Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Konfiguration Cisco 886VA-J und SG300

Mitglied: Maik20

Maik20 (Level 1) - Jetzt verbinden

17.12.2016 um 19:29 Uhr, 3075 Aufrufe, 17 Kommentare

Hallo,

ich stelle nächstes Jahr auf VDSL100/VOIP um und werde mir folgende beiden Komponenten zulegen. Diese lösen alte Technik ab. Die Geräte sind noch nicht gekauft. Jedoch habe ich bereits erste Fragen zur Konfiguration vom 886.

Ausgangslage:

Kleines Heimnetz mit einigen VLANs
-- VLAN1 = PC - Eltern, (10.1.10.x)
-- VLAN2 = Mutlimedia/TV, (10.1.20.x)
-- VLAN3 = VOIP, (10.1.30.x)
-- VLAN4 = Server (NAS, ...), (10.1.40.x)
-- VLAN5 = PCs - Kinder (10.1.50.x)
-- VLAN6 = DMZ (kleiner Webserver) (10.1.60.x)
-- VLAN7 = Systemgeräte (Switch, Router, ...) (10.1.70.x)

Die VLANs sind heute noch nicht eingerichtet! An der Aufteilung pfeile ich immer mal wieder.

Mein Bruder plant ebenso den Umstieg auf VDSL/VOIP. Jetzt wollten wir dann auch beide Netzwerke mittels VPN miteinander verbinden. Er wollte sich dazu auch den 886VA-J holen. Er wird sicherlich eine vergleichbare VLAN-Struktur einrichten. Wir stimmen uns ab, dass die IP-Adressen in einem anderen Adressraum liegen. Also nutzt er dann z.B. die 10.2.10.x für seine PCs, 10.2.20.x für seinen TV .... So die Idee!?

Ich würde es so angehen, dass die DHCP-Funktionen und das gesamte Routing der SG300 übernimmt, da hier alle Geräte angeschlossen werden und der 886 quasi nur als Tor zum Internet dient. Sprich ich würde DHCP auf dem 886 deaktivieren.

Jetzt stellt sich für mich die erste Frage wie würde die Konfiguration des 886 aussehen insbesondere mit den VLANs und der VPN Anbindung?
Sind die VLANs hier schon anzulegen oder nur im SG300? Insbesondere die Kombination VLAN und VPN verstehe ich noch nicht.

Wenn ich obige Einteilung mal zugrunde lege würde ich den 886 auf 10.1.70.1 legen.

Ich habe mir auch bereits das Tutorial des VA886 angesehen aber dann doch noch zahlreiche Fragen bzw. Unklarheiten. Hoffe jemand kann etwas Licht ins Dunkle bringen. Hier mal das was ich draus gemacht hätte:

Zum Schluss schonmal ein dickes Danke der hier Licht ins Dunkle bringt!

Gruß
Maik
Mitglied: aqui
18.12.2016, aktualisiert um 15:51 Uhr
Hoffe jemand kann etwas Licht ins Dunkle bringen.
Na klar ! Wir machen für dich die Halogenlampe an damit da kein Schatten mehr ist
Ich würde es so angehen, dass die DHCP-Funktionen und das gesamte Routing der SG300 übernimmt, da hier alle Geräte angeschlossen werden
Macht Sinn ! Da der 880er 4 Ports hat kannst du die auch per Link Aggregation also einer Bündelung gg.f mit 2 Ports auf den Switc bringen um die Ports etwas "aszunutzen"
Jetzt stellt sich für mich die erste Frage wie würde die Konfiguration des 886 aussehen insbesondere mit den VLANs und der VPN Anbindung?
Gar nicht !!
Du hast ja gar keine VLANs mehr auf dem Router wenn du die alle routingtechnisch auf dem SG-300 abfackelst !
Dürfen wir dich nochmal zitieren.... "und das gesamte Routing der SG300 übernimmt..."
Hast du das jetzt wieder über Bord geschmissen im nächsten Satz, oder was ???
Du richtest auf dem Switch einfach noch ein VLAN 99 ein mit dem Namen Internet und da klinkst du den Router an.
Separates VLAN deshalb weil man niemals den gesamten Internet Traffic in eins deiner obigen Produktiv VLANs packt.
So hast du auch die Option den Internet Traffic mit Accesslisten noch zu "beeinflussen".
Also deine To DoS sind dann ganz einfach:
  • Der SG-300 hält alles VLANs und DHCP plus VLAN 99
  • Den Router klemmst du mit einem (oder 2 bei einem LAG) LAN Port ins VLAN 99
  • Dem SG-300 Switch gibst du eine Default Route ip route 0.0.0.0 0.0.0.0 <ip_adresse_vlan99-Cisco880>
  • Dem Router dann eine statische Route aller VLANs auf die VLAN 99 IP Adresse des Switches. Da du die VLANs so schön kontinuierlich nummeriert hast kannst du das mit einer einzigen Summary Route machen: ip route 10.1.0.0 255.255.128.0 <ip_adresse_vlan99-SW>
Das routet dann alle Netze 10.1.0.0 bis 10.1.127.0 auf den Switch.
Fertig ist der Lack !

