Unterstützung bei Einrichten von Vlans Cisco SG-300-28
Hi,
brauche Hilfe beim Einrichten von meinem Switch
Hallo,
ich hab mir vor kurzem ein Cisco SG300-28 gekauft und diesen auch schon in den Layer-3-Modus gebracht.
Aber ich stehe vor einem großen Konfigurationsproblem. Und zwar komm ich nicht so ganz klar mit den Vlan-Porteinstellungen (Allgemein,Trunk, Zugriff)und dem Zuweisen der Ports. Vielleicht könnt ihr mir da ja mal bei helfen oder mir eine Lösung präsentieren. Das Handbuch hab ich schon mehrfach gelesen. Ich steig da trotzdem nicht durch.
Also folgendes habe ich vor:
Mehrere Vlans zur Unterteilung und der Sicherheit meines Netzwerkes.
Ich habe z.B. außen am Haus 3 IP-Kameras hängen, ein NAS, ein W2K8 Testserver, KNX Bussystem im Haus, Mediastations (Dreambox , Tv etc) und mehrere PC’s und Laptops.
Was habe ich bisher gemacht:
Ich habe folgende Vlans angelegt:
1 default
2 Router
3 KNX Bus
4 IP-Kameras
5 Mediastations
6 Server2008 Testumgebung
7 Gast Wlan
8 NAS
LAG 1 erstellt für mein NAS
LAG 2 erstellt für Cisco SG200
Wie sind die Ports angeschlossen:
GE1-GE3 Vlan 1 (diverse unbenutzte Netzwerkdosen im Haus bzw. sind hier die PC’s oder Laptops angeschlossen)
GE4-GE7 Mediastations
GE8- GE11 Server2008 Testumgebung
GE12-GE13 zwei Dlink AP
GE14-GE16 KNX Bussystem
GE17-GE22 Vlan 1 (diverse unbenutzte Netzwerkdosen im Haus bzw. sind hier die PC’s oder Laptops angeschlossen)
GE23-GE24 NAS
GE26 hängt vom Netgear Wndr3800 Port 1 dran
GE27-GE28 Cisco SG-200
Am Cisco SG-200 sind noch weitere diverse unbenutzte Netzwerkdosen für Vlan1 und die drei IP-Kameras
Internetzugriff soll für alle Vlan‘s außer für 4+5 gehen.
Vlan 7 darf auf keinen Fall auf die anderen Vlans zugreifen können außer auf das Internet.
Vlan 6 darf nur auf das Internet und auf das NAS zugreifen (Vlan8)
Ich würde jetzt noch auf dem Switch den jeweiligen Vlans ihre statischen Routen hinzufügen.
Vlan 1 10.10.10.254
Vlan 2 10.10.12.254
Vlan 3 10.10.13.254
Vlan 4 10.10.14.254
Vlan 5 10.10.15.254
Vlan 6 10.10.16.254
Vlan 7 10.10.17.254
Vlan 8 10.10.18.254
Die Router IP ist 10.10.10.1 und vergibt seine Adressen per DHCP.
Muss ich noch irgendwelche statischen Routen auf dem Netgear Router einrichten?
Also wer könnte mir dabei helfen damit ich das ganze so umsetzen kann?
Danke schonmal im vorraus.
Lg sprite
brauche Hilfe beim Einrichten von meinem Switch
Hallo,
ich hab mir vor kurzem ein Cisco SG300-28 gekauft und diesen auch schon in den Layer-3-Modus gebracht.
Aber ich stehe vor einem großen Konfigurationsproblem. Und zwar komm ich nicht so ganz klar mit den Vlan-Porteinstellungen (Allgemein,Trunk, Zugriff)und dem Zuweisen der Ports. Vielleicht könnt ihr mir da ja mal bei helfen oder mir eine Lösung präsentieren. Das Handbuch hab ich schon mehrfach gelesen. Ich steig da trotzdem nicht durch.
Also folgendes habe ich vor:
Mehrere Vlans zur Unterteilung und der Sicherheit meines Netzwerkes.
Ich habe z.B. außen am Haus 3 IP-Kameras hängen, ein NAS, ein W2K8 Testserver, KNX Bussystem im Haus, Mediastations (Dreambox , Tv etc) und mehrere PC’s und Laptops.
