Wenn Sie VLANs auf Cisco Switchen noch nie konfiguriert haben, ist es empfehlenswert, vorab den Artikel Cisco VLANs für Anfänger zu lesen.
Kurze Infos über VLANs: 1) Klassische VLANs werden portbasiert konfiguriert (z.B. Port 1 - VLAN10, Ports 2, 3 - VLAN20, etc.)
2) Mit VLANs ist es möglich, mehrere Netze zu trennen, die z.B. an einen Switch angeschlossen sind.
3) Mit Hilfe von Tagged Ports (bei Cisco “VLAN Trunk”) können Ethernet Frames aus unterschiedlichen VLANs über 1 Leitung (z.B. zwischen 2 Switches) übertragen werden.
Einige Hinweise von Cisco:
“VLANs 1 through 1005 are allowed on each trunk by default.
Note: VLANs 1 and 1002 through 1005 are reserved VLANs and cannot be removed from any trunk link.“
Quelle: https://supportforums.cisco.com/docs/DOC-2218
Szenario:
Hinweise zum Szenario:
1) In diesem Szenario können die Rechner/Server nur mit den Rechnern/Servern aus denselben VLANs miteinander kommunizieren. VLANs 10 und 20 haben den Internetzugang (siehe Punkt 3).
2) Über Trunk zwischen Switch 2 und 3 werden nur Ethernet Frames von VLAN 30 übertragen. Die Kommunikation würde natürlich auch mit Trunk funktionieren, in dem alle VLANs erlaubt sind, aber zu Demozwecken habe ich nur VLAN 30 in Trunk erlaubt.
3) Im Szenario dürfen nur die Rechner aus VLANs 10 und 20 den Zugriff auf Internet haben, deswegen wurden auf dem Router nur die Subinterfaces für VLAN 10 und 20 erstellt. Die Server aus VLAN 30 haben daher keinen Zugriff auf den Cisco Router und Internet.
Cisco VLANs mit Subinterfaces auf dem Router Beispielkonfiguration:
Konfiguration vom Switch 1
Switch>enable
Switch#conf t
Switch(config)#interface FastEthernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit
Switch(config)#interface FastEthernet 0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
Switch(config-if)#exit
Switch(config)#interface FastEthernet 0/10
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config-if)#exit
Switch(config)# exit
Router#write
Hinweise: Wenn die Option „switchport trunk encapsulation dot1q“ in der Konfiguration nicht verfügbar ist, bedeutet es, dass der Switch höchstwahrscheinlich nur den 802.1q Standard unterstützt.
Bei der Option "switchport mode trunk" werden standardmäßig alle VLANs in Trunk erlaubt, wenn man erlaubte/gesperrte VLANs nicht extra angibt.
Konfiguration vom Switch 2
Switch>enable
Switch#conf t
Switch(config)#interface FastEthernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit
Switch(config)#interface FastEthernet 0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
Switch(config-if)#exit
Switch(config)#interface FastEthernet 0/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 30
Switch(config-if)#exit
Switch(config)#interface FastEthernet 0/10
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config-if)#exit
Switch(config)#interface FastEthernet 0/4
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan 30
Switch(config-if)#exit
Switch(config)#interface FastEthernet 0/20
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config-if)#exit
Switch(config)# exit
Router#write
Konfiguration vom Switch 3
Switch(config)#interface FastEthernet 0/4
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan 30
Switch(config-if)#exit
Switch(config)#interface FastEthernet 0/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 30
Switch(config-if)#exit
Switch(config)# exit
Router#write
Konfiguration vom Router
Router(config)#int fa0/0
Router(config-if)#no shutdown
Router(config-if)#ex
Subinterface für VLAN 10 erstellen: Router(config)#int fa0/0.1
Router(config-subif)#encapsulation dot1Q 10
Router(config-subif)#ip address 10.10.10.1 255.255.255.0
Router(config-subif)#ex
Subinterface für VLAN 20 erstellen:
Router(config)#int fa0/0.2
Router(config-subif)#encapsulation dot1Q 20
Router(config-subif)#ip address 10.10.20.1 255.255.255.0
Router(config-subif)#ex
Das Netz 10.10.10.0/24 vom Netz 10.10.20.0/24 "isolieren": Router(config)#int fa0/0.1
Router(config-subif)#ip access-group 101 in
Router(config-subif)#ex
Router(config)#access-list 101 deny ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 Router(config)#access-list 101 deny icmp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255
Das Netz 10.10.20.0/24 vom Netz 10.10.10.0/24 "isolieren":
Router(config)#int fa0/0.2
Router(config-subif)#ip access-group 102 in
Router(config-subif)#ex
Router(config)#access-list 102 deny ip 10.10.20.0 0.0.0.255 10.10.10.0 0.0.0.255 Router(config)#access-list 102 deny icmp 10.10.20.0 0.0.0.255 10.10.10.0 0.0.0.255
Router(config)# ex
Router#write
Hinweise: 1) Damit die Rechner aus VLANs 10 und 20 den Zugriff auf Internet haben, müssen auf dem Cisco Router noch zusätzliche Routing und ACL Regeln erstellt werden. Firewalling und Routing sind aber nicht die Themen dieses Beitrags, deswegen werden hier diese Regeln nicht veröffentlicht.
2) Beim Erstellen von Cisco ACL Regeln “access-list” wird Cisco Wildcard Mask verwendet.
Praktische Cisco VLAN Befehle: (Sie wurden im obigen Szenario nicht verwendet):
Weitere erlaubte VLANs in Trunk nachträglich hinzufügen: Switch(config)#interface FastEthernet 0/10
Switch(config-if)#switchport trunk allowed vlan add 50
Ein erlaubtes VLAN in Trunk löschen:
Switch(config)#interface FastEthernet 0/10
Switch(config-if)#switchport trunk allowed vlan remove 50
Informationen über VLANs und Trunk anschauen: Switch#show vlan
Switch#show interface fa0/22 trunk
Switch#show interface fa0/10 switchport
Oben beschriebene Konfiguration wurde mit Cisco Packet Tracer getestet.
Fehler gefunden? Bitte melden Sie es über Kommentare.
Ist diese Konfiguration für Sie zu kompliziert?
Dann schauen Sie sich eine einfachere Beispielkonfiguration von Cisco Switchen mit VLANs
Keine Kommentare:
Kommentar veröffentlichen