mariocisco
19.01.2022, aktualisiert um 17:36:13 Uhr
view1749
view17
0
Goto Top

CISCO 926-4P VLAN angepasst nach Beitrag CISCO ROuter 926-4P VDSL Telefonica

FrageNetzwerkeRouter, Routing
Hallo ,

ich habe probiert die Config aus einem alten Thread so anzupassen und habe das Problem dass dannach nichts mehr funktioniert.

Liege ich richtig dass ich kein DHCP nutzen kann wenn ich mehrere VLAN's verwende?

Ich will meher
die VLAN Konfiguration dannach sieht so aus:

VLAN

interface vlan3
description Lokales LAN 3
ip address 192.168.0.0 255.255.255.254
ip nat inside
ip virtual-reassembly in
zone-member security LOKAL
ip tcp adjust-mss 1448
ipv6 address provider-v6-prefix ::2002:c0a8:0:0:0/48
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server DHCPv6


interface vlan4
description Lokales LAN 4
ip address 192.168.0.4 255.255.255.254
ip nat inside
ip virtual-reassembly in
zone-member security LOKAL
ip tcp adjust-mss 1448
ipv6 address provider-v6-prefix ::2002:c0a8:0:0:0/48
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server DHCPv6

interface vlan5
description Lokales LAN 5
ip address 192.168.0.8 255.255.255.254
ip nat inside
ip virtual-reassembly in
zone-member security LOKAL
ip tcp adjust-mss 1448
ipv6 address provider-v6-prefix ::2002:c0a8:0:0:0/48
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server DHCPv6


nterface vlan6
description Lokales LAN 6
ip address 192.168.0.12 255.255.255.254
ip nat inside
ip virtual-reassembly in
zone-member security LOKAL
ip tcp adjust-mss 1448
ipv6 address provider-v6-prefix ::2002:c0a8:0:0:0/48
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server DHCPv6

DHCP EINSTELLUNGEN

ip dhcp excluded-address 192.168.0.2 192.168.0.3
ip dhcp excluded-address 192.168.0.6 192.168.0.7
ip dhcp excluded-address 192.168.0.10 192.168.0.11
ip dhcp excluded-address 192.168.0.14 192.168.0.15
!
ip dhcp pool Lokal 3
network 192.168.0.0 255.255.255.254
default-router 192.168.0.0
dns-server 192.168.0.2
domain-name mario.domain
!
ip dhcp pool Lokal 4
network 192.168.0.4 255.255.255.254
default-router 192.168.0.4
dns-server 192.168.0.6
domain-name mario.domain
!
ip dhcp pool Lokal 5
network 192.168.0.8 255.255.255.254
default-router 192.168.0.10
dns-server 192.168.0.10
domain-name mario.domain
!
ip dhcp pool Lokal 6
network 192.168.0.12 255.255.255.254
default-router 192.168.0.14
dns-server 192.168.0.14
domain-name mario.domain

INTERFACES

interface GigabitEthernet0
Description PC
switchport mode access
switchport access vlan 3
no shut

interface GigabitEthernet1
Description AndererPC
switchport mode access
switchport access vlan 4
no shut

interface GigabitEthernet2
Description W-LAN
switchport mode access
switchport access vlan 5
no shut

interface GigabitEthernet3
Description Drucker
switchport mode access
switchport access vlan 6
no shut


Vielleicht wisst ihr ja was ich falsch gemacht habe und könnt mir helfen.
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 1740565759

Url: https://administrator.de/contentid/1740565759

Ausgedruckt am: 21.11.2024 um 23:11 Uhr

17 Kommentare
Neuester Kommentar
Goto Top
aqui
aqui 20.01.2022 aktualisiert um 09:46:34 Uhr
Goto Top
Liege ich richtig dass ich kein DHCP nutzen kann wenn ich mehrere VLAN's verwende?
Nein, da liegst du komplett falsch !
Sieh dir das hiesige Cisco Tutorial an, dort findest du ja auch zwei VLANs mit ihrem DHCP Server und entsprechenden Pools.
Du kannst solviel DHCP Server definieren wie du lustig bist.
Einfach nur einmal das Tutorial wirklich GENAU lesen ...und verstehen natürlich ! face-wink

