12
Cisco cbs-350 layer 3 zwischen VLAN mit bestimmten ports
Hallo zusammen,
ich bin ziemlicher Neuling in der layer 3 Ebene. Ich habe einen Cisco CBS-350 mit 6 VLAN verteilt auf mehreren Ports.
Jetzt soll ein VLAN Verbindung zu den anderen VLANs bei Nutzung der von mir festgelegten Protokoll ports (also zum Beispiel Port 80, 443, eigene Definitionen) erhalten.
Frage 1: Muss jedes VLAN einen eigenen IP Bereich haben oder können alle oder mehrere VLAN im gleichen Subnet liegen (natürlich wird dann jede IP nur einmal vergeben)?
Frage 2: Wie bekomme ich die Verbindung des einen VLAN zu den anderen hin?
Frage 3: Wie kann ich die Verbindung auf die Nutzung bestimmter Protokolle (siehe oben) einschränken?
Vielen Dank schon mal im voraus fürs Gedanken machen,
Jörg
ich bin ziemlicher Neuling in der layer 3 Ebene. Ich habe einen Cisco CBS-350 mit 6 VLAN verteilt auf mehreren Ports.
Jetzt soll ein VLAN Verbindung zu den anderen VLANs bei Nutzung der von mir festgelegten Protokoll ports (also zum Beispiel Port 80, 443, eigene Definitionen) erhalten.
Frage 1: Muss jedes VLAN einen eigenen IP Bereich haben oder können alle oder mehrere VLAN im gleichen Subnet liegen (natürlich wird dann jede IP nur einmal vergeben)?
Frage 2: Wie bekomme ich die Verbindung des einen VLAN zu den anderen hin?
Frage 3: Wie kann ich die Verbindung auf die Nutzung bestimmter Protokolle (siehe oben) einschränken?
Vielen Dank schon mal im voraus fürs Gedanken machen,
Jörg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6540858118
Url: https://administrator.de/contentid/6540858118
Printed on: May 6, 2024 at 09:05 o'clock
12 Comments
Latest comment
Zitat von @joka01:
Hallo zusammen,
ich bin ziemlicher Neuling in der layer 3 Ebene. Ich habe einen Cisco CBS-350 mit 6 VLAN verteilt auf mehreren Ports.
Schon mal keine schlechten Voraussetzungen Hallo zusammen,
ich bin ziemlicher Neuling in der layer 3 Ebene. Ich habe einen Cisco CBS-350 mit 6 VLAN verteilt auf mehreren Ports.
Jetzt soll ein VLAN Verbindung zu den anderen VLANs bei Nutzung der von mir festgelegten Protokoll ports (also zum Beispiel Port 80, 443, eigene Definitionen) erhalten.
Frage 1: Muss jedes VLAN einen eigenen IP Bereich haben oder können alle oder mehrere VLAN im gleichen Subnet liegen (natürlich wird dann jede IP nur einmal vergeben)?
Jedes VLAN ein eigenes Segment.Wobei du natürlich
VLAN 10: 172.16.0.0 / 255.255.255.224
VLAN 20: 172.16.0.32 / 255.255.255.224
VLAN 30: 172.16.0.64 / 255.255.255.224
VLAN 40: 172.16.0.96 / 255.255.255.224
VLAN 50: 172.16.0.128 / 255.255.255.224
VLAN 60: 172.16.0.160 / 255.255.255.224
machen kannst (hoffe, mich nicht verzählt zu haben
)Edit: Passt
Frage 2: Wie bekomme ich die Verbindung des einen VLAN zu den anderen hin?
Gib jedem Subnet eine IP:VLAN 10: 172.16.0.1
VLAN 20: 172.16.0.33
VLAN 30: 172.16.0.65
VLAN 40: 172.16.0.97
VLAN 50: 172.16.0.129
VLAN 60: 172.16.0.161
Frage 3: Wie kann ich die Verbindung auf die Nutzung bestimmter Protokolle (siehe oben) einschränken?
Stichwort ACL. Ich weiss aber nicht, ob der CBS 350 mit ACL auf Layer 4 klar kommt (TCP/ UDP ist Layer 4)Gemäß dieser Anleitung kann er das aber (-destination-port)
Vielen Dank schon mal im voraus fürs Gedanken machen,
Jörg
Jörg
Moin,
1: jedes VLAN braucht ein eigenes IP Subnet
2: Durch Routing
3: Mit ACLs (entweder auf dem L3 Switch oder mittels einer Firewall)
lg,
Slainte
1: jedes VLAN braucht ein eigenes IP Subnet
2: Durch Routing
3: Mit ACLs (entweder auf dem L3 Switch oder mittels einer Firewall)
lg,
Slainte
Hallo em-pie und Slainte,
Vielen Dank für die schnelle Rückmeldung.
Leider kann ich die Bereiche nicht über die subnetmasken trennen, da die Aufteilung flexibel bleiben soll. Also werde ich wohl eigene IP Bereiche anlegen.
ACL ist für mich Schritt 3 nach dem Routing, richtig?
