12
vlan routing 3com Switch 4500 (Layer3)
Ich habe ein Netzwerk mit 2 Abteilungen, Einmal Verwaltung und einmal Unterrichtsraum und einem Router. Beide Netze sollen sich nicht sehen können aber über einen Router in das Internet gelangen.
Deshalb habe ich drei Vlans auf einem 3com Layer3 Switch 4500 erstellt.
Vlan1000 Internet(Router) 192.168.10.254
Vlan1001 Verwaltung 192.168.1.254
Vlan1002 Unterricht 192.168.2.254
Nun will ich eine Route erstellen, damit Vlan1001 und Vlan1002 auf Vlan1000 gelangen aber sich nicht untereinander sehen.
Wie richte ich dies auf den 4500 Switch ein???
Danke für schnelle Hilfe
Eac1903
Deshalb habe ich drei Vlans auf einem 3com Layer3 Switch 4500 erstellt.
Vlan1000 Internet(Router) 192.168.10.254
Vlan1001 Verwaltung 192.168.1.254
Vlan1002 Unterricht 192.168.2.254
Nun will ich eine Route erstellen, damit Vlan1001 und Vlan1002 auf Vlan1000 gelangen aber sich nicht untereinander sehen.
Wie richte ich dies auf den 4500 Switch ein???
Danke für schnelle Hilfe
Eac1903
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 82160
Url: https://administrator.de/contentid/82160
Ausgedruckt am: 08.11.2024 um 07:11 Uhr
12 Kommentare
Neuester Kommentar
Das funktioniert nur wenn der 3Com Switch auch Layer 3 kann also routen kann.
3Com ist da etwas diffus ob ja oder nein...vermutlich können sie es aber und deine Chancen sind gut:
http://www.3com.com/prod/de_CE_EMEA/prodlist.jsp?tab=cat&cat=4& ...
Ist er nur ein Layer 2 VLAN fähiger Switch ist das technisch unmöglich bzw. du benötigst einen Server, PC oder externen Router wie z.B. hier beschrieben:
Wenn der 3Com Layer 3 (Routing) fähig ist musst du nichts machen ausser einer Accessliste zu erstellen, das ein Zugriff zw. den VLANs nicht möglich ist und einer default Route auf die IP des Routers.
Die PCs zeigen mit der gateway IP dann auf die jeweilige IP des 3Coms in ihrem VLAN und der Switch selber hat eine default Route auf die VLAN IP des Internet Routers...das wars.
Die ACL regelt den Zugriff zu das kein Zugriff von IPs zw. VLAN 1001 und 1002 möglich ist, denn ohne ACL routet der Switch frei zw. den VLANs !
Ab Seite 196 kannst du hier genau sehen was du fürs VLAN Routing auf dem Switch einstellen musst:
http://support.3com.com/documents/switches/3Com_Stackable_Switches_Adva ...
3Com ist da etwas diffus ob ja oder nein...vermutlich können sie es aber und deine Chancen sind gut:
http://www.3com.com/prod/de_CE_EMEA/prodlist.jsp?tab=cat&cat=4& ...
Ist er nur ein Layer 2 VLAN fähiger Switch ist das technisch unmöglich bzw. du benötigst einen Server, PC oder externen Router wie z.B. hier beschrieben:
Wenn der 3Com Layer 3 (Routing) fähig ist musst du nichts machen ausser einer Accessliste zu erstellen, das ein Zugriff zw. den VLANs nicht möglich ist und einer default Route auf die IP des Routers.
Die PCs zeigen mit der gateway IP dann auf die jeweilige IP des 3Coms in ihrem VLAN und der Switch selber hat eine default Route auf die VLAN IP des Internet Routers...das wars.
Die ACL regelt den Zugriff zu das kein Zugriff von IPs zw. VLAN 1001 und 1002 möglich ist, denn ohne ACL routet der Switch frei zw. den VLANs !
Ab Seite 196 kannst du hier genau sehen was du fürs VLAN Routing auf dem Switch einstellen musst:
http://support.3com.com/documents/switches/3Com_Stackable_Switches_Adva ...
Sorry,
habe ganz vergessen zu sagen das ich das default vlan auf port 25 und 26 habe und die drei Vlans 1000, 1001 und 1002 erstellte habe, und die sich von anfang an nicht sehen können.
