31
Cisco 3560 switch
Hallo zusammen,
ich habe ein Switch Cisco 3560 Geschenk bekommen zum basteln
voll funktionsfähig.
So Jetzt meine Frage:
Ich habe den Switch an der Console angeschlossen und 4 Vlan erstellt:
Vlan 10
Buero mit der IP 192.168.30.1 255.255.255.0
Vlan 20
Gast mit der IP 192.168.60.2 255.255.255.0
Vlan 30
User1 192.168.40.1 255.255.255.0
Vlan 40
User2 192.168.50.1 255.255.255.0
wie kann ich die vlans einen port zuordnen, und gegeneinander isolieren und mit interner versorgen (externer Router)?
Ich weiß leider bei dem ding nicht weiter
vielen dank schonmal im vorraus
ich habe ein Switch Cisco 3560 Geschenk bekommen zum basteln
voll funktionsfähig.So Jetzt meine Frage:
Ich habe den Switch an der Console angeschlossen und 4 Vlan erstellt:
Vlan 10
Buero mit der IP 192.168.30.1 255.255.255.0
Vlan 20
Gast mit der IP 192.168.60.2 255.255.255.0
Vlan 30
User1 192.168.40.1 255.255.255.0
Vlan 40
User2 192.168.50.1 255.255.255.0
wie kann ich die vlans einen port zuordnen, und gegeneinander isolieren und mit interner versorgen (externer Router)?
Ich weiß leider bei dem ding nicht weiter
vielen dank schonmal im vorraus
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 51309572401
Url: https://administrator.de/contentid/51309572401
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
31 Kommentare
Neuester Kommentar
also erstmal brauchst du nix "abschotten" solang der switch nich als layer3 konfiguriert ist (no ip routing). Dann gehst du einfach hin auf jeden port und machst zB im conf modus
int Gi0/1
switchport mode access
switchport access vlan 10 (oder welches auch immer dir lieb ist)
fertig. Es gibt noch div. andere Dinge (Spanning tree portfast zB. wenn du dir sicher bist das du keinen Loop reinballerst).
Damit sind die Ports erstmal in eigene VLANs gesperrt. Und daraus gehen die auch nicht - das wäre praktisch wie eben getrennte Switches. Solange du jetzt nix routing-fähiges dazwischen hast wird da nix passieren... (bzw. solang dein Switch weder Routing macht NOCH ein Interface in min. 2 vlans hat).
Wenn du dann irgendwann die L3-Funktionen nutzen willst kannst du natürlich das Routing aktivieren, dir interfaces zuweisen,... Weil wenn man das ding als stumpfen L2 betreibt ist es relativ sinnfrei den zu nehmen. Denn du magst den zwar geschenkt bekommen haben - UMSONST ist der trotzdem nicht. DAS wird dir nämlich deine Stromrechnung erklären ;)
int Gi0/1
switchport mode access
switchport access vlan 10 (oder welches auch immer dir lieb ist)
fertig. Es gibt noch div. andere Dinge (Spanning tree portfast zB. wenn du dir sicher bist das du keinen Loop reinballerst).
Damit sind die Ports erstmal in eigene VLANs gesperrt. Und daraus gehen die auch nicht - das wäre praktisch wie eben getrennte Switches. Solange du jetzt nix routing-fähiges dazwischen hast wird da nix passieren... (bzw. solang dein Switch weder Routing macht NOCH ein Interface in min. 2 vlans hat).
Wenn du dann irgendwann die L3-Funktionen nutzen willst kannst du natürlich das Routing aktivieren, dir interfaces zuweisen,... Weil wenn man das ding als stumpfen L2 betreibt ist es relativ sinnfrei den zu nehmen. Denn du magst den zwar geschenkt bekommen haben - UMSONST ist der trotzdem nicht. DAS wird dir nämlich deine Stromrechnung erklären ;)
Wenn Du den Cisco als Layer 2 Switch betreibst, benötigst du in jedem VLAN einen Router, DHCP Dienst und DNS Dienst, damit die Clients darin ins Internet kommen. Du benötigst also einen externen VLAN fähigen Router, der diese Dienste in jedem VLAN zur Verfügung stellt. Eine Fritzbox ist z.B. nicht VLAN fähig. Du musst einen Port definieren, an dem dieser Router hängen wird, z.B. Port 1. Diesem Port musst du alle VLANs als „tagged“ zuweisen. Im Router auch.
Wenn Du den Cisco als Layer 3 Switch betreibst, kann er selbst den DHCP und DNS Dienst zur Verfügung stellen sowie als Router fungieren.
Wenn Du den Cisco als Layer 3 Switch betreibst, kann er selbst den DHCP und DNS Dienst zur Verfügung stellen sowie als Router fungieren.
@maretz & @NordicMike
Gute Ergänzung bzgl. L2 und L3
Wenn der Seitch in L3 betrieben werden soll, die Endgeräte das WWW erreichen können müssen, muss der Haupttouter allerdings mit statischen Routen umgehen können. Bei den FritzBoxen kein Problem, die Speedports hingegen bieten die Option nicht.
Gute Ergänzung bzgl. L2 und L3
Wenn der Seitch in L3 betrieben werden soll, die Endgeräte das WWW erreichen können müssen, muss der Haupttouter allerdings mit statischen Routen umgehen können. Bei den FritzBoxen kein Problem, die Speedports hingegen bieten die Option nicht.
wie kann ich die vlans einen port zuordnen
Guckst du hier:Cisco Catalyst VLAN Konfiguration
Ist kinderleicht, mit switchport access vlan X weist du dem Port immer das VLAN X zu.
Willst du damit ein Layer 3 VLAN Konzept umsetzen? Der 3560 ist ein Layer 3 (Routing) fähiger VLAN Switch.
1
Ja Layer 3 alle vlan sollen Internet haben aber dürfen sich gegenseitig nicht "sehen"
Muss layer 3 nur einmal für alle aktiviert werden oder für jedes vlan einzeln?
Muss layer 3 nur einmal für alle aktiviert werden oder für jedes vlan einzeln?
Mit welchem Gerät gehst du aktuell ins Internet? FritzBox? Speedport? Ganz was anderes?
Davon hängt jetzt die Antwort ein wenig ab.
Davon hängt jetzt die Antwort ein wenig ab.
Layer 3 aktivierst du erstmal nur einmal (im conf-modus "ip routing"). Am besten dabei nen Konsolenkabel benutzen - falls du was vergessen hast (natürlich geht auch das übliche - neustarten des switches und beim nächsten mal besser machen ;) ).
Dabei solltest du dann natürlich min. 1 Interface auf dem Switch konfiguriert haben. Du KANNST auch für jedes VLAN ein Interface definieren und den Switch dann sagen er soll als default GW deinen router nehmen. Dann musst du nur deinem Router beibringen das er eben die "internen" Netzwerke hinter dem Switch sieht. Per ACL kannst du die Netze dann locker trennen...
