17
CISCO 926-4P VLAN angepasst nach Beitrag CISCO ROuter 926-4P VDSL Telefonica
Hallo ,
ich habe probiert die Config aus einem alten Thread so anzupassen und habe das Problem dass dannach nichts mehr funktioniert.
Liege ich richtig dass ich kein DHCP nutzen kann wenn ich mehrere VLAN's verwende?
Ich will meher
die VLAN Konfiguration dannach sieht so aus:
VLAN
interface vlan3
description Lokales LAN 3
ip address 192.168.0.0 255.255.255.254
ip nat inside
ip virtual-reassembly in
zone-member security LOKAL
ip tcp adjust-mss 1448
ipv6 address provider-v6-prefix ::2002:c0a8:0:0:0/48
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server DHCPv6
interface vlan4
description Lokales LAN 4
ip address 192.168.0.4 255.255.255.254
ip nat inside
ip virtual-reassembly in
zone-member security LOKAL
ip tcp adjust-mss 1448
ipv6 address provider-v6-prefix ::2002:c0a8:0:0:0/48
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server DHCPv6
interface vlan5
description Lokales LAN 5
ip address 192.168.0.8 255.255.255.254
ip nat inside
ip virtual-reassembly in
zone-member security LOKAL
ip tcp adjust-mss 1448
ipv6 address provider-v6-prefix ::2002:c0a8:0:0:0/48
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server DHCPv6
nterface vlan6
description Lokales LAN 6
ip address 192.168.0.12 255.255.255.254
ip nat inside
ip virtual-reassembly in
zone-member security LOKAL
ip tcp adjust-mss 1448
ipv6 address provider-v6-prefix ::2002:c0a8:0:0:0/48
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server DHCPv6
DHCP EINSTELLUNGEN
ip dhcp excluded-address 192.168.0.2 192.168.0.3
ip dhcp excluded-address 192.168.0.6 192.168.0.7
ip dhcp excluded-address 192.168.0.10 192.168.0.11
ip dhcp excluded-address 192.168.0.14 192.168.0.15
!
ip dhcp pool Lokal 3
network 192.168.0.0 255.255.255.254
default-router 192.168.0.0
dns-server 192.168.0.2
domain-name mario.domain
!
ip dhcp pool Lokal 4
network 192.168.0.4 255.255.255.254
default-router 192.168.0.4
dns-server 192.168.0.6
domain-name mario.domain
!
ip dhcp pool Lokal 5
network 192.168.0.8 255.255.255.254
default-router 192.168.0.10
dns-server 192.168.0.10
domain-name mario.domain
!
ip dhcp pool Lokal 6
network 192.168.0.12 255.255.255.254
default-router 192.168.0.14
dns-server 192.168.0.14
domain-name mario.domain
INTERFACES
interface GigabitEthernet0
Description PC
switchport mode access
switchport access vlan 3
no shut
interface GigabitEthernet1
Description AndererPC
switchport mode access
switchport access vlan 4
no shut
interface GigabitEthernet2
Description W-LAN
switchport mode access
switchport access vlan 5
no shut
interface GigabitEthernet3
Description Drucker
switchport mode access
switchport access vlan 6
no shut
Vielleicht wisst ihr ja was ich falsch gemacht habe und könnt mir helfen.
ich habe probiert die Config aus einem alten Thread so anzupassen und habe das Problem dass dannach nichts mehr funktioniert.
Liege ich richtig dass ich kein DHCP nutzen kann wenn ich mehrere VLAN's verwende?