Anmerkungen zu deiner Konfig:
  • Die Routen sind natürlich Unsinn. Wie diese aussehen siehst du ja oben
  • family.local sollte man niemals als DNS Namen nehmen, denn die DNS Root Doamin -local ist fest reserviert für mDNS !! Das gibt also Probleme. Hier immer .lokal oder besser .intern verwenden.
  • Das VLAN 1 ist das Default VLAN indem alle 4 Ports des Routers per Default arbeiten. Das kannst du so belassen und die Ports dann untagged in einer untagged VLAN 99 Switchport stecken auf dem SG-300. Unter Description an dem Port kannst du dann schreiben "Switchuplink VLAN 99 damit du weisst das der dann in VLAN 99 geht. Da die Ports untagged sind geben sie dort keine VLAN ID mit. Du kannst wenn dir das lieber ist auch ein VLAN 99 auf dem Router anlegen und mit switchport access vlan 99 den Port zuweisen. Die Router IP Konfig machst du dann auf dem interface vlan 99. Das ist aber nur rein kosmetisch in kein Muß.
  • Die Accesslist 23 regelt den Konfig Zugriff auf den Router ! Du siehst das dort nur Zugriff von dem Netz 10.1.70.0 /24 erlaubt ist ! Diese Accessliste wird unten auf die 5 Telnet/SSH Sessionports line vty 0 4 gebunden was bewirkt das dann ein Telnet oder SSH nur aus diesem IP Netz möglich ist (Security !)
  • Die 101er Accessliste bestimmt welche IP Adressen den PPPoE Dialer, sprich also die PPPoE Session triggern dürfen ! (Dialer list list 101 Kommando !) Außerdem bestimmt sie auch für welche IP Adressen der Router NAT (IP Adress translation ins Internet machen soll. So wie es jetzt konfigriert ist kommt also logischerweise NUR das Subnetz 10.1.70.0 ins Internet. Für die andern wird kein PPPoE gesendet und auch kein NAT gemacht !
  • Das willst du sicher nicht denn deine Kinder .50 und die Eltern .10 werden dir einen Einlauf verpassen wenn sie nicht ins Internet können ! Also ändere die ACL 101 in access-list 101 permit ip 10.1.0.0 0.0.127.255 any Das erlaubt dann alle IP Netze von 10.1.0.0 bis 10.1.127.0 !
  • Erheblich sinnvoller wäre aber hier access-list 101 permit ip 10.1.0.0 0.0.63.255 any Warum ?? Nun, das Management Netzwerk .70.0 für die Netz Komponenten soll doch ganz sicher nicht ins Internet, oder ? (Security !!). Mit der ACL erlaubt man dann alle IP Netze von 10.1.0.0 bis 10.1.63.0 was weitaus sicherer ist !!
  • Wenn du mit dem Firewall Image arbeitest also eine CBAC Liste nutzt dann muss die ACL vollständig mit IPsec VPN so lauten:
access-list 111 permit icmp any any administratively-prohibited <-- Lässt wichtige ICMP Steuerpakete durch die Firewall passieren
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any <-- Lässt DNS Port 53 durch die Firewall passieren
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any <-- Lässt VoIP (SIP) Port 5060 durch die Firewall passieren
access-list 111 permit udp any eq ntp any <-- Lässt NTP durch die Firewall passieren
(access-list 111 permit udp any eq bootps any) <-- Nur wenn Internet Port per DHCP IP Addresse bezieht (TV Kabel) ! Sonst weglassen !
access-list 111 deny ip any any (log*) <-- Log Parameter nur wenn man temporär Angriffe protokollieren will (Performance !)
access-list 111 permit udp any any eq 500 --> IPsec darf am Internet Port die Firewall passieren
access-list 111 permit udp any any eq non500-isakmp --> IPsec NAT Traversal darf passieren
access-list 111 permit esp any any --> IPsec ESP Tunnel darf passieren


Der ganze Rest ist soweit richtig !
Das sollte nun wohl genug Licht sein damit da kein Dunkel mehr ist für dich ?!
Bitte warten ..
Mitglied: Maik20
18.12.2016 um 21:59 Uhr
Danke, es wird langsam etwas heller Nur mit dem VLAN99 komme ich noch nicht ganz klar.

Verstehe ich folgendes richtig:
Der Router erhält die IP 10.1.70.1, der SG300 ist dann mit dem 10.1.70.2 im Management LAN. Dann lege ich auf Port 1 und 2 des SG300 ein LAG an mit VLAN99. Der LAG bekommt die IP 10.1.99.2. Auf dem Port 3 und 4 des 886 das gleiche Spiel hier bekommt der LAG die IP 10.1.99.1 und dann setze ich folgende routen:

-> Dem SG-300 Switch gibst du eine Default Route ip route 0.0.0.0 0.0.0.0 10.1.99.1
-> Auf dem Router ip route 10.1.0.0 255.255.128.0 10.1.99.2

Gruß

Maik
Bitte warten ..
Mitglied: aqui
19.12.2016 um 10:29 Uhr
Verstehe ich folgendes richtig:
Ja, das verstehst du alles genau richtig !
Den LAG brauchst du aber erstmal nicht, das kann man später als "Goodie" machen wenn alles rennt.