Wenn du ne VLAN-Fähige Firewall o. Router hast kannst du das natürlich auch nutzen... Bei dem zu erwartenden Datentraffic ist da jetzt nicht nen grosser Unterschied zu befürchten...
Dabei solltest du dann natürlich min. 1 Interface auf dem Switch konfiguriert haben. Du KANNST auch für jedes VLAN ein Interface definieren und den Switch dann sagen er soll als default GW deinen router nehmen. Dann musst du nur deinem Router beibringen das er eben die "internen" Netzwerke hinter dem Switch sieht. Per ACL kannst du die Netze dann locker trennen...
Wenn du ne VLAN-Fähige Firewall o. Router hast kannst du das natürlich auch nutzen... Bei dem zu erwartenden Datentraffic ist da jetzt nicht nen grosser Unterschied zu befürchten...
@em-pie fritzbox 5590
Muss layer 3 nur einmal für alle aktiviert werden oder für jedes vlan einzeln?
Das ist das globale Kommando ip routing wie der Kollege @maretz oben schon richtig gesagt hat. Beim 3560 sollte das aber Default sein. Schadet aber nicht es nochmal einzugeben um sicherzugehen.Hier die weiteren ToDos:
- Dann richtest du deine VLANs ein und weist diesen untagged die Endgeräte Ports zu. Das sieht dann für einen Beispielport aus VLAN 10 und 20 so aus:
interface GigabitEthernet0/10
description VLAN 10 Port
switchport access vlan 10
spanning-tree portfast
!
interface GigabitEthernet0/12
description VLAN 20 Port
switchport access vlan 20
spanning-tree portfast
! - Zu den entsprechenden VLAN IDs korrespondieren dann immer die Layer 3 (Routing) Interfaces in diesen VLANs. Bei den Beispielen VLAN 10 und VLAN 20 sieht das dann so aus:
!
interface vlan 10
description L3 Interface VLAN-10
ip address 172.16.10.1 255.255.255.0
!
interface vlan 20
description L3 Interface VLAN-20
ip address 172.16.20.1 255.255.255.0 - Wenn du das VLAN 1 als Koppel-VLAN zur Fritzbox einsetzen willst dann richtest du hier auch eine entsprechende IP Adressierung ein. Beispiel mit Standard IP Adresse der Fritzbox:
!
interface vlan 1
description L3 Interface VLAN-1 (Fritzbox)
ip address 192.168.178.254 255.255.255.0
! - Wichtig sind jetzt die statischen Routen auf der Fritzbox und auf dem Switch!!
- Der Cisco Switch bekommt eine Default Route auf die FB:
ip route 0.0.0.0 0.0.0.0 192.168.178.1- Fritzbox auf die VLAN Subnetze.
Wenn du hier wie im Beispiel die VLAN Adressierung etwas "intelligent" machst, also immer nach dem Muster 172.16.<vlan_id>.0 /24 mit gleichem 16 Bit Präfix, dann reicht eine einzige statische Route = Ziel: 172.16.0.0, Maske: 255.255.0.0, Gateway: 192.168.178.254 auf der Fritzbox um alle 172.16er VLAN IP Netze an den Cisco Switch zu routen! 😉
Im FritzBox VLAN wird ja vermutlich deine Fritzbox DHCP Server spielen aber in deinen VLANs kann sie das nicht, weil sie als billige Plaste Consumerbox kein DHCP Relay supportet.
Mit einem Cisco aber kein Problem, denn der spielt dann DHCP Server in den VLANs für deine Endgeräte dort.
Hier als Beispiel wieder VLAN 10 und VLAN 20 mit der Range .50 bis .199 (150 Adressen):
ip dhcp excluded-address 172.16.10.1 172.16.10.49
ip dhcp excluded-address 172.16.10.200 172.16.10.254
!
ip dhcp excluded-address 172.16.20.1 172.16.20.49
ip dhcp excluded-address 172.16.20.200 172.16.20.254
!
ip dhcp pool VLAN-10
network 172.16.10.0 255.255.255.0
default-router 172.16.10.1
dns-server 192.168.178.1
domain-name onkelbob.home.arpa
(option 42 ip 130.149.7.7)
!
ip dhcp pool VLAN-20
network 172.16.20.0 255.255.255.0
default-router 172.16.20.1
dns-server 192.168.178.1
domain-name onkelbob.home.arpa
(option 42 ip 130.149.7.7) Jetzt noch etwas Kosmetik für den Switch:
Logging customizen:
service timestamps log datetime localtime show-timezone year
service timestamps debug datetime localtime
service tcp-keepalives-in
service tcp-keepalives-out clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
ntp server de.pool.ntp.org source interface vlan1 ip name-server 192.168.178.1
ip domain lookup source-interface vlan1 Zum Testen des Setups immer strategisch vorgehen:
- Testrechner in eins der VLANs 10 oder 20 stecken, z.B. 10
- IP Adresse des L3 Switches im lokalen VLAN pingen z.B. 172.16.10.1
- IP Adresse des L3 Switches im anderen VLAN pingen z.B. 172.16.20.1
- IP Adresse der Fritzbox 192.168.178.1 pingen
- Nackte Internet IP z.B. 8.8.8.8 pingen
- Hostnamen wie www.heise.de pingen
Danke erstmal für das To-Do
Der Testrechner an vlan 1 Port Fa0/1 bekommt eine IP zugewiesen vom Switch 172.16.20.50 255.255.255.0 DNS bekommt er 192.168.20.1 ( die fritte) nur vlan 1 bekommt kein Internet .
Statische Route in der Fritte ist auf 172.16.0.0 Maske auf 255.255.0.0
Und Gateway auf 192.168.20.254 wenn ich das jetzt richtig gemacht habe
Ping nach 172.16.20.1 geht
Ping nach 172.16.10.1 auch
Nach 192.168.20.1 nicht
Der Testrechner an vlan 1 Port Fa0/1 bekommt eine IP zugewiesen vom Switch 172.16.20.50 255.255.255.0 DNS bekommt er 192.168.20.1 ( die fritte) nur vlan 1 bekommt kein Internet
.Statische Route in der Fritte ist auf 172.16.0.0 Maske auf 255.255.0.0
Und Gateway auf 192.168.20.254 wenn ich das jetzt richtig gemacht habe
Ping nach 172.16.20.1 geht
Ping nach 172.16.10.1 auch
Nach 192.168.20.1 nicht
Und Gateway auf 192.168.20.254 wenn ich das jetzt richtig gemacht habe
Jepp. das wäre soweit richtig!Was ist mit der Default Route ip route 0.0.0.0 0.0.0.0 192.168.20.1 auf dem Switch?? Ist die eingetragen??
