Vlan auf 3550

[Sword 10]

So hab das alles versucht. spanning tree konnte ich nicht aktivieren. kam immer ne fehlermeldung, dass er das nicht kennt. :-/

 

Hier nochmal die Konfiguration, wie Sie momentan vorhanden ist.

 

Current configuration : 2308 bytes

!

version 12.1

no service pad

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!

hostname Switch

!

enable secret 5 $1$MV44iw$9i8lm2Q3z5prWucUBHt.

!

ip subnet-zero

ip routing

!

vtp mode transparent

!

spanning-tree mode pvst

spanning-tree extend system-id

!

!

vlan 10,20,30

!

interface FastEthernet0/1

switchport mode dynamic desirable

!

interface FastEthernet0/2

switchport mode dynamic desirable

!

interface FastEthernet0/3

switchport mode dynamic desirable

!

interface FastEthernet0/4

switchport mode dynamic desirable

!

interface FastEthernet0/5

switchport mode dynamic desirable

!

interface FastEthernet0/6

switchport mode dynamic desirable

!

interface FastEthernet0/7

switchport mode dynamic desirable

!

interface FastEthernet0/8

switchport mode dynamic desirable

!

interface FastEthernet0/9

switchport access vlan 10

switchport mode dynamic desirable

!

interface FastEthernet0/10

switchport mode dynamic desirable

!

interface FastEthernet0/11

switchport mode dynamic desirable

!

interface FastEthernet0/12

switchport mode dynamic desirable

!

interface FastEthernet0/13

switchport mode dynamic desirable

!

interface FastEthernet0/14

switchport mode dynamic desirable

!

interface FastEthernet0/15

switchport mode dynamic desirable

!

interface FastEthernet0/16

switchport mode dynamic desirable

!

interface FastEthernet0/17

switchport mode dynamic desirable

!

interface FastEthernet0/18

switchport mode dynamic desirable

!

interface FastEthernet0/19

switchport mode dynamic desirable

!

interface FastEthernet0/20

switchport mode dynamic desirable

!

interface FastEthernet0/21

switchport mode dynamic desirable

!

interface FastEthernet0/22

switchport mode dynamic desirable

!

interface FastEthernet0/23

switchport mode dynamic desirable

!

interface FastEthernet0/24

switchport mode dynamic desirable

!

interface GigabitEthernet0/1

switchport mode dynamic desirable

!

interface GigabitEthernet0/2

switchport mode dynamic desirable

!

interface Vlan1

ip address 194.209.193.213 255.255.255.0

!

interface Vlan10

ip address 194.194.194.1 255.255.255.0

!

ip classless

ip route 0.0.0.0 0.0.0.0 194.209.193.1

ip http server

[maho 10]

Der Befehl heisst "spanning-tree portfast". An dem Port, wo dieser Befehl steht, solltest Du aber keinen Switch anschließen.

[Sword 10]

ok. hab ich jetzt gemacht. hat alles geklappt, aber ins internet komm ich immer noch nicht :(

[Frank04 10]

Von wo nach wo nicht?

 

Stell´ doch mal die Ports VLAN-Mäßig fest ein; "switchport mode access vlan 10".

 

Kann jeder Client sein Gateway pingen und das aus dem anderen VLAN ?

 

Kann ein Client aus dem VLAN 10, den Internetrouter= 194.209.193.1 pingen?

 

Kannst Du eine IP-Adresse aus dem Internet pingen? z.B. [212.243.221.214] ?

[Sword 10]

aus dem vlan komme ich nicht ins internet.

 

switchport mode access vlan 10 hab ich bereits

 

nein ich kann nur auf den switch pingen: 194.194.194.1 und 194.209.193.213 aber weiter geht es nicht.

 

nein beim switch ists fertig. komme nicht auf das gateway

 

kann auch sonst keine ip-adressen pingen.

[Frank04 10]

Ähh, für die Clients ist der Switch das Gateway?