Ich will meher
die VLAN Konfiguration dannach sieht so aus:
VLAN
interface vlan3
description Lokales LAN 3
ip address 192.168.0.0 255.255.255.254
ip nat inside
ip virtual-reassembly in
zone-member security LOKAL
ip tcp adjust-mss 1448
ipv6 address provider-v6-prefix ::2002:c0a8:0:0:0/48
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server DHCPv6
interface vlan4
description Lokales LAN 4
ip address 192.168.0.4 255.255.255.254
ip nat inside
ip virtual-reassembly in
zone-member security LOKAL
ip tcp adjust-mss 1448
ipv6 address provider-v6-prefix ::2002:c0a8:0:0:0/48
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server DHCPv6
interface vlan5
description Lokales LAN 5
ip address 192.168.0.8 255.255.255.254
ip nat inside
ip virtual-reassembly in
zone-member security LOKAL
ip tcp adjust-mss 1448
ipv6 address provider-v6-prefix ::2002:c0a8:0:0:0/48
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server DHCPv6
nterface vlan6
description Lokales LAN 6
ip address 192.168.0.12 255.255.255.254
ip nat inside
ip virtual-reassembly in
zone-member security LOKAL
ip tcp adjust-mss 1448
ipv6 address provider-v6-prefix ::2002:c0a8:0:0:0/48
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server DHCPv6
DHCP EINSTELLUNGEN
ip dhcp excluded-address 192.168.0.2 192.168.0.3
ip dhcp excluded-address 192.168.0.6 192.168.0.7
ip dhcp excluded-address 192.168.0.10 192.168.0.11
ip dhcp excluded-address 192.168.0.14 192.168.0.15
!
ip dhcp pool Lokal 3
network 192.168.0.0 255.255.255.254
default-router 192.168.0.0
dns-server 192.168.0.2
domain-name mario.domain
!
ip dhcp pool Lokal 4
network 192.168.0.4 255.255.255.254
default-router 192.168.0.4
dns-server 192.168.0.6
domain-name mario.domain
!
ip dhcp pool Lokal 5
network 192.168.0.8 255.255.255.254
default-router 192.168.0.10
dns-server 192.168.0.10
domain-name mario.domain
!
ip dhcp pool Lokal 6
network 192.168.0.12 255.255.255.254
default-router 192.168.0.14
dns-server 192.168.0.14
domain-name mario.domain
INTERFACES
interface GigabitEthernet0
Description PC
switchport mode access
switchport access vlan 3
no shut
interface GigabitEthernet1
Description AndererPC
switchport mode access
switchport access vlan 4
no shut
interface GigabitEthernet2
Description W-LAN
switchport mode access
switchport access vlan 5
no shut
interface GigabitEthernet3
Description Drucker
switchport mode access
switchport access vlan 6
no shut
Vielleicht wisst ihr ja was ich falsch gemacht habe und könnt mir helfen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1740565759
Url: https://administrator.de/contentid/1740565759
Printed on: April 23, 2024 at 21:04 o'clock
17 Comments
Latest comment
Liege ich richtig dass ich kein DHCP nutzen kann wenn ich mehrere VLAN's verwende?
Nein, da liegst du komplett falsch !Sieh dir das hiesige Cisco Tutorial an, dort findest du ja auch zwei VLANs mit ihrem DHCP Server und entsprechenden Pools.
Du kannst solviel DHCP Server definieren wie du lustig bist.
Einfach nur einmal das Tutorial wirklich GENAU lesen ...und verstehen natürlich !
Dein eigentliches Problem hat nichts mit dem Cisco selber und seiner Konfig zu tun, sondern liegt daran das du scheinbar die einfache Logik von IP Subnetzmasken nicht wirklich verstanden hast !!
Sieh dir einfach einmal die Subnetzdefinitionen deiner lokalen Netze an ! Solchen völligen Blödsinn mit 31 Bit Masken kann auch der Cisco nicht mehr korrigieren !
Typisches PEBKAC Problem ! Vermutlich wolltest du wohl 30 Bit Masken verwenden was dann eher Sinn macht. Kann man aber nur wild raten da du zu deinem IP Adresskonzept leider keinerlei hilfreiche Aussagen machst...
https://de.wikipedia.org/wiki/Netzmaske
Lesen und verstehen und richtige Masken nutzen, dann klappt das auch sofort !
Also 255.255.255.252 und es könnte funktionieren.