Was habe ich bisher gemacht:
Ich habe folgende Vlans angelegt:
1 default
2 Router
3 KNX Bus
4 IP-Kameras
5 Mediastations
6 Server2008 Testumgebung
7 Gast Wlan
8 NAS
LAG 1 erstellt für mein NAS
LAG 2 erstellt für Cisco SG200
Wie sind die Ports angeschlossen:
GE1-GE3 Vlan 1 (diverse unbenutzte Netzwerkdosen im Haus bzw. sind hier die PC’s oder Laptops angeschlossen)
GE4-GE7 Mediastations
GE8- GE11 Server2008 Testumgebung
GE12-GE13 zwei Dlink AP
GE14-GE16 KNX Bussystem
GE17-GE22 Vlan 1 (diverse unbenutzte Netzwerkdosen im Haus bzw. sind hier die PC’s oder Laptops angeschlossen)
GE23-GE24 NAS
GE26 hängt vom Netgear Wndr3800 Port 1 dran
GE27-GE28 Cisco SG-200
Am Cisco SG-200 sind noch weitere diverse unbenutzte Netzwerkdosen für Vlan1 und die drei IP-Kameras
Internetzugriff soll für alle Vlan‘s außer für 4+5 gehen.
Vlan 7 darf auf keinen Fall auf die anderen Vlans zugreifen können außer auf das Internet.
Vlan 6 darf nur auf das Internet und auf das NAS zugreifen (Vlan8)
Ich würde jetzt noch auf dem Switch den jeweiligen Vlans ihre statischen Routen hinzufügen.
Vlan 1 10.10.10.254
Vlan 2 10.10.12.254
Vlan 3 10.10.13.254
Vlan 4 10.10.14.254
Vlan 5 10.10.15.254
Vlan 6 10.10.16.254
Vlan 7 10.10.17.254
Vlan 8 10.10.18.254
Die Router IP ist 10.10.10.1 und vergibt seine Adressen per DHCP.
Muss ich noch irgendwelche statischen Routen auf dem Netgear Router einrichten?
Also wer könnte mir dabei helfen damit ich das ganze so umsetzen kann?
Danke schonmal im vorraus.
Lg sprite
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 182137
Url: https://administrator.de/forum/unterstuetzung-bei-einrichten-von-vlans-cisco-sg-300-28-182137.html
Ausgedruckt am: 05.01.2025 um 16:01 Uhr
11 Kommentare
Neuester Kommentar
Die VLAN Einrichtung sollte ja klar sein und hast du vermutlich auch gemacht. Wichtig ist das der LAG der SG300 und SG200 verbindet alle VLANs tagged eingetragen hat damit die transparent zw. den Switches übertragen werden.
VLAN Nummerierung sollte auf beiden Switches identisch sein..klar !
Beispiel findest du hier: VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Der Rest ist dann kinderleicht:
Die Endgeräte werden in den jeweiligen VLANs so eingerichtet das die IP Adressen passen und das Default Gateway IMMER die IP Adresse des SG300 in dem jeweiligen VLAN ist...fertig !
Statische Routen auf dem SG-300 Switch ist natürlich Blödsinn und auch Quatsch.
Der Switch "kennt" ja alle VLANs da diese ja direkt physisch an ihm angeschlossen sind und kann sie dann logischerweise auch problemlos routen lokal.
Das einzige was der SG-300 benötigt ist eine Default Route auf den NetGear Router !
Mehr Aufmerksamkeit solltest du der NetGear Router Gurke schenken !
Dort kommen ja nun Pachtete mit Absender IP Adressen aus allen deinen VLANs die auf dem SG-300 installiert sind. Damit der der NG Hobel die nun nicht doof ins Internet routet (Da er die 10er Netze ja sonst nicht kennt außer dem in dem er selber mit seinem LAN Port ist !) gehen die sonst ins (Internet) Nirwana, denn dahin hat er ja seine Default Route...logo !
Also musst du ihm einen statische Route aller deiner VLAN IP Netze eintragen die auf die SG-300 IP Adresse zeigt in dem Netz in dem sein LAN Interface ist !
Sinnvollerweise hast du ja schon eine 10er IP Adresse verwendet mit entsprechenden Subnetzen. Es reicht also eine Default Route ala:
Zielnetz: 10.10.0.0 255.255.0.0, Gateway: <ip_sg-300>
ihm einzutragen.
Damit werden dann alle Pakete die vorne 10.10. als Netzwerk haben an den L3 Switch geschickt der sie dann wieder lokal zustellen kann...er kennt ja alle diese Netze !
Falls die NetGear Gurke kein solches Supernetting kann musst du alle 10er Subnetze dann ala:
Zielnetz: 10.10.x.0 255.255.255.0, Gateway : <ip_sg-300> einzeln eintragen.
