Hilfe bei ipv4 Static Routing beim Cisco Switch SG 500-52
Hallo,
Ich habe seit kurzem einen sg 500-52 Switch von Cisco
Es klappt auch alles, nur mit dem Routing zwischen den Vlans habe ich ein Problem.
Folgende Situation:
Ein VLan ID 2 worin der Router (192.168.2.1) steht.
Ein VLan id 3 worin der Client steht (192.168.3.30)
Ich dachte jetzt reicht es das ich eine Route von 192.168.3.30 auf 192.168.2.1 mache. Aber bei Verwendung der subnetzmaske 255.255.255.0 bekomme ich die Fehlermeldung
Ip mask does Not Cover destination Adress.
Das verstehe ich nicht ganz weil die Adresse liegt ja im Bereich des Subnetzes.
Vielleicht könnte mir jemand ein kurzes Beispiel für das Static Routing geben?
Im Moment nutze ich dafür die GUI.
Das Modell ist sg-500-52.
Danke schonmal.
Ich habe seit kurzem einen sg 500-52 Switch von Cisco
Es klappt auch alles, nur mit dem Routing zwischen den Vlans habe ich ein Problem.
Folgende Situation:
Ein VLan ID 2 worin der Router (192.168.2.1) steht.
Ein VLan id 3 worin der Client steht (192.168.3.30)
Ich dachte jetzt reicht es das ich eine Route von 192.168.3.30 auf 192.168.2.1 mache. Aber bei Verwendung der subnetzmaske 255.255.255.0 bekomme ich die Fehlermeldung
Ip mask does Not Cover destination Adress.
Das verstehe ich nicht ganz weil die Adresse liegt ja im Bereich des Subnetzes.
Vielleicht könnte mir jemand ein kurzes Beispiel für das Static Routing geben?
Im Moment nutze ich dafür die GUI.
Das Modell ist sg-500-52.
Danke schonmal.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 188829
Url: https://administrator.de/forum/hilfe-bei-ipv4-static-routing-beim-cisco-switch-sg-500-52-188829.html
Ausgedruckt am: 02.04.2025 um 04:04 Uhr
7 Kommentare
Neuester Kommentar
Es ist völliger Unsinn eine statische Route auf dem Switch zu konfigurieren für lokale Netze am Switch, denn der Switch "kennt" ja bereits alle IP Netze (VLANs) die an ihm selbst direkt angeschlossen sind. Logisch !
In so fern sind statische Routen für diese lokalen VLANs bzw. IP Netze am Switch völlig überflüssig und auch kontraproduktiv !!
Einzig eine Default Route benötigt der Switch auf den Internet Router bzw. dessen IP.
Mehr nicht !!
Wichtig ist lediglich das bei allen Clients (Endgeräten) in den VLANs deren Default Gateway immer auf die jeweilige Switch IP im jeweiligen VLAN zeigen muss !
Mehr ist de facto NICHT erforderlich !
Beispiel für deinen VLANs:
VLan ID 2 mit der Cisco Switch IP 192.168.2.254:
Client IP: 192.168.2.100, Maske: 255.255.255.0, Gateway: 192.168.2.254
Ein VLan id 3 mit der Cisco Switch IP 192.168.3.254:
Client IP: 192.168.3.30, Maske: 255.255.255.0, Gateway: 192.168.3.254
ACHTUNG:
Diese beiden letzten Punkte sind für ein sauberes IPv4 Routing in deinem netz essentiell wichtig sonst funktioniert das nicht !
In so fern sind statische Routen für diese lokalen VLANs bzw. IP Netze am Switch völlig überflüssig und auch kontraproduktiv !!
Einzig eine Default Route benötigt der Switch auf den Internet Router bzw. dessen IP.
Mehr nicht !!
Wichtig ist lediglich das bei allen Clients (Endgeräten) in den VLANs deren Default Gateway immer auf die jeweilige Switch IP im jeweiligen VLAN zeigen muss !
Mehr ist de facto NICHT erforderlich !
Beispiel für deinen VLANs:
VLan ID 2 mit der Cisco Switch IP 192.168.2.254:
Client IP: 192.168.2.100, Maske: 255.255.255.0, Gateway: 192.168.2.254
Ein VLan id 3 mit der Cisco Switch IP 192.168.3.254:
Client IP: 192.168.3.30, Maske: 255.255.255.0, Gateway: 192.168.3.254
ACHTUNG:
- Der Cisco Switch muss einen Default Route auf die 192.168.2.1 haben !
- Der Internet Router 192.168.2.1 MUSS einen statische Route ala Netzwerk: 192.168.3.0, Maske: 255.255.255.0, Gateway: 192.168.2.254 haben !!
Diese beiden letzten Punkte sind für ein sauberes IPv4 Routing in deinem netz essentiell wichtig sonst funktioniert das nicht !
Das machst du ganz einfach mit einer IP Access Liste auf dem Router IP Interface in dem VLAN !!
Zugriffsregeln macht man doch niemals mit Routing Einträgen oder ziehst du dir auch mit einer Kneifzange deine Unterhose an ??
Wozu hast du solch einen performanten Switch mit all diesen Security Funktions denn ?? Der kann mehr als ein Billigteil vom Blödmarkt Grabbeltisch !
http://www.cisco.com/en/US/docs/switches/lan/csbms/Sx500/cli_guide/CLI_ ...
