8
Cisco SF300 Switch mit 3 VLANs, 3 Internetanschlüssen, 3 DHCP Servern. Wie kann ich ein interVLAN realisieren..?
Hallo,
ich stehe gerade vor einem Problem, obwohl sicherlich viele das belächeln werden, kann ich es dennoch leider alleine nicht lösen, da ich noch keine Erfahrung mit dieser Materie habe... :/
Was ich will und was vorhanden ist:
Ich habe einen Cisco SF-300-24 Switch hier den ich in 3 VLAN's unterteilen möchte. Zu allererst habe ich den Switch in Layer 3 Modus geschalten, damit er auch Vermitteln kann..
Okay... Nun habe ich zusätzlich zum Standard VLAN1, 3 VLAN's erstellt: VLAN10, VLAN20, VLAN30.
Nun habe ich alle Ports in den Access Modus geschalten und jedem VLAN seine Ports zugewiesen. Des weiteren habe ich jedem VLAN eine Interface IP Adresse zugewiesen.
VLAN10: 172.16.10.0/24
VLAN20: 172.16.20.0/24
VLAN30: 10.0.0.0/24
Jedes VLAN verfügt nun über seinen eigenen Internetanschluss (Standard Modem/Router Gerät mit integrierten DHCP Server).
Soweit funktioniert dass nun auch schon und jedes Gerät bekomme von seinem DHCP Server die IP Adresse und die Netze sind voneinander getrennt.
Ich möchte nun aber von einem beliebigen Computer im VLAN10, auf die Geräte der VLAN20 und VLAN30 zugreifen.
VLAN10 ist sozusagen mein Standard VLAN.
Aber wie mache ich das nun..??? funktioniert dass mit ACL's..??? Was stelle ich auf den einzelnen DHCP servern ein..?
Achja was mir noch aufgefallen ist, seitdem ich die VLANS erstellt habe, kann ich mich von Extern nicht mehr auf den Switch connecten... die Console sagt immer "Syn Received" aber verbindet sicht nicht... keine Ahnung was ich da falsch verstellt habe...
Am aller liebsten wäre mir, wenn es hier jemanden geben würde, der so nett sein könnte, sich per Teamviewer oder SSH einzuloggen und mir dieses Teil zu konfigurieren... Ich würde ihm dafür auch eine kleine Aufwandspauschale per Paypal zukommen lassen, wenn er das haben möchte.
Wäre echt nett wenn mir jemand weiter helfen könnte.
VIELEN DANK.
ich stehe gerade vor einem Problem, obwohl sicherlich viele das belächeln werden, kann ich es dennoch leider alleine nicht lösen, da ich noch keine Erfahrung mit dieser Materie habe... :/
Was ich will und was vorhanden ist:
Ich habe einen Cisco SF-300-24 Switch hier den ich in 3 VLAN's unterteilen möchte. Zu allererst habe ich den Switch in Layer 3 Modus geschalten, damit er auch Vermitteln kann..
Okay... Nun habe ich zusätzlich zum Standard VLAN1, 3 VLAN's erstellt: VLAN10, VLAN20, VLAN30.
Nun habe ich alle Ports in den Access Modus geschalten und jedem VLAN seine Ports zugewiesen. Des weiteren habe ich jedem VLAN eine Interface IP Adresse zugewiesen.
VLAN10: 172.16.10.0/24
VLAN20: 172.16.20.0/24
VLAN30: 10.0.0.0/24
Jedes VLAN verfügt nun über seinen eigenen Internetanschluss (Standard Modem/Router Gerät mit integrierten DHCP Server).
Soweit funktioniert dass nun auch schon und jedes Gerät bekomme von seinem DHCP Server die IP Adresse und die Netze sind voneinander getrennt.
Ich möchte nun aber von einem beliebigen Computer im VLAN10, auf die Geräte der VLAN20 und VLAN30 zugreifen.
VLAN10 ist sozusagen mein Standard VLAN.
Aber wie mache ich das nun..??? funktioniert dass mit ACL's..??? Was stelle ich auf den einzelnen DHCP servern ein..?
Achja was mir noch aufgefallen ist, seitdem ich die VLANS erstellt habe, kann ich mich von Extern nicht mehr auf den Switch connecten... die Console sagt immer "Syn Received" aber verbindet sicht nicht... keine Ahnung was ich da falsch verstellt habe...
Am aller liebsten wäre mir, wenn es hier jemanden geben würde, der so nett sein könnte, sich per Teamviewer oder SSH einzuloggen und mir dieses Teil zu konfigurieren... Ich würde ihm dafür auch eine kleine Aufwandspauschale per Paypal zukommen lassen, wenn er das haben möchte.
Wäre echt nett wenn mir jemand weiter helfen könnte.
VIELEN DANK.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 203877
Url: https://administrator.de/contentid/203877
Printed on: April 25, 2024 at 14:04 o'clock
8 Comments
Latest comment
Zu deinen Fragen:
"...Nun möchte ich von einem beliebigen Computer im VLAN10, auf die Geräte der VLAN20 und VLAN30 zugreifen.
funktioniert dass mit ACL's..???"
