8
Erstellung von VLANs inlusive Routing auf 2 Switchen
Erstellen von Subinterfaces, Inter-VLAN Routing
Hallo liebe Administrator-Community!
die ist mein erster Beitrag in diesem Forum, hoffe ihr könnt mir ein bisschen helfen.
Ich sitze zur Zeit an einer Testumgebung mit
2 Switchen (Cisco 3500 und 3550)
2 Rechnern
1 Server (inklusive Domäne, DCHP usw.)
Die beiden Switche sind mit einem ISL Trunk per LWL verbunden und laufen mit VTP. Der Cisco 3550 ist der Server und sendet die erstellten VLANS an den anderen Switch.
Nun möchte ich 3 virtuelle Netzwerke aufbauen:
10.12.228.0 / 24 (Server) Vlan 1
10.12.229.0 /24 ( PC 1 ) Vlan 29
10.12.230.0 /24 ( PC 2) Vlan 30
Die 3 VLANs erstellt und die Ports zugewiesen.
Die Frage die sich mir nun stellt ist:
Wie konfiguriere ich das Routing?
Habe in den Cisco Unterlagen etwas über Subinterfaces gefunden. Diese funktionieren meine Meinung nach ähnlich wie bei einem Subnetz das Gateway. Muss ich dann praktisch auf dem Trunk Port der die beiden Switche verbindet 3 Subinterface erstellen und diese mit der IP der jeweiligen Netze versehen?
Für den DHCP-Dienst gibt es ja den Helper, wird der auch bei jedem Interface konfiguriert?
Muss ich weiterhin für jedes VLAN ein IP Adresse vergeben und was ist der Sinn davon?
Würde mich sehr über Hilfe oder keine Tips freuen!
MfG
Mathias
Hallo liebe Administrator-Community!
die ist mein erster Beitrag in diesem Forum, hoffe ihr könnt mir ein bisschen helfen.
Ich sitze zur Zeit an einer Testumgebung mit
2 Switchen (Cisco 3500 und 3550)
2 Rechnern
1 Server (inklusive Domäne, DCHP usw.)
Die beiden Switche sind mit einem ISL Trunk per LWL verbunden und laufen mit VTP. Der Cisco 3550 ist der Server und sendet die erstellten VLANS an den anderen Switch.
Nun möchte ich 3 virtuelle Netzwerke aufbauen:
10.12.228.0 / 24 (Server) Vlan 1
10.12.229.0 /24 ( PC 1 ) Vlan 29
10.12.230.0 /24 ( PC 2) Vlan 30
Die 3 VLANs erstellt und die Ports zugewiesen.
Die Frage die sich mir nun stellt ist:
Wie konfiguriere ich das Routing?
Habe in den Cisco Unterlagen etwas über Subinterfaces gefunden. Diese funktionieren meine Meinung nach ähnlich wie bei einem Subnetz das Gateway. Muss ich dann praktisch auf dem Trunk Port der die beiden Switche verbindet 3 Subinterface erstellen und diese mit der IP der jeweiligen Netze versehen?
Für den DHCP-Dienst gibt es ja den Helper, wird der auch bei jedem Interface konfiguriert?
Muss ich weiterhin für jedes VLAN ein IP Adresse vergeben und was ist der Sinn davon?
Würde mich sehr über Hilfe oder keine Tips freuen!
MfG
Mathias
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 54046
Url: https://administrator.de/contentid/54046
Ausgedruckt am: 18.11.2024 um 03:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
Du solltest auf Deinem VTP Master ip routing aktivieren und für Deine VLans jeweils ein interface anlegen mit der .1 IP, das ist dann auch Dein Default Gateway: interface Vlan30, ip address 10.12.230.1 255.255.255.0, ip helper-address ist dann jeweils auch auf dem interface zu konfigurieren!
Hoffe das hilft Dir weiter!
Du solltest auf Deinem VTP Master ip routing aktivieren und für Deine VLans jeweils ein interface anlegen mit der .1 IP, das ist dann auch Dein Default Gateway: interface Vlan30, ip address 10.12.230.1 255.255.255.0, ip helper-address ist dann jeweils auch auf dem interface zu konfigurieren!