Ob man dem Router dann noch eine separate Management IP gibt ist eher fraglich. Es macht sehr wenig Sinn, denn für die Sicherheit sorgt da die Firewall und die ACL 23. Da muss man eigentlich keine 2te IP mehr haben aus dem VLAN7 das ist überflüssig und solltest du besser weglassen.
Das Einfachste ist du gibst dem Defalult VLAN 1 Interface eine 10.1.99.1 IP und steckst den in einen untagged Port des vlan 99 auf dem Switch.
Wenn du es kosmetisch schöner haben willst richtest du das vlan 99 wie oben beschrieben auf dem Router ein, lässt das vlan 1 Interface vollkommen ohne IP Konfig (unbenutzt und auf "shiutdown" setzen) und konfigurierst die 10.1.99.1 auf das Interface vlan 99.
Sieht nur schöner aus funktioniert aber genau wie die obige erste Variante mit vlan1.
Its your choice....
Bitte warten ..
Mitglied: Maik20
12.01.2017 um 13:35 Uhr
So ich bin wieder etwas weiter vielleicht könnte nochmal jemand auf die Konfiguration schauen. Ich habe noch einige Fragen bzgl. der Konfiguration (siehe weiter unten).

Zunächst aber noch einige Änderungen im Vergleich zur obigen Darstellung meiner Infrastruktur. Das Eltern-VLAN ist jetzt 20 mit dem IP-Bereich 10.1.20.0 - 10.1.20.254. Das Management-VLAN ist die 99 mit 10.1.99.0 bis 10.1.99.254. Das vorgeschlagene Internet VLAN ist jetzt das VLAN 254.

Erstmal die Config:

Dann die Fragen:

1)
Konfiguriere ich hier die Zugangsdaten für Telnet und SSH? Oder um welchen Zugang handelt es sich hier?
2)
Ich habe mich einmal vertippt und statt dem VLAN 254 das VLAN 2545 angelegt. Wie bekomme ich dieses wieder gelöscht?

3)
Du hattest vorgeschlagen den gesamten Traffic aus dem Internet in ein VLAN 99 zu führen das entspricht in der aktuellen Konfiguration dem VLAN 254. Ich würde also einfach auf dem SG 300 einen untagged Port mit dem VLAN 254 einrichten und dort den 886VAJ auflegen. Wie ist das aber wenn ich z.B. ein VLAN 11 als DMZ einrichte um dort einen Webserver zum experimentieren zu betreiben. Würde ich dann nicht den gesamten Traffic in das VLAN 11 leiten oder würde es bei dem besagten Konstrukt mit dem VLAN 254 bleiben und es gibt zusätzlich ein DMZ VLAN?

4)
Ich wollte auch ein LAG auf dem Port 0 und 1 einrichten aber ich finde nicht die passenden Befehle. Hast du ein Link oder nähere Informationen?
Bitte warten ..
Mitglied: aqui
12.01.2017, aktualisiert um 16:48 Uhr
Ich habe noch einige Fragen bzgl. der Konfiguration (siehe weiter unten).
Immer gerne..dafür sind wir da
Ein paar kleine kosmetische Fehler hast du noch drinen. Da du ja mehrere VLAN im 10.1.er Berech hast müsstest du auch die NAT und Dialer Liste entsprechend anpassen, damit NAT und der PPPoE Dialer auch von diesen IP Paketen getriggert wird. Entweder einzeln oder mit einer Wildcard Maske. Letzteres erspart etwas Tipparbeit und hast du auch vermutlich richtig gedacht aber deine Wildcard Maske der 101er ACL ist dann falsch:
Richtig lautet die dann:
...permit ip 10.1.0.0 0.0.31.255 any
--> Lässt alles duch von 10.1.0.1 bis 10.1.31.254 ( /19 255.255.224.0)
...permit ip 10.1.0.0 0.0.63.255 any
--> Lässt alles duch von 10.1.0.1 bis 10.1.63.254 ( /18 255.255.192.0) ##
Da musst du also nochmal korrigieren !
Der Rest sieht gut aus...
Zu den Fragen:
  • 1) Ja das tust du ! Du musst bei SSH aber noch eine lokale DNS Domain konfigurieren und mit crypto key generate rsa einen Schlüssel genereieren. Das macht man einmalig. Sicherheitshalber kannst du dann Telnet deaktivieren wenn du möchtest. (no transport input telnet). ip ssh time-out 60 wäre auch noch sinnvoll dann.
  • 2) Ganz einfach mit no vlan 2545 oder zuerst mit vlan database in die VLAN Konfig gehen und dann no vlan 2545
  • 3) Ja so wie du es beschreibst ist es richtig ! Du darfst dann natürlich die Default Route am SG-300 auf die Router IP im VLAN 254 nicht vergessen.
DMZ:
Da gibt es 2 Optionen:
  • a.) Wenn du nicht mehr als 3 Endgeräte in der DMZ hast, dann nutzt du die 3 restlichen Ports des Routers. VLAN 11 anlegen die 3 Ports ins VLAN 11 legen und fertig.
  • b.) Möchtest du das DMZ VLAN lieber auf dem Switch haben weil da ggf. auch mehr Endgeräte drin sind dann machst du das mit einem tagged Uplink.
Auf dem Router bleibt aber das VLAN 11 IP Interface wegen der dortigen Firewall Funktion !! Das VLAN 11 hat auf dem SG-300 KEINE zugewiesen IP Adresse. Ansonsten beteht hier die Gefahr einer Backdoor und damit ist die DMZ dann keine mehr...logisch
Den Uplink setzt du auf dem Router Port so:
Interface FastEthernet0
description Switchuplink VLAN 11 u. 254
switchport mode trunk
switchport trunk allow vlan all

