Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Problem mit Cisco VLAN-Konfiguration

Mitglied: ef8619

ef8619 (Level 1) - Jetzt verbinden

25.01.2014, aktualisiert 29.01.2014, 2958 Aufrufe, 4 Kommentare

Hallo liebe Leute,

wir haben 2 Cisco SGE2000 und SGE2000P im Stacking Mode laufen, dazu einen Cisco ISR 1921 Router. Dort habe ich meine VLAN-Interfaces (Dot1q) definiert und die entsprechenden DHCP-Pools und die dazugehörigen Netzadressbereiche angelegt.

Auf dem Master-Switch habe ich die gewünschten VLANs mit ID und Name definiert und die benötigten VLANs als DHCP-Interfaces festgelegt. Den Port, an dem das Kabel vom Router zum Master-Switch angeschlossen ist, habe ich in den Trunk-Mode mit eingeschaltetem Tagging versetzt.

Zum Testen habe ich nun einen Rechner an einen Switchport angeschlossen und diesen Switchport in den Access-Mode für ein ausgewähltes VLAN (und nur dieses, auch kein Default VLAN) gesteckt. Der Rechner bekommt eine IP-Adresse aus dem richtigen Netzadressbereich, der für das VLAN festgelegt ist, in dem sich der Rechner befindet.

Soweit so gut. Nun besteht aber das Problem, dass ich von diesem Rechner aus trotzdem noch Geräte erreichen kann (ICMP, HTTP usw.), welche sich aber in einem anderen VLAN befinden (z.B. Default VLAN mit der ID 1).

Könnt ihr mir vielleicht erklären was hier falsch läuft? Normalerweise sind die Netze doch logisch getrennt und eine Kommunikation untereinander dürfte nicht möglich sein, solange die Ports, an denen die Endgeräte angeschlossen sind nicht Member im gleichen VLAN sind?
Mitglied: shadynet
LÖSUNG 25.01.2014, aktualisiert 29.01.2014
Hi,

ist ganz einfach: der Router macht das, was er machen soll nämlich...routen. Um das zu unterbinden musst du dem Router das routen abgewöhnen. Sollte afaik mit dem Kommand "no ip routing" zu erledigen sein.

Grüße


kleiner Edit noch dazu: wenn du die dot1q Subinterfaces (Gi0/0.1 z.B. für VLAN 1) angelegt hast, sind diese Netze als "directly connected" in der Routingtabelle im Router hinterlegt. Somit wird einfach nach der Routingtabelle gearbeitet, indem dein Client das Paket ans Gateway (der Router) sendet und er dann seiner eigentlichen Aufgabe nachgeht. Du kannst nun also die Routingfunktion deaktivieren (Kommando oben), was aber blöd ist, wenn du den Router noch ans WAN anschließt. In dem Fall musst du dann für alles und jeden eine ACL (Access Control List) anlegen, die so eingestellt sind, dass jeder Client aus jedem Netz ins Internet kommt, aber kein Client mit einem Client eines anderen Subnetzes kommunizieren kann
Bitte warten ..
Mitglied: aqui
25.01.2014, aktualisiert um 20:44 Uhr
Vermutlich ist es wirklich so wie oben vermutet.
Du solltest mal ein Traceroute oder Pathping ausführen auf die Zielsysteme, dann kannst du sehen ob der Routerhop dazwischen ist.
Muss aber, denn anders kannst du die anderen Endgeräte in den anderen IP Netzen (VLANs) auch gar nicht erreichen !
Das Design arbeitet dann eigentlich so wie es soll und routet zwischen den VLANs
Mit einer ACL auf dem Router bekommst du das aber in der Tat wieder in den Griff...

Du solltest nochmal genau klären WAS du mit der Aussage "und die benötigten VLANs als DHCP-Interfaces festgelegt." genau meinst ??
Das klingt recht verwirrend denn so hat ein VLAN erstmal mit DHCP nichts zu tun und DHCP hat auch keine "Interfaces" ?!

Grundlagen zu dem Thema klärt sonst noch dieses Forumstutorial:
https://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Bitte warten ..
Mitglied: ef8619
29.01.2014 um 17:23 Uhr
Vielen Dank für eure Hilfe. Ihr scheint recht zu haben, dass hierfür ACLs nötig sind. Dies wird u.a. auch auf folgender Seite beschrieben:

http://www.schulnetz.info/vlan-teil5-access_lists/

"(Ohne Access Lists [ACL] sind VLANs nur der halbe Spass – es wird lediglich das Broadcasting stark reduziert, was zu einem Performancegewinn führt;
aus Sicherheitstechnischem Blickwinkel haben wir aber ohne ACLs noch nichts erreicht!"

Wo sollte ich denn nun am besten die ACLs definieren - auf dem Router oder auf dem Switch(es)?

Bzgl. "VLANs als DHCP Interfaces" meinte ich die Seite in der Weboberfläche des Cisco SGE2000. Dort kann man ein VLAN als "Interface" auswählen, für die DHCP Requests und Responses durch ein externes Gerät (Router) möglich sein sollen (mithilfe von Dot1q). Ich kann nur sagen, dass die Vergabe von IP-Adressen vom DHCP-Servers für einen Client in einem VLAN mit ID > 1 erst vergeben wurden, (der Port des Endgeräts war im Access Mode für das dazugehörige VLAN), als ich das VLAN als "DHCP Interface" in diesem Cisco Menü angegeben habe.
Bitte warten ..
Mitglied: aqui
29.01.2014, aktualisiert um 17:45 Uhr
Ihr scheint recht zu haben, dass hierfür ACLs nötig sind.
Nicht nur "scheinen" es ist wirklich so. Ohne ACLs hast du einen transparenten Router der zwischen allen IP netzen sprich VLANs ja routet.

