Toon posts:

Cisco - globale en private vlans

Pagina: 1
Acties:
  • 757 views sinds 30-01-2008
  • Reageer

Verwijderd

Topicstarter
Hallo,

Ik wil graag het volgende configureren. Ik heb een Cisco 1760-VPN/K9 router welke aan het internet gekoppeld is middels SDSL. De router voorziet ook in de functie van DHCP-Server.

Nu heb ik een Cisco 2950T-24 switch welke ik aan de FastEthernet0/0 van de router koppel. Zodoende krijgen alle 'touwtjes' die in de switch geprikt worden mooi een ip-adres toegewezen. So far so good. MAAR nu gaan meerdere verschillende bedrijven gebruik maken van deze centrale internet-oplossing (verzamelgebouw bedrijven). Ik wil dus graag dat iedere poort in een apart vlan zit, zodat de diverse bedrijven niet elkaars netwerkjes / computers kunnen benaderen.

Dit kan als volgt bereikt worden. Je maakt een globale vlan aan, waar de router in geplaatst wordt. Vervolgens maak je voor alle klanten een private vlan aan, waar de globale vlan als parent wordt aangegeven. Zodoende kunnen alle vlan's met de router heen en weer babbelen en hoef ik tevens slechts een dhcp-range te gebruiken (- zo blijft het een mooi plat netwerk zonder poespas). De private vlan's kunnen onderling uiteraard niet met elkaar babbelen.

De Cisco 2950T-24 ondersteunt private vlan's. De bovenstaande theorie klopt ook .....alleen weet ik niet hoe ik eea kan configureren! Wie kan mij hierbij helpen? Ik heb al een ander soortgelijk topic hierover gezien, maar wil geen subinterfaces voor iedere vlan ed op de router configureren. Bovenstaande oplossing werkt EN is niet arbeidsintensief. Ik hoef immers alleen maar internetverkeer centraal af te handelen. De rest kan de klant zelf via zijn eigen touwtje.

Dit is de huidige configuratie:

Building configuration...

Current configuration : 3389 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log datetime
no service password-encryption
service sequence-numbers
!
hostname core-switch
!
enable secret xxx
!
clock timezone GMT 0
ip subnet-zero
!
ip domain-name cisco.com
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!
!
!
!
interface FastEthernet0/1
switchport access vlan 10
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/2
switchport access vlan 20
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/3
switchport access vlan 30
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/4
switchport access vlan 40
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/5
switchport access vlan 50
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/6
switchport access vlan 60
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/7
switchport access vlan 70
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/8
switchport access vlan 80
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/9
switchport access vlan 90
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/10
switchport access vlan 100
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/11
switchport access vlan 110
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/12
switchport access vlan 120
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/13
switchport access vlan 130
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/14
switchport access vlan 140
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/15
switchport access vlan 150
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/16
switchport access vlan 160
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/17
switchport access vlan 170
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/18
switchport access vlan 180
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/19
switchport access vlan 190
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/20
switchport access vlan 200
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/21
switchport access vlan 210
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/22
switchport access vlan 220
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/23
switchport access vlan 230
switchport mode access
spanning-tree portfast trunk
!
interface FastEthernet0/24
switchport access vlan 240
spanning-tree portfast trunk
!
interface GigabitEthernet0/1
description Cisco Router
speed 100
duplex full
spanning-tree portfast trunk
!
interface GigabitEthernet0/2
spanning-tree portfast trunk
!
interface Vlan2
ip address 172.10.10.253 255.255.255.0
no ip route-cache
!
ip default-gateway 172.10.10.254
ip http server
!
line con 0
line vty 0 4
login
line vty 5 15
login
!
!
end

[ Voor 54% gewijzigd door Verwijderd op 25-01-2005 19:25 ]


Verwijderd

wat dacht je van :

"switch-port protected" op interface niveau

Cisco zegt hier het volgende over

http://www.cisco.com/en/U...6a008017f8ed.html#3081878

Verwijderd

Topicstarter
Dat zou inderdaad kunnen...dan ga je de poort 'isoleren'.

Maar geldt het volgende?

Switchport protected = Private vlan ? Lijkt me niet....

Wat ik niet terug vindt op de 2950T is dat je een vlan aanmaakt,en er een parent aan mee kunt geven....althans ik weet niet hoe"?

