Inter VLAN Routing

[ThorstenWilli 10]

Problem:

 

Ich habe einen Cisco Catalyst 3550 48 Port mit IOS 12.1.

Ich möchte jeweils 16 Ports einen VLAN zuordnen.

Das ist soweit kein Problem die VLAN-Adressen sind

VLAN 1 -> 174.168.0.2

VLAN500 -> 174.168.10.2

VLAN600 -> 174.168.20.2

 

Ich hab auch 2 dhcp's auf dem 3550 laufen die dem vlan 500 und 600 automatisch

die Adressen vergeben.

Jetzt zu meinem eigentlichem Problem:

Ich würde gerne vom VLAN500 ins VLAN600 kommen aber nicht anders herum.

Hat folgenden Grund: Das VLAN 500 soll ein Management VLAN sein indem Admins

sind die Zugriff auf die PC's der USER im VLAN600 benötigen.

Sollte doch über INTER VLAN zu bewerkstelligen sein.

Würde mich über Antworten freuen

MfG

Klinkhammer

[Blacky_24 10]

Mach doch einfach eine entsprechende ACL.

 

Gruss

Markus

[aengel4111 10]

Hallo

 

Ein paar Infos mehr wären nicht schlecht.

 

Grundsätzlich könntest Du eine IP jeweils auf die VLans legen und diese dann am Client als Standard Gateway stellen. Die IPs auf den VLans müssen natürlich entsprechend dem Segment der Clients im Vlan sein. Und dann eine ACL drauf. Wäre relativ einfach gemacht.

Letztendlich fehlt dann evtl. noch eine Route raus ins Inter bzw. Intranet wenn benötigt.

 

Andreas

[amathar 10]

Hmm, also wenn man ein echtes mngt net bauen will, würde ich das ehrlich gesagt nicht mit einem packet filter auf Basis von IOS machen. Für solche Sachen vertraue ich nur ner Firewall, die ein Interface im management net hat und eines im anderen Netz und passend routet. Welche FW man da nimmt ist da immer Geschmachssache, z.B. auf Basis von Linux oder besser OpenBSD.

 

Gruß

Peter

[Blacky_24 10]

Genau.

 

Da kauft man sich für zig tausende Euros einen L3-Switch mit allem Tatütata und einer Backplane die non blocking und wirespeed kann und stellt nebendran eine Bastelbüchse damits auch ja schön langsam wird.

 

Muss ich nicht verstehen.

 

Gruss

Markus

[amathar 10]

Oh ha, da habe ich ja in ein Nest gestoßen. Schade. Für Linux User ist Windows das letzte, für Windows User sind alle Unix Derivate Mist und für Cisco Admins ? Nunja, egal. Nur alles als Bastellösung zu beschreiben ist schon argh.. Genua Firewall = OpenBSD hat BSI E3 hoch... Alles Weitere lasse ich mal lieber.

 

Peter

[starfoxx 10]

Hi,

 

leute ich glaube alles hat seine Vor- und Nachteile. Deswegen braucht man sich ja nicht gleich bekriegen :-) oder?

Also als Packet - Filter ist OBSD bestimmt nicht schlecht.

 

greetz

starfoxx

[ThorstenWilli 10]

Ich habe jetzt eine ACL geschreiben access-list 101 deny ip 174.168.10.0 0.0.0.255 any.

Bei nem ping bekomm ich jedoch die Meldung "Zielhost nicht erreichbar". Es muss doch ne einfache Lösung geben für von vlan 500 ip 174.168.10.0 255.255.255.0 in vlan 600 ip 174.168.20.0 255.255.255.0 zu kommen ohne nen Router oder ne Firewall einzusetzen.

ip routing ist an.

 

Ich weiß das das "Routen" ausschlißlich mit layer3 Switchen wie in meinem Fall keine Glanzlösung ist, aber was willst du machen wenn du nix anderes bekommst ?!?

[ThorstenWilli 10]

Hier mal meine Config. Danke schon mal im Voraus.

 

Current configuration : 7246 bytes

!

version 12.1

no service pad

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!

hostname Test_1

!

enable secret 5 <removed>

!

ip subnet-zero

ip routing

ip dhcp excluded-address 174.168.20.0 174.168.20.10

ip dhcp excluded-address 174.168.10.0 174.168.10.10

!

ip dhcp pool V500

network 174.168.10.0 255.255.255.0

!

ip dhcp pool V600

network 174.168.20.0 255.255.255.0

!