Hilfreich wäre hier mal deine Switch Konfig show run in Code Tags zu sehen da keiner wirklich weiss welche IP Adressierung zu welchem VLAN gehört und welches der VLANs dein Koppel VLAN zur Fritzbox ist. ☹️
Nur zur Erinnerung wie es richtig wäre wenn das 192.168.20.0er Koppelnetz Switch-Fritzbox das VLAN 1 ist:
- Fritzbox LAN IP 192.168.20.1 /24 angeschlossen an einen VLAN 1 Port des Switches
- VLAN 1 IP (interface vlan 1) des Switches:
description L3 Interface VLAN-1 (Fritzbox)
ip address 192.168.20.254 255.255.255.0
- Statische Route Switch: ip route 0.0.0.0 0.0.0.0 192.168.20.1
- Statische Route Fritzbox: Zielnetz: 172.16.0.0, Maske: 255.255.0.0, Gateway: 192.168.20.254
- Switch VLAN 10 = 172.16.10.0, Maske: 255.255.255.0
- Switch VLAN 20 = 172.16.20.0, Maske: 255.255.255.0 usw.
- DNS Server Konfig Switch: ip name-server 192.168.20.1 , ip domain lookup source-interface vlan1
- DHCP usw. gemäß VLAN Adressierung Switch wie oben schon beschrieben!
Wenn du auf dem Switch Kommando Interface bist, was ergeben die Pings auf:
- ping 192.168.20.254
- ping 192.168.20.1
- ping 8.8.8.8
- ping www.heise.de
Switch#show run
Building configuration...
Current configuration : 4774 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Switch
!
boot-start-marker
boot-end-marker
!
!
!
!
no aaa new-model
system mtu routing 1500
ip domain-lookup source-interface Vlan1
ip name-server 192.168.20.1
ip dhcp excluded-address 172.16.10.1 172.16.10.49
ip dhcp excluded-address 172.16.10.200 172.16.10.254
ip dhcp excluded-address 172.16.20.1 172.16.20.49
ip dhcp excluded-address 172.16.20.200 172.16.20.254
!
ip dhcp pool VLAN-10
network 172.16.10.0 255.255.255.0
default-router 172.16.10.1
dns-server 192.168.20.1
domain-name onkelbob.home.arpa
option 42 ip 130.149.7.7
!
ip dhcp pool VLAN-20
network 172.16.20.0 255.255.255.0
default-router 172.16.20.1
dns-server 192.168.20.1
domain-name onkelbob.home.arpa
option 42 ip 130.149.7.7
!
!
!
!
crypto pki trustpoint TP-self-signed-2495211648
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2495211648
revocation-check none
rsakeypair TP-self-signed-2495211648
!
!
crypto pki certificate chain TP-self-signed-2495211648
certificate self-signed 01
3082023F 308201A8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 32343935 32313136 3438301E 170D3933 30333031 30303030
35385A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 34393532
31313634 3830819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100E584 30909909 F92F7496 E27FD5E4 E3D3CB53 B4552990 4DC0E34B E38E9EC1
A23D11C9 B8A4D36D A49128A6 B94EA696 89C86A5B 60D8BDF8 F5A2C26A A058EB21
B67CED95 A6624ED0 52C0F896 C9B999FD A07EDA0F C6F6BDA9 61DCB529 3D58E725
7C1CB702 47646D9B 8560B702 2B1EC8E8 534DBBD3 01352E7E A32570B6 FA23BE9A
3F310203 010001A3 67306530 0F060355 1D130101 FF040530 030101FF 30120603
551D1104 0B300982 07537769 7463682E 301F0603 551D2304 18301680 14E7F898
992E582C C9CCF7F8 4574D591 CC33FFFA 7A301D06 03551D0E 04160414 E7F89899
2E582CC9 CCF7F845 74D591CC 33FFFA7A 300D0609 2A864886 F70D0101 04050003
8181002E 4288FB41 0DD0032D 84D3271F D83C3B10 18AFAD2C A8B70F1B F1CC2F49
6CB0CB49 16F16DC9 8480C335 309686B6 D468D574 44D72FA1 86444B89 7245E0DD
D3BA3E39 52F583DD 03941E36 0FBB9517 2C3DC157 34793FBC 2A460BD4 A9071069
1498004F 5DBBB7C9 EEAF6DB9 C57902F2 00B0E189 0DC8A22E AEA51283 6B025B7A D51132
quit
!
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
!
interface FastEthernet0/1
!
interface FastEthernet0/2
!
interface FastEthernet0/3
description VLAN 10 Port
switchport access vlan 10
spanning-tree portfast
!
interface FastEthernet0/4
description VLAN 20 Port
switchport access vlan 20
spanning-tree portfast
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface FastEthernet0/25
!
interface FastEthernet0/26
!
interface FastEthernet0/27
!
interface FastEthernet0/28
!
interface FastEthernet0/29
!
interface FastEthernet0/30
!
interface FastEthernet0/31
!
interface FastEthernet0/32
!
interface FastEthernet0/33
!
interface FastEthernet0/34
!
interface FastEthernet0/35
!
interface FastEthernet0/36
!
interface FastEthernet0/37
!
interface FastEthernet0/38
!
interface FastEthernet0/39
!
interface FastEthernet0/40
!
interface FastEthernet0/41
!
interface FastEthernet0/42
!
interface FastEthernet0/43
!
interface FastEthernet0/44
!
interface FastEthernet0/45
!
interface FastEthernet0/46
!
interface FastEthernet0/47
!
interface FastEthernet0/48
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface GigabitEthernet0/3
!
interface GigabitEthernet0/4
!
interface Vlan1
description L3 Interface VLAN-1 (Fritzbox)
ip address 192.168.20.254 255.255.255.0
shutdown
!
interface Vlan10
description L3 Interface VLAN-10
ip address 172.16.10.1 255.255.255.0
!
interface Vlan20
description L3 Interface VLAN-20
ip address 172.16.20.1 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.20.1
ip http server
ip http secure-server
!
ip sla enable reaction-alerts
!
!
line con 0
line vty 0 4
login
line vty 5 15
login
!
endanpingen von dem Kommando Interface aus geht nicht :
192.168.20.254
192.168.20.1
8.8.8.8
www.heise.de
gehen alle ins leere
Testrechner Hängt an port 2 (fa0/2) (vlan 10) und Fritzbox an Vlan 1 port 11 (Fa0/11)
IP Konfiguration (dhcp) testrechner:
ip adresse: 172.16.10.50
maske: 255.255.255.0
gateway: 172.16.10.1
dns: 192.168.20.1
hoffe das hilft weiter
Ohh man...🤦♂️
Sieh dir doch bitte deine Konfig selber einmal genau an! Das springt einem doch schon sofort ins 👁️ !
