Thomas L. 10 Geschrieben 24. Juni 2008 Melden Teilen Geschrieben 24. Juni 2008 Hallo, mal wieder bins ich mit einer Frage :) Ich habe hier einen Cisco 1811 stehen und bevor ich mich ans Probieren mache wollte ich mal nachfragen ob meine derzeitige Annahme korrekt ist. Am Port FastEthernet0 ist die Verbindung ins Internet. Es sind zusätzliche 3 VLANs (je eines pro geswitchtem Port) aktiv. Nun würde ich gerne jedem Benutzer in jedem VLAN Internetzugang gewähren. Gehe ich richtig in der Annahme, dass folgendes konfiguriert werden muss: * Die drei Ports den entsprechenden VLANs zuweisen und je VLAN eine IP im jeweiligen Netzwerk konfigurieren * Auf allen drei VLANs ein ip nat inside konfigurieren * Auf Fa0 ein ip nat outside konfigurieren * Eine AccessList mit den entsprechenden Netzwerken erstellen (z.B. 192.168.3.0/24, 129.168.4.0/24, 192.168.5.0/24, jeweils permit) * ein ip nat inside source list x interface Fa0 konfigurieren Dann würde ich gern die IPs über DHCP vergeben. Was DHCP anbelangt bin ich noch nicht so recht versiert (was NAT anbelangt auch nicht, aber was solls;) ). Kann ich drei Pools definieren (eben die oben bereits angegebenen) und jedem VLAN einen dieser Pools zuweisen? Was trage ich in der DHCP Konfiguration als Gateway ein? Herzlichen Dank wenn mir da jemand mal kurz Bescheid geben könnte ob ich gerade einen großen ****sinn mache oder ob das halbwegs hinhauen könnte. Im Notfall gehe ich einfach mit einem copy start run wieder zurück zur Ausgangskonfiguration :) Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 24. Juni 2008 Melden Teilen Geschrieben 24. Juni 2008 Das funktioniert so, allerdings musst du dann auch mit ACLs die VLANs untereinander abschirmen. Den DHCP Gateway traegst du in der Poolkonfiguration ein, also pro Pool das richtige Gateway (die SVI IP). Wird auf jeden Fall "halbwegs" hinhauen ;) Zitieren Link zu diesem Kommentar
Thomas L. 10 Geschrieben 25. Juni 2008 Autor Melden Teilen Geschrieben 25. Juni 2008 Hallo Wordo - Erstmal danke für die Antwort :) Ich hab jetzt mal ein wenig versucht aber habs noch nicht bis zum Schluss geschafft. Was ich habe: 2 VLANs (VLAN2 - 192.168.2.0/24 und VLAN3 - 192.168.3.0/24) 2 DHCP Pools (129.168.2.0 - 255 und 192.168.3.0 - 255) Ich habe dem VLAN2 den Port FastEthernet2 zugewiesen, dem VLAN3 den Port FastEthernet3. Internet ist an Port FastEthernet0 konfiguriert, diesem Interface habe ich auch ip nat outside zugewiesen. DHCP dürfte korrekt konfiguriert sein, da mein PC eine IP zugewiesen bekommt. Ich bin nun jedoch etwas verwirrt, was ich nun als Gateway einzutragen habe, bzw. wie ich nun die beiden VLANs im Prinzip auf den FastEthernet Port mappe. Muss ich da Subinterfaces anlegen oder wie gehe ich jetzt vor? Würde mich freuen wenn mir hier noch jemand weiterhelfen könnte. Ich habe mir mal erlaubt die Config zu posten. Ist sicher der eine oder andere Fehler drin. Als Gateway hatte ich eigentlich vor jeweils die .254 zu konfigurieren, aber funktioniert hat es nicht :( router#show running-config Building configuration... Current configuration : 2683 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname router ! boot-start-marker boot-end-marker ! ! no aaa new-model ! resource policy ! ! ! ip cef no ip dhcp use vrf connected ip dhcp excluded-address 192.168.2.254 ip dhcp excluded-address 192.168.3.254 ! ip dhcp pool PoolVlan2 network 192.168.2.0 255.255.255.0 default-router 192.168.2.254 dns-server 192.168.1.1 ! ip dhcp pool PoolVlan3 network 192.168.3.0 255.255.255.0 default-router 192.168.3.254 dns-server 192.168.3.254 ! ip dhcp pool PoolVlan4 network 192.168.4.0 255.255.255.0 default-router 192.168.4.254 ! ip dhcp pool PoolVlan5 network 192.168.5.0 255.255.255.0 default-router 192.168.5.254 ! ! ip name-server 192.168.1.1 ! ! ! ! ! ! ! ! ! interface FastEthernet0 description INET Connection ip address 192.168.1.160 255.255.255.0 ip nat outside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet0.1 description OUTSIDE ip nat inside ip virtual-reassembly ! interface FastEthernet0.2 encapsulation isl 2 ip address 192.168.2.254 255.255.255.0 no ip redirects ip nat inside ip virtual-reassembly no snmp trap link-status ! interface FastEthernet0.3 encapsulation isl 3 ip address 192.168.3.254 255.255.255.0 no ip redirects ip nat inside ip virtual-reassembly no snmp trap link-status ! interface FastEthernet1 no ip address shutdown duplex auto speed auto ! interface FastEthernet2 switchport access vlan 2 ! interface FastEthernet3 switchport access vlan 3 ! interface FastEthernet4 switchport access vlan 4 ! interface FastEthernet5 switchport access vlan 5 ! interface FastEthernet6 switchport access vlan 6 shutdown ! interface FastEthernet7 shutdown ! interface FastEthernet8 shutdown ! interface FastEthernet9 shutdown ! interface Vlan1 no ip