6
VLAN - DMZ LAN
Hallo Community
Ich habe einen Cisco SGE2010 im Einsatz.
Darauf habe ich ein VLAN für meine DMZ-Server (DMZ) und ein VLAN für das lokale Netzwerk (LAN).
Im DMZ-VLAN (Port 1-8) habe ich ein Kabel verbunden von Port 1 zu der Firewall.
Im LAN-VLAN (Port 9-12) habe ich ein Kabel verbunden von Port 9 zu der Firewall.
Alle anderen Ports (insgesamt 48) sind keinem VLAN zugeordnet respektive dem default VLAN 1 (not editable).
An Port 2 ist mein Web-Server angeschlossen mit einer statische/externen IP-Adresse und funktioniert tadellos über die Firewall.
An Port 10 ist ein Kabel zum internen Netzwerk (LAN) verbunden, respektive zu einem weiteren Switch mit 48 Ports.
An Port 20/21/22/23 sind Kabel zu einem internen Switch und internen Server.
Mein Problem:
Wenn ich einen Client/Server an Port 3 anschliesse bekommt der eine IP-Adresse vom internen DHCP-Server.
Ich sehe die Verbindung zum LAN aus dem DMZ-VLAN nicht.
Muss ich etwas Weiteres konfigurieren bzw. unterbinden?
Danke
Mimimi
Ich habe einen Cisco SGE2010 im Einsatz.
Darauf habe ich ein VLAN für meine DMZ-Server (DMZ) und ein VLAN für das lokale Netzwerk (LAN).
Im DMZ-VLAN (Port 1-8) habe ich ein Kabel verbunden von Port 1 zu der Firewall.
Im LAN-VLAN (Port 9-12) habe ich ein Kabel verbunden von Port 9 zu der Firewall.
Alle anderen Ports (insgesamt 48) sind keinem VLAN zugeordnet respektive dem default VLAN 1 (not editable).
An Port 2 ist mein Web-Server angeschlossen mit einer statische/externen IP-Adresse und funktioniert tadellos über die Firewall.
An Port 10 ist ein Kabel zum internen Netzwerk (LAN) verbunden, respektive zu einem weiteren Switch mit 48 Ports.
An Port 20/21/22/23 sind Kabel zu einem internen Switch und internen Server.
Mein Problem:
Wenn ich einen Client/Server an Port 3 anschliesse bekommt der eine IP-Adresse vom internen DHCP-Server.
Ich sehe die Verbindung zum LAN aus dem DMZ-VLAN nicht.
Muss ich etwas Weiteres konfigurieren bzw. unterbinden?
Danke
Mimimi
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 280215
Url: https://administrator.de/contentid/280215
Ausgedruckt am: 25.11.2024 um 18:11 Uhr
6 Kommentare
Neuester Kommentar
Hi!
L2 Switch [/Korrektur] und in deinem Fall sind deine DMZ und dein LAN auch nicht getrennt... 
mrtux
Zitat von @Mimimi:
Wenn ich einen Client/Server an Port 3 anschliesse bekommt der eine IP-Adresse vom internen DHCP-Server.
So wie ich das sehe, ist das vermutlich nur ein [Korrektur:] Wenn ich einen Client/Server an Port 3 anschliesse bekommt der eine IP-Adresse vom internen DHCP-Server.
Ich sehe die Verbindung zum LAN aus dem DMZ-VLAN nicht.
Ich muss gestehen, dass ich nicht mit allen Produkten von Cisco vertraut bin und vermute auch mal, es handelt sich wohl um ein Small Business Gerät aber bei vielen Switches genügt es nicht wenn man bei einem portbasierenden VLAN nur die Ports zusammenfasst, man muss zwingend auch die VLAN-ID für jeden einzelnen Port zuweisen, hast Du das gemacht? Evt. deine Config mal hier posten, allerdings sind Ferien und vermutlich werden unsere Cisco Profis hier im Forum wohl am Strand liegen und sich verdient entspannen... mrtux
Moin moin...
mrtux hat recht, die Ports laufen in einer Art Trunk Mode und alle VLans werden zu allen Ports übertragen (SMB = kein vernünftiger Netzwerkadmin = lieber ganz einfach!).
Einfach die Ports den VLans zuweisen und dann hört der Spuk auf...
@mrtux: laut Cisco kann das Ding auch Layer 3, da könnte der Hund dann auch noch begraben sein ;)
http://www.cisco.com/c/dam/en/us/products/collateral/switches/sge2010-4 ...
