Cisco (2960 series und 3560 series switches) VLAN-Einrichtung
Hallo leidgeplagte Admins,
ich habe folgendes Problem, vielleicht kann mir jemand helfen.
Ausgangssituation ist eine Handvoll Cisco Catalyst 2960 Switches, auf denen 2 VLAN mit VTP laufen (Fred und Horst seien die Namen der VLAN).
Dazu gesellt sich ein catalyst 3560 Switch (keine VLAn eingerichtet), an dem
- ein Fileserver, auf dem auchDHCP läuft und
- das Internet (cisco2900 series router)
verbunden sind.
Fred und Horst sollen sich nicht gegenseitig stören, wohl aber
a) beide IPs von dem dhcp bekommen und
b) auf den Fileserver zugreifen können.
Momentan weiss ich nicht, wie ich den 3560 konfigurieren soll, bzw.
habe hier von Routern mit 3 Netzwerkkarten gelesen, pro VLAN ein dhcp-server usw.,
aber das muss doch auch anders gehen.
Gibt es nicht eine Möglichkeit, den 3560 so zu konfigurieren, dass a+b funktioniert?
Für Denkanstöße wäre ich sehr dankbar...
So ungefähr soll das aussehen (vielleicht):
Grüße
BB
ich habe folgendes Problem, vielleicht kann mir jemand helfen.
Ausgangssituation ist eine Handvoll Cisco Catalyst 2960 Switches, auf denen 2 VLAN mit VTP laufen (Fred und Horst seien die Namen der VLAN).
Dazu gesellt sich ein catalyst 3560 Switch (keine VLAn eingerichtet), an dem
- ein Fileserver, auf dem auchDHCP läuft und
- das Internet (cisco2900 series router)
verbunden sind.
Fred und Horst sollen sich nicht gegenseitig stören, wohl aber
a) beide IPs von dem dhcp bekommen und
b) auf den Fileserver zugreifen können.
Momentan weiss ich nicht, wie ich den 3560 konfigurieren soll, bzw.
habe hier von Routern mit 3 Netzwerkkarten gelesen, pro VLAN ein dhcp-server usw.,
aber das muss doch auch anders gehen.
Gibt es nicht eine Möglichkeit, den 3560 so zu konfigurieren, dass a+b funktioniert?
Für Denkanstöße wäre ich sehr dankbar...
So ungefähr soll das aussehen (vielleicht):
Grüße
BB
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 111588
Url: https://administrator.de/contentid/111588
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
11 Kommentare
Neuester Kommentar
Dein Konstrukt mit den vielen(?) Switchen macht für mich keinen Sinn. Sind das wirklich nur fünf PCs?
Ansonsten richtest du auf dem Layer-3-Switch ebenfalls noch zwei VLANs ein mit unterschiedlichen IP-Bereichen. Um eine IP-Adresse vom Server beziehen zu können, musst du dort ebenfalls zwei Bereiche anlegen, die die beiden VLANs widerspiegeln. Dann richtest du auf dem Layer-3-Switch in den VLANs die Helper-Adress ein (mit der Helperadress legst du fest, was der Switch mit UDP-Broadcasts machen soll, die er empfängt) und gibst im configure-Mode an, dass UDP-Pakete (bootpc) weitergeleitet werden sollen. Damit müsste es funktionieren.
Ansonsten richtest du auf dem Layer-3-Switch ebenfalls noch zwei VLANs ein mit unterschiedlichen IP-Bereichen. Um eine IP-Adresse vom Server beziehen zu können, musst du dort ebenfalls zwei Bereiche anlegen, die die beiden VLANs widerspiegeln. Dann richtest du auf dem Layer-3-Switch in den VLANs die Helper-Adress ein (mit der Helperadress legst du fest, was der Switch mit UDP-Broadcasts machen soll, die er empfängt) und gibst im configure-Mode an, dass UDP-Pakete (bootpc) weitergeleitet werden sollen. Damit müsste es funktionieren.
Dein DHCP-Server und dein Fileserver brauchen VLAN-fähige Netzwerkkarten (unter Linux immer möglich, unter Windows sollte es Intel PRO sein).
Dann fügst du den Port des Filservers "tagged" zu beiden VLANs hinzu und richtest auf dem wiederum die beiden VLANs mit ihren Subnetzen ein.
So, dass dein Fileserver nachher z.b. so konfiguriert ist:
VLAN10 172.16.0.0/24
VLAN20 172.17.0.0/24
Die Sache mit DHCP ist etwas schwerer.
Wenn du nur statische DHCP Vergabe machst ist es kein Problem, den DHCP-Server auch einfach in beide VLANs zu schmeissen.