Da brauche ich ja eigentlich keine ACL's??
habe ganz vergessen zu sagen das ich das default vlan auf port 25 und 26 habe und die drei Vlans 1000, 1001 und 1002 erstellte habe, und die sich von anfang an nicht sehen können.
Da brauche ich ja eigentlich keine ACL's??
Aber Layer 3 seitig, also Routing seitig musst du sie ja wieder zusammenführen, sonst kannst du beide Netze nicht in dein Internet VLAN bringen. Und über das Routing sehen sich alle Netze wieder...
Irgendwie habe ich einen denkfehler, wenn ich die Default route auf das Internet vlan(192.168.10.254) setzten möchte kommt die Meldung bei:
[4500]ip route-static 0.0.0.0 0 192.168.10.254
Error:Invalid next-hop address
Was mache ich falsch??
[4500]ip route-static 0.0.0.0 0 192.168.10.254
Error:Invalid next-hop address
Was mache ich falsch??
Dann hast du wohl vergessen dem Switch eine IP Adresse im VLAN 1000 zu geben. Wenn er das Netzwerk 192.168.10.0/24 nicht kennt erscheint diese Fehlermeldung !!
Ansonsten hast du eine falsche statische Route eingetragen wenn die 192.168.10.254 die IP Adresse des Switches selber ist, denn eine default Route auf ihn selber wäre ja kompletter Blödsinn und er beschwert sich zu Recht
Die Route muss dann richtig lauten: [4500]ip route-static 0.0.0.0 <ip_adr.Internet_router>
Also wenn der Internet Router im VLAN 1000 die 192.168.10.1 hat, dann analog:
[4500]ip route-static 0.0.0.0 192.168.10.1
Ansonsten hast du eine falsche statische Route eingetragen wenn die 192.168.10.254 die IP Adresse des Switches selber ist, denn eine default Route auf ihn selber wäre ja kompletter Blödsinn und er beschwert sich zu Recht
Die Route muss dann richtig lauten: [4500]ip route-static 0.0.0.0 <ip_adr.Internet_router>
Also wenn der Internet Router im VLAN 1000 die 192.168.10.1 hat, dann analog:
[4500]ip route-static 0.0.0.0 192.168.10.1
Habe jetzt diese Route erstellt. Mein Router hat die Ip-Adresse 192.168.10.1.
Auf den Clients habe ich als Gateway immer die IP Adresse des Vlans eingetragen.
Leider funktioniert es immer noch nicht.
Hier nocheinmal meine Routingtabelle:
Destination/Mask Protocol Pre Cost Nexthop Interface
0.0.0.0/0 STATIC 60 0 192.168.10.1 Vlan-interface1000
127.0.0.0/8 DIRECT 0 0 127.0.0.1 InLoopBack0
127.0.0.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0
192.168.1.0/24 DIRECT 0 0 192.168.1.254 Vlan-interface1001
192.168.1.254/32 DIRECT 0 0 127.0.0.1 InLoopBack0
192.168.2.0/24 DIRECT 0 0 192.168.2.254 Vlan-interface1002
192.168.2.254/32 DIRECT 0 0 127.0.0.1 InLoopBack0
192.168.10.0/24 DIRECT 0 0 192.168.10.254 Vlan-interface1000
192.168.10.254/32 DIRECT 0 0 127.0.0.1 InLoopBack0
Auf den Clients habe ich als Gateway immer die IP Adresse des Vlans eingetragen.
Leider funktioniert es immer noch nicht.
Hier nocheinmal meine Routingtabelle:
Destination/Mask Protocol Pre Cost Nexthop Interface
0.0.0.0/0 STATIC 60 0 192.168.10.1 Vlan-interface1000
127.0.0.0/8 DIRECT 0 0 127.0.0.1 InLoopBack0
127.0.0.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0
192.168.1.0/24 DIRECT 0 0 192.168.1.254 Vlan-interface1001
192.168.1.254/32 DIRECT 0 0 127.0.0.1 InLoopBack0
192.168.2.0/24 DIRECT 0 0 192.168.2.254 Vlan-interface1002
192.168.2.254/32 DIRECT 0 0 127.0.0.1 InLoopBack0
192.168.10.0/24 DIRECT 0 0 192.168.10.254 Vlan-interface1000
192.168.10.254/32 DIRECT 0 0 127.0.0.1 InLoopBack0
Dann bleibt nur noch ein Grund:
Hast du denn auch alle deine Subnetze als statische Routen in den Internet Router eingetragen ????