!

spanning-tree mode pvst

spanning-tree extend system-id

!

!

!

!

interface FastEthernet0/1

switchport access vlan 500

switchport mode access

switchport port-security

switchport port-security maximum 2

switchport port-security mac-address 0010.a4bf.2a87

switchport port-security mac-address 0010.a4bf.fd56

speed 100

duplex full

spanning-tree portfast

!

interface FastEthernet0/2

switchport access vlan 500

switchport mode access

switchport port-security

switchport port-security aging static

switchport port-security mac-address 0010.a4bf.fd62

speed 100

duplex full

spanning-tree portfast

!

interface FastEthernet0/3

switchport access vlan 500

switchport mode access

speed 100

duplex full

spanning-tree portfast

!

interface FastEthernet0/4

switchport access vlan 500

switchport mode access

speed 100

duplex full

spanning-tree portfast

!

< gekürzte Ausgabe>

!

interface FastEthernet0/47

switchport access vlan 600

switchport mode access

speed 100

duplex full

spanning-tree portfast

!

interface FastEthernet0/48

switchport access vlan 600

switchport mode access

speed 100

duplex full

spanning-tree portfast

!

interface GigabitEthernet0/1

switchport mode dynamic desirable

!

interface GigabitEthernet0/2

switchport mode dynamic desirable

!

interface Vlan1

ip address 174.168.0.2 255.255.255.0

!

interface Vlan500

ip address 174.168.10.2 255.255.255.0

!

interface Vlan600

ip address 174.168.20.2 255.255.255.0

!

ip default-gateway 174.168.0.1

ip classless

ip http server

!

access-list 101 deny ip 174.168.10.0 0.0.0.255 any

snmp-server community <removed> RO

!

line con 0

password <removed>

login

line vty 0 4

password <removed>

login

line vty 5 15

login

!

!

end

[Wordo 11]

Oh ha, da habe ich ja in ein Nest gestoßen. Schade. Für Linux User ist Windows das letzte, für Windows User sind alle Unix Derivate Mist und für Cisco Admins ? Nunja, egal. Nur alles als Bastellösung zu beschreiben ist schon argh.. Genua Firewall = OpenBSD hat BSI E3 hoch... Alles Weitere lasse ich mal lieber.

 

Peter

 

Also fuer n paar DROP's halt ich ne extra Firewall bisschen over-sized. Da langweilt sich sogar ne Cisco ;)

[amathar 10]

Also fuer n paar DROP's halt ich ne extra Firewall bisschen over-sized. Da langweilt sich sogar ne Cisco ;)

 

Im Grund richtig. Bei mir stehen im mgmt-net aber die Kronjuwelen (loglost, Userdatabase etc.) des Netzes, daher deute ich die Ausgangslage vielleicht falsch. Ich möchte diese nicht nur durch ein anderes VLAN gesichert wissen, daher stateful packet filter.

[ThorstenWilli 10]

Ich find das ja auch schön mit der Firewall ect. (wenn man eine hatt). Aber mein Problem zudem ich die config auch noch hereingestellt habe, ist immer noch nicht gelöst.

 

MfG

Thorsten

[fu123 10]

Im Grund richtig. Bei mir stehen im mgmt-net aber die Kronjuwelen (loglost, Userdatabase etc.) des Netzes, daher deute ich die Ausgangslage vielleicht falsch. Ich möchte diese nicht nur durch ein anderes VLAN gesichert wissen, daher stateful packet filter.

 

 

hi,

 

Kann der 3550 das nicht? Ist nur mal eine Frage. Ich dachte der kann alles.

Mir fällt sonst auch nur Stateful Filtering zu dem Thema ein.

 

fu

[ThorstenWilli 10]

Problem:

ip routing ist eingestellt.

über den Befehl ip route 174.168.20.0 255.255.255.0 174.168.10.0 sollte auch bekannt sein

wohin geroutet werden soll. Jetzt das Problem: Wenn ich den Befehl show ip route eingebe, sollte dieser Eintrag statisch dorf auftauchen, macht er aber nicht. Der sch*** Switch holt den Befehl einfach nicht richtig an. Kann mir einer sagen was ich machen (eingeben) soll damit ich von vlan 500 174.168.10.0 in vlan 600 174.168.20.0 routen kann?

 

Gruß

Thorsten

[Franz2 10]

Hallo,

 

Poste bitte mal ein sh ip route vom Switch und ein ipconfig von den beiden Clients