Morte 10 Geschrieben 16. März 2005 Autor Melden Teilen Geschrieben 16. März 2005 Hey zusammen, nach einem längeren Seminar bin ich wieder zu Hause. Ich habe ein Frage bezüglich des nativen VLANs, welches standardmäßig das Erste ist. Und zwar benötige ich 5 VLANs. Muss ich nun 5 weitere VLANs erstellen? Zum Beispiel 2, 3, 4 ,5 und 6! Oder reichen 1, 2, 3, 4 und 5 und ich kann das Einser mitbenutzen? Ich denke mal, dass ich es benutzen kann, oder nicht? Liebe Grüße, Swen Zitieren Link zu diesem Kommentar
Frank04 10 Geschrieben 16. März 2005 Melden Teilen Geschrieben 16. März 2005 Ja, das default-VLAN=id1 kannst Du mitbenutzen. Standardmäßig sind alle Ports im VLAN 1. D.h. vielleicht ist hier ein Sicherheitsgedanke zu beachten. Zitieren Link zu diesem Kommentar
Morte 10 Geschrieben 17. März 2005 Autor Melden Teilen Geschrieben 17. März 2005 Hey zusammen, okay, die VLANs sind nun alle eingerichtet. Auf dem Router sind nun die Sub-Interfaces für jedes VLAN erstellt. Und wunderbar, die VLANs können sich untereinander anpingen. Allerdings sollen nicht alle VLANs Zugriff untereinander haben. Das muss ich nun also mit ACLs lösen. Richtig? Wenn ich 5 Netze habe: - 192.168.1.0 VLAN 1 - 192.168.2.0 VLAN 2 - 192.168.3.0 VLAN 3 - 192.168.4.0 VLAN 4 - 192.168.5.0 VLAN 5 Dann sollen zum Beispiel VLAN 1 und 2 kommunizieren dürfen. VLAN 1 mit dem VLAN 3. Aber VLAN 2 nicht mit dem VLAN 3. VLAN 5 mit gar keinem. usw. Nun meine Frage... muss ich für jedes Subinterface eine eigene ACL anlegen? Oder kann ich alles in eine reinpacken und diese dem "Haupt"-Interface zuordnen, sprich Fastethernet 0/0 !? Und kann mir vielleicht jemand dieses "in" und "out" für die Datenpakete erklären. Da habe ich im Moment meine Schwierigkeiten mit. Wenn die VLANs untereinander kommunizieren, ist das in oder out? Oder beides? Liebe Grüße, Swen Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 23. März 2005 Melden Teilen Geschrieben 23. März 2005 Hi Morte, lange nicht gesehen ! Ja, du kannst es via ACL's an den Subinterfaces lösen. Nicht aber durch eine ACL am Hauptinterface ! Du solltes in jeder ACL klar definieren was und wer wohin darf ! Bei "in und out" mache Dir einfach eine Eselsbrücke ! In = inbound entspricht dem Traffic welcher in das Interface hinein muss, Out = outbound entspricht dem Traffic welcher herraus muss. ein Beispiel : interface FastEthernet0/1.4 encapsulation dot1Q 4 ip address 10.10.1.1 255.255.255.0 ip access-group 110 in ! interface FastEthernet0/1.5 encapsulation dot1Q 5 ip address 10.10.2.1 255.255.255.0 ip access-group 111 out Hier bedeutet die "access-group 110 in", das in der ACL 110 der Traffic zu definieren ist, welcher aus dem Vlan 4 herraus in jede andere Richtung muss/darf/oder verboten wird. Die ACL an FastEthernet0/1.5 bedeutet, dass in ihr der Traffic definiert wird, welcher nach dem Routing Prozess noch in das Vlan 5 hinein darf/muss/ oder eben nicht. Du merkst schon an der Formulierung, dass inbound ACL's den Router schonen. Denn solltest Du gewissen Taffic nicht in Vlan 5 nicht hineinlassen wollen, dann sollte man diesen auch an Vlan 4 schon droppen lassen um den Route Prozess nicht unnötig zu belasten. Wenn er aber nach Vlan 1 muss, dann must Du ihn schon reinlassen ... in den Router ! :D Hope this works ! MfG Mr. Oiso Zitieren Link zu diesem Kommentar