 

Wie auch immer, die User im VLAN1 müssen alle IP-Adressen aus dem 194.209.193.0 / 24 haben und als Gateway die Switch .213 IP haben. An einem Port im VLAN 1 muss dann der Internetrouter angeschlossen sein.

 

Alle User im VLAN 10 müssen eine IP-Adresse im 194.194.194.0/24 haben und als Gateway die Switch IP-Adresse haben.

 

Jetzt muss der Internetrouter anpingbar sein.

 

Jetzt aber Achtung: Du verwendest hier offizielle IP-Adressen, von daher muss der Internetrouter entsprechend naten. Am Internetrouter muss auch eine Rückroute eingestellt sein.

[Sword 10]

Ja für die clients ist auch der Switch als gateway eingestellt.

allerdings komme ich nur vom VLAN 10 nicht ins netz. aus dem VLAN 1 ist das kein Problem.

 

 

es ist alles so eingestellt wie es sein sollte. :(

kann es sein dass es probleme gibt, wenn ich zwischen router und cisco-switch noch einen anderen switch installiert habe?

[Frank04 10]

Nochmal: Erstmal testen, ob der Router anpingbar ist aus dem VLAN 10. Vorher testen, ob ein Ping von einem Rechner aus dem VLAN 10 auf das Gateway 194.194.194.1 und auf das Gateway 194.209.193.213 pingen kann. Das muss erstmal funktionieren.

 

Ein Switch zwischen Router und L3-Switch sollte kein Problem sein.

[Sword 10]

Also der Router ist vom VLAN 10 aus nicht anpingbar. jedoch das Gateway 194.194.194.1 und 194.209.193.213 sind anpingbar(aus VLAN 10) es fehlt eigentlich nur noch irgendwie eine verbindung zwischen switch und router :S

[Frank04 10]

Nun gut, hat der Router eine Rückroute wo er Dein VLAN 10 Subnetz findet? Da es eine offizielle IP Adresse ist schiebt er die Ping-Anwort sicherlich ins Internet und nicht zurück ins LAN.

[Sword 10]

AAh gut. jetzt klappts. lag also an der rückroute.

vielen dank für deine Hilfe.

 

Könntest du mir vielleicht noch erklären, wie man eine accessliste erstellen und bearbeiten kann?

 

Gruss

[Frank04 10]

zum Beispiel:

 

access-list 30 permit 62.157.132.128 0.0.0.31

access-list 30 permit 192.168.2.0 0.0.0.15

access-list 30 deny any

 

Auf dem Interface, wo sie ACL wirken soll, dann noch zuordnen:

 

interface GigabitEthernet3/11

no switchport

ip address 63.133.133.45 255.255.255.240

ip access-group 30 out

!

 

Wenn Du Layer 4 Ports sperren möchtest, brauchst Du dann Extended ACLs.

Muster:

 

access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit}

protocol source source-wildcard destination destination-wildcard [precedence precedence]

[tos tos] [log | log-input] [time-range time-range-name]

[Wordo 11]

zum Beispiel:

 

access-list 30 permit 62.157.132.128 0.0.0.31

access-list 30 permit 192.168.2.0 0.0.0.15

access-list 30 deny any

 

<offtopic>

Ist der deny any eigentlich nicht Standard? Hab das gestern noch gelesen, mach aber selbst auch am Ende immer ein deny any any

</offtopic>

[Sword 10]

ok danke.

sorry wenn ich nerve aber wie muss ich das anstellen, wenn ich von der ip addresse 194.194.194.100 (VLAN 10) Zugriff haben soll auf 192.168.150.13 (VLAN 2) aber umgekehrt keinen Zugriff auf 194.194.194.100 möglich sein darf?

[Frank04 10]

Und dann? Du dürftest nach 192.168.150.13 senden, aber dieser dürfte Dir keine Antwort geben? Du rufst über die 192.168.150.13 eine Internetseite auf, die aber nie ankommt, weil 192.168.150.13 nicht mit Dir reden darf...oder habe ich was falsch verstanden?