So einfach ist das !!
Also Grundlage zum Verständnis hilft ggf. das_hier ?!
VLAN Nummerierung sollte auf beiden Switches identisch sein..klar !
Beispiel findest du hier: VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Der Rest ist dann kinderleicht:
Die Endgeräte werden in den jeweiligen VLANs so eingerichtet das die IP Adressen passen und das Default Gateway IMMER die IP Adresse des SG300 in dem jeweiligen VLAN ist...fertig !
Statische Routen auf dem SG-300 Switch ist natürlich Blödsinn und auch Quatsch.
Der Switch "kennt" ja alle VLANs da diese ja direkt physisch an ihm angeschlossen sind und kann sie dann logischerweise auch problemlos routen lokal.
Das einzige was der SG-300 benötigt ist eine Default Route auf den NetGear Router !
Mehr Aufmerksamkeit solltest du der NetGear Router Gurke schenken !
Dort kommen ja nun Pachtete mit Absender IP Adressen aus allen deinen VLANs die auf dem SG-300 installiert sind. Damit der der NG Hobel die nun nicht doof ins Internet routet (Da er die 10er Netze ja sonst nicht kennt außer dem in dem er selber mit seinem LAN Port ist !) gehen die sonst ins (Internet) Nirwana, denn dahin hat er ja seine Default Route...logo !
Also musst du ihm einen statische Route aller deiner VLAN IP Netze eintragen die auf die SG-300 IP Adresse zeigt in dem Netz in dem sein LAN Interface ist !
Sinnvollerweise hast du ja schon eine 10er IP Adresse verwendet mit entsprechenden Subnetzen. Es reicht also eine Default Route ala:
Zielnetz: 10.10.0.0 255.255.0.0, Gateway: <ip_sg-300>
ihm einzutragen.
Damit werden dann alle Pakete die vorne 10.10. als Netzwerk haben an den L3 Switch geschickt der sie dann wieder lokal zustellen kann...er kennt ja alle diese Netze !
Falls die NetGear Gurke kein solches Supernetting kann musst du alle 10er Subnetze dann ala:
Zielnetz: 10.10.x.0 255.255.255.0, Gateway : <ip_sg-300> einzeln eintragen.
So einfach ist das !!
Also Grundlage zum Verständnis hilft ggf. das_hier ?!
Aaaaaaaaaaaalso.
Zuordnen würdest du ports so:
unpriv mode>ena
priv mode#>conf t
global conf#> int gi0/1
für gigabit ethernet port 1 (ausgeben lassen kannst du dir die ports per "sh int sum" oder "sh ip int br" - eventuell musst die die portnummer an dein gerät anpassen )
int#>switchport access vlan X
X ist deine VLAN Nummer.
int#>switchport mode access
int#>end
priv mode#>wr me
(oder copy run start)
speichert die aktuelle config
trunk ports, access ports, allgemein:
bei cisco switches liegen die ports per default in vlan 1 und sind auf access gesetzt.
per se kannst du nicht von einem vlan ins andere schnattern, ausnahme wäre private vlans, aber das ist ne andere baustelle.
Trunks sind dazu da mehrere VLANs über einen Link zu transportieren. Dafür markiert (taggt) der switch die Ethernetframes entsprechend.
Das brauchst du, wenn du VLANs über mehrere devices ziehst.
Das Problem ist bei deiner VLAN-config das die mehr oder minder alle ins gleiche netz geroutet werden und über diesen umweg jedes vlan mit jedem sprechen kann.
die bequemste lösung das zu unterbinden wäre eine ACL.
http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_not ...
und
http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SXF/n ...
dürften dir da weiterhelfen.
Falls du noch fragen hast, kannst du dich ja nochmal melden.
Zuordnen würdest du ports so:
unpriv mode>ena
priv mode#>conf t
global conf#> int gi0/1
für gigabit ethernet port 1 (ausgeben lassen kannst du dir die ports per "sh int sum" oder "sh ip int br" - eventuell musst die die portnummer an dein gerät anpassen )
int#>switchport access vlan X
X ist deine VLAN Nummer.
int#>switchport mode access
int#>end
priv mode#>wr me
(oder copy run start)
speichert die aktuelle config
trunk ports, access ports, allgemein:
bei cisco switches liegen die ports per default in vlan 1 und sind auf access gesetzt.
per se kannst du nicht von einem vlan ins andere schnattern, ausnahme wäre private vlans, aber das ist ne andere baustelle.
Trunks sind dazu da mehrere VLANs über einen Link zu transportieren. Dafür markiert (taggt) der switch die Ethernetframes entsprechend.