Wie bekomme ich das Routing hin? Welche ports am switch müssen als L3 und welche als L2 eingetragen werden oder bin ich da total falsch?
Vielen Dank für die schnelle Rückmeldung.
Leider kann ich die Bereiche nicht über die subnetmasken trennen, da die Aufteilung flexibel bleiben soll. Also werde ich wohl eigene IP Bereiche anlegen.
ACL ist für mich Schritt 3 nach dem Routing, richtig?
Wie bekomme ich das Routing hin? Welche ports am switch müssen als L3 und welche als L2 eingetragen werden oder bin ich da total falsch?
Ad 1.)
Ein Layer 3 Switch ist immer auch ein Router. IP Netze müssen in einem gerouteten Netz, wie immer, einzigartig sein.
Ad 2.)
Ein Layer 3 Switch ist ein Router der die IP Netze routet. Siehe auch Layer 3 Tutorial was alle deine Fragen zu dem Design beantwortet! (Suchfunktion ist dein Freund
)
Ad 3.)
Das machst du mit ACLs (IP Accesslisten) die der Cisco natürlich wunderbar beherrscht.
Denke daran das ACL nicht stateful sind! Du musst also immer den Routing Hinweg und auch den Rückweg beachten!
Zum Rest haben die Kollegen ja oben schon alles gesagt.
Ein Layer 3 Switch ist immer auch ein Router. IP Netze müssen in einem gerouteten Netz, wie immer, einzigartig sein.
Ad 2.)
Ein Layer 3 Switch ist ein Router der die IP Netze routet. Siehe auch Layer 3 Tutorial was alle deine Fragen zu dem Design beantwortet! (Suchfunktion ist dein Freund
)Ad 3.)
Das machst du mit ACLs (IP Accesslisten) die der Cisco natürlich wunderbar beherrscht.
Denke daran das ACL nicht stateful sind! Du musst also immer den Routing Hinweg und auch den Rückweg beachten!
Zum Rest haben die Kollegen ja oben schon alles gesagt.
Technisch von den Kollegen vorzüglichst abgearbeitet. Bleibt nur noch der "pädagogische" Hinweis:
Netzwerkmanagement lernt man nicht ohne Lektüre. Gerade Cisco hat vorzügliche Manuals und Knowledge-Sites. Und sogar manchmal auf deutsch, was für die Materie ungewöhnlich ist. Z.B. sowas:
https://www.cisco.com/c/en/us/products/routers/what-is-routing.html
https://www.cisco.com/c/de_de/support/docs/lan-switching/inter-vlan-rout ...
(das Catalyst-Geschwafel einfach wegdenken. Wichtig sind erstmal die allgemeinen Ausführungen)
Also ran an die Basics. Ein so schöner Switch ohne dass man sich die Grundkenntnisse erarbeitet, ist rausgeschmissenes Geld. Und ein stabiles Netz erhöht den WAF erheblich. Ein vorzüglicher Einstieg sind natürlich immer die Tutorials des Kollegen @aqui hier im Forum. Je nach Verständnisbasis ist begleitend aber Vertiefung angesagt Je nach Einsatz und Motivation bist Du ein ein paar Tagen bis Monaten fit
Für Nicht-Leser bzw. einfach zur anderen Darstellung empfehle ich immer gern Sebastian Philippi:
https://www.youtube.com/watch?v=FaCSLnEuasI&list=PLCb8EhYsrW_tsRzos7 ...
https://www.youtube.com/watch?v=6ry0bf9vwPc&list=PLCb8EhYsrW_vAltX8H ...
Vom Informatiklehrer vorzüglichst aufbereitet, von wem will man es sonst lernen?
Viele Grüße, commodity
Netzwerkmanagement lernt man nicht ohne Lektüre. Gerade Cisco hat vorzügliche Manuals und Knowledge-Sites. Und sogar manchmal auf deutsch, was für die Materie ungewöhnlich ist. Z.B. sowas:
https://www.cisco.com/c/en/us/products/routers/what-is-routing.html
https://www.cisco.com/c/de_de/support/docs/lan-switching/inter-vlan-rout ...
(das Catalyst-Geschwafel einfach wegdenken. Wichtig sind erstmal die allgemeinen Ausführungen)
Also ran an die Basics. Ein so schöner Switch ohne dass man sich die Grundkenntnisse erarbeitet, ist rausgeschmissenes Geld. Und ein stabiles Netz erhöht den WAF erheblich. Ein vorzüglicher Einstieg sind natürlich immer die Tutorials des Kollegen @aqui hier im Forum. Je nach Verständnisbasis ist begleitend aber Vertiefung angesagt
Je nach Einsatz und Motivation bist Du ein ein paar Tagen bis Monaten fit Für Nicht-Leser bzw. einfach zur anderen Darstellung empfehle ich immer gern Sebastian Philippi:
https://www.youtube.com/watch?v=FaCSLnEuasI&list=PLCb8EhYsrW_tsRzos7 ...
https://www.youtube.com/watch?v=6ry0bf9vwPc&list=PLCb8EhYsrW_vAltX8H ...