WAS bitte steht denn da da beim VLAN 1 Interface!! 🧐
Da hattest du wohl ziemliche 🍅 auf den 👀 ?!
Wenn man das L3 Routing Interface des Switches zur Fritzbox deaktiviert wie denkst du denn wohl soll der Switch dann routen können?!! 🙈
Den Fehler hätte auch der Azubi im ersten Lehrjahr sofort gesehen...!
conf t
int vlan 1
no shut
<ctrl z>
wri mem
...und dein "Problem" ist gelöst.😉
Tips:
Du solltest unbedingt noch das Logging mit:
service timestamps log datetime localtime show-timezone year
service timestamps debug datetime localtime
richtig setzen, als auch die richtige Uhrzeit:
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
ntp server de.pool.ntp.org source vlan1
Das Sicherheitsloch mit dem ungesicherten HTTP Zugang auf den Switch solltest du mit no ip http server auch besser deaktivieren.
Außerdem hilft es mit "description xyz" an den Ports zu beschriften was da dran ist. Z.B. dein Fritzbox Port!
Für die Autodetection von angeschlossenen Geräten sollte man noch
no cdp run
lldp run
konfigurieren. Mit show lldp neighbors kannst du dann immer sehen was an welchem Port ist.
Alle weiteren Grundsettings erklärt dir, wie immer, das hiesige Cisco Tutotial und seine weiterführenden Links! 😉
Sieh dir doch bitte deine Konfig selber einmal genau an! Das springt einem doch schon sofort ins 👁️ !
WAS bitte steht denn da da beim VLAN 1 Interface!! 🧐
Da hattest du wohl ziemliche 🍅 auf den 👀 ?!
Wenn man das L3 Routing Interface des Switches zur Fritzbox deaktiviert wie denkst du denn wohl soll der Switch dann routen können?!! 🙈
Den Fehler hätte auch der Azubi im ersten Lehrjahr sofort gesehen...!
conf t
int vlan 1
no shut
<ctrl z>
wri mem
...und dein "Problem" ist gelöst.😉
Tips:
Du solltest unbedingt noch das Logging mit:
service timestamps log datetime localtime show-timezone year
service timestamps debug datetime localtime
richtig setzen, als auch die richtige Uhrzeit:
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
ntp server de.pool.ntp.org source vlan1
Das Sicherheitsloch mit dem ungesicherten HTTP Zugang auf den Switch solltest du mit no ip http server auch besser deaktivieren.
Außerdem hilft es mit "description xyz" an den Ports zu beschriften was da dran ist. Z.B. dein Fritzbox Port!
Für die Autodetection von angeschlossenen Geräten sollte man noch
no cdp run
lldp run
konfigurieren. Mit show lldp neighbors kannst du dann immer sehen was an welchem Port ist.
Alle weiteren Grundsettings erklärt dir, wie immer, das hiesige Cisco Tutotial und seine weiterführenden Links! 😉
Super besten dank
Ging alles Problem los,was allerdings manchmal komisch war mir kahm das so vor als würde er die Konfiguration beim Neustart "vergessen".
Dann hab ich "reload" eingegeben und seit dem ist gut
Eine Sache liegt mir dann noch am herzen wie kann ich das sperren das an dem Vlan 10 etc.. hängende rechner nicht auf die IP der Fritzbox greifen können,auch die dahinter z.B drucker in dem 192.168.20 er netz sind noch erreichbar
Ging alles Problem los,was allerdings manchmal komisch war mir kahm das so vor als würde er die Konfiguration beim Neustart "vergessen".
Dann hab ich "reload" eingegeben und seit dem ist gut
Eine Sache liegt mir dann noch am herzen wie kann ich das sperren das an dem Vlan 10 etc.. hängende rechner nicht auf die IP der Fritzbox greifen können,auch die dahinter z.B drucker in dem 192.168.20 er netz sind noch erreichbar
mir kahm das so vor als würde er die Konfiguration beim Neustart "vergessen".
Das kann natürlich passieren wenn du ein write mem vergisst. (Alternativ copy running-config startup-config).Wenn du das natürlich am Schluss vergisst schreibt der Switch logischerweise nix ins NV Ram (Flash) zur Sicherung und hat nach einem Reload oder Kaltstart natürlich alles wieder vergessen.
Ein write mem sollte also immer Standard sein BEVOR du dich vom Switch CLI ausloggst!
wie kann ich das Sperren das an dem Vlan 10 etc.. hängende rechner nicht auf die IP der Fritzbox greifen können
Das ist kinderleicht und machst du mit einer IP Accesslisteip access-list extended NOFRITZ
5 remark Block Fritzbox LAN
10 deny ip 172.16.10.0 0.0.0.255 host 192.168.20.1
20 permit 172.16.10.0 0.0.0.255 any Mit dieser ACL kommt keiner mehr aus dem VLAN 10 ins VLAN 20 aber sonst überall hin.
⚠️ Obacht bei ACLs!!:
Wenn die Clients in VLAN 10 aber die Fritzbox IP als DNS Server oder auch NTP benutzen scheitert in dem Fall die DNS Auflösung weil so die o.a. ACL natürlich alle Zugriffe auf die FB blockt!
Du kannst dann aus dem VLAN 10 zwar 8.8.8.8 im Internet pingen aber ein ping www.administrator.de scheitert weil der DNS Zugriff auf die Fritzbox IP zum Auflösen der Hostnamen geblockt wird.
Sollte das der Fall bei dir sein musst du die ACL etwas umstricken um DNS passieren zu lassen.
Das klappt indem man nur den Webzugriff zur Konfiguration blockt mit TCP Port 80 und 443 (HTTP und HTTPS)
ip access-list extended NOFRITZ
5 remark Block Fritzbox LAN
10 deny TCP 172.16.10.0 0.0.0.255 host 192.168.20.1 eq 80
20 deny TCP 172.16.10.0 0.0.0.255 host 192.168.20.1 eq 443
40 permit ip 172.16.10.0 0.0.0.255 any Du kannst sehen das TCP 80 und 443 (HTTP/HTTPS) aus dem VLAN 10 jetzt oben verboten ist auf die FritzBox IP .20.1 aber alles andere darf passieren!
Diese, deinen Filter Vorgaben entsprechende ACL, klöppelst du jetzt einfach an dein VLAN 10 IP Routing Interface so das der Switch dort eingehende IP Pakete aus dem 10er Netz die die .20er Zieladresse der FB haben herausfiltert. Einfache ACL Logik! 😉
interface Vlan10
description L3 Interface VLAN-10
ip address 172.16.10.1 255.255.255.0
ip access-group NOFRITZ in
! Nochwas zur Switch Sicherheit selber...
