4
Problem mit Cisco VLAN-Konfiguration
Hallo liebe Leute,
wir haben 2 Cisco SGE2000 und SGE2000P im Stacking Mode laufen, dazu einen Cisco ISR 1921 Router. Dort habe ich meine VLAN-Interfaces (Dot1q) definiert und die entsprechenden DHCP-Pools und die dazugehörigen Netzadressbereiche angelegt.
Auf dem Master-Switch habe ich die gewünschten VLANs mit ID und Name definiert und die benötigten VLANs als DHCP-Interfaces festgelegt. Den Port, an dem das Kabel vom Router zum Master-Switch angeschlossen ist, habe ich in den Trunk-Mode mit eingeschaltetem Tagging versetzt.
Zum Testen habe ich nun einen Rechner an einen Switchport angeschlossen und diesen Switchport in den Access-Mode für ein ausgewähltes VLAN (und nur dieses, auch kein Default VLAN) gesteckt. Der Rechner bekommt eine IP-Adresse aus dem richtigen Netzadressbereich, der für das VLAN festgelegt ist, in dem sich der Rechner befindet.
Soweit so gut. Nun besteht aber das Problem, dass ich von diesem Rechner aus trotzdem noch Geräte erreichen kann (ICMP, HTTP usw.), welche sich aber in einem anderen VLAN befinden (z.B. Default VLAN mit der ID 1).
Könnt ihr mir vielleicht erklären was hier falsch läuft? Normalerweise sind die Netze doch logisch getrennt und eine Kommunikation untereinander dürfte nicht möglich sein, solange die Ports, an denen die Endgeräte angeschlossen sind nicht Member im gleichen VLAN sind?
wir haben 2 Cisco SGE2000 und SGE2000P im Stacking Mode laufen, dazu einen Cisco ISR 1921 Router. Dort habe ich meine VLAN-Interfaces (Dot1q) definiert und die entsprechenden DHCP-Pools und die dazugehörigen Netzadressbereiche angelegt.
Auf dem Master-Switch habe ich die gewünschten VLANs mit ID und Name definiert und die benötigten VLANs als DHCP-Interfaces festgelegt. Den Port, an dem das Kabel vom Router zum Master-Switch angeschlossen ist, habe ich in den Trunk-Mode mit eingeschaltetem Tagging versetzt.
Zum Testen habe ich nun einen Rechner an einen Switchport angeschlossen und diesen Switchport in den Access-Mode für ein ausgewähltes VLAN (und nur dieses, auch kein Default VLAN) gesteckt. Der Rechner bekommt eine IP-Adresse aus dem richtigen Netzadressbereich, der für das VLAN festgelegt ist, in dem sich der Rechner befindet.
Soweit so gut. Nun besteht aber das Problem, dass ich von diesem Rechner aus trotzdem noch Geräte erreichen kann (ICMP, HTTP usw.), welche sich aber in einem anderen VLAN befinden (z.B. Default VLAN mit der ID 1).
Könnt ihr mir vielleicht erklären was hier falsch läuft? Normalerweise sind die Netze doch logisch getrennt und eine Kommunikation untereinander dürfte nicht möglich sein, solange die Ports, an denen die Endgeräte angeschlossen sind nicht Member im gleichen VLAN sind?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 227754
Url: https://administrator.de/contentid/227754
Ausgedruckt am: 23.11.2024 um 01:11 Uhr
4 Kommentare
Neuester Kommentar
Hi,
ist ganz einfach: der Router macht das, was er machen soll
nämlich...routen. Um das zu unterbinden musst du dem Router das routen abgewöhnen. Sollte afaik mit dem Kommand "no ip routing" zu erledigen sein.