Und dann z.B. 192.168.0.0/30 3
192.168.0.4/30 vlan 4
192.168.0.8/30 vlan 5
192.168.0.12/30vlan 6
192.168.0.16/30 vlan 7
ip dhcp excluded-address 192.168.0.1 192.168.0.2 <- für vlan 3 z.B:
SO müsste es dann ja funktionierne weil ja dann pro subnet und vlan nur zwei IP Adresse zur Verfügung stehen , richtig?
Und dann z.B. 192.168.0.0/30 3
192.168.0.4/30 vlan 4
192.168.0.8/30 vlan 5
192.168.0.12/30vlan 6
192.168.0.16/30 vlan 7
ip dhcp excluded-address 192.168.0.1 192.168.0.2 <- für vlan 3 z.B:
SO müsste es dann ja funktionierne weil ja dann pro subnet und vlan nur zwei IP Adresse zur Verfügung stehen , richtig?
SO müsste es dann ja funktionierne
Richtig, nun passt das !Auf die richtigen Subnetzmasken sollte man also schon achten...
Wenn's das denn war
How can I mark a post as solved?
ich lass es noch einmal offen bis ich es eingerichtet habe.
Ich konnte leider den TItel nicht ändern.
FUnktioniert das mit deem MAC Adress FIlter auch bei dhcp so dass man z.B. eine IP des DHCP Pools nimmt bei :
"
!
ip dhcp pool WinServer <-- Optional ! Beispiel f. Zuweisung von fester IP auf MAC Adress Basis (IP zu Mac Binding)
host 192.168.100.170 255.255.255.0
client-identifier 01b0.0c6c.01c4.d2 <-- Hardware Mac Adresse dieses Clients (Schreibweise mit "01" beachten)
(hardware-address b00c.6c01.c4d2) <-- Hardware Mac Adresse bei Clients die keinen HW_Identifier schicken (Linux !)
default-router 192.168.100.254
dns-server 192.168.100.254
client-name winserver
domain-name meinedomain.home.arpa"
Bsp.: host 192.168.0.1 255.255.255.252
client identifier MAC ADRESSE
( kann man immer hardware-address nehmen?)
default-router 192.168.0.2
dns-server 192.168.0.2
client-name PC
domain-name DOMÄNEN Name ( Kann dieser abweichen pro VLAN?)
Ich hoffe meine Frage ist verständlich.
Ich konnte leider den TItel nicht ändern.
FUnktioniert das mit deem MAC Adress FIlter auch bei dhcp so dass man z.B. eine IP des DHCP Pools nimmt bei :
"
!
ip dhcp pool WinServer <-- Optional ! Beispiel f. Zuweisung von fester IP auf MAC Adress Basis (IP zu Mac Binding)
host 192.168.100.170 255.255.255.0
client-identifier 01b0.0c6c.01c4.d2 <-- Hardware Mac Adresse dieses Clients (Schreibweise mit "01" beachten)
(hardware-address b00c.6c01.c4d2) <-- Hardware Mac Adresse bei Clients die keinen HW_Identifier schicken (Linux !)
default-router 192.168.100.254
dns-server 192.168.100.254
client-name winserver
domain-name meinedomain.home.arpa"
Bsp.: host 192.168.0.1 255.255.255.252
client identifier MAC ADRESSE
( kann man immer hardware-address nehmen?)
default-router 192.168.0.2
dns-server 192.168.0.2
client-name PC
domain-name DOMÄNEN Name ( Kann dieser abweichen pro VLAN?)
Ich hoffe meine Frage ist verständlich.
Ich konnte leider den TItel nicht ändern.
Den Titel des Threads ?? Dafür ist der "Bearbeiten" Knopf hier da mit dem ist das kinderleicht. FUnktioniert das mit deem MAC Adress FIlter auch bei dhcp... Ich hoffe meine Frage ist verständlich.
Leider nicht so ganz... WAS genau ist dein Ziel ??
Nur so viel...