Alle Clients in allen VLANs können auch auf deinen Switch zugreifen was ja auch nicht immer gewollt ist.
Auch das bekommt man mit einer einfachen ACL in den Griff so das dies z.B. nur aus VLAN 1 dem Fritzbox VLAN erlaubt ist.
access-list 23
permit ip 192.168.20.0 0.0.0.255
!
line vty 0 4
access-class 23 in
transport input telnet ssh Weitere Details dazu im Cisco Tutorial. IOS Syntax ist über die gesamte Produktpalette gleich.
Danke erstmal @aqui für die Infos und Howto´s,
irgendwo stecke ich da fest die Rechner an vlan 10 und 20 kommen nicht ins Internet wenn ich die ACL Zuweisung rausnehme klappt das.
Die Zeile "60" muss das heissen?
danke im vorraus
irgendwo stecke ich da fest die Rechner an vlan 10 und 20 kommen nicht ins Internet wenn ich die ACL Zuweisung rausnehme klappt das.
Die Zeile "60" muss das
permit ip 192.168.10.0 0.0.0.255 any danke im vorraus
Rechner an vlan 10 und 20 kommen nicht ins Internet wenn ich die ACL Zuweisung rausnehme klappt das.
Mmmhhh...zumindest die in 10 sollten es können, denn "übersetzt" bedeutet "permit ip 192.168.10.0 0.0.0.255 any" ja: "Erlaube alles was eine Absender IP 192.168.10.x hat zu jeder beliebigen Ziel IP Adresse".Danach kommt immer ein unsichtbares deny any any als Default am Ende der ACL wie es bei ACLs üblich ist.
Syntaktisch passt das also. Kann dann nur sein das du die ACL an falsche Router Interfaces bindest?!
Leider hast du deine aktuelle Konfig nicht gepostet so das man sehen könnte wo der Fehler liegt...
OK, dann rekapitulieren wir nochmal...
- Fritzbox mit IP 192.168.20.1 /24 in VLAN 1
- VLAN Netzwerke:
- 192.168.20.0 /24 = VLAN 1
- 172.16.10.0 = VLAN 10
- 172.16.20.0 = VLAN 20
- Statische Route FB und Default Route Switch passt
- Alle Endgeräte in allen VLANs können ohne ACL ins Internet
- Es soll verhindert werden das Clients aus den VLANs 10 und 20 auf die Fritzbox können, sonst soll alles erlaubt sein
- o.a. Regelvorgabe bedeutet dann: Zugriff aus den VLAN 10 und 20 Segmenten auf die 192.168.20.1 Host IP der FB blocken ansonsten alles erlauben.
⚠️ ACHTUNG: Hier darf natürlich NUR der Konfig Webzugriff auf die FB geblockt werden, sprich also nur TCP 80 und 443!!!
Wenn du den kompletten Zugriff blockierst, also mit "deny IP host 192.168.20.1" dann blockiert er mit "ip" ja generell alles an IP Traffic auch das wichtige DNS für die Auflösung von Namen im Internet. Clients können dann keine Hostnamen mehr auflösen.Siehe Erklärung oben!
Das kannst du immer sehen wenn du mit Clients aus VLAN 10 oder 20 zwar nackte IPs im Internet wie z.B. 8.8.8.8 pingen kannst aber ein Ping auf einen Hostnamen wie z.B. www.administrator.de scheitert weil der nicht für die erforderliche IP Adresse per DNS aufgelöst werden kann!
Dann scheitert dein DNS wie vermutlich in deinem Falle und Laien denken dann das "das Internet" nicht mehr klappt obwohl es eigentlich nur DNS ist.
Da in der Regel die Fritzbox ja DNS Server für die Netze ist sollte man DNS also nicht blocken!!
Auch z.B. NTP nicht, wenn die FB auch noch als zentraler Uhrzeit Server arbeitet!!
Mit anderen Worten: Nur TCP 80 und TCP 443 verbieten (Web Zugriff auf die Konfig) und den Rest alles erlauben.
Wenn dem so ist, dann sollte dein korrektes Regelwerk für die VLANs 10 und 20 so aussehen.
interface Vlan1
description L3 Interface VLAN-1 (Fritzbox)
ip address 192.168.20.254 255.255.255.0
!
interface Vlan10
description L3 Interface VLAN-10
ip address 172.16.10.1 255.255.255.0
ip access-group NOFRITZ-10 in
!
interface Vlan20
description L3 Interface VLAN-20
ip address 172.16.20.1 255.255.255.0
ip access-group NOFRITZ-20 in
!
!
ip access-list extended NOFRITZ-10
5 remark Block Fritzbox IP VLAN10
10 deny tcp 172.16.10.0 0.0.0.255 host 192.168.20.1 eq 80
20 deny tcp 172.16.10.0 0.0.0.255 host 192.168.20.1 eq 443
30 permit ip 172.16.10.0 0.0.0.255 any
!
ip access-list extended NOFRITZ-20
5 remark Block Fritzbox IP VLAN20
10 deny tcp 172.16.20.0 0.0.0.255 host 192.168.20.1 eq 80
20 deny tcp 172.16.20.0 0.0.0.255 host 192.168.20.1 eq 443
30 permit ip 172.16.20.0 0.0.0.255 any O.a. Regelwerk filtert nun also an den Router interfaces eingehenden HTTP und HTTPS Web Traffic auf die FB Ziel IP aus den VLANs und lässt den Rest komplett passieren.
Eigentlich doch eine sehr einfache Logik die selbsterklärend ist.
Wie sieht also deine aktuelle Switch Konfig mit den ACLs aus im Vergleich zur obigen?? 🤔
Wenn es das denn war, nicht vergessen deinen Thread dann auch als erledigt zu schliessen!
hallo aqui,
leider funktioniert das nicht irgendwo ist da der Wurm drinn.
die aktuelle config:
leider funktioniert das nicht irgendwo ist da der Wurm drinn.
die aktuelle config:
ip name-server 192.168.20.1
ip dhcp excluded-address 172.16.10.1 172.16.10.49
ip dhcp excluded-address 172.16.10.200 172.16.10.254
ip dhcp excluded-address 172.16.20.1 172.16.20.49
ip dhcp excluded-address 172.16.20.200 172.16.20.254
!
ip dhcp pool VLAN-10
network 172.16.10.0 255.255.255.0
default-router 172.16.10.1
dns-server 192.168.20.1
domain-name onkelbob.home.arpa
option 42 ip 130.149.7.7
!
ip dhcp pool VLAN-20
network 172.16.20.0 255.255.255.0
default-router 172.16.20.1
dns-server 192.168.20.1
domain-name onkelbob.home.arpa
option 42 ip 130.149.7.7
!
!
!