A.: Nein natürlich nicht ! ACL = Accessliste und regelt durch Verbote oder Erlauben den Zugriff auf IP Netze. In der regel schränkt man damit Zugriffe ein !
Dein Switch ist ein Layer 3 Switch also einen Router der zwischen den VLANs transparent routet. Da braucht es logischerweise keine Accesslisten (ggf. später wenn du Zugriffe einschränken willst) denn der Switch kann transparent zwischen allen VLANs routen. Logisch...denn sie sind ja direkt an ihm angeschlossen !
Am Switch ist selber nichts mehr weiter zu konfigurieren.
Mit den VLANs, den Ports den du diesen VLANs zugewiesen hast und den IP Adressen in den VLANs ist schon alles erledigt !
Wenn du jetzt in 2 dieser VLANs je einen PC hängst, dem die Switch IP als Gateway konfigurierst kannst du schon problemlos zwischen diesen PCs pingen !!
Da du aber in jedem dieser VLANs einen separaten Internet Router hast musst du hier auf den jeweiligen Internet Routern zwingend ein paar statische Routen eintragen, damit das IP Routing sauber funktioniert zw. den VLANs !
Jetzt kann man nur hoffen, das das kein billiger Speedport Consumer Schrott ist, denn die supporten sowas Banales nicht. Damit hast du dann erstmal ein Problem was man aber mit etwas Aufwand auch lösen kann.
Warten wir also erstmal dein Feedback dazu ab ?!!
"...Aber wie mache ich das nun..???
A.: indem du die entsprechenden statischen Routen auf den einzelnen Internet Routern in den VLANs einträgst !
Wie immer bei solchen Banalfragen hast du (vermutlich) falsche IP Adressierungen, falsche Gateways auf den Clients und/oder fehlende Routen in den VLANs !!
Denk immer dran: Traceroute (tracert) und Pathping sind hier wie immer deine besten Freunde. Da wo's nicht mehr weitergeht ist auch dein Fehler !
So machst du die richtige IP Adressierung in deinen IP Netzen (VLANs) !:
VLAN 10 (172.16.10.0/24):
Switch VLAN IP Adresse: 172.16.10.1
Client PC IP in diesem VLAN: 172.16.10.100, PC Gateway: 172.16.10.254
Internet Router IP in diesem VLAN: 172.16.10.254
Statische Routen auf dem Internet Router in VLAN 10:
Ziel: 172.16.20.0, Maske: 255.255.255.0, Gateway: 172.16.10.1
Ziel: 10.0.0.0, Maske: 255.255.255.0, Gateway: 172.16.10.1
VLAN 20 (172.16.20.0/24):
Switch VLAN IP Adresse: 172.16.20.1
Client PC IP in diesem VLAN: 172.16.20.100, PC Gateway: 172.16.20.254
Internet Router IP in diesem VLAN: 172.16.20.254
Statische Routen auf dem Internet Router in VLAN 20:
Ziel: 172.16.30.0, Maske: 255.255.255.0, Gateway: 172.16.20.1
Ziel: 10.0.0.0, Maske: 255.255.255.0, Gateway: 172.16.20.1
VLAN 30 (10.0.0.0/24):
Switch VLAN IP Adresse: 10.0.0.1
Client PC IP in diesem VLAN: 10.0.0.100, PC Gateway: 10.0.0.254
Internet Router IP in diesem VLAN: 10.0.0.254
Statische Routen auf dem Internet Router in VLAN 30:
Ziel: 172.16.20.0, Maske: 255.255.255.0, Gateway: 10.0.0.1
Ziel: 172.16.30.0, Maske: 255.255.255.0, Gateway: 10.0.0.1
Fertig ist der Lack !!
Wo ist denn nun dein eigentliches Problem ??
Grundlagen zum Routing vermitteln diese Tutorials:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
"...Nun möchte ich von einem beliebigen Computer im VLAN10, auf die Geräte der VLAN20 und VLAN30 zugreifen.
funktioniert dass mit ACL's..???"
A.: Nein natürlich nicht ! ACL = Accessliste und regelt durch Verbote oder Erlauben den Zugriff auf IP Netze. In der regel schränkt man damit Zugriffe ein !
Dein Switch ist ein Layer 3 Switch also einen Router der zwischen den VLANs transparent routet. Da braucht es logischerweise keine Accesslisten (ggf. später wenn du Zugriffe einschränken willst) denn der Switch kann transparent zwischen allen VLANs routen. Logisch...denn sie sind ja direkt an ihm angeschlossen !
Am Switch ist selber nichts mehr weiter zu konfigurieren.
Mit den VLANs, den Ports den du diesen VLANs zugewiesen hast und den IP Adressen in den VLANs ist schon alles erledigt !
Wenn du jetzt in 2 dieser VLANs je einen PC hängst, dem die Switch IP als Gateway konfigurierst kannst du schon problemlos zwischen diesen PCs pingen !!