Dein eigentliches Problem hat nichts mit dem Cisco selber und seiner Konfig zu tun, sondern liegt daran das du scheinbar die einfache Logik von IP Subnetzmasken nicht wirklich verstanden hast !!
Sieh dir einfach einmal die Subnetzdefinitionen deiner lokalen Netze an ! Solchen völligen Blödsinn mit 31 Bit Masken kann auch der Cisco nicht mehr korrigieren !
Typisches PEBKAC Problem ! Vermutlich wolltest du wohl 30 Bit Masken verwenden was dann eher Sinn macht. Kann man aber nur wild raten da du zu deinem IP Adresskonzept leider keinerlei hilfreiche Aussagen machst... face-sad
https://de.wikipedia.org/wiki/Netzmaske
Lesen und verstehen und richtige Masken nutzen, dann klappt das auch sofort !
mariocisco
mariocisco 20.01.2022 um 22:52:09 Uhr
Goto Top
Also 255.255.255.252 und es könnte funktionieren.

Und dann z.B. 192.168.0.0/30 3

192.168.0.4/30 vlan 4

192.168.0.8/30 vlan 5

192.168.0.12/30vlan 6

192.168.0.16/30 vlan 7

ip dhcp excluded-address 192.168.0.1 192.168.0.2 <- für vlan 3 z.B:

SO müsste es dann ja funktionierne weil ja dann pro subnet und vlan nur zwei IP Adresse zur Verfügung stehen , richtig?
aqui
aqui 21.01.2022 aktualisiert um 09:27:44 Uhr
Goto Top
SO müsste es dann ja funktionierne
Richtig, nun passt das !
Auf die richtigen Subnetzmasken sollte man also schon achten... face-wink

Wenn's das denn war
Wie kann ich einen Beitrag als gelöst markieren?
mariocisco
mariocisco 22.01.2022 aktualisiert um 02:13:21 Uhr
Goto Top
ich lass es noch einmal offen bis ich es eingerichtet habe.

Ich konnte leider den TItel nicht ändern.

FUnktioniert das mit deem MAC Adress FIlter auch bei dhcp so dass man z.B. eine IP des DHCP Pools nimmt bei :

"

!
ip dhcp pool WinServer <-- Optional ! Beispiel f. Zuweisung von fester IP auf MAC Adress Basis (IP zu Mac Binding)
host 192.168.100.170 255.255.255.0
client-identifier 01b0.0c6c.01c4.d2 <-- Hardware Mac Adresse dieses Clients (Schreibweise mit "01" beachten)
(hardware-address b00c.6c01.c4d2) <-- Hardware Mac Adresse bei Clients die keinen HW_Identifier schicken (Linux !)
default-router 192.168.100.254
dns-server 192.168.100.254
client-name winserver
domain-name meinedomain.home.arpa"

Bsp.: host 192.168.0.1 255.255.255.252
client identifier MAC ADRESSE
( kann man immer hardware-address nehmen?)
default-router 192.168.0.2
dns-server 192.168.0.2
client-name PC
domain-name DOMÄNEN Name ( Kann dieser abweichen pro VLAN?)