Hoffe das hilft Dir weiter!
Vielen Dank für eine Antwort!
Habe es mal wie folgt umgesetze:
interface GigabitEthernet0/1
switchport trunk encapsulation isl
switchport mode trunk
!
interface GigabitEthernet0/2
switchport mode dynamic desirable
!
interface Vlan1
ip address 10.12.228.254 255.255.255.0
no ip mroute-cache
!
interface Vlan29
ip address 10.12.229.254 255.255.255.0
ip helper-address 10.12.228.1
!
interface Vlan30
ip address 10.12.230.254 255.255.255.0
ip helper-address 10.12.228.1
!
ip classless
ip http server
10.12.228.1 ist der Server mit DHCP
So wirklich klappen tut es leider nicht
Muss ich noch irgendwie ein Routing Protocol einstellen?
Gruß Mathias
Habe es mal wie folgt umgesetze:
interface GigabitEthernet0/1
switchport trunk encapsulation isl
switchport mode trunk
!
interface GigabitEthernet0/2
switchport mode dynamic desirable
!
interface Vlan1
ip address 10.12.228.254 255.255.255.0
no ip mroute-cache
!
interface Vlan29
ip address 10.12.229.254 255.255.255.0
ip helper-address 10.12.228.1
!
interface Vlan30
ip address 10.12.230.254 255.255.255.0
ip helper-address 10.12.228.1
!
ip classless
ip http server
10.12.228.1 ist der Server mit DHCP
So wirklich klappen tut es leider nicht
Muss ich noch irgendwie ein Routing Protocol einstellen?
Gruß Mathias
Ja hab ich vergessen, in etwa so:
ip routing
router eigrp 2004
redistribute static
network 10.0.0.0
maximum-paths 3
no auto-summary
dann müsste es tun!
ip routing
router eigrp 2004
redistribute static
network 10.0.0.0
maximum-paths 3
no auto-summary
dann müsste es tun!
Das ist Unsinn !! Was soll denn ein dynamisches Routing Protokoll in so einem Umfeld ? Du hast doch nur einen Switch der das Routing erledigt, dafür benötigst du keinerlei Dynamische Routing Protokolle ! Nur wenn du ein vermaschtes L3 Netzwerk hast würde ggf. sowas Sinn machen. Kannst du also mit no router eigrp wieder abschalten....
Nicht mal in einem Hochverfügbarkeits Szenario macht das Sinn. Dort sind auf beiden Switches Layer 3 Adressen konfiguriert und man macht VRRP oder HSRP zwischen diesen um den Endgeräten ein redundantes Gateway zu geben.
Ist die Frage ob du das so aufgesetzt hast oder nur mit einer einfachen banalen Trunk Verbindung und ein Switch routet ?!
So oder so EIGRP ist in jedem Falle überflüssig !
Ich denke mal dein Problem liegt an den Trunks, denn die sind nicht richtig konfiguriert. Du musst dich auch mal fragen lassen warum du sowas wie ISL verwendest ??? Das Protokoll wird schon seit Jahren nicht mehr gepflegt und ist zudem auch noch Cisco proprietär und birgt viele Probleme !!!
Die Welt (und auch Cisco...) spricht heutzutage 802.1q statt ISL auf Trunks und das solltest du auch verwenden !
Dein Trunk sieht dann so aus:
interface GigabitEthernet0/1
switchport mode trunk
switchport trunk encapsulation dot1q
Ein "show cdp neig" sollte dir zeigen ob die Switches sich sehen...
Wie gesagt das MUSS auf beiden Seiten konfiguriert sein damit deine VLANs transparent übertragen werden. Es MUSS eine bestehende Trunk Verbindung aktiv sein beim Konfigurieren oder Dekonfigurieren der VLANs. VTP ist dort etwas dumm und aktualisiert das nicht selbständig !!!
Alle Endgeräte müssen mit ihren Gateway Adressen auf die Switch IP Adressen zeigen und sollten diese auch problemlos pingen können.
Ist das der Fall wird auch das L3 Switching problemlos funktionieren !!!