Vom Informatiklehrer vorzüglichst aufbereitet, von wem will man es sonst lernen?
Viele Grüße, commodity
1
Es routet. Vielen Dank für das Tutorial. Ich hatte bereits nach so etwas gesucht aber leider immer irgendetwas falsch gemacht.
Jetzt komme ich zu den ACLs:
Ich habe im GUI versucht eine IPv4-Based ACE zu erstellen (als Test: deny Port 80-443). Ich kann diese aber nicht an ein VLAN oder einen Port binden. Sie erscheint zwar im pulldown Menu, aber beim setzen kommt die Meldung "Empty ACL Can Not be Attached to Class-map or interface.".
Muss ich die vorher noch woanders eintragen?
Viele Grüße Jörg
Jetzt komme ich zu den ACLs:
Ich habe im GUI versucht eine IPv4-Based ACE zu erstellen (als Test: deny Port 80-443). Ich kann diese aber nicht an ein VLAN oder einen Port binden. Sie erscheint zwar im pulldown Menu, aber beim setzen kommt die Meldung "Empty ACL Can Not be Attached to Class-map or interface.".
Muss ich die vorher noch woanders eintragen?
Viele Grüße Jörg
Du redest von ACE wir von ACL...finde den Unterschied!
Its all on the web!
https://www.youtube.com/watch?v=08T4Ovw7O48
Its all on the web!
https://www.youtube.com/watch?v=08T4Ovw7O48
Es fehlte die Verknüpfung zwischen ACE und ACL. Jetzt kann ich die ACL dem VLAN zuordnen.
Vielen Dank
Vielen Dank
👏👍
Immer gerne!
Immer gerne!
Hallo zusammen…
Klug###ermodus ein
Subnet muss dann aber 255.255.255.224 sein (und nicht 255.255.224.0)
Schönen Feierabend!
Klug###ermodus ein
Subnet muss dann aber 255.255.255.224 sein (und nicht 255.255.224.0)
Schönen Feierabend!
Zitat von @em-pie:
Wobei du natürlich
VLAN 10: 172.16.0.0 / 255.255.224.0
VLAN 20: 172.16.0.32 / 255.255.224.0
VLAN 30: 172.16.0.64 / 255.255.224.0
VLAN 40: 172.16.0.96 / 255.255.224.0
VLAN 50: 172.16.0.128 / 255.255.224.0
VLAN 60: 172.16.0.160 / 255.255.224.0
machen kannst (hoffe, mich nicht verzählt zu haben)
Edit: Passt
VLAN 10: 172.16.0.1
VLAN 20: 172.16.0.33
VLAN 30: 172.16.0.65
VLAN 40: 172.16.0.97
VLAN 50: 172.16.0.129
VLAN 60: 172.16.0.161
Gemäß dieser Anleitung kann er das aber (-destination-port)
Zitat von @joka01:
Hallo zusammen,
ich bin ziemlicher Neuling in der layer 3 Ebene. Ich habe einen Cisco CBS-350 mit 6 VLAN verteilt auf mehreren Ports.
Schon mal keine schlechten Voraussetzungen Hallo zusammen,
ich bin ziemlicher Neuling in der layer 3 Ebene. Ich habe einen Cisco CBS-350 mit 6 VLAN verteilt auf mehreren Ports.
Jetzt soll ein VLAN Verbindung zu den anderen VLANs bei Nutzung der von mir festgelegten Protokoll ports (also zum Beispiel Port 80, 443, eigene Definitionen) erhalten.
Frage 1: Muss jedes VLAN einen eigenen IP Bereich haben oder können alle oder mehrere VLAN im gleichen Subnet liegen (natürlich wird dann jede IP nur einmal vergeben)?
Jedes VLAN ein eigenes Segment.Wobei du natürlich
VLAN 10: 172.16.0.0 / 255.255.224.0
VLAN 20: 172.16.0.32 / 255.255.224.0
VLAN 30: 172.16.0.64 / 255.255.224.0
VLAN 40: 172.16.0.96 / 255.255.224.0
VLAN 50: 172.16.0.128 / 255.255.224.0
VLAN 60: 172.16.0.160 / 255.255.224.0
machen kannst (hoffe, mich nicht verzählt zu haben
)Edit: Passt
Frage 2: Wie bekomme ich die Verbindung des einen VLAN zu den anderen hin?
Gib jedem Subnet eine IP:VLAN 10: 172.16.0.1
VLAN 20: 172.16.0.33
VLAN 30: 172.16.0.65
VLAN 40: 172.16.0.97
VLAN 50: 172.16.0.129
VLAN 60: 172.16.0.161
Frage 3: Wie kann ich die Verbindung auf die Nutzung bestimmter Protokolle (siehe oben) einschränken?
Stichwort ACL. Ich weiss aber nicht, ob der CBS 350 mit ACL auf Layer 4 klar kommt (TCP/ UDP ist Layer 4)Gemäß dieser Anleitung kann er das aber (-destination-port)
Vielen Dank schon mal im voraus fürs Gedanken machen,
Jörg
Jörg
Gut aufgepasst!! 👍