Es gibt 2 Möglichkeiten bzw. Punkte die ACLs zu definieren:
1.) Wenn dein Switch ein Layer 3 Switch ist also ein Routing Switch, d.h. das der Switch selber zwischen den VLANs Routen kann dann werden logischerweise die IP Accesslisten an den IP Interfaces des Switches definiert !
Dein SGE2000 ist aber kein routingfähiger Switch laut Datenblatt:
http://www.cisco.com/web/DE/pdfs/ds/Cisco-SGE2000-Datenblatt-deutsch.pd ...
Bleibt also nur die 2te Option für dich....

2.) Wenn du keinen Routing fähigen Switch hast und mit einem externen Router oder Firewall arbeitest wie im o.a. Tutorial beschrieben, dann werden die IP ACLs dann logischerweise an den zum VLAN korrespondierenden Interfaces DORT konfiguriert.

Kommt man aber auch von allein drauf wenn man mal etwas nachdenkt

Was du oben beschreibst in Bezug zu DHCP sind DHCP Forwarder bzw. Helper Adressen. Ist auch logisch das eine zentrale DHCP Vergabe über einen zentralen Server nur so funktioniert, denn jeder Netzwerker weiss das DHCPs auf Broadcasts basieren, die nicht geroutet werden in den einzelnen IP Segementen. Folglich müssen diese DHCP Broadcasts irgendwie an den Server gesendet werden was diese Helper oder Forwarder bewerkstelligen.
Allerdings....da dein Switch gar kein L3 also Routing Switch ist kann er damit niemals ein ein Problem bekommen. Dieses Kommando ist nur für L3 Switches relevant. Fragt sich also was du da wirklich verschlimmbessert hast.
In der Beziehung ist das also Unsinn oder laienhaft ujnd untechnisch beschrieben, sorry !
Oder meinst du damit das DHCP Snooping Feature was im Handbuch:
http://www.cisco.com/en/US/docs/switches/lan/csbms/sfe2000/administrati ...
auf Seite 127 ff. beschrieben ist ??
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Cisco SG300-28p + Cisco AP2602i - VLAN Konfiguration

Frage von besserpunk11LAN, WAN, Wireless3 Kommentare

Hallo Admins, ich habe mein Heimnetzwerk auf Cisco Komponenten umgestellt, bin folglich noch Neuling auf diesem Gebiet und stehe ...

Netzwerkmanagement

VLAN Konfiguration für Cisco SG300-28

gelöst Frage von SileceNetzwerkmanagement5 Kommentare

Hallo, zuhause habe ich jetzt einen Cisco SG300/28. Dem würde ich gerne VLANs beibringen, damit ich den iSCSI-Datenverkehr der ...

Netzwerkmanagement

LANCOM 1781VA-4G + Cisco SG200 50FP VLAN Konfiguration

gelöst Frage von JonnyblueNetzwerkmanagement4 Kommentare

Hallo zusammen, ich hoffe auf eure Hilfe. Ich habe mich intensiv durch alle möglichen VLAN Tutorials und Hilfen gelesen ...

Netzwerke

Cisco VLAN Erklärungshilfe

Frage von newit1Netzwerke12 Kommentare

Hallo zusammen, auf meinem Switch sind diverse VLAN's eingerichtet. In den "Interface Settings" sieht dies dann z.B. so aus ...

Neue Wissensbeiträge
Datenschutz

SiSyPHuS Win10: Analyse der Telemetriekomponenten in Windows 10

Tipp von freesolo vor 3 StundenDatenschutz1 Kommentar

Alle die sich detailliert für die Datensammlung interessieren die unter Windows 10 stattfindet, sollten sich folgende Analyse des BSI ...

Sicherheit
Adminrechte dank Intel-Grafikkarte
Information von DerWoWusste vor 6 StundenSicherheit

ist das Advisory, welches beschreibt, welche Intel HD Graphics Modelle Sicherheitslücken haben, mit denen sich schwache Nutzer zu Admins ...

Internet

EU Urheberrechtsreform: Eingriff in die Internetkultur

Information von Frank vor 1 TagInternet1 Kommentar

Liebe Besucherin, lieber Besucher, warum erscheint das obere Banner in allen Beiträgen? Aus Protest gegen Teile der geplanten EU-Urheberrechtsreform ...

Windows Server
Windows Backup - FilterManager Event 3
Tipp von NixVerstehen vor 1 TagWindows Server

Hallo zusammen, ich bin kein gelernter ITler und auch beruflich nicht in dem Feld tätig. Wir setzen in unserem ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Glasfaserkabel verlegen und Anschlüsse setzen
Frage von LLL0rdLAN, WAN, Wireless20 Kommentare

Hallo Leute, ich muss demnächst ein Netzwerkkabel auf einer Länge von ca. 70 Metern verlegen. Das Netzwerkkabel soll dabei ...

Server-Hardware
Server Hardwareempfehlung für Projekt
gelöst Frage von heax22Server-Hardware12 Kommentare

Hallo zusammen, ich bin auf der Suche nach einer geeigneten Server Plattform um unter Hyper-V einen virtuellen Server 2016 ...

Basic
VBS soll alle Ordner auswählen, die im Startmenu angezeigt werden
Frage von Senseless-CreatureBasic12 Kommentare

Guten Morgen - gibt es eine Möglichkeit, per VBS das Startmenu in Win10 zu modifizieren? Ich beherrsche VBS mittlerweile ...

E-Mail
Wie funktionieren DNS Blacklisten?
gelöst Frage von WinLiCLIE-Mail12 Kommentare

Ich frage mich schon seit längerem, woher genau die Blacklisten für die Mailserver die Domains und Ips kennen die ...