Kapitel 42, Seite 615 hat alle Details dazu für dich !!
Lesen hilft !
Mal ein Beispiel für Anfänger:
Gesetzt den Fall du willst die Kommunikation von deiner VLAN ID 2 (192.168.2.0er Netz) ins VLAN 3 (192.168.3.0er Netz) verbieten aber einzig der Zigriff auf einen Webserver (TCP 80 und TCP 443) im VLAN 3 soll erlaubt sein.
Dann definierst du folgende IP Accessliste:
ip access-list extended vlan3-verboten
permit tcp 192.163.2.0 0.0.0.255 192.163.3.100 0.0.0.0 80
permit tcp 192.163.2.0 0.0.0.255 192.163.3.100 0.0.0.0 443
deny ip 192.163.2.0 0.0.0.255 192.163.3.0 0.0.0.255
permit ip 192.163.2.0 0.0.0.255 any
Fertig ! Wenn du dir die Syntax ansiehst verstehst du auch ganz schnell die Logik dahinter !
Diese Accessliste konfigurierst du nun ans Switch Routing Interface am VLAN 2 so das der Switch hier alle eingehenden Pakete daraufhin filtert:
interface vlan 2
service-acl input vlan3-verboten
Alles was nun zwischen den VLANs 2 und 3 geroutet wird muss über den Filter der in der ersten Zeile alles mit der Absender IP 192.163.2.x auf eine Ziel Host IP 192.163.3.100 mit Port TCP 80 (HTTP) erlaubt.
Ebenso in der 2ten Zeile alles mit der Absender IP 192.163.2.x auf die Host IP 192.163.3.100 mit Port TCP 443 (HTTPS)
in der 3ten Zeile verbietet er generell dann alles was außer den obigen Ausnahmen noch ins VLAN 3 will.
Alles andere an IP Traffic was NICHT ins VLAN 3 geht wird in der letzten Zeile dann generell erlaubt.
Eigentlich kinderleicht, oder ?!
Zugriffsregeln macht man doch niemals mit Routing Einträgen oder ziehst du dir auch mit einer Kneifzange deine Unterhose an ??
Wozu hast du solch einen performanten Switch mit all diesen Security Funktions denn ?? Der kann mehr als ein Billigteil vom Blödmarkt Grabbeltisch !
http://www.cisco.com/en/US/docs/switches/lan/csbms/Sx500/cli_guide/CLI_ ...
Kapitel 42, Seite 615 hat alle Details dazu für dich !!
Lesen hilft !
Mal ein Beispiel für Anfänger:
Gesetzt den Fall du willst die Kommunikation von deiner VLAN ID 2 (192.168.2.0er Netz) ins VLAN 3 (192.168.3.0er Netz) verbieten aber einzig der Zigriff auf einen Webserver (TCP 80 und TCP 443) im VLAN 3 soll erlaubt sein.
Dann definierst du folgende IP Accessliste:
ip access-list extended vlan3-verboten
permit tcp 192.163.2.0 0.0.0.255 192.163.3.100 0.0.0.0 80
permit tcp 192.163.2.0 0.0.0.255 192.163.3.100 0.0.0.0 443
deny ip 192.163.2.0 0.0.0.255 192.163.3.0 0.0.0.255
permit ip 192.163.2.0 0.0.0.255 any
Fertig ! Wenn du dir die Syntax ansiehst verstehst du auch ganz schnell die Logik dahinter !
Diese Accessliste konfigurierst du nun ans Switch Routing Interface am VLAN 2 so das der Switch hier alle eingehenden Pakete daraufhin filtert:
interface vlan 2
service-acl input vlan3-verboten
Alles was nun zwischen den VLANs 2 und 3 geroutet wird muss über den Filter der in der ersten Zeile alles mit der Absender IP 192.163.2.x auf eine Ziel Host IP 192.163.3.100 mit Port TCP 80 (HTTP) erlaubt.
Ebenso in der 2ten Zeile alles mit der Absender IP 192.163.2.x auf die Host IP 192.163.3.100 mit Port TCP 443 (HTTPS)
in der 3ten Zeile verbietet er generell dann alles was außer den obigen Ausnahmen noch ins VLAN 3 will.
Alles andere an IP Traffic was NICHT ins VLAN 3 geht wird in der letzten Zeile dann generell erlaubt.
Eigentlich kinderleicht, oder ?!
Der "jemand" hat wie so häufig keine Ahnung von IP, sorry aber das passiert hier leider öfter das Leute mit gefährlichen Netzwerk Teil- oder Unwissen die Forumsteilnehmer in die (IP) Sackgasse schicken 
Routing ist einzig und allein für die Wegefindung in einem IP Netzwerk zuständig !!
Siehe auch die Definition dazu hier: http://de.wikipedia.org/wiki/Routing
Vergiss also ganz schnell diesen Unsinn damit Zugriffsrechte in einem Netzwerk einstellen zu wollen.
Das geht einzig und allein mit IP Accesslisten ! Wie, das siehst du oben !
Routing ist einzig und allein für die Wegefindung in einem IP Netzwerk zuständig !!
Siehe auch die Definition dazu hier: http://de.wikipedia.org/wiki/Routing
Vergiss also ganz schnell diesen Unsinn damit Zugriffsrechte in einem Netzwerk einstellen zu wollen.
Das geht einzig und allein mit IP Accesslisten ! Wie, das siehst du oben !