Morte 10 Geschrieben 30. März 2005 Autor Melden Teilen Geschrieben 30. März 2005 Hi Mr. Oiso vielen Dank für deine Antwort. Aber ich glaube du hast dich widersprochen. Denn bei der Eselsbrücke meinst du, dass IN den Traffic bezeichnet, welcher in das Interface hinein muss. Später im Text schreibst du allerdings bei IN, dass dies der Traffic ist, der aus dem VLAN raus, sprich aus dem Interface raus muss. Oder verstehe ich das immer noch falsch? Ich habe da jetzt etwas getestet. Und zwar folgendes: Ich habe 5 Subinterfaces mit je einem PC angeschlossen. Alle können sich gegenseitig anpingen. Ist ja auch erst mal richtig so. Nun sollen sich aber nur Subinterface 0/0.1 (VLAN1) und Subinterface 0/0.2 (VLAN2) anpingen können. Die restlichen nicht. Nun habe ich für Subinterface 0/0.1 eine IN-ACL angelegt. Sie ist zwar kurz, aber erst mal klappt es: access-list 121 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 121 deny ip any any Nun kann VLAN1 (192.168.1.0) das Netz VLAN2 (192.168.2.0) anpingen. Ist auch gut so. Nun muss ich ja definieren dass sich das Netz untereinander anpingen kann. Und was sollte man sonst noch in diese ACL einbringen? Sie sieht so knapp aus. Wenn ich andere ACLs sehe, die sind immer so komplex. Und dann habe ich noch eine Frage. Und zwar müssen 2 VLANs ins Internet kommen. Für den DSL Zugang habe ich folgende Config: vpdn enable ! vpdn-group 1 request-dialin protocol pppoe ! interface FastEthernet0/0 description ADSL Anschluss no ip address ip nat outside pppoe enable pppoe-client dial-pool-number 1 ! interface FastEthernet0/1 description internes LAN ip address 192.168.1.0 255.255.255.0 ip nat inside duplex auto speed auto ! interface Dialer1 ip address negotiated ip mtu 1492 ip nat outside encapsulation ppp no ip mroute-cache dialer pool 1 dialer-group 1 no cdp enable ppp authentication pap callin ppp pap sent-username <t-online-nummer>@t-online.de password xxx ! ip nat inside source list 1 interface Dialer1 overload ip route 0.0.0.0 0.0.0.0 Dialer1 dialer-list 1 protocol ip permit ! access-list 1 permit any Wie kann ich nun den 2 VLANs Internet geben? Im Grunde doch nur die Angaben, die unter FastEthernet0/1 stehen, in die beiden Subinterfaces eintragen!? Und wie sieht es hier mit der ACL für das Internet aus? Was sollte man standardmäßig sperren? Da gibt es doch bestimmt Sachen, die immer gesperrt werden sollten. MfG, Swen Zitieren Link zu diesem Kommentar
Wurstbläser 10 Geschrieben 30. März 2005 Melden Teilen Geschrieben 30. März 2005 Hallo Swen, falls es Dir hilft, stell Dir Deine 5 Vlans wie 5 seperate Geräte vor. Die Konfiguartion ist dann so, als hättest Du einen Router mit 5 Fastethernet Schnittestellen und 5 Switchen (Du löst das eben jetzt virtuell über die Subinterfaces). Eigentlich hast Du deinem gesamten LAN ja bereits den Internetzugang ermöglicht, indem Du eine Default-Route "ip router 0.0.0.0 0.0.0.0 dialerX" eingegeben hast. Wenn Deine Clients nun die IP-Address der Subinterfaces des Routers Ihres VLANs als Standardgateway eingetragen haben sollten doch alle Internetzugang haben. Du müßtest jetzt 2 zusätzliche Dinge über die ACLs implementieren: 1) wann der Dialer rauswählt und 2)dass Deine VLANs 3-5 nicht rauskommen. Wichtig wäre zu beachten, das wenn Du eine ACL eingerichtet hast die nur VLANs 1 und 2 erlaubt den Dialer zu initiieren, VLANs 3-5 immer noch ins Internet kommen - eben nur den Aufbau der Verbindung nicht einleiten können: noch eine ACL die das verhindert, oder die ACL ein zweites mal, diesmal auf das Out-Interface binden! Gruss Robert PS: ein Router mit 5 Subnetzen - läuft ein Routing-Protokoll? RIP? PPS: dein "deny ip any any" in der ACL ist eigentlich überflüssig - es ei den du hängst ein "log" hintendran, und Zugriffsversuche der abgelehnten Hosts aus Sicherheitsgründen oder beim Troubleshooting zu loggen. Zitieren Link zu diesem Kommentar