Auf dem SG-300 brauchst du dann logischerweise einen tagged Port der für das VLAN 254 und für das VLAN 11 getagged ist. Wie gesagt: Keine IP Adresse für das DMZ VLAN 11 am Switch !!
  • 4)
Das wäre sinnvoll aber leider supporten die 880er kein Portchannel Interface
Kannst du daran sehen das ihm das channel-group xyz Kommando unter dem physischen Interface fehlt und auch unter "interface" das Kommando portchannel. Kannst du immer sehen wenn du mit "?" mal die mögliche Syntax Liste abfragst. Leider....
Workaround wäre dann das du 2 separate Strippen siehst statt des tagged Uplinks.
Also eine Strippe die an FastEthernet 0 das VLAN 254 bedient und die andere Strippe die das VLAN 11 an FastEthernet 1 bedient.
Musst dann zwar 2 Strippen ziehen hast aber die Performance ein bischen entzerrt. Auf der anderen Seite wenn du am WAN nicht mehr als 100Mbit loswerden kannst ist es eher kosmetisch.
Hier findest du übrigens die Knfig Syntax dazu sollte es dich dennoch interessieren.
https://www.administrator.de/wissen/netzwerk-management-server-raspberry ...
Bitte warten ..
Mitglied: Maik20
13.01.2017 um 20:59 Uhr
Moment *Gehirn an*

Ein paar kleine kosmetische Fehler hast du noch drinen. Da du ja mehrere VLAN im 10.1.er Berech hast müsstest du auch die NAT und Dialer Liste entsprechend anpassen, damit NAT und der PPPoE Dialer auch von diesen IP Paketen getriggert wird. Entweder einzeln oder mit einer Wildcard Maske. Letzteres erspart etwas Tipparbeit und hast du auch vermutlich richtig gedacht aber deine Wildcard Maske der 101er ACL ist dann falsch:
Richtig lautet die dann:
...permit ip 10.1.0.0 0.0.31.255 any
--> Lässt alles duch von 10.1.0.1 bis 10.1.31.254 ( /19 255.255.224.0)
...permit ip 10.1.0.0 0.0.63.255 any
--> Lässt alles duch von 10.1.0.1 bis 10.1.63.255 ( /18 255.255.192.0) ##
Da musst du also nochmal korrigieren !

Ich komme irgendwie mit den Wildcardmasken nicht klar. Wie kommst du auf die unterschiedlichen Netze 255.255.224.0 bzw 255.255.192.0?

Ich wollte mit:
folgendes erreichen: 10.1.0.1 bis 10.1.98.254

Nehme ich jetzt dein zweites Beispiel:
(letzteres soll sicherlich 10.1.63.254 heißen?)
und münze ich es um:
dann entspricht das doch genau oben meinen Einstellungen. Oder? Oder Ich sehe den Fehler nicht!

Daneben wie kann ich dafür sorgen, dass die Internetverbindung permament bestehen bleibt?

Bzgl. der DMZ:
Ich hätte ein VLAN 11 (DMZ) eingerichtet 10.1.11.0 - 10.1.11.254 / 255.255.255.0. Ich experimentiere hier mit vSphere 6. Sprich ich würde einen virtuellen Webserver aufsetzen. Grundlage ist dafür ein alter ausgemusterter Proliant Server von HP. Dieser verfügt über 4 LAN-Ports. Derzeit ist LAN-Port 1 das Management-Interface. LAN-Port 2 (noch) nicht genutzt. LAN-Port 3 geht auf die virtuellen Switche, ist also die Verbindung zu den VMs und LAN-Port 4 wird dann mal mit 3 zum LAG ausgebaut. So der Plan. Im vSphere Client habe ich für jedes VLAN einen virtuellen Switch angelegt. Klappt auch soweit. Jetzt versuche ich dieses Konstrukt mit deinen Aussagen in Einklang zu bringen.

* 3) Ja so wie du es beschreibst ist es richtig ! Du darfst dann natürlich die Default Route am SG-300 auf die Router IP im VLAN 254 nicht vergessen.

Ich verbinde FastEthernet0 mit dem Port 1 auf dem SG300. Den Port 1 lege ich jetzt auf das VLAN254 untagged und setze eine default Route auf dem SG300 auf die IP vom Router im VLAN 254.

DMZ:
Da gibt es 2 Optionen:
  • a.) Wenn du nicht mehr als 3 Endgeräte in der DMZ hast, dann nutzt du die 3 restlichen Ports des Routers. VLAN 11 anlegen die 3 Ports ins VLAN 11 legen und fertig.