- Die Mac Adress Zuweisung im DHCP Server dient dazu Endgeräten mit einer bestimmten Mac Adresse immer die gleiche IP aus dem DHCP Adresspool zu geben. Es ist also quasi sowas wie eine feste IP und hat den Effekt als ob man diesem Endgeräte quasi eine statische IP gibt.
- Ja, diese IP Adresse kann man dann in einer Access Liste verwenden. Der ACL ist es völlig Wumpe was für eine Art IP sie filtert.
- Domänen Namen einzelner Mac reservierter Hosts können natürlich auch anders sein zu dem was global im VLAN gesetzt ist. Das ist keine Frage des Routings sondern DNS mit dem der Router nichts, oder nur am Rande, zu tun hat.
P.S.: Bitte mal richtig zitieren mit einem "> " vor den Zeilen die du zitieren willst. Man kann oben in deinem wirren Text nicht mehr richtig unterscheiden was du aus Tutorials usw. zitierst und was Fragestellung ist. Das schadet der Übersicht und dem schnellen Verständnis deiner Fragen ungemein.
1
Ich möchte dass nur eingetragene Mac adresse im Netzwerk Zugang haben.
Ich möchte dass nur eingetragene Mac adresse im Netzwerk Zugang haben.
OK, Mac basierte Access Listen wäre eine Option.Viel sinnvoller und einfacher ist es aber dann in dem/den VLANs keinen freien Pool zu definieren und nur Mac Adress basierte IPs. Dadurch das dann kein freier Pool da ist bekommen nur die Mac definierten Clients eine IP und alle anderen bleiben außen vor.
Zusätzlich lässt du in einer IP ACL rein nur diese IPs zu um zu verhindern das pfiffige Bastler sich eine statische IP vergeben und so den DHCP Server umgehen.
Wenn's das denn nun war bitte nicht vergessen deinen Thread dann auch als erledigt zu markieren !!
How can I mark a post as solved?
How can I mark a post as solved?
Zitat von @aqui:
Viel sinnvoller und einfacher ist es aber dann in dem/den VLANs keinen freien Pool zu definieren und nur Mac Adress basierte IPs. Dadurch das dann kein freier Pool da ist bekommen nur die Mac definierten Clients eine IP und alle anderen bleiben außen vor.
Zusätzlich lässt du in einer IP ACL rein nur diese IPs zu um zu verhindern das pfiffige Bastler sich eine statische IP vergeben und so den DHCP Server umgehen.
Ich möchte dass nur eingetragene Mac adresse im Netzwerk Zugang haben.
OK, Mac basierte Access Listen wäre eine Option.Viel sinnvoller und einfacher ist es aber dann in dem/den VLANs keinen freien Pool zu definieren und nur Mac Adress basierte IPs. Dadurch das dann kein freier Pool da ist bekommen nur die Mac definierten Clients eine IP und alle anderen bleiben außen vor.
Zusätzlich lässt du in einer IP ACL rein nur diese IPs zu um zu verhindern das pfiffige Bastler sich eine statische IP vergeben und so den DHCP Server umgehen.
WIe mache ich solch eine ACL mit Acces Liste?
Bei client-identifier "MAC-ADresse"
hier kommt dann die nächste MAC ADresse einfach untereinander so wie eben und dann bekommt die erste MAC Adresse die 1. aus der Range und so weiter? Bis keine mehr da ist?
Bei client-identifier "MAC-ADresse"
Jepp, ganz genau. Guckst du im Cisco Tutorial ! Dort steht es genau beschrieben.Beispiel:
ip dhcp pool MarioPC
host 192.168.1.200 255.255.255.0
client-identifier 01b0.0c6c.01c4.d2
default-router 192.168.1.254
dns-server 192.168.1254
domain-name mariocisco.home.arpa
!
ip dhcp pool Mario_iPhone
host 192.168.1.201 255.255.255.0
client-identifier 01a8.05a6b.02c4.d5
default-router 192.168.1.254
dns-server 192.168.1254
domain-name mariocisco.home.arpa
Bedeutet dies dass man auch den Befehl client-identifier MAC Adresse nutzen kann wen man eine statische IP Adresse benutzt?
