VLAN5 zugriff auf VLAN1

[onedread 10]

HI

 

also wir würden gerne ein zusätzliches vlan einrichten das vlan 5. Ist für Pda und smartphones zum internetsurfen und zum zugriff auf unseren SyncServer für Groupwise.

 

also die ganze zugriffsberechtigung wird bei uns auf einer pix erledigt. als router werden 2600er eingesetzt.

 

also ich mache auf den AccessPoints ein vlan 5 vergebe SSID und Verschlüsselung, dhcp server soll einer von den Routern sein.

 

wie bekomme ich nun hin das ich vom vlan5 aufs vlan1 zugreifen kann?

 

 

ist mein 1. vlan projekt also hab da noch nicht massig erfahrung darin.

 

derzeit ist auf der pix so das auf nem physikal interface mehrere logische interfaces für die verschieden vlans angelegt sind.

 

kann ich diese als vorlage nehmen oder muss ich da was andres machen?

 

und die Rechner aus dem vlan 5 sollen wirklich nur auf einen einzigen Server im vlan 1 via port 80 zugriff haben?

 

Für Hilfe bin ich sehr dankbar, ich hoffe das wir gemeinsam auf eine Lösung kommen.

 

thx

onedread

[goldi01 10]

Also ich würde auf dem Switch an den der AccessPoint angeschlossen ist das neue VLAN 5 anlegen. Den AccessPoint über einen Trunk verbinden.

Wenn der Switch L3 ist kannst du mit dem Befehl ip routing das InterVlan Routing aktivieren.

Zusätzlich legst du auf dem Switch zwei Layer 3 Interfaces an und vergibst denen eine IP Adresse (ein Interface im VLAN1, das andere in VLAN5)

Das Routing kann aber auch dein 2600 Router erledigen in dem du ein weiteres Subinterface für das VLAN5 anlegst.

[Otaku19 33]

dann nach natürlich noch passende ACLs anlegen und am richtigen Interface/Richutng platzieren

[onedread 10]

he

 

muss ich das auf dem router und auf der pix machen oder nur auf dem router oder nur auf der pix?

 

bzw. entstehen dadurch etwaige sicherheitslöcher?

 

weil ich will ja da nicht gleich die ganze firma lahmlegen nur damit ein paar handys auf diesen server zugreifen können.

 

mfg

onedread

[Otaku19 33]

Router und PIX würden inter Vlan Routing beherrschen. Rein von daher wärs egal.

 

Als unerfahrenere Netzwerker würd ich also sagen....nimm den Router, denke der ist den beiden VLANs "näher" und so muss der Verkehr nicht erst durch 2 Trunks (vermute mal das die beiden VLANs über eine physikalische leitung gehen, und das das Layout Internet-PIX-Router-LAN aussieht) bis zur PIX und wieder retour gehen.

[onedread 10]

hi

 

naja das ganze sollte schon irgendwie auch über die pix laufen.

 

also ich mich auf den switches das vlan 5, dann mach ich auf den routern eine virtuelles interface fa0.05 schätz ich mal muss ich dem ne ip geben? dann mach ich noch nen dhcp pool für das vlan 5 zb 10.50.100.1 - 100. dann sag ich dem router das er alle pakete an die pix weiterleiten soll. dann mach ich auf der pix eine logical interface vlan 5 geb dem ne ip 10.50.1.7. dann mach ich ne access-liste das alle die auf dem vlan5 sind auf den server 10.10.x.x auf port 80 zugreifen dürfen und den rest deny ich alles?

 

stimmt das oder hab ich da noch was vergessen?

 

bitte um hilfe.

 

thx

onedread

[onedread 10]

HI

 

hab da noch ne frage, auf den routern denn es sind 2 2600er die mit einer standby ip konfiguriert sind und beide die gleiche konfig enthalten.