Ich könnte jetzt einen der LAN-Ports am Server (Port 2 ist noch unbenutzt) nehmen und diesen in vSphere auf einen virtuellen Switch mit der VLAN ID 11 legen. Und dann diesen Port mit dem FastEthernet1 Port des 886 verbinden. Gut so? Somit ist der 886 einmal am SG300 angeschlossen und liegt hier im VLAN 254 und einmal mit VLAN11 direkt am Server. Ich müsste also auf dem 886 das VLAN11 einrichten. Ich würde hier einfach die Konfiguration von "Gastnetz" abkupfern. Wie aber leite ich jetzt anfragen, die von außen kommen in das VLAN11 bzw. an den FastEthernet1 Port des 886VA?

* b.) Möchtest du das DMZ VLAN lieber auf dem Switch haben weil da ggf. auch mehr Endgeräte drin sind dann machst du das mit einem tagged Uplink.
Auf dem Router bleibt aber das VLAN 11 IP Interface wegen der dortigen Firewall Funktion !! Das VLAN 11 hat auf dem SG-300 KEINE zugewiesen IP Adresse. Ansonsten beteht hier die Gefahr einer Backdoor und damit ist die DMZ dann keine mehr...logisch
Den Uplink setzt du auf dem Router Port so:
Interface FastEthernet0
description Switchuplink VLAN 11 u. 254
switchport mode trunk
switchport trunk allow vlan all

Auf dem SG-300 brauchst du dann logischerweise einen tagged Port der für das VLAN 254 und für das VLAN 11 getagged ist. Wie gesagt: Keine IP Adresse für das DMZ VLAN 11 am Switch !!

Brauche ich damit nicht?!

* 4)
Das wäre sinnvoll aber leider supporten die 880er kein Portchannel Interface

Dann halt nicht Macht bei VDSL wie du so schön schreibst eh wenig Sinn.
Bitte warten ..
Mitglied: aqui
14.01.2017, aktualisiert um 14:26 Uhr
Ich komme irgendwie mit den Wildcardmasken nicht klar.
Das ist eigentlich ganz einfach und simples klassisches IP Subnetting :
Beispiel 1:
Netzwerk: 10.1.0.0
Maske: /23 = 255.255.254.0
Inverse Maske: 0.0.1.255
Host IPs: 10.1.0.1 bis 10.1.1.254

Beispiel 2:
Netzwerk: 10.1.0.0
Maske: /22 = 255.255.252.0
Inverse Maske: 0.0.3.255
Host IPs: 10.1.0.1 bis 10.1.3.254

Beispiel 3:
Netzwerk: 10.1.0.0
Maske: /21 = 255.255.248.0
Inverse Maske: 0.0.7.255
Host IPs: 10.1.0.1 bis 10.1.7.254

Beispiel 4:
Netzwerk: 10.1.0.0
Maske: /20 = 255.255.240.0
Inverse Maske: 0.0.15.255
Host IPs: 10.1.0.1 bis 10.1.15.254

Beispiel 5:
Netzwerk: 10.1.0.0
Maske: /19 = 255.255.224.0
Inverse Maske: 0.0.31.255
Host IPs: 10.1.0.1 bis 10.1.31.254

Du erkennst jetzt vermutlich das Prinzip, oder ?
Die inverse Maske der ACL sagt immer was durchgehen darf, gibt also den Hostteil frei.
Bitmässig gesehen ist das immer das Inverse der Netzmaske.
Hier wird dir das sehr schön binär angezeigt:
Nimm als Beispiel die /19 mal binär wo du es sofort siehst:
Netzmaske = 11111111.11111111.11100000.00000000 = 255.255.224.0
Inverse Maske = 00000000.00000000.00011111.11111111 = 0.0.31.255


Die ACL 101 würde also alle IP Adressen von 10.1.0.1 bis 10.1.31.254 fürs NAT passieren lassen.
Das würde Sinn machen, da ja dein eines VLAN die 10.1.20.0 hat was mit der /19er Maske dann abgedeckt ist.
Würdest du nur die /20er Maske nehmen, dann enden ja deine IPs bei 10.1.15.254 so das das .20er Netz nicht mehr durch die ACL geht.
Natürlich könntest du in der ACL auch alle Netze einzeln angeben ala:
...permit ip 10.1.1.0 0.0.0.255 any
..permit ip 10.1.20.0 0.0.0.255 any

usw. usw.
Syntaktisch ist das natürlich auch richtig und kann man auch machen wenn man die ACL Regeln etwas strikter haben möchte. Bei bis zu 5 oder 10 Subnetzen im Heimnetz oder kleinen Firmen macht das auch noch Sinn, bei 100 möchtest du solche ACL dann aber inklusive inverser Masken ganz sicher nicht mehr pflegen und dann nimmt man immer eine Summary Maske und da siehst du dann auch sofort wie wichtig intelligentes Subnetting ist.
Würdest du mit deinen Netzen z.B. in einer /22 oder /21 Range bleben könnte man die ACL kleiner machen.
Für ein heimnetz mit 3 oder 4 Subnetzen ist das aber Latte !
Groschen (Cent) zum Subnetting hoffentlich gefallen ?!
folgendes erreichen: 10.1.0.1 bis 10.1.98.254
Da hast du ja nun die obigen Beispiele um zu sehen das das falsch ist bzw. wo dein Denkfehler ist...
Mit einer /18er Maske kommst du im IP Bereich bis .63.254 und mit der /17er Maske kommst du dann bis .127.254.
Mit deinem .98er Netz wärst du also innerhalb der /17er ( = 255.255.128.0 Invers= 0.0.127.255) Range und folglich musst du diese angeben. Denk dran die Masken sind ja immer binär.
Richtig wäre also dann:

Beispiel 98er Netz:
Netzwerk: 10.1.0.0
Maske: /17 = 255.255.128.0
Inverse Maske: 0.0.127.255
Host IPs: 10.1.0.1 bis 10.1.127.254
dann entspricht das doch genau oben meinen Einstellungen. Oder? Oder Ich sehe den Fehler nicht!
Leider nein !
Aber du siehst deinen Fehler, glaube ich, jetzt wohl sofort selber, oder ?
Ansonsten hilft dir ganz sicher das hier: https://www.heise.de/netze/tools/netzwerkrechner/
Daneben wie kann ich dafür sorgen, dass die Internetverbindung permament bestehen bleibt?
Wenn du keinen PPPoE Idle Timeout Counter definierst wie es oben richtiog in der Konfig ist, dann bleibt die Verbindung permanent !
Falls von Interesse, das Kommando würde lauten: "dialer idle-timeout 1800 inbound | outbound | both".
DMZ:
Ich hätte ein VLAN 11 (DMZ) eingerichtet 10.1.11.0 - 10.1.11.254 / 255.255.255.0
Absolut richtig !
und LAN-Port 4 wird dann mal mit 3 zum LAG
Das bedeutet dann das du das DMZ VLAN auf deinem SG-300 Switch definieren musst, denn der Router selber kann ja keine Link Aggregation.
Es ist auch aus technischer Sicht das dann besser auf dem Switch zu machen wenn du einen LAG realisieren willst.
Damit greift dann das Design das du das DMZ VLAN transparent via L2 auf den Switch bekommst. also KEIN IP-Interface auf dem Switch. Die DMZ darf IP mässig nur auf dem Router enden (Firewall Security) !

Mit einem tagged Uplink hättest du jetzt den Nachteil das wenn Traffic aus dem lokalen LAN via VLAN 254 in die DMZ geht und normaler Internet Traffic sich diese den tagged Link teilen müssten. Theoretisch könnte es zu einer überbuchung kommen.
Insofern wäre es in Anbetracht der Tatsache das der Router auf seinem 4 Port Switch kein Link Aggregation supportet technisch etwas besser wenn du für das DMZ VLAN eine separate Strippe ziehst sofern dich das nicht kosmetisch stört.
Sprich du legst VLAN 254 das normale lokale Internet VLAN auf einen Port am Router und dein DMZ VLAN auf einen 2ten Port und verbindest dann diese Ports jeweils mit einem untagged Pendant auf dem SG-300 Switch.
Damit hast du das gleiche wie bei einem tagged Uplink aber eben jetzt dediziert mit 100 Mbit. Sonst müsstest du eben einen einzigen 100 Mbit sharen für den gesamten Traffic. Wäre so also etwas effizienter.
Beides geht...wenn du die tagged Variante kosmetisch besser findest geht das auch kann aber wie gesagt in bestimmten Situationen etwas Performance Einbußen bringen wenn du Lokaltraffic zw. DML und lokalem LAN hast plus Internet Traffic.
Ich verbinde FastEthernet0 mit dem Port 1 auf dem SG300. Den Port 1 lege ich jetzt auf das VLAN254 untagged und setze eine default Route auf dem SG300 auf die IP vom Router im VLAN 254.
Absolut richtig ! Switch hat natürlich auch eine IP in dem VLAN.
(Port 2 ist noch unbenutzt) nehmen und diesen in vSphere auf einen virtuellen Switch mit der VLAN ID 11 legen. Und dann diesen Port mit dem FastEthernet1 Port des 886 verbinden. Gut so?
Ja, auch absolut richtig !
Dann brauchst du das VLAN 11 auch nicht mehr auf den Switch rüberzuziehen. Sicherheitstechnisch DMZ bezogen wäre das auch wasserdichter.
Musst aber auf Link Aggregation dann verzichten da du ja nur auf dem Router bleibst !
Hier musst du nur gewaltig aufpassen das du nicht über die VMs ggf. dir wieder ne Backdoor Route schaffst. Das passiert aber nicht solange du auf deinen Servern immer IPv4 Forwarding verbietest was der Default ist.
Ich müsste also auf dem 886 das VLAN11 einrichten. Ich würde hier einfach die Konfiguration von "Gastnetz" abkupfern.
Bingo ! Richtig, der Kandidat hat 100 Punkte !
Wie aber leite ich jetzt anfragen, die von außen kommen in das VLAN11 bzw. an den FastEthernet1 Port des 886VA?
Na, ganz einfach mit dem allseits bekannt Klassiker Port Forwarding ! Z.B. für Webtraffic HTTP:
ip nat inside source static tcp 10.1.11.222 80 interface Dialer0 80