Da du aber in jedem dieser VLANs einen separaten Internet Router hast musst du hier auf den jeweiligen Internet Routern zwingend ein paar statische Routen eintragen, damit das IP Routing sauber funktioniert zw. den VLANs !
Jetzt kann man nur hoffen, das das kein billiger Speedport Consumer Schrott ist, denn die supporten sowas Banales nicht. Damit hast du dann erstmal ein Problem was man aber mit etwas Aufwand auch lösen kann.
Warten wir also erstmal dein Feedback dazu ab ?!!
"...Aber wie mache ich das nun..???
A.: indem du die entsprechenden statischen Routen auf den einzelnen Internet Routern in den VLANs einträgst !
Wie immer bei solchen Banalfragen hast du (vermutlich) falsche IP Adressierungen, falsche Gateways auf den Clients und/oder fehlende Routen in den VLANs !!
Denk immer dran: Traceroute (tracert) und Pathping sind hier wie immer deine besten Freunde. Da wo's nicht mehr weitergeht ist auch dein Fehler !
So machst du die richtige IP Adressierung in deinen IP Netzen (VLANs) !:
VLAN 10 (172.16.10.0/24):
Switch VLAN IP Adresse: 172.16.10.1
Client PC IP in diesem VLAN: 172.16.10.100, PC Gateway: 172.16.10.254
Internet Router IP in diesem VLAN: 172.16.10.254
Statische Routen auf dem Internet Router in VLAN 10:
Ziel: 172.16.20.0, Maske: 255.255.255.0, Gateway: 172.16.10.1
Ziel: 10.0.0.0, Maske: 255.255.255.0, Gateway: 172.16.10.1
VLAN 20 (172.16.20.0/24):
Switch VLAN IP Adresse: 172.16.20.1
Client PC IP in diesem VLAN: 172.16.20.100, PC Gateway: 172.16.20.254
Internet Router IP in diesem VLAN: 172.16.20.254
Statische Routen auf dem Internet Router in VLAN 20:
Ziel: 172.16.30.0, Maske: 255.255.255.0, Gateway: 172.16.20.1
Ziel: 10.0.0.0, Maske: 255.255.255.0, Gateway: 172.16.20.1
VLAN 30 (10.0.0.0/24):
Switch VLAN IP Adresse: 10.0.0.1
Client PC IP in diesem VLAN: 10.0.0.100, PC Gateway: 10.0.0.254
Internet Router IP in diesem VLAN: 10.0.0.254
Statische Routen auf dem Internet Router in VLAN 30:
Ziel: 172.16.20.0, Maske: 255.255.255.0, Gateway: 10.0.0.1
Ziel: 172.16.30.0, Maske: 255.255.255.0, Gateway: 10.0.0.1
Fertig ist der Lack !!
Wo ist denn nun dein eigentliches Problem ??
Grundlagen zum Routing vermitteln diese Tutorials:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
1
ja mein Problem ist eigentlich nur, dass ich sowas noch nie gemacht habe und mir jeder von meinen Bekannten bis jetzt was anderes erzählt hat... :/ mir war es fast klar, dass es eine simple Lösung dafür gibt und es für nen Profi ne 5 minuten geschichte wird ;)
okay, dass heißt nun, ich muss auf jedem Internetrouter statische Routen hinterlegen. Wenn ich das nun aber so mache, wie du es geschrieben hast, haben dann nicht auch die Geräte im VLAN20 und VLAN30 auch Zugriff auf die Geräte in VLAN10..??? eigentlich möchte ich nur über VLAN10 auf alle anderen VLAN Geräte kommen, aber alle anderen Geräte sollen nur in ihrem VLAN bleiben...
Was ist, wenn ich auf einem Internetrouter keine statischen Routen hinterlegen kann..??? auf meinem VLAN10 Router kann ich es sicher (DD-WRT Router) aber auf VLAN20 und VLAN30 stellt eine Telefonanlage mit integrierten Router die PPPoE verbindung her... weiß da nicht ob ich da die Möglichkeit habe, statische Routen zu konfigurieren... falls "nein", gibt es eine andere Möglichkeit..? kann das morgen aber definitiv abklären, da die Telefonanlagensoftware ne Eigenentwicklung ist und ich beim Coder mal nachfragen werde...
lg und danke für die rasche antwort...
okay, dass heißt nun, ich muss auf jedem Internetrouter statische Routen hinterlegen. Wenn ich das nun aber so mache, wie du es geschrieben hast, haben dann nicht auch die Geräte im VLAN20 und VLAN30 auch Zugriff auf die Geräte in VLAN10..??? eigentlich möchte ich nur über VLAN10 auf alle anderen VLAN Geräte kommen, aber alle anderen Geräte sollen nur in ihrem VLAN bleiben...