Grüße
kleiner Edit noch dazu: wenn du die dot1q Subinterfaces (Gi0/0.1 z.B. für VLAN 1) angelegt hast, sind diese Netze als "directly connected" in der Routingtabelle im Router hinterlegt. Somit wird einfach nach der Routingtabelle gearbeitet, indem dein Client das Paket ans Gateway (der Router) sendet und er dann seiner eigentlichen Aufgabe nachgeht. Du kannst nun also die Routingfunktion deaktivieren (Kommando oben), was aber blöd ist, wenn du den Router noch ans WAN anschließt. In dem Fall musst du dann für alles und jeden eine ACL (Access Control List) anlegen, die so eingestellt sind, dass jeder Client aus jedem Netz ins Internet kommt, aber kein Client mit einem Client eines anderen Subnetzes kommunizieren kann
ist ganz einfach: der Router macht das, was er machen soll
nämlich...routen. Um das zu unterbinden musst du dem Router das routen abgewöhnen. Sollte afaik mit dem Kommand "no ip routing" zu erledigen sein.Grüße
kleiner Edit noch dazu: wenn du die dot1q Subinterfaces (Gi0/0.1 z.B. für VLAN 1) angelegt hast, sind diese Netze als "directly connected" in der Routingtabelle im Router hinterlegt. Somit wird einfach nach der Routingtabelle gearbeitet, indem dein Client das Paket ans Gateway (der Router) sendet und er dann seiner eigentlichen Aufgabe nachgeht. Du kannst nun also die Routingfunktion deaktivieren (Kommando oben), was aber blöd ist, wenn du den Router noch ans WAN anschließt. In dem Fall musst du dann für alles und jeden eine ACL (Access Control List) anlegen, die so eingestellt sind, dass jeder Client aus jedem Netz ins Internet kommt, aber kein Client mit einem Client eines anderen Subnetzes kommunizieren kann
1
Vermutlich ist es wirklich so wie oben vermutet.
Du solltest mal ein Traceroute oder Pathping ausführen auf die Zielsysteme, dann kannst du sehen ob der Routerhop dazwischen ist.
Muss aber, denn anders kannst du die anderen Endgeräte in den anderen IP Netzen (VLANs) auch gar nicht erreichen !
Das Design arbeitet dann eigentlich so wie es soll und routet zwischen den VLANs
Mit einer ACL auf dem Router bekommst du das aber in der Tat wieder in den Griff...
Du solltest nochmal genau klären WAS du mit der Aussage "und die benötigten VLANs als DHCP-Interfaces festgelegt." genau meinst ??
Das klingt recht verwirrend denn so hat ein VLAN erstmal mit DHCP nichts zu tun und DHCP hat auch keine "Interfaces" ?!
Grundlagen zu dem Thema klärt sonst noch dieses Forumstutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Du solltest mal ein Traceroute oder Pathping ausführen auf die Zielsysteme, dann kannst du sehen ob der Routerhop dazwischen ist.
Muss aber, denn anders kannst du die anderen Endgeräte in den anderen IP Netzen (VLANs) auch gar nicht erreichen !
Das Design arbeitet dann eigentlich so wie es soll und routet zwischen den VLANs
Mit einer ACL auf dem Router bekommst du das aber in der Tat wieder in den Griff...
Du solltest nochmal genau klären WAS du mit der Aussage "und die benötigten VLANs als DHCP-Interfaces festgelegt." genau meinst ??
Das klingt recht verwirrend denn so hat ein VLAN erstmal mit DHCP nichts zu tun und DHCP hat auch keine "Interfaces" ?!
Grundlagen zu dem Thema klärt sonst noch dieses Forumstutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Vielen Dank für eure Hilfe. Ihr scheint recht zu haben, dass hierfür ACLs nötig sind. Dies wird u.a. auch auf folgender Seite beschrieben:
http://www.schulnetz.info/vlan-teil5-access_lists/
"(Ohne Access Lists [ACL] sind VLANs nur der halbe Spass – es wird lediglich das Broadcasting stark reduziert, was zu einem Performancegewinn führt;
aus Sicherheitstechnischem Blickwinkel haben wir aber ohne ACLs noch nichts erreicht!"
Wo sollte ich denn nun am besten die ACLs definieren - auf dem Router oder auf dem Switch(es)?