Das brauchst du, wenn du VLANs über mehrere devices ziehst.
Das Problem ist bei deiner VLAN-config das die mehr oder minder alle ins gleiche netz geroutet werden und über diesen umweg jedes vlan mit jedem sprechen kann.
die bequemste lösung das zu unterbinden wäre eine ACL.
http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_not ...
und
http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SXF/n ...
dürften dir da weiterhelfen.
Falls du noch fragen hast, kannst du dich ja nochmal melden.
@skyacer
OK wenn du die VLANs eingerichtet hast passiert natürlich erstmal noch gar nix.
Die Frage wie du die Ports zuordnest ist kinderleicht:
untagged = Endgerätepaorts an denen PCs, Drucker usw. angeschlossen werden. Diese verstehen keinen 802.1q VLAN Tags im Paket, deshalb immer "untagged"
tagged = Das sind in der Regel Uplink Ports auf andere Switches. Klar, denn hier soll der VLAN Switch zur Erkennung der VLANs ein VLAN Tag in das zu sendende Paket einfügen mit der VLAN ID (Nummer). Logisch, denn der empfangene Switch soll ja wieder genau wissen in welches VLAN er dieses Paket senden soll !
trunk = Das ist einen Link Aggregation also das Zusammenfassen mehrer Links zu einem logischen um den Traffic zu Bündeln sofern die Bandbreite eines Links nicht ausreicht.
Relevant für dich in deinem Setup ist also erstmal die Zuordnung von tagged und untagged Ports zu deinen VLANs !!
Deinen VLAN Kenntnisse sind aber ziemlich mies wenn es bei dir schon an so ganz einfachen Basics scheitert.
Du solltest also dringenst einmal etwas zu dem Thema lesen damit dir wenigstens die allereinfachsten Grundlagen geläufig sind:
http://www.heise.de/netze/artikel/VLAN-Virtuelles-LAN-221621.html
http://de.wikipedia.org/wiki/Virtual_Local_Area_Network
Die Abtrennung der VLANs ist ja immer da. VLANs sind generell auf einem Switch vollkommen getrennte Broadcast Doamins die keinerlei Kommunikation untereinander haben. Bei einem Layer 3 Switch können sie also nur über das IP protokoll kommunizieren also mit Routing.
Richtest du kein IP Interface (IP Adresse) auf dem VLAN ein bleibt das VLAN vollkommen isoliert.
Hat das VLAN eine IP Adresse ist generell ein transparentes Routing über den Switch gegeben und auch immer aktiv wenn die Switch VLAN IP in den VLAN Endgeräten als Default Gateway angegeben ist wie es sich gehört.
Die Kommunikation der einzelnen VLANs untereinander regelst du dann mit IP Accesslisten oder IP Filterlisten wie sie auch genannt werden auf dem Switch selber.
Hier blockst du also den IP Verkehr in die IP Netze den du nicht erlauben willst individuell mit diesen Accesslisten. Die werden auf dem L3 Switch also deinem SG300 eingerichtet.
Eigentlich ganz einfach und banal.
OK wenn du die VLANs eingerichtet hast passiert natürlich erstmal noch gar nix.
Die Frage wie du die Ports zuordnest ist kinderleicht:
untagged = Endgerätepaorts an denen PCs, Drucker usw. angeschlossen werden. Diese verstehen keinen 802.1q VLAN Tags im Paket, deshalb immer "untagged"
tagged = Das sind in der Regel Uplink Ports auf andere Switches. Klar, denn hier soll der VLAN Switch zur Erkennung der VLANs ein VLAN Tag in das zu sendende Paket einfügen mit der VLAN ID (Nummer). Logisch, denn der empfangene Switch soll ja wieder genau wissen in welches VLAN er dieses Paket senden soll !
trunk = Das ist einen Link Aggregation also das Zusammenfassen mehrer Links zu einem logischen um den Traffic zu Bündeln sofern die Bandbreite eines Links nicht ausreicht.
Relevant für dich in deinem Setup ist also erstmal die Zuordnung von tagged und untagged Ports zu deinen VLANs !!
Deinen VLAN Kenntnisse sind aber ziemlich mies wenn es bei dir schon an so ganz einfachen Basics scheitert.