Was ist, wenn ich auf einem Internetrouter keine statischen Routen hinterlegen kann..??? auf meinem VLAN10 Router kann ich es sicher (DD-WRT Router) aber auf VLAN20 und VLAN30 stellt eine Telefonanlage mit integrierten Router die PPPoE verbindung her... weiß da nicht ob ich da die Möglichkeit habe, statische Routen zu konfigurieren... falls "nein", gibt es eine andere Möglichkeit..? kann das morgen aber definitiv abklären, da die Telefonanlagensoftware ne Eigenentwicklung ist und ich beim Coder mal nachfragen werde...
lg und danke für die rasche antwort...
Such dir Bekannte aus die du fragst, die auch wirklich wissen worüber sie sprechen !!
Raten und in die Kristallkugel sehen kann jeder....gibts hier auch zuhauf !
"...haben dann nicht auch die Geräte im VLAN20 und VLAN30 auch Zugriff auf die Geräte in VLAN10..???"
A.: Ja natürlich. Erstmal ja, denn der Switch routet ja erstmal ohne Einschränkungen.
Wenn du das unterbinden willst, dann sind wir in der Tat wieder bei den Accesslisten !! Damit schänkst du den Zugriff ein !
Du weisst scheinbar sehr wenig über IP Kommunikation in Netzen, vielleicht solltest du erstmal etwas Grundlagen lesen, denn das was du machen willst erfordert etwas Accesslisten programmierung !!
Wenn ein PC in VLAN 10 z.B. einen Ping auf einen in VLAN 20 ausführt muss der PC aus VLAN 20 ja auch antworten an den PC in VLAN 10. Folglich musst du für die Rückroute also auch Kommunikation erlauben.
Einsetig alles dichtzumachen geht also nicht ! Du musst dir also wirklich genau überlegen WER mit WEM WAS in WELCHEM Vlan darf und danach die ACLs konfigurieren.
Soweit bist du ja erstmal noch gar nicht. Mache also nicht den 2ten Schritt vor dem ersten und bringe erstmal überhaupt den Grundkonfiguration zum laufen !!
DANN kann man die Türen mit ACLs langsam so zumachen wie du es haben willst.
Zu deiner Routing Frage:
Wenn dein Internet Router ein dummer Router ist der nichtmal statische Routen supportet (das Gros der Router kann sowas) dann hast du erstmal ein Problem.
Um die Kommunikation aber dennoch sicherzustellen kannst bzw. MUSST du dann auf jedem Client im VLAN diese statischen Routen als Workaround eintragen.
Bei Winblows geht das z.B. mit dem Kommando route add <zielnetz> mask <maske> <gateway_ip> -p in der Eingabeaufforderung.
Das ist eigentlich der falsche Weg denn routen sollen immer nur sinnigerweise die Router und nicht die Endgeräte aber wenn technisch diese Möglichkeit bei dir wegen Billighardware nicht besteht, dann musst du in den sauren Apfel beissen und das so machen oder andere Router beschaffen. Eine andere Option hast du de facto nicht !
Telefonanlagen können niemals selber routen geschweige denn PPPoE sprechen.
Vermutlich ist das ein Linux Router mit Asterisk VoIP oder sowas drauf der das aber dann schon kann.
Das du nichtmal das sicher weisst bzw. diese Geräte gar nicht kennst und keinerlei Grundlagenwissen zur IP Layer 3 Kommunikation hast sind, wie du dir sicher denken kannst, keine günstigen Voraussetzungen so ein Projekt erfolgreich umzusetzen. Wenigstens HW seitig ist ja soweit alles richtig.
Vielleicht solltest du dir jemand an deine Seite nehmen der wirklich weiss was er da macht ?!
Raten und in die Kristallkugel sehen kann jeder....gibts hier auch zuhauf !
"...haben dann nicht auch die Geräte im VLAN20 und VLAN30 auch Zugriff auf die Geräte in VLAN10..???"
A.: Ja natürlich. Erstmal ja, denn der Switch routet ja erstmal ohne Einschränkungen.
Wenn du das unterbinden willst, dann sind wir in der Tat wieder bei den Accesslisten !! Damit schänkst du den Zugriff ein !
Du weisst scheinbar sehr wenig über IP Kommunikation in Netzen, vielleicht solltest du erstmal etwas Grundlagen lesen, denn das was du machen willst erfordert etwas Accesslisten programmierung !!
Wenn ein PC in VLAN 10 z.B. einen Ping auf einen in VLAN 20 ausführt muss der PC aus VLAN 20 ja auch antworten an den PC in VLAN 10. Folglich musst du für die Rückroute also auch Kommunikation erlauben.
Einsetig alles dichtzumachen geht also nicht ! Du musst dir also wirklich genau überlegen WER mit WEM WAS in WELCHEM Vlan darf und danach die ACLs konfigurieren.
Soweit bist du ja erstmal noch gar nicht. Mache also nicht den 2ten Schritt vor dem ersten und bringe erstmal überhaupt den Grundkonfiguration zum laufen !!
DANN kann man die Türen mit ACLs langsam so zumachen wie du es haben willst.
Zu deiner Routing Frage:
Wenn dein Internet Router ein dummer Router ist der nichtmal statische Routen supportet (das Gros der Router kann sowas) dann hast du erstmal ein Problem.