Das forwardet allen inbound Traffic am Dialer Interface mit Port TCP 80 auf die lokale IP 10.1.11.222 mit Port TCP 80.
Vorher musst du natürlich auch noch der Router Firewall sagen das sie eingehenden Port TCP 80 Traffic von außen auf die WAN IP erlauben soll:
access-list 111 permit tcp any eq http any

Brauche ich damit nicht?!
Richtig ! Mit deinem Design entfällt das natürlich.
Bitte warten ..
Mitglied: oOHiggsOo
06.07.2018 um 17:02 Uhr
Hallo ihr,

ich habe ähnliches vor, jedoch habe ich ein Pihole als DNS, diesen würde ich in einem separaten VLAN stecken.
Mein Plan würde wie folgt aussehen:
Pihole: VLAN 10 im 10.1.10.0er Netz
Wlan: VLAN 11 im 10.1.11.0er Netz
DG: VLAN 12 im 10.1.12.0er Netz
EG: VLAN 13 im 10.1.13.0er Netz
Fritte: VLAN 14 im 10.1.14.0er Netz
Entertain: VLAN 15 im 10.1.15.0er Netz
eventuell Drucker: VLAN 16 im 10.1.16.0er Netz
Inet: VLAN 99 im 10.1.99.0er Netz
eventuell ein Magement: VLAN 100 im 10.1.100.0er Netz

DHCP würde ich nur fürs WLAN-VLAN laufen lassen. Sonst feste IP's. Wie würden die Routen für die VLANS zum DNS und ins Internet aussehen?
Das ganze würde auf einen 896va laufen, eventuell noch ohne einen zusätzlichen Switch.

Grüße
Higgs
Bitte warten ..
Mitglied: aqui
06.07.2018, aktualisiert um 17:37 Uhr
diesen würde ich in einem separaten VLAN stecken.
Sinnvoll wäre hier das Transfer VLAN 14 (99) auf den Internet Router zu nehmen.
Dort ist ja eh nur die VLAN 14 (99) IP des Switches drin, die des Internet Routers und dann die des Pi's. So hast du ihn auch da wo der kürzeste Weg ins Internet ist.
Eigentlich müsste man ihn nicht allein in ein separates VLAN setzen bringt ja nix. Schadet aber natürlich auch nicht.

Was an der o.a. VLAN Konfig unverständlich ist:
Warum einmal ein FritzBox VLAN 14 und ein Internet VLAN 99 ??
Beides ist doch ein und dasselbe ??

So sähe es aus Layer 3 Sicht (Routing) aus wenn es richtig ist !:

pihole - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: oOHiggsOo
06.07.2018 um 17:54 Uhr
Hey, danke für deine schnelle Antwort.
Ach......Internet VLAN 99 hatte ich eventuell für die Verbindung zum Switch nutzen wollen.
Die Fritte macht bei mir "nur" VoIP" deswegen im separaten VLAN mit paar SIP Telefonen.
Bitte warten ..
Mitglied: aqui
06.07.2018, aktualisiert um 18:07 Uhr
Dann hast du 2 Fritten, oder ? Die Antwort ist jetzt noch verwirrender, denn die Fritte oben kann ja auch Telefonie machen, was ja auch Sinn macht.
Wozu also das VLAN 14 ?? Oder liegts daran weil heute wieder Freitag ist und Sonne
Bitte warten ..
Mitglied: oOHiggsOo
08.07.2018 um 10:11 Uhr
Nein, nur eine und die macht bei mir "nur" VOIP. Die würde ich gerne in einen separaten Netz hängen, da daran noch einige SIP-Telefone hängen, die sich an der Fritzbox anmelden.
Bitte warten ..
Mitglied: aqui
08.07.2018 um 11:24 Uhr
Die würde ich gerne in einen separaten Netz hängen
Aber das hast du doch mit dem VLAN 99 ! Das ist doch das separate Transfer Netz auf die anderen VLANs. Da ist nur der Switch, die FB und ggf. noch der PiHole RasPi drin.
Ist jetzt irgendwie etwas unverständlich was du meinst wenn du noch ein separates Netz dafür machen willst ?! Technisch geht das ja auch gar nicht.
Bitte warten ..
Mitglied: oOHiggsOo
10.07.2018 um 15:07 Uhr
Ich habe mal laienhaft ein Netzplan erstellt, wie es gerne hätte.
Keine Ahnung, ob das so funktioniert.
unbenannt - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
10.07.2018, aktualisiert um 15:33 Uhr
Ja, das funktioniert natürlich.
Es geht bei der Diskussion aber eigentlich ja nur um den Pfeil 886va auf Internet, denn das ist ja dein Transfer VLAN.
Statt des Pfeils sollte da auch ein blaues Rechteck sein was "VLAN 99" heisst und in dem der PiHole drin ist.
Das PiHole VLAN entfällt dann natürlich.