!
crypto pki trustpoint TP-self-signed-2495211648
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2495211648
revocation-check none
rsakeypair TP-self-signed-2495211648
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
!
interface FastEthernet0/1
!
interface FastEthernet0/2
!
interface FastEthernet0/3
description VLAN 10 Port
switchport access vlan 10
spanning-tree portfast
!
interface FastEthernet0/4
description VLAN 20 Port
switchport access vlan 20
spanning-tree portfast
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!.........
interface Vlan1
description L3 Interface VLAN-1 (Fritzbox)
ip address 192.168.20.254 255.255.255.0
!
interface Vlan10
description L3 Interface VLAN-10
ip address 172.16.10.1 255.255.255.0
ip access-group NOFRITZ-10 in
!
interface Vlan20
description L3 Interface VLAN-20
ip address 172.16.20.1 255.255.255.0
ip access-group NOFRITZ-20 in
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.20.1
ip http server
ip http secure-server
!
ip access-list extended NOFRITZ-10
remark Block Fritzbox IP VLAN10
deny tcp 172.16.10.0 0.0.0.255 host 192.168.20.1 eq www
deny tcp 172.16.10.0 0.0.0.255 host 192.168.20.1 eq 443
permit ip 172.16.10.0 0.0.0.255 any
ip access-list extended NOFRITZ-20
remark Block Fritzbox IP VLAN20
deny tcp 172.16.20.0 0.0.0.255 host 192.168.20.1 eq www
deny tcp 172.16.20.0 0.0.0.255 host 192.168.20.1 eq 443
permit ip 172.16.20.0 0.0.0.255 any
!
ip sla enable reaction-alerts
!
!
line con 0
line vty 0 4
login
line vty 5 15
login
!
ntp clock-period 36029105
ntp server 162.159.200.1 source Vlan1
end
Switch#
Was genau klappt nicht? Greifen die ACLs aus 10 und 20 nicht?
Ich teste das hier mal an einem Catalyst 3750.
Ich teste das hier mal an einem Catalyst 3750.
Ja ich vermute die ACL´s greifen falsch oder garnicht,wenn ich die mit rausnehme geht es ohne probleme
no ip access-list extended NOFRITZ-20
no ip access-list extended NOFRITZ-10
Kurzer Test auf einem Catalyst 3750....
show run
Zugriff von o.a. Win 10 Laptop mit Firefox Browser aus VLAN 20 auf die FritzBox IP. Die .101 ist der Win Laptop.
Ergebnis im Browser:
DNS Server der Clients ist die Fritzbox IP. Siehe VLAN-20 DHCP Config Catalyst.
Works as designed!! 😉 👍
Viel mehr Silbertablett geht jetzt nicht mehr...
Irgendwas stimmt also bei dir nicht mit der IP Adressierung oder du hast irgendwo noch einen Tippfehler in der Konfig gemacht, falsche Masken, falsche IP im falschen VLAN, etc.?!
Schalte testweise auch einmal mit log-input das Logging ein auf dem Blocking (deny) Statements, dann loggt der Cisco alles mit was die ACL tut mit Clienttraffic.
Oder ist das jetzt missverstanden was du mit der ACL erreichen willst??
Die o.a. ACL blockt den HTTP und HTTPS (WebGUI) Zugriff aus den VLANs 20 und 30 auf die FB in VLAN 10. Der gesamte Rest aus den VLANs ist frei.
Wenn du es genau andersrum haben willst, also alles andere blocken und nur Fritzbox freigeben sieht die ACL natürlich anders aus.
- FB in VLAN 10 mit IP: 192.168.188.1
- ACL aktiv auf VLAN 20 inkl. Logging um das Blocking zu loggen
Netzdesign Testsetup
Konfigauszug Catalyst
show runservice timestamps log datetime localtime
!
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
ip subnet-zero
ip routing
ip name-server 192.168.188.1
!
ip dhcp excluded-address 172.16.20.1 172.16.20.100
ip dhcp excluded-address 172.16.20.150 172.16.20.254
!
ip dhcp excluded-address 172.16.30.1 172.16.30.100
ip dhcp excluded-address 172.16.30.150 172.16.30.254
!
!
ip dhcp pool vlan20
network 172.16.20.0 255.255.255.0
default-router 172.16.20.1
dns-server 192.168.188.1
!
ip dhcp pool vlan30
network 172.16.30.0 255.255.255.0
default-router 172.16.30.1
dns-server 192.168.188.1
!
interface GigabitEthernet0/1
description Fritzbox Netz
switchport access vlan 10
switchport mode access
!
interface GigabitEthernet0/3
description VLAN-20
switchport access vlan 20
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet0/5
description VLAN-30
switchport access vlan 30
switchport mode access
spanning-tree portfast
!
interface Vlan10
ip address 192.168.188.254 255.255.255.0
!
interface Vlan20
ip address 172.16.20.1 255.255.255.0
ip access-group NOFRITZ-20 in
!
interface Vlan30
ip address 172.16.30.1 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 192.168.188.1
no ip http server
no ip http secure-server
!
ip access-list extended NOFRITZ-20
deny tcp 172.16.20.0 0.0.0.255 host 192.168.188.1 eq www log-input
deny tcp 172.16.20.0 0.0.0.255 host 192.168.188.1 eq 443
permit ip 172.16.20.0 0.0.0.255 any
! Statische Route FritzBox
Pingcheck Catalyst
Cat3750#ping 192.168.188.1 source vlan 20
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.188.1, timeout is 2 seconds:
Packet sent with a source address of 172.16.20.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms Pingcheck Windows Rechner in VLAN 20
Check Accesslist Logging Catalyst
Zugriff von o.a. Win 10 Laptop mit Firefox Browser aus VLAN 20 auf die FritzBox IP. Die .101 ist der Win Laptop.Oct 11 16:07:20: %SEC-6-IPACCESSLOGP: list NOFRITZ-20 denied tcp 172.16.20.101(59272) (Vlan20 0024.5a3f.0122) -> 192.168.188.1(80), 1 packet
Oct 11 16:07:21: %SEC-6-IPACCESSLOGP: list NOFRITZ-20 denied tcp 172.16.20.101(59272) (Vlan20 0024.5a3f.0122) -> 192.168.188.1(80), 1 packet
Cat3750#sh ip dhcp bin
IP address Client-ID/ Lease expiration Type
Hardware address
172.16.20.101 0100.245a.3f01.22 Oct 12 2023 03:51 PM AutomaticCheck Internet Access mit aktiver ACL aus VLAN 20
DNS Server der Clients ist die Fritzbox IP. Siehe VLAN-20 DHCP Config Catalyst.Fazit
Works as designed!! 😉 👍Viel mehr Silbertablett geht jetzt nicht mehr...