Um die Kommunikation aber dennoch sicherzustellen kannst bzw. MUSST du dann auf jedem Client im VLAN diese statischen Routen als Workaround eintragen.
Bei Winblows geht das z.B. mit dem Kommando route add <zielnetz> mask <maske> <gateway_ip> -p in der Eingabeaufforderung.
Das ist eigentlich der falsche Weg denn routen sollen immer nur sinnigerweise die Router und nicht die Endgeräte aber wenn technisch diese Möglichkeit bei dir wegen Billighardware nicht besteht, dann musst du in den sauren Apfel beissen und das so machen oder andere Router beschaffen. Eine andere Option hast du de facto nicht !
Telefonanlagen können niemals selber routen geschweige denn PPPoE sprechen.
Vermutlich ist das ein Linux Router mit Asterisk VoIP oder sowas drauf der das aber dann schon kann.
Das du nichtmal das sicher weisst bzw. diese Geräte gar nicht kennst und keinerlei Grundlagenwissen zur IP Layer 3 Kommunikation hast sind, wie du dir sicher denken kannst, keine günstigen Voraussetzungen so ein Projekt erfolgreich umzusetzen. Wenigstens HW seitig ist ja soweit alles richtig.
Vielleicht solltest du dir jemand an deine Seite nehmen der wirklich weiss was er da macht ?!
1
ja grundsätzlich hab ich mir das eh schon so gedacht, dass da so funktionieren muss, wie du es beschrieben hast. Das ich statische routen auf dem Internetroutern hinterlegen muss!
Ich war nur vorerst der Annahme, dass der Switch eventuell direkt routen würde, sprich automatisch erkennt, dass es eine Anfrage in ein anderes VLAN ist.
Der nächste Gedankenanstoß war, dass ich auf allen Client Geräten die Routen definieren muss (Also dass, was du jetzt zum schluss geschrieben hast).
Ich hätte das aber mit DHCP lösen wollen... sprich, so wie du das mit "route add" lokal umgesetzt hättest, hätte ich das per DHCP option 33 lösen wollen.
Aber da dachte mir, was ist dann mit den statisch vergebenen Client IP Einstellungen..? Da würde dann ja keine DHCP Route mitübertragen werden.
Dshalb kam ich von diesem Gedanke wieder ab und wusste dann nicht mehr, was ich nun wirklich tun soll.
Zwecks Telefonanlage: ja ist eine auf Asterisk basierte Software die PPPoE macht und einen DHCP Server integriert hat... leider ist aber SSH auf den Anlagen gesperrt, sodass ich nur die Möglichkeit habe, per WebIf statische routen zu definieren. Jedoch glaube ich, dass das aktuell noch nicht möglich ist. Werde da morgen mal nachfragen... bzw. ob man das in die WebIf implementieren kann, denn rein technisch ist es möglich, nur ich komm halt nicht ins SSH.
ja wegen der "zur seite nehmen" bin ich ja gerade hier im Forum :P - - ich weiß selbst, dass ich aktuell noch ein wenig schwimme, weil ich mich damit noch nie auseinander gesetzt habe.. ich weiß zwar einige Basics und schlagwörter, aber konfiguriert hab ich sowas noch nie... Jeder fängt mal klein an ;)
Ich war nur vorerst der Annahme, dass der Switch eventuell direkt routen würde, sprich automatisch erkennt, dass es eine Anfrage in ein anderes VLAN ist.
Der nächste Gedankenanstoß war, dass ich auf allen Client Geräten die Routen definieren muss (Also dass, was du jetzt zum schluss geschrieben hast).
Ich hätte das aber mit DHCP lösen wollen... sprich, so wie du das mit "route add" lokal umgesetzt hättest, hätte ich das per DHCP option 33 lösen wollen.
Aber da dachte mir, was ist dann mit den statisch vergebenen Client IP Einstellungen..? Da würde dann ja keine DHCP Route mitübertragen werden.
Dshalb kam ich von diesem Gedanke wieder ab und wusste dann nicht mehr, was ich nun wirklich tun soll.
Zwecks Telefonanlage: ja ist eine auf Asterisk basierte Software die PPPoE macht und einen DHCP Server integriert hat... leider ist aber SSH auf den Anlagen gesperrt, sodass ich nur die Möglichkeit habe, per WebIf statische routen zu definieren. Jedoch glaube ich, dass das aktuell noch nicht möglich ist. Werde da morgen mal nachfragen... bzw. ob man das in die WebIf implementieren kann, denn rein technisch ist es möglich, nur ich komm halt nicht ins SSH.
ja wegen der "zur seite nehmen" bin ich ja gerade hier im Forum :P - - ich weiß selbst, dass ich aktuell noch ein wenig schwimme, weil ich mich damit noch nie auseinander gesetzt habe.. ich weiß zwar einige Basics und schlagwörter, aber konfiguriert hab ich sowas noch nie... Jeder fängt mal klein an ;)
..."Ich war nur vorerst der Annahme, dass der Switch eventuell direkt routen würde, sprich automatisch erkennt, dass es eine Anfrage in ein anderes VLAN ist."