_/-\o_

  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

Je kan subinterfaces aanmaken per VLAN op de 1760 iets in de vorm van
interface FastEthernet0/0
no shut
no ip address
interface FastEthernet0/0.100
encapsulation dot1q 100
ip address range1
interface FastEthernet0/0.110
encapsulation dot1q 110
ip address range2

Ook moet je dan voor elke range een DHCP pool aanmaken
je switchpoort moet je dan ook als trunk configgen. Verder moet je elk vlan aanmaken en aangeven in welk VLAN welke poort zit.

  • Adze
  • Registratie: Juli 2001
  • Laatst online: 20:46

Adze

CCNP !

http://www.cisco.com/en/U...ple09186a008017acad.shtml

Maar ik ben bang dat je 2950 geen private VLANs ondersteunt (weet het niet zeker). Kon er in ieder geval weinig over vinden.

[ Voor 37% gewijzigd door Adze op 26-01-2005 23:01 ]


  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

in ieder gevalde methode die ik beschrijf werkt zeker op een 2950. Mijn methode is denk ik ok he tmeest secure

Verwijderd

Topicstarter
Ik kan dus meerdere DHCP-pools aanmaken en deze worden dan automatisch aan de juiste vlan toegewezen?

Fastethernet0/0 zal wel een ip-adres hebben. Ik heb het nu als volgt gedaan:

interface FastEthernet0/0
ip address 172.10.10.254 255.255.255.0
no ip route-cache
no ip mroute-cache
speed 100
full-duplex
no keepalive
no cdp enable
!
interface Dialer1
ip unnumbered FastEthernet0/0

Ik heb dit zo nodig omdat ik er een Cisco PIX voor heb hangen welke de publieke ip-adressen voorziet. Aan de binnenkant heb ik dus een private range en op de PIX de juiste routeringen.

Dus het volgende zou moeten werken:

Op de switch staat als volgt bijvooorbeeld een poort (20 in dit geval) geconfigureerd:

interface FastEthernet0/20
switchport access vlan 200
switchport mode access
spanning-tree portfast trunk

Op de router is de volgende DHCP-pool beschikbaar:

ip dhcp excluded-address 172.10.11.100 172.25.60.254
!
ip dhcp pool vlan200
network 172.10.11.0 255.255.255.0
dns-server dns1 dns2
default-router 172.10.11.254

Op de router heb ik dan de volgende subinterface op fastethernet0/0:

interface FastEthernet0/0.200
encapsulation dot1q 200
ip address 172.10.11.254

Ik kan zo wel ook mooi per VLAN een publiek ip-adres toekennen natuurlijk?


Deze configuratie zou goed moeten zijn volgens jullie? Alvast bedankt voor jullie input!

[ Voor 6% gewijzigd door Verwijderd op 27-01-2005 09:27 ]


  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

je moet wel even kijken hoe je de switch poort naar de 1760 moet configureren. Overigens ik vind het prettiger om een loopback te gebruiken voor de unnumbered interface. Ik heb wel eens gekke dingen gezien met de DSL verbinding als de ethernetpoort down is.

Verwijderd

Topicstarter
Ik heb alles zo ver geconfigureerd. Ik heb van de eerste gigabit port de trunk poort gemaakt:

interface GigabitEthernet0/1
switchport mode trunk
fair-queue

802.1Q encapsulation ed kun je niet apart op deze interface aanzetten op een 2950T - is standaard ingeschakeld.

Op de router heb ik op de ethernetport verder niks gedaan.

Iedere poort op de switch zit nu in zijn eigen subnet en de 'clients' krijgen via DHCP pools de juiste adressen ed toegewezen. Alles werkt. Op de switch heb ik vlans en kunnen de poorten (verschillende subnets) elkaar niet pingen - (pc's op een poort onderling wel). Wanneer de trunk poort naar de router aangesloten wordt is een onderlinge ping altijd mogelijk. De router opereert op layer 3 - (inter vlan eigenlijk dus).

Werkplekken kunnen elkaar verder niet bereiken aangezien ze in een ander subnet zitten en als ik op een andere poort een ip-adres handmatig instel (fake), kan ik een mede-subnetter ook niet bereiken. Ik zit immers op dat moment in een andere vlan. So far so good.

Ik wil ook graag onderling verkeer zoals ping ed blokkeren. Ik kan dit realiseren door op de router met ACL's te gaan werken?! Is er ook een snellere / simpelere manier om 172.10.10.1 en bijvoorbeeld 172.10.11.1 te scheiden? Of welke access-list kan ik hiervoor gebruiken, zodat ik wel binnen het betreffende subnet alles kan, internet-toegang behoudt, maar de verschillende subnets volledig van elkaar scheidt?