Ich hoffe meine Frage ist verständlich.
aqui
aqui 22.01.2022 aktualisiert um 09:50:41 Uhr
Goto Top
Ich konnte leider den TItel nicht ändern.
Den Titel des Threads ?? Dafür ist der "Bearbeiten" Knopf hier da mit dem ist das kinderleicht. face-wink
FUnktioniert das mit deem MAC Adress FIlter auch bei dhcp... Ich hoffe meine Frage ist verständlich.
Leider nicht so ganz... face-sad
WAS genau ist dein Ziel ??
Nur so viel...
  • Die Mac Adress Zuweisung im DHCP Server dient dazu Endgeräten mit einer bestimmten Mac Adresse immer die gleiche IP aus dem DHCP Adresspool zu geben. Es ist also quasi sowas wie eine feste IP und hat den Effekt als ob man diesem Endgeräte quasi eine statische IP gibt.
  • Ja, diese IP Adresse kann man dann in einer Access Liste verwenden. Der ACL ist es völlig Wumpe was für eine Art IP sie filtert.
  • Domänen Namen einzelner Mac reservierter Hosts können natürlich auch anders sein zu dem was global im VLAN gesetzt ist. Das ist keine Frage des Routings sondern DNS mit dem der Router nichts, oder nur am Rande, zu tun hat.
Beantwortet das deine Frage ??

P.S.: Bitte mal richtig zitieren mit einem "> " vor den Zeilen die du zitieren willst. Man kann oben in deinem wirren Text nicht mehr richtig unterscheiden was du aus Tutorials usw. zitierst und was Fragestellung ist. Das schadet der Übersicht und dem schnellen Verständnis deiner Fragen ungemein.
heart1
mariocisco
mariocisco 23.01.2022 um 20:36:41 Uhr
Goto Top
Ich möchte dass nur eingetragene Mac adresse im Netzwerk Zugang haben.
aqui
aqui 23.01.2022 um 22:59:29 Uhr
Goto Top
Ich möchte dass nur eingetragene Mac adresse im Netzwerk Zugang haben.
OK, Mac basierte Access Listen wäre eine Option.
Viel sinnvoller und einfacher ist es aber dann in dem/den VLANs keinen freien Pool zu definieren und nur Mac Adress basierte IPs. Dadurch das dann kein freier Pool da ist bekommen nur die Mac definierten Clients eine IP und alle anderen bleiben außen vor.
Zusätzlich lässt du in einer IP ACL rein nur diese IPs zu um zu verhindern das pfiffige Bastler sich eine statische IP vergeben und so den DHCP Server umgehen.
aqui
aqui 03.02.2022 um 10:21:20 Uhr
Goto Top
Wenn's das denn nun war bitte nicht vergessen deinen Thread dann auch als erledigt zu markieren !!
Wie kann ich einen Beitrag als gelöst markieren?
mariocisco
mariocisco 20.02.2022 um 19:08:41 Uhr
Goto Top
Zitat von @aqui:

Ich möchte dass nur eingetragene Mac adresse im Netzwerk Zugang haben.
OK, Mac basierte Access Listen wäre eine Option.
Viel sinnvoller und einfacher ist es aber dann in dem/den VLANs keinen freien Pool zu definieren und nur Mac Adress basierte IPs. Dadurch das dann kein freier Pool da ist bekommen nur die Mac definierten Clients eine IP und alle anderen bleiben außen vor.
Zusätzlich lässt du in einer IP ACL rein nur diese IPs zu um zu verhindern das pfiffige Bastler sich eine statische IP vergeben und so den DHCP Server umgehen.

WIe mache ich solch eine ACL mit Acces Liste?

Bei client-identifier "MAC-ADresse"

hier kommt dann die nächste MAC ADresse einfach untereinander so wie eben und dann bekommt die erste MAC Adresse die 1. aus der Range und so weiter? Bis keine mehr da ist?
aqui
aqui 21.02.2022 um 10:18:46 Uhr
Goto Top
Bei client-identifier "MAC-ADresse"
Jepp, ganz genau. Guckst du im Cisco Tutorial ! Dort steht es genau beschrieben.
Beispiel:
ip dhcp pool MarioPC
host 192.168.1.200 255.255.255.0
client-identifier 01b0.0c6c.01c4.d2
default-router 192.168.1.254
dns-server 192.168.1254
domain-name mariocisco.home.arpa
!
ip dhcp pool Mario_iPhone
host 192.168.1.201 255.255.255.0
client-identifier 01a8.05a6b.02c4.d5
default-router 192.168.1.254
dns-server 192.168.1254
domain-name mariocisco.home.arpa
mariocisco
mariocisco 14.03.2022 um 17:59:46 Uhr
Goto Top
Bedeutet dies dass man auch den Befehl client-identifier MAC Adresse nutzen kann wen man eine statische IP Adresse benutzt?