A.: Ja, das tut er ja auch !! Dein Switch ist außer Switch auch noch ein Router zwischen den VLANs und erkennt anhand der IP Adresse im Ethernet Paket "automatisch" das dies Traffic für ein anderes VLAN ist und behandelt es entsprechend !
Ein absolutes Standardverhalten von IP Routern die anhand der Ziel IP Adresse im Paket die Wegefindung automatisch erkennen. Wie gesagt: Du solltest dir nochmal die Grundlagen der Layer 3 (Routing) IP Kommunikation anlesen:
http://de.wikipedia.org/wiki/Routing
Natürlich ist die Option Routen auf Endgeräten zu konfigurieren extrem kontraproduktiv. Niemals macht man das denn routen sollen IMMER die Router im Netzwerk (dafür sind sie Router) und niemals die Endgeräte selber !!
Manchmal lässt sich das allerdings nicht vermeiden wenn man im Blödmarkt wieder im untersten Regal aufs Billigste geschielt hat und schrottige Billighardware im Netzwerk betreibt die das nicht supportet. Da muss man sich dann entscheiden: Entweder diese Kröte schlucken oder neue anständige HW !! Glücklicherweise ist das bei dir erstmal wohl nicht der Fall..?!
Option 33 im DHCP wäre ein Workaround aber da müsstest du dann sicher sein das alle DHCP Clients im Netz dies auch auswerten können. Das ist sehr oft nicht der Fall und löst dir dann auch nicht das Grundproblem das du die Routen dann schon wieder auf den Endgeräten hast !!
Bei statischer Adressierung müsstest du es dann eh wiederum statisch eintragen...
Was deine Asterisk Anlage anbetrifft ist es zweifelhaft das SSH dort deaktiviert ist. Normalerweise ist das nie der Fall bei Linux um einen sicheren Root Zugriff zu gewähren aber vermutlich hast nur DU keine Rechte für den SSH Shell Zugriff. Auch das ist üblich bei festen Voice Appliances auf Asterisk Basis wie z.B. Askozia
Die Chancen stehen dafür aber sehr gut das dort statische Routen einzutragen sind. Generell supportet Linux natürlich sowas und VoIP Anlagen betreibt man IMMER in separaten VoIP Voice VLANs. Für den remoten Zugriff auf diese Anlagen aus anderen VLANs sind statische Routing Einträge also zwingend erforderlich und auch absolut üblich in solchen Netzwerk Designs.
Das sollte also in jedem Falle klappen !
Solltest du aber sicher klären logischerweise !
Klar fängt jeder klein an, keine Frage ! Wenn das aber ein Kundenprojekt ist wo Geld fliest für eine fachgerechte Installation die ein Netzwerker in 15 Minuten erledigt hat und du mit "Trial and Error" vielleicht 2 Tage brauchst (oder es gar nicht hinbekommst) musst du dich mal an die eigene Nase fassen ob das der richtige Weg ist.
Nun gut, wir hier im Forum kennen die Rahmenbedingungen (vielleicht ists ja der Kumpel) nicht...die ja zur rein technischen Problemlösung auch erstmal irrelevant sind ?!
A.: Ja, das tut er ja auch !! Dein Switch ist außer Switch auch noch ein Router zwischen den VLANs und erkennt anhand der IP Adresse im Ethernet Paket "automatisch" das dies Traffic für ein anderes VLAN ist und behandelt es entsprechend !
Ein absolutes Standardverhalten von IP Routern die anhand der Ziel IP Adresse im Paket die Wegefindung automatisch erkennen. Wie gesagt: Du solltest dir nochmal die Grundlagen der Layer 3 (Routing) IP Kommunikation anlesen:
http://de.wikipedia.org/wiki/Routing
Natürlich ist die Option Routen auf Endgeräten zu konfigurieren extrem kontraproduktiv. Niemals macht man das denn routen sollen IMMER die Router im Netzwerk (dafür sind sie Router) und niemals die Endgeräte selber !!
Manchmal lässt sich das allerdings nicht vermeiden wenn man im Blödmarkt wieder im untersten Regal aufs Billigste geschielt hat und schrottige Billighardware im Netzwerk betreibt die das nicht supportet. Da muss man sich dann entscheiden: Entweder diese Kröte schlucken oder neue anständige HW !! Glücklicherweise ist das bei dir erstmal wohl nicht der Fall..?!
Option 33 im DHCP wäre ein Workaround aber da müsstest du dann sicher sein das alle DHCP Clients im Netz dies auch auswerten können. Das ist sehr oft nicht der Fall und löst dir dann auch nicht das Grundproblem das du die Routen dann schon wieder auf den Endgeräten hast !!
Bei statischer Adressierung müsstest du es dann eh wiederum statisch eintragen...
