Cisco - globale en private vlans

Hallo,

Ik wil graag het volgende configureren. Ik heb een Cisco 1760-VPN/K9 router welke aan het internet gekoppeld is middels SDSL. De router voorziet ook in de functie van DHCP-Server.

Nu heb ik een Cisco 2950T-24 switch welke ik aan de FastEthernet0/0 van de router koppel. Zodoende krijgen alle 'touwtjes' die in de switch geprikt worden mooi een ip-adres toegewezen. So far so good. MAAR nu gaan meerdere verschillende bedrijven gebruik maken van deze centrale internet-oplossing (verzamelgebouw bedrijven). Ik wil dus graag dat iedere poort in een apart vlan zit, zodat de diverse bedrijven niet elkaars netwerkjes / computers kunnen benaderen.

Dit kan als volgt bereikt worden. Je maakt een globale vlan aan, waar de router in geplaatst wordt. Vervolgens maak je voor alle klanten een private vlan aan, waar de globale vlan als parent wordt aangegeven. Zodoende kunnen alle vlan's met de router heen en weer babbelen en hoef ik tevens slechts een dhcp-range te gebruiken (- zo blijft het een mooi plat netwerk zonder poespas). De private vlan's kunnen onderling uiteraard niet met elkaar babbelen.

De Cisco 2950T-24 ondersteunt private vlan's. De bovenstaande theorie klopt ook .....alleen weet ik niet hoe ik eea kan configureren! Wie kan mij hierbij helpen? Ik heb al een ander soortgelijk topic hierover gezien, maar wil geen subinterfaces voor iedere vlan ed op de router configureren. Bovenstaande oplossing werkt EN is niet arbeidsintensief. Ik hoef immers alleen maar internetverkeer centraal af te handelen. De rest kan de klant zelf via zijn eigen touwtje.

Dit is de huidige configuratie:

Building configuration...

Current configuration : 3389 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log datetime
no service password-encryption
service sequence-numbers
!
hostname core-switch
!
enable secret xxx
!
clock timezone GMT 0
ip subnet-zero
!
ip domain-name cisco.com
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!
!
!
!
interface FastEthernet0/1
switchport access vlan 10
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/2
switchport access vlan 20
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/3
switchport access vlan 30
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/4
switchport access vlan 40
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/5
switchport access vlan 50
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/6
switchport access vlan 60
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/7
switchport access vlan 70
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/8
switchport access vlan 80
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/9
switchport access vlan 90
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/10
switchport access vlan 100
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/11
switchport access vlan 110
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/12
switchport access vlan 120
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/13
switchport access vlan 130
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/14
switchport access vlan 140
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/15
switchport access vlan 150
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/16
switchport access vlan 160
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/17
switchport access vlan 170
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/18
switchport access vlan 180
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/19
switchport access vlan 190
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/20
switchport access vlan 200
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/21
switchport access vlan 210
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/22
switchport access vlan 220
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/23
switchport access vlan 230
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/24
switchport access vlan 240
spanning-tree portfast trunk
!
interface GigabitEthernet0/1
description Cisco Router
speed 100
duplex full
spanning-tree portfast trunk
!
interface GigabitEthernet0/2
spanning-tree portfast trunk
!
interface Vlan2
ip address 172.10.10.253 255.255.255.0
no ip route-cache
!
ip default-gateway 172.10.10.254
ip http server
!
line con 0
line vty 0 4
login
line vty 5 15
login
!
!
end

[ Voor 54% gewijzigd door Verwijderd op 25-01-2005 19:25 ]

Dat zou inderdaad kunnen...dan ga je de poort 'isoleren'.

Maar geldt het volgende?

Switchport protected = Private vlan ? Lijkt me niet....

Wat ik niet terug vindt op de 2950T is dat je een vlan aanmaakt,en er een parent aan mee kunt geven....althans ik weet niet hoe"?

Ik kan dus meerdere DHCP-pools aanmaken en deze worden dan automatisch aan de juiste vlan toegewezen?

Fastethernet0/0 zal wel een ip-adres hebben. Ik heb het nu als volgt gedaan:

interface FastEthernet0/0
ip address 172.10.10.254 255.255.255.0
no ip route-cache
no ip mroute-cache
speed 100
full-duplex
no keepalive
no cdp enable
!
interface Dialer1
ip unnumbered FastEthernet0/0

Ik heb dit zo nodig omdat ik er een Cisco PIX voor heb hangen welke de publieke ip-adressen voorziet. Aan de binnenkant heb ik dus een private range en op de PIX de juiste routeringen.

Dus het volgende zou moeten werken:

Op de switch staat als volgt bijvooorbeeld een poort (20 in dit geval) geconfigureerd:

interface FastEthernet0/20
switchport access vlan 200
switchport mode access
spanning-tree portfast trunk

Op de router is de volgende DHCP-pool beschikbaar:

ip dhcp excluded-address 172.10.11.100 172.25.60.254
!
ip dhcp pool vlan200
network 172.10.11.0 255.255.255.0
dns-server dns1 dns2
default-router 172.10.11.254

Op de router heb ik dan de volgende subinterface op fastethernet0/0:

interface FastEthernet0/0.200
encapsulation dot1q 200
ip address 172.10.11.254

Ik kan zo wel ook mooi per VLAN een publiek ip-adres toekennen natuurlijk?


Deze configuratie zou goed moeten zijn volgens jullie? Alvast bedankt voor jullie input!

[ Voor 6% gewijzigd door Verwijderd op 27-01-2005 09:27 ]

Ik heb alles zo ver geconfigureerd. Ik heb van de eerste gigabit port de trunk poort gemaakt:

interface GigabitEthernet0/1
switchport mode trunk
fair-queue

802.1Q encapsulation ed kun je niet apart op deze interface aanzetten op een 2950T - is standaard ingeschakeld.

Op de router heb ik op de ethernetport verder niks gedaan.

Iedere poort op de switch zit nu in zijn eigen subnet en de 'clients' krijgen via DHCP pools de juiste adressen ed toegewezen. Alles werkt. Op de switch heb ik vlans en kunnen de poorten (verschillende subnets) elkaar niet pingen - (pc's op een poort onderling wel). Wanneer de trunk poort naar de router aangesloten wordt is een onderlinge ping altijd mogelijk. De router opereert op layer 3 - (inter vlan eigenlijk dus).

Werkplekken kunnen elkaar verder niet bereiken aangezien ze in een ander subnet zitten en als ik op een andere poort een ip-adres handmatig instel (fake), kan ik een mede-subnetter ook niet bereiken. Ik zit immers op dat moment in een andere vlan. So far so good.

Ik wil ook graag onderling verkeer zoals ping ed blokkeren. Ik kan dit realiseren door op de router met ACL's te gaan werken?! Is er ook een snellere / simpelere manier om 172.10.10.1 en bijvoorbeeld 172.10.11.1 te scheiden? Of welke access-list kan ik hiervoor gebruiken, zodat ik wel binnen het betreffende subnet alles kan, internet-toegang behoudt, maar de verschillende subnets volledig van elkaar scheidt?