht und einfach simple Accesslisten an den Interfaces einzurichten, wo du eben erlaubst was von einem zum anderen Netz durchdarf und was nicht...fertich !
Folgende Beispiele sind selbsterklärend:
ip access-list extended nurftp
permit tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 50
permit tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 51
deny ip any any
ip access-list extended keinsmb
permit udp host 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 range netbios-ns netbios-ss
permit tcp host 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 445
deny ip any any
ip access-list extended surfenverboten
deny tcp host 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq www
deny tcp host 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 443
permit ip any any
Am Interface dann z.B.
interface vlan 10
ip access-group <name-acl> in
...das wars.
Das ist Blödsinn, denn statisch routen musst du gar nicht !! Warum auch, denn dein Cisco "kennt" doch beide IP Netze da sie direkt an ihm angeschlossen sind.
Was du machst hat auch so direkt nichts mit VLAN Routing zu tun, da du nur simpel und einfach 2 Interfaces am Router nutzt. Mit VLANs müsstest du einen 802.1q VLAN getaggten Link aufsetzen am Router, was der Cisco natürlich auch kann. Das was du machst ist aber effizienter da beide VLANs nicht über einen tagged Link gehen sondern getrennte, dedizierte Interfaces nutzen, hat aber mit VLANs nix zu tun ! Die VLAN bezeichnung nutzt der 1812 nur intern weil er eben ein Layer 3 Switch mit WAN Interfaces ist wenn man so will.
Infos zu VLANs findest du hier:
http://www.heise.de/netze/VLAN-Virtuelles-LAN--/artikel/77832
und
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
bzw.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Was deinen Cisco 1812 anbetrifft gehst du so vor:
router# vlan database
router(config)# vlan 10
router(config-vlan)# name VLAN-10
router(config-vlan)# exit
router(vlan)# vlan 20
router(config-vlan)# name VLAN-20
router(config-vlan)# exit
router(config)# int vlan 10
router(config-if)# ip address 192.168.10.254 255.255.255.0
router(config)# no shut
router(config)# int vlan 20
router(config-if)# ip address 192.168.20.254 255.255.255.0
router(config)# no shut
router(config)# int fa 1
router(config-if)# switchport access vlan 10
router(config-if)# spanning-tree portfast
router(config)# int fa 1
router(config-if)# switchport access vlan 10
router(config-if)# spanning-tree portfast
Das richtet dir erstmal die beiden Interfaces und deine beiden "VLANs" 10 und 20 ein und legt das VLAN 10 auf Port FastEthernet 1 und das VLAN 20 auf Port FastEthernet 2 !
Soll der Router für beide LAN Ports auch DHCP Adressen vergeben (Bereich .100 bis .150):
ip dhcp excluded-address 192.168.10.1 192.168.10.99
ip dhcp excluded-address 192.168.10.150 192.168.10.254
ip dhcp excluded-address 192.168.20.1 192.168.20.99
ip dhcp excluded-address 192.168.20.150 192.168.20.254
!
ip dhcp pool vlan-10
network 192.168.10.0 255.255.255.0
default-router 192.168.10.254
dns-server 192.168.10.254
domain-name phillip.test
!
ip dhcp pool vlan-10
network 192.168.20.0 255.255.255.0
default-router 192.168.20.254
dns-server 192.168.20.254
domain-name phillip.test
Was du machen musst sind schlicht und einfach simple Accesslisten an den Interfaces einzurichten, wo du eben erlaubst was von einem zum anderen Netz durchdarf und was nicht...fertich !
Folgende Beispiele sind selbsterklärend:
ip access-list extended nurftp
permit tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 50
permit tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 51
deny ip any any
ip access-list extended keinsmb
permit udp host 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 range netbios-ns netbios-ss
permit tcp host 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 445
deny ip any any
ip access-list extended surfenverboten
deny tcp host 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq www
deny tcp host 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 443
permit ip any any
Am Interface dann z.B.
interface vlan 10
ip access-group <name-acl> in
...das wars.