Was deine Asterisk Anlage anbetrifft ist es zweifelhaft das SSH dort deaktiviert ist. Normalerweise ist das nie der Fall bei Linux um einen sicheren Root Zugriff zu gewähren aber vermutlich hast nur DU keine Rechte für den SSH Shell Zugriff. Auch das ist üblich bei festen Voice Appliances auf Asterisk Basis wie z.B. Askozia
Die Chancen stehen dafür aber sehr gut das dort statische Routen einzutragen sind. Generell supportet Linux natürlich sowas und VoIP Anlagen betreibt man IMMER in separaten VoIP Voice VLANs. Für den remoten Zugriff auf diese Anlagen aus anderen VLANs sind statische Routing Einträge also zwingend erforderlich und auch absolut üblich in solchen Netzwerk Designs.
Das sollte also in jedem Falle klappen !
Solltest du aber sicher klären logischerweise !
Klar fängt jeder klein an, keine Frage ! Wenn das aber ein Kundenprojekt ist wo Geld fliest für eine fachgerechte Installation die ein Netzwerker in 15 Minuten erledigt hat und du mit "Trial and Error" vielleicht 2 Tage brauchst (oder es gar nicht hinbekommst) musst du dich mal an die eigene Nase fassen ob das der richtige Weg ist.
Nun gut, wir hier im Forum kennen die Rahmenbedingungen (vielleicht ists ja der Kumpel) nicht...die ja zur rein technischen Problemlösung auch erstmal irrelevant sind ?!
Hello,
so funktioniert alles!
hab den Switch nochmal resettet und nun die VLANs nochmal erstellt, routings auf den 3 Internet routern eingerichtet und ich kann nun von einem Netz in das andere ;)
Ja SSH ist für MICH deaktiviert... weil der Entwickler dass nicht freigbeen will, aber für die Telefonanlage wurde mein gewünschtes Feature heute implementiert, sodass ich auch dort statische Routen vergeben kann, von dem her funktioniert nun alles wie gewollt ;)
nene da gehts um unser kleines 3 Mann Firmennetzwerk und um keine Endkundenkonfiguration... Was wir vorher mit verschiedenen hardware switches gelöst wurde, wollte ich nun einfach mit einem Switch per VLAN realisieren.
Zurück aber zu meinem Gedankengang: ich dachte eigentlich, dass ich direkt den Switch als Gateway bei den Clients aktiviere und der dann entschiedet ob er das Paket weiter an den Internetrouter oder ins andere VLAN routen soll... so war meine Anfangsüberlegung... sprich Standardgateway = Switch IP und der entscheidet dann wohin es gehen soll.
wegen Accesslisten... brauch ich die nun eigentlich noch..? in meinen anderen VLANs befinden sich ja eh nur Telefonanlage + VoIP Telefone... ob die nun zugriff auf mein normales VLAN haben, wäre ja eigentlich egal oder nicht..? hab ich irgend einen Vorteil wenn ich nun noch Accesslisten defnieren würde..???
lg
so funktioniert alles!
hab den Switch nochmal resettet und nun die VLANs nochmal erstellt, routings auf den 3 Internet routern eingerichtet und ich kann nun von einem Netz in das andere ;)
Ja SSH ist für MICH deaktiviert... weil der Entwickler dass nicht freigbeen will, aber für die Telefonanlage wurde mein gewünschtes Feature heute implementiert, sodass ich auch dort statische Routen vergeben kann, von dem her funktioniert nun alles wie gewollt ;)
nene da gehts um unser kleines 3 Mann Firmennetzwerk und um keine Endkundenkonfiguration... Was wir vorher mit verschiedenen hardware switches gelöst wurde, wollte ich nun einfach mit einem Switch per VLAN realisieren.
Zurück aber zu meinem Gedankengang: ich dachte eigentlich, dass ich direkt den Switch als Gateway bei den Clients aktiviere und der dann entschiedet ob er das Paket weiter an den Internetrouter oder ins andere VLAN routen soll... so war meine Anfangsüberlegung... sprich Standardgateway = Switch IP und der entscheidet dann wohin es gehen soll.
wegen Accesslisten... brauch ich die nun eigentlich noch..? in meinen anderen VLANs befinden sich ja eh nur Telefonanlage + VoIP Telefone... ob die nun zugriff auf mein normales VLAN haben, wäre ja eigentlich egal oder nicht..? hab ich irgend einen Vorteil wenn ich nun noch Accesslisten defnieren würde..???
lg
Webif und ssh problem von extern:
seitdem ich die VLANS erstellt habe, kann ich mich von Extern nicht mehr auf den Switch connecten... die Console sagt immer "Syn Received" aber verbindet sicht nicht, sprich wirft keinen ack zurück.... Lokal funktioniert es aber extern nicht... Am internet router sind die ports freigegeben (sonst würde ich ja nicht mal ein syn bekommen...) aber retour geht es nicht mehr... Jedoch mit vlan1 ging es ohne probleme...
seitdem ich die VLANS erstellt habe, kann ich mich von Extern nicht mehr auf den Switch connecten... die Console sagt immer "Syn Received" aber verbindet sicht nicht, sprich wirft keinen ack zurück.... Lokal funktioniert es aber extern nicht... Am internet router sind die ports freigegeben (sonst würde ich ja nicht mal ein syn bekommen...) aber retour geht es nicht mehr... Jedoch mit vlan1 ging es ohne probleme...