Ansonsten ist die Konfig (bis auf den EIGRP und ISL Unsinn) ok.
Nicht mal in einem Hochverfügbarkeits Szenario macht das Sinn. Dort sind auf beiden Switches Layer 3 Adressen konfiguriert und man macht VRRP oder HSRP zwischen diesen um den Endgeräten ein redundantes Gateway zu geben.
Ist die Frage ob du das so aufgesetzt hast oder nur mit einer einfachen banalen Trunk Verbindung und ein Switch routet ?!
So oder so EIGRP ist in jedem Falle überflüssig !
Ich denke mal dein Problem liegt an den Trunks, denn die sind nicht richtig konfiguriert. Du musst dich auch mal fragen lassen warum du sowas wie ISL verwendest ??? Das Protokoll wird schon seit Jahren nicht mehr gepflegt und ist zudem auch noch Cisco proprietär und birgt viele Probleme !!!
Die Welt (und auch Cisco...) spricht heutzutage 802.1q statt ISL auf Trunks und das solltest du auch verwenden !
Dein Trunk sieht dann so aus:
interface GigabitEthernet0/1
switchport mode trunk
switchport trunk encapsulation dot1q
Ein "show cdp neig" sollte dir zeigen ob die Switches sich sehen...
Wie gesagt das MUSS auf beiden Seiten konfiguriert sein damit deine VLANs transparent übertragen werden. Es MUSS eine bestehende Trunk Verbindung aktiv sein beim Konfigurieren oder Dekonfigurieren der VLANs. VTP ist dort etwas dumm und aktualisiert das nicht selbständig !!!
Alle Endgeräte müssen mit ihren Gateway Adressen auf die Switch IP Adressen zeigen und sollten diese auch problemlos pingen können.
Ist das der Fall wird auch das L3 Switching problemlos funktionieren !!!
Ansonsten ist die Konfig (bis auf den EIGRP und ISL Unsinn) ok.
Erst mal vielen Dank für eure Antworten.
Das mit dem ISL hab ich jetzt auf 802.1q geändert.
Es gibt aber immer noch ein paar Sachen die nicht so ganz in meinen Kopf wollen.
Ich hab auf dem 3550 den VTP Server Mode laufen, VLANs die ich erstelle erhält der 3500.
Habe auf dem 3550 jedem VLAN eine IP gegeben, die ich auch mit Rechner im gleichen Netz anpingen kann. Ip route sagt mir jetzt
Gateway of last resort is not set
10.0.0.0/24 is subnetted, 4 subnets
C 10.12.230.0 is directly connected, Vlan30
C 10.12.228.0 is directly connected, Vlan228
C 10.12.229.0 is directly connected, Vlan29
C 10.12.225.0 is directly connected, Vlan1
Worin besteht denn der Zusammenhang von dot1q und dem native vlan?
eine wirklich dhcp anfrage von einem client von 229.2 kommt nicht auf den Server 228.1
Das mit dem ISL hab ich jetzt auf 802.1q geändert.
Es gibt aber immer noch ein paar Sachen die nicht so ganz in meinen Kopf wollen.
Ich hab auf dem 3550 den VTP Server Mode laufen, VLANs die ich erstelle erhält der 3500.
Habe auf dem 3550 jedem VLAN eine IP gegeben, die ich auch mit Rechner im gleichen Netz anpingen kann. Ip route sagt mir jetzt
Gateway of last resort is not set
10.0.0.0/24 is subnetted, 4 subnets
C 10.12.230.0 is directly connected, Vlan30
C 10.12.228.0 is directly connected, Vlan228
C 10.12.229.0 is directly connected, Vlan29
C 10.12.225.0 is directly connected, Vlan1
Worin besteht denn der Zusammenhang von dot1q und dem native vlan?
eine wirklich dhcp anfrage von einem client von 229.2 kommt nicht auf den Server 228.1
Wenn ich bei den beiden Rechner die IP-Einstellungen manuel setze und auch die vlan ips als gateways eintrage funktioniert alles
Rechner 1
IP 10.12.229.11
Gateway 10.12.229.254
Rechner 2
IP 10.12.230.11
Gateway 10.12.230.254
Server
IP 10.12.228.1
Gateway 10.12.228.254
Ein "pingen" der einzelnen Rechner ist nun möglich, direkt sehen tu sie sich aber nicht.