Ohne das finden ja die Packete nicht den Rückweg in ihre Zielnetze, denn sonst würde der Router Packte die z.B. aus dem VLAN 1001 mit einen 192.168.1er Adresse kommen ins Internet schicken, denn da geht ja seine default Route hin. Hier verschwinden dann die Packete im Nirwanan und nix geht.... Vermutlich ist genau DAS bei dir der Fall !!!
In deinem Internet Router müssen also folglich analog folgende statische Routen im Setup konfiguriert sein:
Zielnetz: 192.168.1.0, Maske: 255.255.255.0, Gateway: 192.168.10.254
Zielnetz: 192.168.2.0, Maske: 255.255.255.0, Gateway: 192.168.10.254
Das sollte dein Problem sofort lösen !
Hast du denn auch alle deine Subnetze als statische Routen in den Internet Router eingetragen ????
Ohne das finden ja die Packete nicht den Rückweg in ihre Zielnetze, denn sonst würde der Router Packte die z.B. aus dem VLAN 1001 mit einen 192.168.1er Adresse kommen ins Internet schicken, denn da geht ja seine default Route hin. Hier verschwinden dann die Packete im Nirwanan und nix geht.... Vermutlich ist genau DAS bei dir der Fall !!!
In deinem Internet Router müssen also folglich analog folgende statische Routen im Setup konfiguriert sein:
Zielnetz: 192.168.1.0, Maske: 255.255.255.0, Gateway: 192.168.10.254
Zielnetz: 192.168.2.0, Maske: 255.255.255.0, Gateway: 192.168.10.254
Das sollte dein Problem sofort lösen !
Danke für die hilfreiche Tipps,
habe die Rückroute voll vergessen. Jetzt funktioniert es.
Jetzt muss ich noch die Acl-liste erstellen und dann fertig.
eac1903
habe die Rückroute voll vergessen. Jetzt funktioniert es.
Jetzt muss ich noch die Acl-liste erstellen und dann fertig.
eac1903
Hallo aqui,
Eine Frage habe ich noch.
Ich muss ja die Rule die ich erstellt habe jeden Port einzeln zuweisen. Kann man auch irgendwie diese Rule auch einem Vlan zuordnen?? So muss man nicht an jeden Port ran.
eac1903
Eine Frage habe ich noch.
Ich muss ja die Rule die ich erstellt habe jeden Port einzeln zuweisen. Kann man auch irgendwie diese Rule auch einem Vlan zuordnen?? So muss man nicht an jeden Port ran.
eac1903
Nein, die ACL Rule musst du natürlich NICHT jedem Port zuweisen, denn die Ports innerhalb der VLANs sind ja nur Layer 2 Ports in denen ein Switching auf Basis der MAC Adressen passiert.
Die ACL muss nur und ausschliesslich auf den Layer 3 IP Adressen im VLAN also nur einmal pro VLAN konfiguriert werden !
Das müsste so auch im 3Com Handbuch stehen !
Die ACL muss nur und ausschliesslich auf den Layer 3 IP Adressen im VLAN also nur einmal pro VLAN konfiguriert werden !
Das müsste so auch im 3Com Handbuch stehen !
Danke aqui, habe es geschaft, jetzt können sich beide Vlans nicht mehr sehen aber auf des Internet Vlan zugreifen.
Aber jetzt tut sich die nächste Frage auf:
Die Ports für Vlan 1002 reichen nicht und ich möchte noch ein 4400 Switch an den Port 1/0/12 des 4500 Switches dran hängen.
Muss auf dem 4400 Switch dem Vlan auch eine IP geben und kann ich das Vlan auch nennen wie auf dem 4500??
habe so etwas auch noch nicht gemacht?
Aber jetzt tut sich die nächste Frage auf:
Die Ports für Vlan 1002 reichen nicht und ich möchte noch ein 4400 Switch an den Port 1/0/12 des 4500 Switches dran hängen.
Muss auf dem 4400 Switch dem Vlan auch eine IP geben und kann ich das Vlan auch nennen wie auf dem 4500??
habe so etwas auch noch nicht gemacht?