Irgendwas stimmt also bei dir nicht mit der IP Adressierung oder du hast irgendwo noch einen Tippfehler in der Konfig gemacht, falsche Masken, falsche IP im falschen VLAN, etc.?!
Schalte testweise auch einmal mit log-input das Logging ein auf dem Blocking (deny) Statements, dann loggt der Cisco alles mit was die ACL tut mit Clienttraffic.
Oder ist das jetzt missverstanden was du mit der ACL erreichen willst??
Die o.a. ACL blockt den HTTP und HTTPS (WebGUI) Zugriff aus den VLANs 20 und 30 auf die FB in VLAN 10. Der gesamte Rest aus den VLANs ist frei.
Wenn du es genau andersrum haben willst, also alles andere blocken und nur Fritzbox freigeben sieht die ACL natürlich anders aus.
Die Rechner von Vlan 10 und 20 Dürfen nicht die z.B auf die Ressourcen im 192.168.20.1 er netz zugreifen. Z.b 192.168.20.66 (drucker) etc.. und auf die FB selber 192.168.20.1 das muss unterbunden werden.
Ahhhsooo... Sorry, hab ich dann leider missverstanden... 🙈
Mit der ACL von oben wird ja, wie du auch selber siehst, einzig und allein nur der Web Zugriff auf die FB geblockt und mehr nicht. Damit funktioniert deine Anforderung natürlich nicht...sorry nochmal für die Verwirrung.
Kardinalsfrage: Die FB ist sicher der DNS Server für alle Clients in deinen VLANs 10 und 20, oder ??
In dem Falle muss DNS Traffic aus den VLANs auf die FB natürlich erlaubt sein um Hostnamen auflösen zu können. Benutzt du einen anderen DNS können die DNS permits entfallen.
Diese neuen ACLs sehen dann so aus:
(Alte ACL kannst du mit no ip access-list extended NOFRITZ-10 entfernen)
Zur Erklärung:
Aufpassen wenn du deine Fritzbox auch als NTP (Uhrzeit) Server zentral im Netzwerk konfiguriert hast und Endgeräte von der FB aktuelle Uhrzeit und Datum beziehen. Dann musst du natürlich zusätzlich zum DNS (Port 53) auch NTP, Network Time Protocoll (Port 123) von der Fritzbox freigeben. NTP nutzt auch wieder UDP und TCP
Ggf. kann es nicht schaden das gleich in der ACL mit zu erledigen damit du auf Nummer sicher gehtst und dich später nicht wunderst warum grad NTP nicht klappt.
Hier als Beispiel die auf NTP angepasste ACL. (Muss auf beiden angepasst werden, (log-input) optional!)
So, nun sollte es aber final klappen! 😉
Mit der ACL von oben wird ja, wie du auch selber siehst, einzig und allein nur der Web Zugriff auf die FB geblockt und mehr nicht. Damit funktioniert deine Anforderung natürlich nicht...sorry nochmal für die Verwirrung.
Kardinalsfrage: Die FB ist sicher der DNS Server für alle Clients in deinen VLANs 10 und 20, oder ??
In dem Falle muss DNS Traffic aus den VLANs auf die FB natürlich erlaubt sein um Hostnamen auflösen zu können. Benutzt du einen anderen DNS können die DNS permits entfallen.
Diese neuen ACLs sehen dann so aus:
interface Vlan10
description L3 Interface VLAN-10
ip address 172.16.10.1 255.255.255.0
ip access-group NOFRITZ-10 in
!
interface Vlan20
description L3 Interface VLAN-20
ip address 172.16.20.1 255.255.255.0
ip access-group NOFRITZ-20 in
!
ip access-list extended NOFRITZ-10
5 remark Block FB-Netz (VLAN1)
10 permit udp 172.16.10.0 0.0.0.255 host 192.168.20.1 eq domain
20 permit tcp 172.16.10.0 0.0.0.255 host 192.168.20.1 eq domain
30 deny ip 172.16.10.0 0.0.0.255 192.168.20.0 0.0.0.255
40 permit ip 172.16.10.0 0.0.0.255 any
!
ip access-list extended NOFRITZ-20
5 remark Block FB-Netz (VLAN1)
10 permit udp 172.16.20.0 0.0.0.255 host 192.168.20.1 eq domain
20 permit tcp 172.16.20.0 0.0.0.255 host 192.168.20.1 eq domain
30 deny ip 172.16.20.0 0.0.0.255 192.168.20.0 0.0.0.255
40 permit ip 172.16.20.0 0.0.0.255 any
! Zur Erklärung:
- 10 = Lässt DNS UDP aus dem VLAN auf die Fritzbox passieren. (DNS nutzt UDP und TCP)
- 20 = Lässt DNS TCP aus dem VLAN auf die Fritzbox passieren.
- 30 = Blockt sämtlichen Traffic aus den VLANs in das Fritzbox Netz
- Wenn du hier die bösen Buhfrauen und Buhmänner mitloggen willst die versuchen dein Verbot zu ignorieren änderst du Zeile 30 in 30 deny ip 172.16.20.0 0.0.0.255 192.168.20.0 0.0.0.255 log Willst du zusätzlich auch Interface und deren Client Mac Adresse im Log sehen dann statt "log" ein log-input
- 40 = Erlaubt allen Restraffic aus den VLANs überallhin
Aufpassen wenn du deine Fritzbox auch als NTP (Uhrzeit) Server zentral im Netzwerk konfiguriert hast und Endgeräte von der FB aktuelle Uhrzeit und Datum beziehen. Dann musst du natürlich zusätzlich zum DNS (Port 53) auch NTP, Network Time Protocoll (Port 123) von der Fritzbox freigeben. NTP nutzt auch wieder UDP und TCP
Ggf. kann es nicht schaden das gleich in der ACL mit zu erledigen damit du auf Nummer sicher gehtst und dich später nicht wunderst warum grad NTP nicht klappt.
Hier als Beispiel die auf NTP angepasste ACL. (Muss auf beiden angepasst werden, (log-input) optional!)
ip access-list extended NOFRITZ-10
5 remark Block FB-Netz (VLAN1)
10 permit udp 172.16.10.0 0.0.0.255 host 192.168.20.1 eq domain ntp
20 permit tcp 172.16.10.0 0.0.0.255 host 192.168.20.1 eq domain ntp
30 deny ip 172.16.10.0 0.0.0.255 192.168.20.0 0.0.0.255 (log-input)
40 permit ip 172.16.10.0 0.0.0.255 any So, nun sollte es aber final klappen! 😉
Moin ,moin,
nein leider noch kein Erfolg, das gerät was an VLAN 10 oder 20 hängt bekommt auch keine IP zugewiesen.
Ich jetzt nochmal zum testen an VLAN 10 die ACL an VLAN 20 ohne ACL.