Morte 10 Geschrieben 30. März 2005 Autor Melden Teilen Geschrieben 30. März 2005 Hi Robert, kann ich denn in dem Router für die Default-Route einen anderen Eintrag machen, als "ip router 0.0.0.0 0.0.0.0 dialerX" ? Ich kann da ja nicht nur ein Netz angeben, da ja mehrere VLANs ins Netz sollen. Also muss ich alle erlauben und in der ACL die VLANs 3-5 sperren. Du schreibst ich soll angeben, wann der Dialer raus wählt!? Wie genau mache ich das denn? Bzw. wie meinst du das? Ja, es läuft ein Routingprotokoll. Mir wurde router eigrp 111 empfohlen. Dann habe ich noch eine Frage. Und zwar, wenn DSL eingerichtet ist, kann ich die Verbindung auch vom Router aus trennen? Mit irgendeinem Befehl!? So dass ich nicht die Konfiguration löschen muss? :) Und wenn ich wieder eine Verbindung will, dass ich den Befehl rückgängig mache!? MfG, Swen Zitieren Link zu diesem Kommentar
Wurstbläser 10 Geschrieben 30. März 2005 Melden Teilen Geschrieben 30. März 2005 Hi Swen der Eintrag 0.0.0.0 0.0.0.0 in der Routing-Tabelle dient nur zum Abgleich der Zieladressen - den solltest Du so lassen. Wenn Du den internetzugang für einzelne interne Subnetze (filtern nach Quell-Adressen wenn man so will) sperren willst, geht das nur über ACLs. (Es gibt ein paar andere exotische Lösungen wie default-netzwerke unter eigrp/ospf oder route-maps die man theoretisch nutzen könnte. In deinem Fall aber nicht angebracht - nur weil Du noch nach anderen Möglichkeiten fragst - ganz abgesehen von Firewalls) Hab jetzt leider nicht soviel Zeit - such aber mal in Handbüchern (oder der CISCO-website) nach der Konfiguration von Access-Listen für Dialer, die den "interesting traffic" definieren - der Verkehr auf dem Netz, der die Einwahl auslösen soll. Eine zweite ACL muss zusätzlich - nach dem Aufbau der Verbindung - den Verkehr aus Deinen VLANs 3-5 abblocken. Es kann ja sein, dass eine Anfrage aus VLAN 1 die Verbindung aufgebaut hat, danach aber Anfragen aus den anderen VLANs die Verbindung einfach aufrechthalten. Zusätzlich sollte ein erweiterte Access-List benutzt werden, die zusätzlich die EIGRP-Konfiguration so absichert, das dein Routingprotokoll nicht über die Wählverbindung sendet. (könnte die Verbindung ebenfalls aufrechthalten od. ein Sicherheitsproblem darstellen) leider nicht die vollständige Lösung mit Syntax .. Gruss Robert Zitieren Link zu diesem Kommentar
Morte 10 Geschrieben 30. März 2005 Autor Melden Teilen Geschrieben 30. März 2005 Hi, das mit dem Internet klappt leider doch nicht so einfach. Ich habe für VLAN1 bsp folgende kleine ACL angelegt: access-list 121 permit ip 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 121 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 Am Subinterface 0/0.1 steht dann ip access-group 121 in Okay, damit habe ich erreicht, dass sich die PCs im VLAN gegenseitig anpingen können und das VLAN2 mit dem Netz 192.168.2.0 anpingen können. Nun habe ich die Config wie bereits vorher gepostet eingepflegt. Aber das Internet klappt nicht, weil ich bei den Subinterfaces halt obige ACL benutze. Wenn ich die ACL weg nehme, dann komme ich ins Internet. Wie kann ich dieses Problem nun beseitigen? Ich benötige an den Subinterfaces die ACL, damit sie gegenseitig routen können. Aber man kann keine 2 ACLs an einer Schnittstelle verwenden. Wäre froh wenn ihr mir helfen könntet. MfG, Swen Zitieren Link zu diesem Kommentar