..." ich dachte eigentlich, dass ich direkt den Switch als Gateway bei den Clients aktiviere"
A.: Ja, eigentlich ist das auch der absolut richtige Weg, denn der L3 Switch ist in so einen Szenario immer das zentrale Gateway....aber....
Bei DIR ist das Design speziell, denn du hast in Jedem VLAN ja einen Internet Router. Damit geht das dann logischerweise NICHT.
Warum nicht... ? Gut, normalerweise hat der L3 Switch, der ja dann zentraler Router für alle VLANs ist IMMER eine default Route auf einen Internet Router !
Welchen aber sollte man dann nehmen bei dir und WAS passiert dann mit den anderen 2 Internet Zugängen ??
Du siehst, das ist genau dein Problem in deinem speziellen Szenario.
Professionell löst man das mit einem weiteren VLAN indem man den Internet Zugang bzw. alle Weitverkehrsanschlüsse dort unterbringt um sie vom Produktivtraffic der anderen VLANs zu trennen.
Dort kommt dann ein zentraler Router rein der die 2 oder 3 Internetzugänge zu einem virtuellen bündelt und ein Load Balancing mit gleichzeitigem Failover dadrüber macht.Oder...will man es getrennt hängt man in das Segment dort alle 3 Einzelrouter rein und macht ein sog. PBR (Policy based Routing) basierend auf der Absender IP mit gleichzeitigem Failover.
Damit kannst du dann auf dem Switch eine default Route einrichten und hast gleichzeitig eine sinnvolle Ausnutzung der gesamt zur Verfügung stehenden Internet Bandbreite und das mit einem gleichzeitigen Failover bei Ausfall und zwar für alle VLANs !
So würde man sowas technisch sinnvoll und professionell lösen....
Zu deinem Remote Problem:
WAS bitte meinst du mit "extern" ?? Wählst du dich über einen der Internet Router ein per VPN oder machst das mit schlichtem Port Forwarding von extern ??
Du hast vermutlich wieder mal nicht nachgedacht und schlicht und einfach auf dem Switch die default Route auf diesen Router vergessen über den du von remote zugreifst.
Beim Zugriff hast du natürlich eine externe Absender IP aus keinem der VLANs. Damit kennt der Switch dann den Weg nicht zu dieser IP wenn ihm eine default Route fehlt !! Logisch !
Trag also sowas wie ip route 0.0.0.0 0.0.0.0 <ip_adresse_router> in der Konfig ein (Handbuch) und dann klappt das auch !!
A.: Ja, eigentlich ist das auch der absolut richtige Weg, denn der L3 Switch ist in so einen Szenario immer das zentrale Gateway....aber....
Bei DIR ist das Design speziell, denn du hast in Jedem VLAN ja einen Internet Router. Damit geht das dann logischerweise NICHT.
Warum nicht... ? Gut, normalerweise hat der L3 Switch, der ja dann zentraler Router für alle VLANs ist IMMER eine default Route auf einen Internet Router !
Welchen aber sollte man dann nehmen bei dir und WAS passiert dann mit den anderen 2 Internet Zugängen ??
Du siehst, das ist genau dein Problem in deinem speziellen Szenario.
Professionell löst man das mit einem weiteren VLAN indem man den Internet Zugang bzw. alle Weitverkehrsanschlüsse dort unterbringt um sie vom Produktivtraffic der anderen VLANs zu trennen.
Dort kommt dann ein zentraler Router rein der die 2 oder 3 Internetzugänge zu einem virtuellen bündelt und ein Load Balancing mit gleichzeitigem Failover dadrüber macht.Oder...will man es getrennt hängt man in das Segment dort alle 3 Einzelrouter rein und macht ein sog. PBR (Policy based Routing) basierend auf der Absender IP mit gleichzeitigem Failover.
Damit kannst du dann auf dem Switch eine default Route einrichten und hast gleichzeitig eine sinnvolle Ausnutzung der gesamt zur Verfügung stehenden Internet Bandbreite und das mit einem gleichzeitigen Failover bei Ausfall und zwar für alle VLANs !
So würde man sowas technisch sinnvoll und professionell lösen....
Zu deinem Remote Problem:
WAS bitte meinst du mit "extern" ?? Wählst du dich über einen der Internet Router ein per VPN oder machst das mit schlichtem Port Forwarding von extern ??
Du hast vermutlich wieder mal nicht nachgedacht und schlicht und einfach auf dem Switch die default Route auf diesen Router vergessen über den du von remote zugreifst.
Beim Zugriff hast du natürlich eine externe Absender IP aus keinem der VLANs. Damit kennt der Switch dann den Weg nicht zu dieser IP wenn ihm eine default Route fehlt !! Logisch !
Trag also sowas wie ip route 0.0.0.0 0.0.0.0 <ip_adresse_router> in der Konfig ein (Handbuch) und dann klappt das auch !!