address ! interface Vlan2 no ip address ip nat inside ip virtual-reassembly ! interface Vlan3 no ip address ip nat inside ip virtual-reassembly ! interface Vlan4 ip address 192.168.4.254 255.255.255.0 ! interface Vlan5 ip address 192.168.5.254 255.255.255.0 ! interface Async1 no ip address encapsulation slip ! ip route 0.0.0.0 0.0.0.0 192.168.1.1 ! ! no ip http server no ip http secure-server ip nat inside source list 2 interface FastEthernet0 overload ip nat inside source list 3 interface FastEthernet0 overload ! access-list 2 permit 192.168.2.0 0.0.0.255 access-list 3 permit 192.168.3.0 0.0.0.255 ! ! ! ! ! ! control-plane ! ! line con 0 line 1 line aux 0 line vty 0 4 password X login ! ! webvpn context Default_context ssl authenticate verify all ! no inservice ! end Zitieren Link zu diesem Kommentar
Thomas L. 10 Geschrieben 25. Juni 2008 Autor Melden Teilen Geschrieben 25. Juni 2008 Ach ... an der Konfiguration hatte ich wohl schon zuviel herumgepfuscht - wenn man systematisch vorgeht, gehts ja doch *seufz* Ich poste nacher noch mal die aktuelle Konfiguration (die auch funktioniert) - vielleicht könnte jemand noch ein paar zusätzliche Vorschläge machen, wie man das Ganze sicherer machen könnte :) – So .. hier jetzt mal die Konfiguration ... Wär super wenn noch wer was dazu sagen könnte :) * entfernt, falsche Config gepostet * Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 26. Juni 2008 Melden Teilen Geschrieben 26. Juni 2008 für ein allgemeines "Security Audit" empfehle ich dei Konfig durch nipper zu jagen. Ist zwar ncoh nciht zu 100% ausgereift und manche Tipps sind fragwürdig, aber ist trotzdem ein nettes Tool Zitieren Link zu diesem Kommentar
Thomas L. 10 Geschrieben 26. Juni 2008 Autor Melden Teilen Geschrieben 26. Juni 2008 Danke, werde gleich mal schauen ... Ich bin übrigens grad draufgekommen: Ich hab die startup gepostet, dabei hatte ich die running noch nicht ins nvram geworfen :D Hier die eigentliche Config :D router#show running-config Building configuration... Current configuration : 2505 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname router ! boot-start-marker boot-end-marker ! ! no aaa new-model ! resource policy ! ! ! ip cef no ip dhcp use vrf connected ! ip dhcp pool PoolVlan2 network 192.168.2.0 255.255.255.0 default-router 192.168.2.254 dns-server 192.168.1.1 ! ip dhcp pool PoolVlan3 network 192.168.3.0 255.255.255.0 default-router 192.168.3.254 dns-server 192.168.1.1 ! ip dhcp pool PoolVlan4 network 192.168.4.0 255.255.255.0 ! ip dhcp pool PoolVlan5 network 192.168.5.0 255.255.255.0 ! ip dhcp pool PoolVlan6 network 192.168.6.0 255.255.255.0 default-router 192.168.6.254 dns-server 192.168.1.1 ! ! ! ! ! ! ! ! ! ! ! interface FastEthernet0 description INET Connection ip address 192.168.1.60 255.255.255.0 ip nat outside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet1 no ip address shutdown duplex auto speed auto ! interface FastEthernet2 switchport access vlan 2 ! interface FastEthernet3 switchport access vlan 3 ! interface FastEthernet4 switchport access vlan 4 ! interface FastEthernet5 switchport access vlan 5 ! interface FastEthernet6 switchport access vlan 6 ! interface FastEthernet7 shutdown ! interface FastEthernet8 shutdown ! interface FastEthernet9 shutdown ! interface Vlan1 no ip address ! interface Vlan2 ip address 192.168.2.254 255.255.255.0 ip nat inside ip virtual-reassembly ! interface Vlan3 ip address 192.168.3.254 255.255.255.0 ip nat inside ip virtual-reassembly ! interface Vlan4 ip address 192.168.4.254 255.255.255.0 ! interface Vlan5 ip address 192.168.5.254 255.255.255.0 ! interface Vlan6 ip address 192.168.6.254 255.255.255.0 ip nat inside ip virtual-reassembly ! interface Async1 no ip address encapsulation slip ! ip route 0.0.0.0 0.0.0.0 192.168.1.1 ! ! no ip http server no ip http secure-server ip nat inside source list 2 interface FastEthernet0 overload ip nat inside source list 3 interface FastEthernet0 overload ip nat inside source list 6 interface FastEthernet0 overload ! access-list 2 permit 192.168.2.0 0.0.0.255 access-list 3 permit 192.168.3.0 0.0.0.255 access-list 6 permit 192.168.6.0 0.0.0.255 ! ! ! ! ! ! control-plane ! ! line con 0 line 1 modem InOut stopbits 1 speed 115200 flowcontrol hardware line aux 0 line vty 0 4 password cisco login ! ! webvpn context Default_context ssl authenticate verify all ! no inservice ! end router# Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 26. Juni 2008 Melden Teilen Geschrieben 26. Juni 2008 für ein allgemeines "Security Audit" empfehle ich dei Konfig durch nipper zu jagen. Ist zwar ncoh nciht zu 100% ausgereift und manche Tipps sind fragwürdig, aber ist trotzdem ein nettes Tool Kannte ich bis jetzt noch nicht, gleich mal testen .. merci! :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.