Willst du aber für beide VLANs dynamisch IPs per DHCP vergeben landest du mit Windows in einer Sackgasse und mit Linux ist es auch nicht ganz trivial, da du mehrere Instanzen des DHCP-Servers mit unterschiedlicher Konfiguration an die verschiedenen Interfaces binden musst.
Vielleicht solltest du dich auch mal hier im Forum unter den Anleitungen umschauen - es gibt eine Gute von aqui.
Grüße
Max
Dann fügst du den Port des Filservers "tagged" zu beiden VLANs hinzu und richtest auf dem wiederum die beiden VLANs mit ihren Subnetzen ein.
So, dass dein Fileserver nachher z.b. so konfiguriert ist:
VLAN10 172.16.0.0/24
VLAN20 172.17.0.0/24
Die Sache mit DHCP ist etwas schwerer.
Wenn du nur statische DHCP Vergabe machst ist es kein Problem, den DHCP-Server auch einfach in beide VLANs zu schmeissen.
Willst du aber für beide VLANs dynamisch IPs per DHCP vergeben landest du mit Windows in einer Sackgasse und mit Linux ist es auch nicht ganz trivial, da du mehrere Instanzen des DHCP-Servers mit unterschiedlicher Konfiguration an die verschiedenen Interfaces binden musst.
Vielleicht solltest du dich auch mal hier im Forum unter den Anleitungen umschauen - es gibt eine Gute von aqui.
Grüße
Max
Die zentrale Frage ist ob einer deiner Switches eine Layer 3 SW hat also routen kann zwischen den VLANs !!!
Ist dem so reicht ein zentraler DHCP Server dem du beide Ip Ranges konfigurierst !
Im VLAN Segment ohne DHCP Server konfugurierst du dann unter der Vlan ip des Switches (int vlan xy) das Komanndo ip helper-address <ip addr dhcp server>
Genau so wie auch oben richtig beschrieben !!
Damit funktioniert das alles problemlos !!
Ist dem so reicht ein zentraler DHCP Server dem du beide Ip Ranges konfigurierst !
Im VLAN Segment ohne DHCP Server konfugurierst du dann unter der Vlan ip des Switches (int vlan xy) das Komanndo ip helper-address <ip addr dhcp server>
Genau so wie auch oben richtig beschrieben !!
Damit funktioniert das alles problemlos !!
Ok, ich hab mich erst schon gewundert, warum fünf PCs mit drei Switchen versorgt werden. ;)
Bei uns haben wir das Problem so gelöst (wir haben ebenfalls zwei Cisco Catalyst 3560G Layer-3-Switche): Unser "zentrales" Netz hat die IP-Adresse 192.168.10.0/24. Der Rest des Netzes ist je nach Raum durchnummeriert (201, 202, 203, 204, etc.) und jeder Raum hat sein eigenes Subnetz. Der DHCP-Server läuft im zentralen Netz. Für jedes Subnetz, was du anlegst, musst du auf dem DHCP-Server einen eigenen Bereich (keine zusätzliche DHCP-Instanz wie bei Linux) anlegen. Auf dem Layer-3-Switch legst du die Subnetze (VLANs) selbst an.
Nun musst du dem Layer-3-Switch noch sagen, was er mit DHCP-Broadcasts aus den einzelnen Subnetzen machen soll. Dazu gehst du ins IOS auf dem Switch und verpasst dir mit "enable" höhere Berechtigungen. Danach gehst du in den Konfigurationsmodus mit der Eingabe von "configure t".
Dann gibst du ein: ip forward-protocol udp bootpc
Jetzt weiß der Switch, dass er UDP-Pakete mit Zielport 67 (bootpc ist nur ein Aliasname) weiterleiten soll. Wohin diese weitergeleitet werden, legst du jetzt in den einzelnen VLANs fest mit der IP-Helperaddress.
Beispiel (hier stehen jetzt nur die Befehle):
configure terminal
interface vlan 1
ip helper-address <IP-Adresse des DHCP-Servers)
Auf dem Fileserver musst du natürlich noch Rückrouten eintragen, sofern du kein RIP oder ein anderes Routing-Protokoll einsetzt, sonst laufen die Antworten ins Leere.
Das Routing zwischen den Subnetzen mit Ausnahme des Zentralnetzes zu verhindern, da bin ich auch noch nicht ganz schlau, denn das möchte ich bei uns auch einbauen. Kann aber nicht mehr viel sein.
Mit VLAN-Tagging haben wir bei uns überhaupt nichts gemacht, wir haben bei uns nur Subnetze.