Kann man wenn man ein anderen Acces Point anschliesst so auch bestimmen welche Geräte ein Verbindung in die Netzwerke auf dem Cisco Router bestimmen?

Knan man den client-identifier auch für VLAN Einstellungen verwenden?
aqui
aqui 14.03.2022 aktualisiert um 19:33:43 Uhr
Goto Top
Wenn du eine statische IP auf dem Client nutzt ist die Angabe des client-identifier doch völliger Quatsch ! Sorry...
Der client-identifier sagt dem Router nur das ein DHCP Request mit dieser client-identifier Mac Adresse eben dann die IP x.y.z.h bekommt die du darüber zuweist. Nur so kann der DHCP Server doch den Client eindeutig identifizieren. So kann man quasi DHCP Clients über ihre Mac Adresse immer feste IP zuweisen, was sonst in einem freien IP Pool nicht möglich ist weil die IP sich das immer ändern kann.
Wenn du dem Client aber eine feste, statische IP schon zugewiesen hast der client-identifier doch dann überflüssiger Unsinn, zumindestens für diesen Client mit der statischen IP.
Weisst du ja auch selber....?! face-wink
Kann man wenn man ein anderen Acces Point anschliesst
Ja, das kannst du natürlich !
Das Zauberwort heisst Access Listen !
Du kannst das dann entweder über Mac Access Listen steuern wenn du auf dem Layer 2 filtern willst oder eben über IP Access Listen beim Layer 3 auf IP Adress Basis.
Beides kann der Cisco natürlich problemlos.
mariocisco
mariocisco 14.03.2022 um 22:11:49 Uhr
Goto Top
wie kann ich mit MAC Adressen und ACL's arbeiten ich kenne es nur mit IP Adressen oder ist es das gleiche?
aqui
aqui 15.03.2022 aktualisiert um 09:19:11 Uhr
Goto Top
Wie immer: Lesen und verstehen... ! face-wink
https://www.cisco.com/c/en/us/td/docs/routers/asr920/configuration/guide ...
IP basierte ACLs bieten dir aber letztlich mehr Optionen.
aqui
aqui 31.03.2022 um 09:11:39 Uhr
Goto Top
Wenn's das denn nun war bitte deinen Thread hier dann auch als erledigt markieren !
Wie kann ich einen Beitrag als gelöst markieren?
mariocisco
mariocisco 02.04.2022 um 10:51:18 Uhr
Goto Top
also kann ich MAC ACL genau so machen wie ip acl, habe ich das richtig verstanden?
aqui
aqui 02.04.2022 um 11:19:52 Uhr
Goto Top
Jepp, das hast du richtig verstanden.
Beachte aber das die Mac Adresse für deutlich mehr und auch non IP Kommunikationen erforderlich ist wie ARP usw. Du musst hier als genau aufpassen WAS du filterst. Ferner ist der Mac Filter natürlich immer auf den physischen Port bezogen.
FrageNetzwerkeRouter, Routing
Mehr von mariociscomariociscoCISCO SEC Zone Based Firewall nmapmariocisco - 29 KommentaremariociscoIP Fire als Firewall Virtual Boxmariocisco - 21 KommentaremariociscoCisco 926-4P Firmeware Updatemariocisco - 11 KommentaremariociscoCisco 926-4P Firewall keine Installation SEC Lizenzmariocisco - 5 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 Kommentare