  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

nee je zal per poort een custom acl moeten maken denk ik. Je moet hier een extended ACL voor maken.
Ik weet niet wat voor ip ranges je uitdeelt alleen als daar wat over nagedacht is kan je je acl's redelijk logisch houden. Wat ik dus bijv aanraad.
interface fastethernet0/0.1
encapsulation dot1q 1
ip address 192.168.1.254 255.255.255.0
ip access-group 101 in

Verwijderd

Je moet dus eigenlijk gewoon de vlans op de switch dezelfde naam geven als de dhcp pools op de router? Of heb ik het verkeerd.

En dus niet zoals trailblazer een ip range met dan de naam van je dhcp-pool

  • Clueless
  • Registratie: Juli 2001
  • Laatst online: 21-02 19:09
Ik zou zelf alle porten aan een VLAN toewijzen. Afhankelijk van of er inter-VLAN-routing nodig is of niet kan er gekozen worden om dit via de router te doen. InterVLAN routing is naar mijn weten wel nodig voor DHCP omdat dit werkt met een broadcast. Om toegang tot andere de andere VLANs te beperken dan wel uit te schakelen zal je dan ACLs moeten plaatsen.De Cisco 2950-T ondersteunt zelf geen DHCP maar heeft wel een DHCP-relay Agent.

Nuttige Link:
Using One DHCP Server for Voice and Data Networks

I Don't Know, So Don't Shoot Me


  • Routed
  • Registratie: Januari 2000
  • Laatst online: 26-01 18:22
portprotected ==private vlans.

en ja dit wordt door de 2950 series ondersteund.

Voorbeeld:

Jij steekt je router op f0/24
Poort 1-4 gebruik je als uplinks voor de seperate netwerken voor de bedrijven, dan stel je op deze porten dmv het switchport protected command de privatevlan functie van deze poorten in. Deze kunnen dus onderling niet meer communiceren. Wel kunnen ze communiceren met de router die op
poort 24 zit.

Als je dus op de router de ip adres en op de lansegmenten je ip addy's goed zet kan elke bedrijf naar buiten zonder dat ze bij elkaar kunnen komen (het blijven nml wel aparte subnetten door die private vlan's)

[ Voor 8% gewijzigd door Routed op 13-02-2005 01:06 ]

Slash Care
Mementô


  • pablo_p
  • Registratie: Januari 2000
  • Laatst online: 31-01 20:06
Als je wilt werken met een subnet, kan je onderstaand verhaaltje gebruiken (wel private vlans, geen subinterfaces per klant). Wil je de klanten scheiden op subnet, dan moet je subinterfaces gebruiken, maar geen private vlans (je gebruikt dan 'gewone' vlans). Ikzelf zou alleen private vlans gebruiken als je een geregisteerd subnet hebt waar je zuinig op wilt zijn. Als je ongeregisteerde adressen gebruikt, gebruik dan eigen subnets per klant. Kan je tenminste klant specifiek configureren (bandwidth management, firewall rules), omdat je aan het ip adres kan zien welke klant het betreft..

Voor een plat subnet
- zet alle poorten van de switch voor de klanten in hetzelfde vlan (bv 10)
- maak van alle poorten die niet met mekaar mogen communiceren, protected porten (switchport protected)
- configureer een range op je 1760 router op sub interface vlan 10
- configureer een access-list op je router die verkeer van en naar het connected LAN subnet blockt, om te voorkomen dat de klanten elkaar kunnen bereiken via de router zelf. Dus als het locale netwerk 10.0.10.0 / 24 is, wordt je incoming access-list:
deny ip 10.0.10.0 0.0.0.255 10.0.10.0 0.0.0.255
permit ip 10.0.10.0 0.0.0.255 any
(je zal meer moeten blocken, maar dit vergeet je makkelijk. Evt wel ping van en naar router toestaan)

Als je het netjes doet, maak je een extra trunk interface op de router voor management en zet je een poort op de switch in dat management lan. Dan management dichtzetten ed, maar dat spreekt voor zich.

@Routed: De verschillende gebruikers zitten wel in hetzelfde subnet, maar niet in hetzelfde broadcast domain.
Pagina: 1