VLAN 10 kann nicht ins Internet VLAN 20 geht ohne Probleme sieht aber auch die FB 192.168.20.1 was nicht soll.
Hier nochmal die Config:
(ich habe den switch nochmal auf Werkseinstellung gestellt darum sind noch Sicherheitslücken vorhanden nicht wundern)
gruß stefan
nein leider noch kein Erfolg, das gerät was an VLAN 10 oder 20 hängt bekommt auch keine IP zugewiesen.
Ich jetzt nochmal zum testen an VLAN 10 die ACL an VLAN 20 ohne ACL.
VLAN 10 kann nicht ins Internet VLAN 20 geht ohne Probleme sieht aber auch die FB 192.168.20.1 was nicht soll.
Hier nochmal die Config:
(ich habe den switch nochmal auf Werkseinstellung gestellt darum sind noch Sicherheitslücken vorhanden nicht wundern)
no aaa new-model
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
system mtu routing 1500
ip routing
ip domain-lookup source-interface Vlan1
ip name-server 192.168.20.1
ip dhcp excluded-address 172.16.10.1 172.16.10.49
ip dhcp excluded-address 172.16.10.200 172.16.10.254
ip dhcp excluded-address 172.16.20.1 172.16.20.49
ip dhcp excluded-address 172.16.20.200 172.16.20.254
!
ip dhcp pool VLAN-10
network 172.16.10.0 255.255.255.0
default-router 172.16.10.1
dns-server 192.168.20.1
domain-name onkelbob.home.arpa
option 42 ip 130.149.7.7
!
ip dhcp pool VLAN-20
network 172.16.20.0 255.255.255.0
default-router 172.16.20.1
dns-server 192.168.20.1
domain-name onkelbob.home.arpa1
option 42 ip 130.149.7.7
!
interface FastEthernet0/1
description VLAN 10 Port
switchport access vlan 10
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/2
description VLAN 20 Port
switchport access vlan 20
switchport mode access
spanning-tree portfast
!
interface Vlan1
description L3 Interface VLAN-1 (Fritzbox)
ip address 192.168.20.254 255.255.255.0
!
interface Vlan10
description L3 Interface VLAN-10
ip address 172.16.10.1 255.255.255.0
ip access-group NOFRITZ-10 in
!
interface Vlan20
description L3 Interface VLAN-20
ip address 172.16.20.1 255.255.255.0
ip access-group NOFRITZ-20 in
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.20.1
ip http server
ip http secure-server
!
ip access-list extended NOFRITZ-10
remark Block FB-Netz (VLAN1)
permit udp 172.16.10.0 0.0.0.255 host 192.168.20.1 eq domain
permit tcp 172.16.10.0 0.0.0.255 host 192.168.20.1 eq domain
deny ip 172.16.10.0 0.0.0.255 192.168.20.0 0.0.0.255
permit ip 172.16.10.0 0.0.0.255 any
!
ip sla enable reaction-alerts
no cdp run
!
!
line con 0
line vty 0 4
login
line vty 5 15
login
!
enddarum sind noch Sicherheitslücken vorhanden...
Und Konfig Fehler. Der VLAN 20 Domain Name hat eine "1" zuviel in der TLD! bekommt auch keine IP zugewiesen.
Ooops... stimmt, da hast du Recht, denn die ACL blockiert natürlich auch DHCP wenn man das nicht freigibt. Shame on me... 🤦♂️ Man sollte doch mal die eigenen Tutorials lesen. 😎Grund ist, das Clients ohne IP einen DHCP Request mit einer Absender IP 0.0.0.0 senden und die bleibt in der ACL oben hängen, weil ja einzig nur 172.16.er Absender IPs erlaubt sind aber keine 0.0.0.0.
Ein "permit udp any eq bootpc any eq bootps" am Anfang erlaubt so eingehend DHCP Client Requests mit Sourceport: UDP bootp client und Destination Port: UDP bootp server.
Hinzugefügt in beiden VLAN ACLs korrigiert es damit sofort diesen Fauxpas.
Siehe zu der DHCP ACL Thematik auch diesen Forenthread.
Sorry nochmal für die Verwirrung durch den Fehler... 😵💫
Hättest du aber mit einer statischen IP am Endgerät auch erstmal testweise temporär umgehen können.
Hier nun die jetzt korrekte Deluxe Variante die nun auch DHCP vom Endgerät passieren lässt:
ip access-list extended NOFRITZ-10
5 remark Block FB-Netz (VLAN1)
10 permit udp any eq bootpc any eq bootps
20 permit udp 172.16.10.0 0.0.0.255 host 192.168.20.1 eq 53 123
30 permit tcp 172.16.10.0 0.0.0.255 host 192.168.20.1 eq 53 123
40 deny ip 172.16.10.0 0.0.0.255 192.168.20.0 0.0.0.255 (log-input)
50 permit ip 172.16.10.0 0.0.0.255 any
Wenn es denn nun war bitte nicht vergessen deinen Thread dann auch als erledigt zu markieren!
Super danke klappt
1 anliegen hätte ich noch was bedeutet die Zeile genau?
und in der zeile das eq.
Gibt es da eine Übersicht um z.B auch einzelne Webseiten zu sperren?
besten dank
1 anliegen hätte ich noch was bedeutet die Zeile genau?
10 permit udp any eq bootpc any eq bootps20 permit udp 172.16.10.0 0.0.0.255 host 192.168.20.1 **eq** 53 123Gibt es da eine Übersicht um z.B auch einzelne Webseiten zu sperren?
besten dank
Super danke klappt
👍 So sollte es sein! 😉was bedeutet die Zeile genau?
Erlaube (permit) UDP Pakete mit egal welcher Absenderadresse (any) und Source Port UDP 68 (eq = equals = gleich. bootp"c" = client 68) zu egal welcher Zieladresse (any) und Zielport UDP 68 (eq = equals = gleich. bootp"s" = server 67). DHCP ist eine Erweiterung vom Bootp Protokoll.Frei übersetzt bedeutet das, das jeder Traffic mit UDP Source Port 68 (bootpc) und UDP Destination Port 67 (bootps) passieren darf. Sprich alle DHCP Requests dürfen durch. Any muss man deshalb nehmen weil 0.0.0.0 und 255.255.255.255 als Adressangabe in der ACL nicht funktioniert.
und in der zeile
Erlaube UDP mit jeder Absender IP 172.16.10.x auf die Ziel IP 192.168.20.1 wenn es gleich (eq=equals) DNS und NTP Traffic ist.Frei übersetzt: Erlaube aus dem .10er Netz allen UDP Traffic auf die Fritzbox wenn es DNS und NTP ist.
Hope this helps und die ACL ist damit für dich verständlich?!
Wenn es das war bitte nicht vergessen deinen Thread hier als erledigt zu markieren!