 

sind pro vlan dhcp server installiert, nur hab ich keine ahnung wie der dhcp weiss welches vlan welcher dhcp-pool zugewiesen wird

 

ip dhcp excluded-address 10.30.0.1 10.30.100.0

ip dhcp excluded-address 10.20.0.1 10.20.100.0

ip dhcp excluded-address 10.40.0.1 10.40.100.0

ip dhcp excluded-address 10.30.100.140 10.30.255.255

ip dhcp excluded-address 10.20.100.140 10.20.255.255

ip dhcp excluded-address 10.40.100.140 10.40.255.255

 

ip dhcp pool phones

network 10.20.0.0 255.255.0.0

option 150 ip 10.20.10.11

default-router 10.20.20.101

!

ip dhcp pool mobphones

network 10.30.0.0 255.255.0.0

option 150 ip 10.20.10.11

default-router 10.30.10.7

!

ip dhcp pool mobpcs

network 10.40.0.0 255.255.0.0

dns-server 10.10.10.12 195.230.160.10

domain-name becom.at

default-router 10.40.10.7

option 252 ip 10.10.10.40

 

 

jetzt würd ich noch gerne fürs vlan 5 einen dhcp anlegen. nur wie mach ich das?

 

die vlan interfaces sehen alle so aus.

 

interface FastEthernet0/0.2

encapsulation dot1Q 2

ip address 10.20.XX.XX 255.255.0.0

 

 

aber da nix stehen, welcher dhcp pool auf welchem vlan greift.

 

wie mach ich das, hat wer ne idee?

 

thx

onedread

[onedread 10]

HI also, wie sag ich das er im VLAN 3, diesen dhcp pool verwenden soll

 

ip dhcp pool mobphones

network 10.30.0.0 255.255.0.0

option 150 ip 10.20.10.11

default-router 10.30.10.7

 

bitte um Hilfe denn das ist das letzte was mir zu meiner konfig fehlt.

 

thx

onedread

[goldi01 10]

Hallo,

 

eigentlich musst du nur ein Layer 3 Interface anleden (Interface VLAN3)

und diesem Interface eine Adresse aus dem Netzwerk network 10.30.0.0 255.255.0.0

vergeben. No Shut nicht vergessen und dann soltle das VLAN 3 mit den Adressen aus dem

Pool mobphones versorgt werden.

[onedread 10]

aso dann geht der rein auf die addressen und mann muss ihm nicht extra sagen das der dhcp in dem jeweiligen vlan greift. ich verstehe.

 

sehr gut

 

danke schön

 

onedread

[goldi01 10]

ja genau.

 

hat es funktioniert?

[onedread 10]

HI

 

naja ich habs noch nich gemacht. Ich muss da noch mit meinem Vorgesetzten darüber sprechen, ich hab mir aber mal die Commandos zusammengeschrieben die ich bräuchte vielleicht, sind da ja noch Fehler drinnen deswegen würde ich Sie hier mal postn.

 

ALSO

 

auf den beiden Routern

 

den dhcp pool pda mit den 10.50.100.X addressen.

 

interface fastehternet 0/.05

ip 10.50.20.101/102

encapsulation dot1q 5

no shut

standby 5 priority 110

 

ip route 10.50.0.0 10.10.10.7

 

PIX

 

interface ethernet1 vlan5 logical

nameif vlan5 pda security9

access-list pix-pda permit tcp 10.50.100.0 255.255.255.0 host 10.10.11.200 eq 80

access-group pix-pda in interface pda

nat (pda) 10.50.100.0 255.255.255.0

 

und dann eben noch auf den Access-Points die ssid vlan einrichten und des wars oder????

 

so wer in der befehlsliste noch nen Fehler sieht bitte Helfen!!

 

Danke

 

onedread

[onedread 10]

HI

 

also ich hab das jetzt so konfiguriert bekomme auch vom router ne ip zugewiesen.

 

Leider kommt bei der pix die fehlermeldung:

 

2006-10-11 12:52:15 Local7.Error 10.10.10.7 Oct 11 2006 12:38:38: %PIX-3-305005: No translation group found for icmp src pda:10.50.100.141 dst daten:10.10.10.12 (type 8, code 0)

 

an was kann denn das noch liegen?

 

mfg

 

onedread

[onedread 10]

HI

 

also es geht soweit, ich bekomme IP Adress im 10.50.100.X zugewiesen.

 

Ich komme auch ins Internet, aber ich kann nicht aufs vlan1 zugreifen. Im Log von der PIX steht immer, Local7.Error 10.10.10.7 Oct 12 2006 12:33:56: %PIX-3-305005: No translation group found for tcp src pda:10.50.100.142/53945 dst daten:10.10.11.200/80

 

hmm was brauch ich denn da jetzt noch muss ich da ein static einrichten oder kann ich das auch über ip route realisieren?

 

mfg

onedread

[onedread 10]

Irgendwer eine AHNUNG????

 

bitte bitte.

 

mfg

onedread