(auf Seite 3 in der Tabelle steht die layer 3 Funktionalität)
Witzig ist auch, dass in der Doku noch ein Linksysswitch abgebildet ist ..!
Gruß Keksdieb
mrtux hat recht, die Ports laufen in einer Art Trunk Mode und alle VLans werden zu allen Ports übertragen (SMB = kein vernünftiger Netzwerkadmin = lieber ganz einfach!).
Einfach die Ports den VLans zuweisen und dann hört der Spuk auf...
@mrtux: laut Cisco kann das Ding auch Layer 3, da könnte der Hund dann auch noch begraben sein ;)
http://www.cisco.com/c/dam/en/us/products/collateral/switches/sge2010-4 ...
(auf Seite 3 in der Tabelle steht die layer 3 Funktionalität)
Witzig ist auch, dass in der Doku noch ein Linksysswitch abgebildet ist ..!
Gruß Keksdieb
Hi!
ist war aber soweit ich mich noch erinnern kann Small Business und gehört heute glaub zu Belkin...
mrtux
Zitat von @keksdieb:
@mrtux: laut Cisco kann das Ding auch Layer 3, da könnte der Hund dann auch noch begraben sein ;)
Hab das Manual jetzt nicht angeschaut und sicherheitshalber meine Vermutung oben revidiert um niemanden zu verunsichern. Und stimme natürlich mit Dir überein: Bei einem echten L3 Switch besteht natürlich die Möglichkeit (evt. auch versehentlich/irrtümlich) zwischen den VLANs zu routen, was im Falle des TO ja ganz klar unerwünscht ist und in einem DMZ Szenario einen wirklich ganz ganz bösen Fehler darstellt, kein Thema...@mrtux: laut Cisco kann das Ding auch Layer 3, da könnte der Hund dann auch noch begraben sein ;)
Witzig ist auch, dass in der Doku noch ein Linksysswitch abgebildet ist ..!
Linksys mrtux
Danke für Eure Ideen.
Der Switch ist im Layer 3 und Standalone Mode.
Bei Port to VLAN sind die Ports korrekt am entsprechenden VLAN zugeordnet (tagged), die jeweils anderen sind als exluded gelistet.
Bei VLAN to Port sieht das ebenfalls gut aus.
Alle Ports sind im VLAN 1, das automatisch erstellt wurde und ich auch nicht bearbeiten kann. Ich kann auch keinen Port davon entfernen.
Könnte die Verbindung darüber geschehen?
...oder habe ich eine Einstellung irgendwo drin die den Layer 3 Switch alles verbinden lässt?
Der Switch ist im Layer 3 und Standalone Mode.
Bei Port to VLAN sind die Ports korrekt am entsprechenden VLAN zugeordnet (tagged), die jeweils anderen sind als exluded gelistet.
Bei VLAN to Port sieht das ebenfalls gut aus.
Alle Ports sind im VLAN 1, das automatisch erstellt wurde und ich auch nicht bearbeiten kann. Ich kann auch keinen Port davon entfernen.
Könnte die Verbindung darüber geschehen?
...oder habe ich eine Einstellung irgendwo drin die den Layer 3 Switch alles verbinden lässt?
Es scheint so als ob ich die Ports in den "Access" mode setzen muss und nicht "Trunk", aber dann kann ich es keinem VLAN zuweisen.
Die Meldung: Be sure the port is a member of a single VLAN.
..ich kann die Ports aber nicht vom Default VLAN 1 entfernen.
Die Meldung: Be sure the port is a member of a single VLAN.
..ich kann die Ports aber nicht vom Default VLAN 1 entfernen.
Moin...
Na Ja, wenn der Switch im Layer 3 Mode läuft, würde ich mal prüfen, ob er in die einzelnen Vlans routet.
Des weiteren kann in der VLan Konfiguration das entsprechende VLan zum Port zugewiesen werden (jedenfalls beim SG 300).
Überprüf das nochmal und dann schauen wir weiter
schönen Restsonntag...
Gruß Keks
Na Ja, wenn der Switch im Layer 3 Mode läuft, würde ich mal prüfen, ob er in die einzelnen Vlans routet.
Des weiteren kann in der VLan Konfiguration das entsprechende VLan zum Port zugewiesen werden (jedenfalls beim SG 300).
Überprüf das nochmal und dann schauen wir weiter
schönen Restsonntag...
Gruß Keks