Folglich müsste doch der Trunk, die vlans und das routing richtig konfiguriert sein ...
Nun stellt sich mir aber noch eine Grundlegende Frage, irgend fehlt mir der nötige gedankengang.
1.
Wenn ich jetzt 500 Rechner, 50 switch und 50 vlans habe, kann ich doch nicht jedem manuel einen gateway eintragen! Das könnte ja eventuell per richtlinie gehen, oder gibt es da etwas einfacheres?
2.
Wie konfiguriere ich die einzelnen rechner, dass sie per dhcp eine ip bekommen?
Eventuell sogar eine bestimmt! also aus dem vlan 29 sollen die ip von 10.12.229.1 - 229.50
vergeben werden ...
Helft mir !
Bitte
Rechner 1
IP 10.12.229.11
Gateway 10.12.229.254
Rechner 2
IP 10.12.230.11
Gateway 10.12.230.254
Server
IP 10.12.228.1
Gateway 10.12.228.254
Ein "pingen" der einzelnen Rechner ist nun möglich, direkt sehen tu sie sich aber nicht.
Folglich müsste doch der Trunk, die vlans und das routing richtig konfiguriert sein ...
Nun stellt sich mir aber noch eine Grundlegende Frage, irgend fehlt mir der nötige gedankengang.
1.
Wenn ich jetzt 500 Rechner, 50 switch und 50 vlans habe, kann ich doch nicht jedem manuel einen gateway eintragen! Das könnte ja eventuell per richtlinie gehen, oder gibt es da etwas einfacheres?
2.
Wie konfiguriere ich die einzelnen rechner, dass sie per dhcp eine ip bekommen?
Eventuell sogar eine bestimmt! also aus dem vlan 29 sollen die ip von 10.12.229.1 - 229.50
vergeben werden ...
Helft mir !
Bitte
Es geht 
Ich reflechier dann mal so für mich (wenn was falsch ist, bitte schreien !!!):
Die virtuellen Netzwerke sind separate Segmente die nicht mehr auf Layer 2 untereinander kommunizieren können. Um eine Verbindung untereinander zu gewährleisten benötigt man einen Layer 3 Support (Routing)
Dies kann ein Router oder ein Layer-3-Switch erfüllen.
Mehrer Switche verbindet man mit den sog. "Trunks". Trunks sind Verbindungen zwischen 2 Switchen die die Möglichkeit haben Pakete aus verschiedenen VLANs zu Verarbeitung und weiterzuleiten.
Die Kommunikation zwischen den VLANs erfolgt, ähnlich wie bei Subnetzen, über Gateways. Das heisst, dass der Router oder Switch in jedem VLAN eine virtuelle Schnittstelle hat an der er Daten empfangen und auch senden kann. Dies erreicht man in dem man den virtuellen Netzwerken eine IP-Adresse zuweist.
Um Datenpakete zwischen VLANs zu transferieren ist ferner eine Möglichkeit nötig, einem Paket zu sagen, in welches VLAN es soll, dies erfolgt über das sog. "Tagging".
Pakete die über eine Trunk Port geleitet werde, erhalten ein sog. "Tag" mit der VLAN ID. Somit weiss der Router an welches Interface er es ausgeben muss, bevor er es jedoch in das Netz weiterleitet, entfernt er dieses Tag wieder.
Um z.B. die DHCP Broadcast Anfrage trotz der verschiedenen VLANs weiterzuleiten, kann man die sog. Helper-Adresse konfigurieren. Diese zeigt auf den eigentlichen DHCP-Server und muss für jedes VLAN separat eingestellt werden.
Soweit mein aktuelles Verständnis *g*
Die Testumgbung läuft also!