Bei uns haben wir das Problem so gelöst (wir haben ebenfalls zwei Cisco Catalyst 3560G Layer-3-Switche): Unser "zentrales" Netz hat die IP-Adresse 192.168.10.0/24. Der Rest des Netzes ist je nach Raum durchnummeriert (201, 202, 203, 204, etc.) und jeder Raum hat sein eigenes Subnetz. Der DHCP-Server läuft im zentralen Netz. Für jedes Subnetz, was du anlegst, musst du auf dem DHCP-Server einen eigenen Bereich (keine zusätzliche DHCP-Instanz wie bei Linux) anlegen. Auf dem Layer-3-Switch legst du die Subnetze (VLANs) selbst an.
Nun musst du dem Layer-3-Switch noch sagen, was er mit DHCP-Broadcasts aus den einzelnen Subnetzen machen soll. Dazu gehst du ins IOS auf dem Switch und verpasst dir mit "enable" höhere Berechtigungen. Danach gehst du in den Konfigurationsmodus mit der Eingabe von "configure t".
Dann gibst du ein: ip forward-protocol udp bootpc
Jetzt weiß der Switch, dass er UDP-Pakete mit Zielport 67 (bootpc ist nur ein Aliasname) weiterleiten soll. Wohin diese weitergeleitet werden, legst du jetzt in den einzelnen VLANs fest mit der IP-Helperaddress.
Beispiel (hier stehen jetzt nur die Befehle):
configure terminal
interface vlan 1
ip helper-address <IP-Adresse des DHCP-Servers)
Auf dem Fileserver musst du natürlich noch Rückrouten eintragen, sofern du kein RIP oder ein anderes Routing-Protokoll einsetzt, sonst laufen die Antworten ins Leere.
Das Routing zwischen den Subnetzen mit Ausnahme des Zentralnetzes zu verhindern, da bin ich auch noch nicht ganz schlau, denn das möchte ich bei uns auch einbauen. Kann aber nicht mehr viel sein.
Mit VLAN-Tagging haben wir bei uns überhaupt nichts gemacht, wir haben bei uns nur Subnetze.
musst du auf dem DHCP-Server einen eigenen Bereich (keine zusätzliche DHCP-Instanz wie bei Linux) anlegen.
Das mit den Instanzen bezog sich lediglich darauf, wenn man mehrere VLANs hat und in jedem davon dynamisch IPs vergeben will.
Da jedes VLAN auf Layer 2 auf Layer 3 ein anderes Subnetz ist musst du auch sicherstellen, dass ein DHCP-Server nicht auf VLAN A die IP-Konfiguration für Subnetz B verteilt.
Da aber VLANs auf Layer 2 arbeiten und DHCP erst darüber ist für den DHCP-Server eigentlich nicht mehr ersichtlich an welches VLAN er welche IP-Konfiguration verteilen muss. Entsprechend muss ja das Subnet an ein Interface gebunden werden.
Ich kann nicht sagen ob der ISC DHCP oder der Windows DHCP schlau genug sind zu erkennen, dass ein Subnetz zu einem bestimmen Interface gehört - ich habe einfach mal Nein angenommen, darum verschiedene Instanzen
Wenn es allerdings nur um statisches DHCP geht ist das alles nicht relevant.
Grüße
Max
Nein, das kann niemals klappen, denn VLANs sind, wie du ja sicher selber weisst, vollkommen physisch getrennt auf einem Switch !!! Dein Test zeigt dies ja auch in eindeutiger Weise !!
Wie sollte also dann bitteschön Daten vom VLAN 1 ins VLAN 2 kommen ??? Das ist also ein unsinniger Versuch.
Koppeln kannst du beide VLANs nur über einen Router (also z.B. die Layer 3 (Routing) Funktion des Switches)
Das erfordert dann aber zwingend unterschiedliche IP Netze in beiden VLANs, denn sonst hättest du 2mal die gleiche IP Adresse auf unterschiedlichen Segmenten was tödlich und somit auch verboten ist bei Design von IP Netzen weil die Wegefindung nicht mehr eindeutig ist !!!
Du musst dich also entscheiden welchen Weg du gehen willst... !
Wie sollte also dann bitteschön Daten vom VLAN 1 ins VLAN 2 kommen ??? Das ist also ein unsinniger Versuch.
Koppeln kannst du beide VLANs nur über einen Router (also z.B. die Layer 3 (Routing) Funktion des Switches)
Das erfordert dann aber zwingend unterschiedliche IP Netze in beiden VLANs, denn sonst hättest du 2mal die gleiche IP Adresse auf unterschiedlichen Segmenten was tödlich und somit auch verboten ist bei Design von IP Netzen weil die Wegefindung nicht mehr eindeutig ist !!!
Du musst dich also entscheiden welchen Weg du gehen willst... !