Wurstbläser 10 Geschrieben 30. März 2005 Melden Teilen Geschrieben 30. März 2005 unsichtbar steht in der letzten Zeile Deiner ACL 121: access-list 121 deny ip any any (ein implizites deny any steht am Ende jeder ACL) Du hast damit erreicht, dass aus Deinem .1-VLAN nur Zieladressen mit .1 und .2 über den Router gelangen. "In" und "Out" sind aus der Perspektive des Router-Interfaces zu sehen. Mach folgendes: access-list 121 permit ip 192.168.1.0 0.0.0.255 any access-list 121 permit ip 192.168.2.0 0.0.0.255 any interface fast0/0.1 ip access-group out so dürften nur Host aus den definierten Subnetzen ins VLAN1 - in andere Netzte (0.0.0.0 0.0.0.0) dürfen Sie. Ginge auch über Standard-ACLs. VLANs nach ins Internet: access-list 120 permit tcp 192.168.1.0 0.0.0.255 gt 1023 any eq www (port 80 in Netz, VLAN1) access-list 120 permit tcp 192.168.1.0 0.0.0.255 gt 1023 any eq 443 (port 443/https in Netz, VLAN1) access-list 120 permit udp 192.168.1.0 0.0.0.255 eq 53 any eq 53 (DNS in Netz, VLAN1) access-list 120 permit tcp 192.168.1.0 0.0.0.255 gt 1023 any eq 25 (port 25, SMTP in Netz, VLAN1) access-list 120 permit tcp 192.168.1.0 0.0.0.255 gt 1023 any eq 110 (port 110 POP3 in Netz, VLAN1) das ganze noch mit VLAN 2 und binden auf Dein Internet Interface: router(config-int)#ip access-group 120 out so gehts in etwa (nicht das das jetzt total sicher wäre - besser aber als "permit ip allesmussraus") Gruss Robert Zitieren Link zu diesem Kommentar
Wurstbläser 10 Geschrieben 30. März 2005 Melden Teilen Geschrieben 30. März 2005 Noch was eingefallen ... Aus Sicherheitsgründen sollte man VLAN1 eh nicht im Produktionsnetz benutzen (Absicherung VTP-Server und Spanning Tree), wenn Du also neu addressieren könntest, und Du willst 2 VLANs das Internet betreffend eh immer gleich behandeln, köntest Du die Zwei Netze 192.168.2.0 und 192.168.3.0 auch mit einer anderen Wildcardmask 0.0.1.255 zusammenfassen und so die ACL um die Hälfte kürzen. Sicher nocht nicht so wichtig - wenn du Netze oder Subnetze gruppierst, am Besten mit einer geraden Zahl anfangen, genauer noch 2 hoch n. Früher oder später fängt man aber an jeden Port zu definieren, dann wächst die Belastung auf dem Router .. Gruss Robert Zitieren Link zu diesem Kommentar
Morte 10 Geschrieben 30. März 2005 Autor Melden Teilen Geschrieben 30. März 2005 Hi Robert, Danke für Deine Informationen. Kannst du mir folgendes genauer erklären? _____________________Quelle_____________Ziel access-list 121 permit ip 192.168.1.0 0.0.0.255 any access-list 121 permit ip 192.168.2.0 0.0.0.255 any interface fast0/0.1 ip access-group out <----- fehlt dazwischen nicht noch die 121 ?? Das gilt für alles ausgehende von VLAN1 (wegen dem out und Sub0/0.1)?! In der ersten Zeile ist die Quelle das eigene Netz und das Ziel jeder! Da wir die ACL aber nur auf dem Sub0/0.1 anwenden, gilt any für das eigene Netz, also VLAN1!? In der zweiten Zeile haben wir als Quelle das VLAN2 und als Ziel any, also wieder VLAN1!? Nur in diesem Fall kommt doch von draußen was ins VLAN1, also müsste man nach meinem wohl falschliegenden Verstehen ein "in", anstelle eines "out" kommen. Was ist denn da nun genau passiert? VLAN1 kann auf VLAN1 zugreifen! Und VLAN1 auf 2? Und der Rest ist gesperrt? Nun gut, du hast mir ein paar Einträge geschrieben, die für die ACL des Internets sind. Die soll ich dann an dem Internet-Interface anweden, okay! Wie binde ich dann die ACL in meine Config ein: vpdn enable ! vpdn-group 1 request-dialin protocol pppoe ! interface FastEthernet0/1 // ist ja dann das Internet-Interface. Ok, hier kann ich description ADSL Anschluss // die ACL einbinden, kein Problem. no ip address ip nat outside pppoe enable pppoe-client dial-pool-number 1 ! interface FastEthernet0/0 description internes LAN // Hier stehen dann die ganzen Subinterfaces 0/0.1 usw. // mit jeweils IP-Addresse und ip nat inside ! interface Dialer1 ip address negotiated ip mtu 1492 ip nat outside encapsulation ppp no ip mroute-cache dialer pool 1 dialer-group 1 no cdp enable ppp authentication pap callin ppp pap sent-username <t-online-nummer>@t-online.de password xxx ! ip nat inside source list 1 interface Dialer1 overload ip route 0.0.0.0 0.0.0.0 Dialer1 dialer-list 1 protocol ip permit ! access-list 1 permit any <--- das ist ja die ACL? Die muss ich nun erweitern, richtig? Also extendet ACL Aber diese ACL ist ja auch irgendwie mit dem Dialer verbunden?! "dialer-group 1" Muss ich den Eintrag raus nehmen? Oder alles so lassen wie es da oben steht, nur EXTRA noch eine ACL anlegen, die ich dann einfach dem Internet-Interface zuweise. Sorry, aber mit den ACLs blicke ich gar nicht durch! :-( MfG, Swen Zitieren Link zu diesem Kommentar
Wurstbläser 10 Geschrieben 30. März 2005 Melden Teilen Geschrieben 30. März 2005 sorry, natürlich fehlt die 121 aber: aber nicht ausgehend aus dem VLAN - vom Router aus Betrachtet !! Wenn dann ein Filter für Netzwerkpakete auf ein Interface gelegt wird - und zwar in Richtung "out" betrifft das Pakete die ins Vlan/Subnetz reingehen! (ich hätte statt einer ACL für VLAN 1 und 2 auch zwei seperate nehmen können - ist natürlich überflüssig VLAN1 als Quelladresse zuzulassen - sorry, das kann natürlich verwirrend sein. So kann man eben dieselbs ACL auf zwei interfaces binden) Ich kann Dir CISCO-IOS-Access-Lists von OReilly empfehlen nicht zu dick und alles drin. Die Kombination von ACL/NAT und Dialer ist ja praktisch genau das CCNA Thema - das ICND Buch von CISCO-Press ist da auch sehr zu empfehlen! Gruss Robert Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 5. April 2005 Melden Teilen Geschrieben 5. April 2005 Hi Morte Sorry, dass ich dich schon fast im Stich gelassen habe, aber bei mir war in den letzten Wochen einfach zu viel los ! Mein großes Cisco Projekt hat mich fast aufgefressen. Aber wie ich sehe hat Robert dir ja das wichtigste mitgegeben. Hast Du den nun alles laufen, oder zwickt es noch irgendwo ! Lass es uns wissen ! Gruß Mr. Oiso Zitieren Link zu diesem Kommentar
Morte 10 Geschrieben 5. April 2005 Autor Melden Teilen Geschrieben 5. April 2005 Hi Mr. Oiso, danke für die Nachfrage. Was dieses Thema angeht, habe ich nun alles hinbekommen. Funktioniert wunderbar. Ich habe nun die 5 VLANs. Die, die aufeinander zugreifen dürfen, tun dies auch. Dann 3 VLANs die sich über DSL ins Internet verbinden können. Klappt auch... allerdings weiß ich mit einem Eintrag bei der ACL nichts anzufangen. Und zwar dieses eq domain. Wenn das nicht als erstes steht, klappt gar nichts. Für welchen Port steht dieses domain? Oder was macht es? Nun habe ich eben eine Callback- Verbindung konfiguriert. Klappt ebenfalls... vielleicht dazu auch kurz eine Frage. Wenn ich vom PC, der am Callbackclient- Router angeschlossen ist den PC, der an dem Callbackserver- Router angeschlossen ist, anpinge, wird die Verbindung hergestellt, getrennt und von der Gegenseite aufgebaut. Nach der idle-timeout wird die Verbindung getrennt, sofern keine Pakete mehr geschickt werden. Wenn ich das ganze nicht per Ping mache, sondern auf eine Freigabe zugreife, dann wird das ganze auch vollzogen. Nach der Trennung baut der Callbackserver ne Zeit aber wieder die Verbindung auf. Wieso tut er das? Wegen dem Broadcast? Beim Ping macht er das aber nicht. Also kann es doch nicht am Broadcast liegen?! Ja, ansonsten habe ich zur Zeit keine Probleme. :-) Und danke für Deine bzw. Eure Hilfe! Habt mir echt super weiter geholfen. MfG, Morte Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.