Fals jetzt noch irgendwas nicht stimmt oder die halb Wahrheit ist, helft mir bitte
MfG
Mathias
Ich reflechier dann mal so für mich (wenn was falsch ist, bitte schreien !!!):
Die virtuellen Netzwerke sind separate Segmente die nicht mehr auf Layer 2 untereinander kommunizieren können. Um eine Verbindung untereinander zu gewährleisten benötigt man einen Layer 3 Support (Routing)
Dies kann ein Router oder ein Layer-3-Switch erfüllen.
Mehrer Switche verbindet man mit den sog. "Trunks". Trunks sind Verbindungen zwischen 2 Switchen die die Möglichkeit haben Pakete aus verschiedenen VLANs zu Verarbeitung und weiterzuleiten.
Die Kommunikation zwischen den VLANs erfolgt, ähnlich wie bei Subnetzen, über Gateways. Das heisst, dass der Router oder Switch in jedem VLAN eine virtuelle Schnittstelle hat an der er Daten empfangen und auch senden kann. Dies erreicht man in dem man den virtuellen Netzwerken eine IP-Adresse zuweist.
Um Datenpakete zwischen VLANs zu transferieren ist ferner eine Möglichkeit nötig, einem Paket zu sagen, in welches VLAN es soll, dies erfolgt über das sog. "Tagging".
Pakete die über eine Trunk Port geleitet werde, erhalten ein sog. "Tag" mit der VLAN ID. Somit weiss der Router an welches Interface er es ausgeben muss, bevor er es jedoch in das Netz weiterleitet, entfernt er dieses Tag wieder.
Um z.B. die DHCP Broadcast Anfrage trotz der verschiedenen VLANs weiterzuleiten, kann man die sog. Helper-Adresse konfigurieren. Diese zeigt auf den eigentlichen DHCP-Server und muss für jedes VLAN separat eingestellt werden.
Soweit mein aktuelles Verständnis *g*
Die Testumgbung läuft also!
Fals jetzt noch irgendwas nicht stimmt oder die halb Wahrheit ist, helft mir bitte
MfG
Mathias
Nein, alles richtig erkannt. Man muss nur etwas warten, dann kommt die (technische) Erkenntniss !
DHCP muss auch gehen. Das du auf dem DHCP Server natuerlich auch alle deine Subnetze anlegen musst sollte klar sein, sonst kann der keine Leases fuer diese segmente vergeben !!!
Das du dir Rechner mit der Freigabe untereinander nicht siehst ist klar, den UDP Naming Broadcasts unter Windows, werden an den Layer 3 Interfaces natuerlich auch nicht gebroadcastst. Es kommt also auf ein sauberes Domain Konzept an. Normalerweise arbeitet dein Server als zentraler DNS Server bzw. Proxy. Er sollte also seine IP Adresse per DHCP den Clients vergeben.
Willst du die UDP Forwardings nicht direkt auf einen Host senden kannst du auch ein ganzes netz angeben, das macht dann alles transparent.
Statt ip helper-address 10.12.228.1 steht dann dort ip helper-address 10.12.228.0
Um das untereinander aller VLANs transparent zu machen musst du jedes VLAN als helper Adress eintragen !
Wenn alles klappt kannst du den Thread oben als geloest markieren.
DHCP muss auch gehen. Das du auf dem DHCP Server natuerlich auch alle deine Subnetze anlegen musst sollte klar sein, sonst kann der keine Leases fuer diese segmente vergeben !!!
Das du dir Rechner mit der Freigabe untereinander nicht siehst ist klar, den UDP Naming Broadcasts unter Windows, werden an den Layer 3 Interfaces natuerlich auch nicht gebroadcastst. Es kommt also auf ein sauberes Domain Konzept an. Normalerweise arbeitet dein Server als zentraler DNS Server bzw. Proxy. Er sollte also seine IP Adresse per DHCP den Clients vergeben.
Willst du die UDP Forwardings nicht direkt auf einen Host senden kannst du auch ein ganzes netz angeben, das macht dann alles transparent.
Statt ip helper-address 10.12.228.1 steht dann dort ip helper-address 10.12.228.0
Um das untereinander aller VLANs transparent zu machen musst du jedes VLAN als helper Adress eintragen !
Wenn alles klappt kannst du den Thread oben als geloest markieren.