Kann man wenn man ein anderen Acces Point anschliesst so auch bestimmen welche Geräte ein Verbindung in die Netzwerke auf dem Cisco Router bestimmen?
Knan man den client-identifier auch für VLAN Einstellungen verwenden?
Kann man wenn man ein anderen Acces Point anschliesst so auch bestimmen welche Geräte ein Verbindung in die Netzwerke auf dem Cisco Router bestimmen?
Knan man den client-identifier auch für VLAN Einstellungen verwenden?
Wenn du eine statische IP auf dem Client nutzt ist die Angabe des client-identifier doch völliger Quatsch ! Sorry...
Der client-identifier sagt dem Router nur das ein DHCP Request mit dieser client-identifier Mac Adresse eben dann die IP x.y.z.h bekommt die du darüber zuweist. Nur so kann der DHCP Server doch den Client eindeutig identifizieren. So kann man quasi DHCP Clients über ihre Mac Adresse immer feste IP zuweisen, was sonst in einem freien IP Pool nicht möglich ist weil die IP sich das immer ändern kann.
Wenn du dem Client aber eine feste, statische IP schon zugewiesen hast der client-identifier doch dann überflüssiger Unsinn, zumindestens für diesen Client mit der statischen IP.
Weisst du ja auch selber....?!
Das Zauberwort heisst Access Listen !
Du kannst das dann entweder über Mac Access Listen steuern wenn du auf dem Layer 2 filtern willst oder eben über IP Access Listen beim Layer 3 auf IP Adress Basis.
Beides kann der Cisco natürlich problemlos.
Der client-identifier sagt dem Router nur das ein DHCP Request mit dieser client-identifier Mac Adresse eben dann die IP x.y.z.h bekommt die du darüber zuweist. Nur so kann der DHCP Server doch den Client eindeutig identifizieren. So kann man quasi DHCP Clients über ihre Mac Adresse immer feste IP zuweisen, was sonst in einem freien IP Pool nicht möglich ist weil die IP sich das immer ändern kann.
Wenn du dem Client aber eine feste, statische IP schon zugewiesen hast der client-identifier doch dann überflüssiger Unsinn, zumindestens für diesen Client mit der statischen IP.
Weisst du ja auch selber....?!
Kann man wenn man ein anderen Acces Point anschliesst
Ja, das kannst du natürlich !Das Zauberwort heisst Access Listen !
Du kannst das dann entweder über Mac Access Listen steuern wenn du auf dem Layer 2 filtern willst oder eben über IP Access Listen beim Layer 3 auf IP Adress Basis.
Beides kann der Cisco natürlich problemlos.
wie kann ich mit MAC Adressen und ACL's arbeiten ich kenne es nur mit IP Adressen oder ist es das gleiche?
Wie immer: Lesen und verstehen... !
https://www.cisco.com/c/en/us/td/docs/routers/asr920/configuration/guide ...
IP basierte ACLs bieten dir aber letztlich mehr Optionen.
https://www.cisco.com/c/en/us/td/docs/routers/asr920/configuration/guide ...
IP basierte ACLs bieten dir aber letztlich mehr Optionen.
Wenn's das denn nun war bitte deinen Thread hier dann auch als erledigt markieren !
How can I mark a post as solved?
How can I mark a post as solved?
also kann ich MAC ACL genau so machen wie ip acl, habe ich das richtig verstanden?
Jepp, das hast du richtig verstanden.
Beachte aber das die Mac Adresse für deutlich mehr und auch non IP Kommunikationen erforderlich ist wie ARP usw. Du musst hier als genau aufpassen WAS du filterst. Ferner ist der Mac Filter natürlich immer auf den physischen Port bezogen.
Beachte aber das die Mac Adresse für deutlich mehr und auch non IP Kommunikationen erforderlich ist wie ARP usw. Du musst hier als genau aufpassen WAS du filterst. Ferner ist der Mac Filter natürlich immer auf den physischen Port bezogen.