Du solltest also dringenst einmal etwas zu dem Thema lesen damit dir wenigstens die allereinfachsten Grundlagen geläufig sind:
http://www.heise.de/netze/artikel/VLAN-Virtuelles-LAN-221621.html
http://de.wikipedia.org/wiki/Virtual_Local_Area_Network
Die Abtrennung der VLANs ist ja immer da. VLANs sind generell auf einem Switch vollkommen getrennte Broadcast Doamins die keinerlei Kommunikation untereinander haben. Bei einem Layer 3 Switch können sie also nur über das IP protokoll kommunizieren also mit Routing.
Richtest du kein IP Interface (IP Adresse) auf dem VLAN ein bleibt das VLAN vollkommen isoliert.
Hat das VLAN eine IP Adresse ist generell ein transparentes Routing über den Switch gegeben und auch immer aktiv wenn die Switch VLAN IP in den VLAN Endgeräten als Default Gateway angegeben ist wie es sich gehört.
Die Kommunikation der einzelnen VLANs untereinander regelst du dann mit IP Accesslisten oder IP Filterlisten wie sie auch genannt werden auf dem Switch selber.
Hier blockst du also den IP Verkehr in die IP Netze den du nicht erlauben willst individuell mit diesen Accesslisten. Die werden auf dem L3 Switch also deinem SG300 eingerichtet.
Eigentlich ganz einfach und banal.
Vorsicht ! Das führt immer zu allgemeiner Verwirrung, gerade bei Neulingen.
Es gilt:
Trunk = Link Aggregation (außer bei Cisco !)
Cisco Link Aggregation = "Ether Channel" und nicht Trunk !
Trunking ist also für den gesamten Rest der Netzwerk Welt Link Aggregation, außer bei Cisco da ist das "Ethern Channel" und Cisco bezeichnet als "Trunks" oft nur simple tagged Uplinks. Also hier nicht verwirren lassen !
Es mag aber sein das Cisco in seiner SG Billigschiene Link Aggregation auch "Trunk" nennt um da in Verbindung mit anderen Herstellern keine Verwirrung zu schaffen...
Vergiss das aber alles für dich ist erstmal ja Link Aggrgation gar nicht relevant !!
Bring du erstmal deine VLANs zum laufen und weise die Ports zu !
Also...
Und lies dir weiterhin ein paar gute Dokumente durch zum Thema VLANs damit du die Materie richtig verstehst !!!
Sehr gut ist das Tutorial vom Kollegen edi.pfisterer hier aus dem Forum:
http://www.schulnetz.info/2011/04/
Ein Bild sagt mehr als 1000 Worte... (genau dein Design !)
http://www.schulnetz.info/vlan-teil2-woher-weiss-mein-netzwerk-aus-welc ...
Das versteht auch jeder Erstklässler....
Und auch..
http://www.tecchannel.de/netzwerk/lan/434093/einfuehrung_in_vlans_teil_ ...
Es gilt:
Trunk = Link Aggregation (außer bei Cisco !)
Cisco Link Aggregation = "Ether Channel" und nicht Trunk !
Trunking ist also für den gesamten Rest der Netzwerk Welt Link Aggregation, außer bei Cisco da ist das "Ethern Channel" und Cisco bezeichnet als "Trunks" oft nur simple tagged Uplinks. Also hier nicht verwirren lassen !
Es mag aber sein das Cisco in seiner SG Billigschiene Link Aggregation auch "Trunk" nennt um da in Verbindung mit anderen Herstellern keine Verwirrung zu schaffen...
Vergiss das aber alles für dich ist erstmal ja Link Aggrgation gar nicht relevant !!
Bring du erstmal deine VLANs zum laufen und weise die Ports zu !
Also...
- Uplink zwischen den beiden Switches = Hier alle VLANs tagged beidseitig eintragen !
- Dann untagged Ports auf den beiden Switches jeweils den Endgeräten zuweisen.
- Gateway IPs der Endgeräte zeigen dann auf die SG 300 VLAN IP Adresse
- Statische Route am SG300 auf den Internet Router
- Internet Router routet alle 10er Netze richtg Switch IP in seinem VLAN
- Fertisch !
Und lies dir weiterhin ein paar gute Dokumente durch zum Thema VLANs damit du die Materie richtig verstehst !!!
Sehr gut ist das Tutorial vom Kollegen edi.pfisterer hier aus dem Forum:
http://www.schulnetz.info/2011/04/
Ein Bild sagt mehr als 1000 Worte... (genau dein Design !)
http://www.schulnetz.info/vlan-teil2-woher-weiss-mein-netzwerk-aus-welc ...
Das versteht auch jeder Erstklässler....
Und auch..
http://www.tecchannel.de/netzwerk/lan/434093/einfuehrung_in_vlans_teil_ ...