Bzgl. "VLANs als DHCP Interfaces" meinte ich die Seite in der Weboberfläche des Cisco SGE2000. Dort kann man ein VLAN als "Interface" auswählen, für die DHCP Requests und Responses durch ein externes Gerät (Router) möglich sein sollen (mithilfe von Dot1q). Ich kann nur sagen, dass die Vergabe von IP-Adressen vom DHCP-Servers für einen Client in einem VLAN mit ID > 1 erst vergeben wurden, (der Port des Endgeräts war im Access Mode für das dazugehörige VLAN), als ich das VLAN als "DHCP Interface" in diesem Cisco Menü angegeben habe.
http://www.schulnetz.info/vlan-teil5-access_lists/
"(Ohne Access Lists [ACL] sind VLANs nur der halbe Spass – es wird lediglich das Broadcasting stark reduziert, was zu einem Performancegewinn führt;
aus Sicherheitstechnischem Blickwinkel haben wir aber ohne ACLs noch nichts erreicht!"
Wo sollte ich denn nun am besten die ACLs definieren - auf dem Router oder auf dem Switch(es)?
Bzgl. "VLANs als DHCP Interfaces" meinte ich die Seite in der Weboberfläche des Cisco SGE2000. Dort kann man ein VLAN als "Interface" auswählen, für die DHCP Requests und Responses durch ein externes Gerät (Router) möglich sein sollen (mithilfe von Dot1q). Ich kann nur sagen, dass die Vergabe von IP-Adressen vom DHCP-Servers für einen Client in einem VLAN mit ID > 1 erst vergeben wurden, (der Port des Endgeräts war im Access Mode für das dazugehörige VLAN), als ich das VLAN als "DHCP Interface" in diesem Cisco Menü angegeben habe.
Ihr scheint recht zu haben, dass hierfür ACLs nötig sind.
Nicht nur "scheinen" es ist wirklich so. Ohne ACLs hast du einen transparenten Router der zwischen allen IP netzen sprich VLANs ja routet.Es gibt 2 Möglichkeiten bzw. Punkte die ACLs zu definieren:
1.) Wenn dein Switch ein Layer 3 Switch ist also ein Routing Switch, d.h. das der Switch selber zwischen den VLANs Routen kann dann werden logischerweise die IP Accesslisten an den IP Interfaces des Switches definiert !
Dein SGE2000 ist aber kein routingfähiger Switch laut Datenblatt:
http://www.cisco.com/web/DE/pdfs/ds/Cisco-SGE2000-Datenblatt-deutsch.pd ...
Bleibt also nur die 2te Option für dich....
2.) Wenn du keinen Routing fähigen Switch hast und mit einem externen Router oder Firewall arbeitest wie im o.a. Tutorial beschrieben, dann werden die IP ACLs dann logischerweise an den zum VLAN korrespondierenden Interfaces DORT konfiguriert.
Kommt man aber auch von allein drauf wenn man mal etwas nachdenkt
Was du oben beschreibst in Bezug zu DHCP sind DHCP Forwarder bzw. Helper Adressen. Ist auch logisch das eine zentrale DHCP Vergabe über einen zentralen Server nur so funktioniert, denn jeder Netzwerker weiss das DHCPs auf Broadcasts basieren, die nicht geroutet werden in den einzelnen IP Segementen. Folglich müssen diese DHCP Broadcasts irgendwie an den Server gesendet werden was diese Helper oder Forwarder bewerkstelligen.
Allerdings....da dein Switch gar kein L3 also Routing Switch ist kann er damit niemals ein ein Problem bekommen. Dieses Kommando ist nur für L3 Switches relevant. Fragt sich also was du da wirklich verschlimmbessert hast.
In der Beziehung ist das also Unsinn oder laienhaft ujnd untechnisch beschrieben, sorry !
Oder meinst du damit das DHCP Snooping Feature was im Handbuch:
http://www.cisco.com/en/US/docs/switches/lan/csbms/sfe2000/administrati ...
auf Seite 127 ff. beschrieben ist ??