Was jetzt unklar ist in deinem Thread: Oben redest du von einem SG-300 Switch und einem 886 Router ?!?
Das existiert jetzt nicht mehr ? Es taucht ja jetzt ein 896 auf und der SG-300 gar nicht mehr ? Hast dein Design umgeschmissen ?
Oder WAS ist denn jetzt deine aktuelle HW um das umzusetzen ??
Bitte warten ..
Mitglied: oOHiggsOo
10.07.2018, aktualisiert um 15:50 Uhr
Den habe ich als "reserve", ich habe momentan 7 Geräte dich direkt per LAN-Kabel anschließe. Und da der 896va 8 Switchports hat plus einen zustäzliche WAN/LAN-Port, würde mir der 896va vorläufig genügen.
Aaaahhh jetzt......."klick"
Ist ja auch deinem Schaubild so abgebildet....
Danke!!!
Bitte warten ..
Mitglied: aqui
10.07.2018, aktualisiert um 18:34 Uhr
Ahhh, ok. Damit sind alle Klarheiten beseitigt
Ja, dann wirds natürlich kinderleicht.

Du richtest die VLANs ein mit:
router# conf t
router-(config)#vlan 5
router-(config-vlan)#name WLAN
router-(config)#vlan 10
router-(config-vlan)#name PiHole

...
usw. das wiederholst du für alle VLANs. Ein show vlan zeigt dir dann deine VLANs.
Dann weist du die Ports des internen Switches den VLANs zu:
!
interface FastEthernet0
description WLAN
switchport access vlan 5
no ip address
no cdp enable
!
interface FastEthernet1
description PiHole
switchport access vlan 10
no ip address
no cdp enable
!

usw.
Das wiederholst du für alle VLANs und das wars.
DHCP Server für die VLANs dann so einrichten wie im Cisco_Tutorial beschrieben.
Das wars...
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement

VLAN Konfiguration für Cisco SG300-28

gelöst Frage von SileceNetzwerkmanagement5 Kommentare

Hallo, zuhause habe ich jetzt einen Cisco SG300/28. Dem würde ich gerne VLANs beibringen, damit ich den iSCSI-Datenverkehr der ...

LAN, WAN, Wireless

Cisco SG300 Startschleife

gelöst Frage von DieOmerLAN, WAN, Wireless13 Kommentare

Hallo, Ich habe mich vorkurzem beim Neukauf für die SG300 Serie entschieden. Grundsätzlich zu mir, ich arbeite das erste ...

TK-Netze & Geräte

Vectoring mit Cisco 886va

Frage von Windows10GegnerTK-Netze & Geräte15 Kommentare

Hallo, da mein Provider VDSL mit Vectoring anbietet, muss ich doch mal nachfragen, ob das mit dem Cisco 886va ...

Router & Routing

Cisco 886va Uhrzeit spinnt

gelöst Frage von Windows10GegnerRouter & Routing5 Kommentare

Hallo, irgendwie stimmt was mit der Zeit an meinem Router nicht. cisco886va#sh clock detail 17:35:31.068 CEST Sun Mar 25 ...

Neue Wissensbeiträge
Windows Netzwerk

SCOM ( System Center Operations Manager ) um eine E-Mailschnittstelle erweitern

Anleitung von Juanito vor 18 StundenWindows Netzwerk

Einleitung System Center Operations Manager (SCOM) ist Microsoft's Lösung zum Überwachen von Servern. Dazu zählt die generelle Erreichbarkeit, Festplattenspeicher, ...

Humor (lol)
BioShield gegen 5G
Information von magicteddy vor 1 TagHumor (lol)3 Kommentare

Moin wer sich gegen die hochgefährlichen 5G schützen möchte wird hier fündig: 5GBioShield "gegen 5G-Strahlung" Ich glaube, ich sollte ...

Windows Server

ScheduledTasks mit einem Group-Managed-Service-Account (GMSA) ausführen

Anleitung von ToniHo vor 1 TagWindows Server

Hallo zusammen, wer schonmal versucht hat ein Group-Managed-Service-Account (GMSA) auf einem bestehenden ScheduledTask einzutragen, ist an der GUI vermutlich ...

Humor (lol)
Anti 5G USB Stick
Information von Ex0r2k16 vor 2 TagenHumor (lol)14 Kommentare

Perfekt für den Freitag, findet sich hier ein Businesspartner der mit mir zusammen einen Anti 6G Esoterik Stick rausbringt? ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Wie Festplatte von altem Notebook sicher löschen
gelöst Frage von NilsholgerssonFestplatten, SSD, Raid10 Kommentare

Hallo, habe ein altes P3 Celeron 800 Notebook, dessen Festplatte ich sicher löschen möchte. Habe von der Ultimate Boot ...

Router & Routing
Policy Based Routing mit Edgerouter ER-4 oder doch Load Balancing?
Frage von WillheRouter & Routing9 Kommentare

Hallo, ich möchte meine alte Fritzbox als Telefonanlage an meinen Edgerouter ER-4 anbinden (siehe Bild für mehr Details). Die ...

Windows 10
Virtualbox neueste Version W10pro 1909 nach Update auf 2004 Oberfläche hinüber bis fast ohne Funktion
Frage von UweGriWindows 109 Kommentare

Liebe profi Admins, zu Testzwecken hatte ich in einer VirtualBox neuste Ausführung ein W10 pro 1909 ohne Kummer laufen. ...

Router & Routing
VPN Router hinter Glasfaser Router des ISP
gelöst Frage von TenerifeITRouter & Routing9 Kommentare

Hallo zusammen, ich habe bisher noch keine VPN Router eingerichtet und nun von einem Kunden 2 TP-Link TL-R600VPN Router ...