VLAN Routing tussen met Layer 3? - Netwerken

donderdag 13 september 2007 13:36

Acties:

0 Henk 'm!

Anoniem: 202522

Topicstarter

Op het werk hebben wij sinds kort een nieuwe patchkast erbij wat betekend voor ons een uitbreiding op ons netwerk waardoor we dus 2 vlans willen creeren om zo 2 netwerken te scheiden. Ik zal de situatie hieronder schetsen:

Afbeeldingslocatie: http://pretjeuh.romlan.nl/netwerk.jpg

Afbeeldingslocatie: http://pretjeuh.romlan.nl/netwerk.jpg

VLAN1 = 192.168.1.0/24
VLAN2 = 192.168.2.0/24

De gateway van elke pc is 192.168.1.1 die wijst naar onze zyxel zywall 1050 router aan de powerconnect 6248 stack.

De PC met ip 192.168.1.37 kan gewoon de server op vlan 1 bereiken en natuurlijk niet de sevrer op vlan2 vandaar de vlans. Maar nu wil ik dat sommige pc's(pcs van de beheerders) wel op beide vlans mogen. Dan zal ik dus gebruik moeten gaan maken van access-lists tussen de 2 vlans.. of inter-vlan-routing maar daar is een geschikte router voor nodig.

Mijn vraag is, hoe kan ik met deze opstelling er voor zorgen dat bepaalde ip's beide vlans mogen bereiken.?

Ik hoop dat ik genoeg informatie gegeven heb, zoniet wordt het erbij gepost.

Groet,
Jeroen

donderdag 13 september 2007 13:51

Acties:

0 Henk 'm!

Keiichi

Eenvoudigste lijkt me een host in beide VLAN's zetten welke op beide VLAN's moeten.

Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/

donderdag 13 september 2007 13:59

Acties:

0 Henk 'm!

Anoniem: 202522

Topicstarter

Dat zou je zeggen maar het probleem is dat je een interface van de switch waar je pc aan hangt niet kunt toekennen aan meerdere vlans. Anders was inderdaad het probleem zo opgelost.

donderdag 13 september 2007 14:02

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

je zal inderdaad een device moeten hebben wat tussen deze 2 vlans kan routeren. In principe is een firewall met 2 interfaces (1 als die 802.1q ondersteunt) al voldoende.

donderdag 13 september 2007 14:04

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

Dat ding is zelf al L3

Maximaal 1.024 L2-L4-toegangscontrolelijsten (Access Control Lists of ACL's) kunnen door de switch worden ondersteund, zodat de gebruiker een verregaande pakketcontrole (Packet Inspection) kan uitvoeren. De 802.1x-poortverificatie biedt zowel enkelvoudige als meervoudige toegang tot de host. De preventie van DoS-aanvallen (Denial of Service) zorgt bovendien voor een nog betere beveiliging, waarbij de switch kan zorgen voor een beveiliging tegen normale aanvallen op het netwerk en de computersystemen.

bron
gezien het feit dat je devices L3 ondersteuning hebben lijkt het me tijd om gewoon je netwerk op de schop te gooien. bijvoorbeeld
1 VLAN voor de gebruikers
1 VLAN voor je routers
1 VLAN voor je beheerders
1 VLAN voor je servers.
Je default gateway komt dan gewoon op je switch te staan die het vrolijk verder routeert. Hier kan je dan ook all je access regelen.
Het is nooit handig om je servers in je user lan te zetten. Je kan veel minder controleren en iemand hangt een device aan het netwerk met het zelfde ip adres als de server en die hele server is niet meer te bereiken.

[ Voor 30% gewijzigd door TrailBlazer op 13-09-2007 14:11 ]

donderdag 13 september 2007 14:07

Acties:

0 Henk 'm!

MikeN

Anoniem: 202522 schreef op donderdag 13 september 2007 @ 13:59:
Dat zou je zeggen maar het probleem is dat je een interface van de switch waar je pc aan hangt niet kunt toekennen aan meerdere vlans. Anders was inderdaad het probleem zo opgelost.

Eh, je kan prima q-taggen en iedere fatsoenlijke netwerkkaart moet hier gewoon mee om kunnen gaan.

donderdag 13 september 2007 14:15

Acties:

0 Henk 'm!

Keiichi

TrailBlazer schreef op donderdag 13 september 2007 @ 14:02:
je zal inderdaad een device moeten hebben wat tussen deze 2 vlans kan routeren. In principe is een firewall met 2 interfaces (1 als die 802.1q ondersteunt) al voldoende.

Zat ik ook al aan te denken, maar ik zie niet zo snel een juist routing methode om 1 enkel IP adres naar een ander subnet te routen, dit omdat je adhv een source ip moet routen.

NAT zou wel een oplossing kunnen bieden.

Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/

donderdag 13 september 2007 14:18

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

Keiichi schreef op donderdag 13 september 2007 @ 14:15:
[...]

Zat ik ook al aan te denken, maar ik zie niet zo snel een juist routing methode om 1 enkel IP adres naar een ander subnet te routen, dit omdat je adhv een source ip moet routen.

NAT zou wel een oplossing kunnen bieden.

hij moet alles routeren maar niet alles toestaan. Simpel maar zoals ik al eerder aangaf maak dan gewoon een VLAN aan waar beheerders inzitten. Zodat dat subnet gewoon alles mag.
Overigens je kan prima op een bepaald source adres routeren hoor op een cisco router in ieder geval wel.

[ Voor 9% gewijzigd door TrailBlazer op 13-09-2007 14:19 ]

donderdag 13 september 2007 14:21

Acties:

0 Henk 'm!

Keiichi

TrailBlazer schreef op donderdag 13 september 2007 @ 14:18:
[...]

hij moet alles routeren maar niet alles toestaan. Simpel maar zoals ik al eerder aangaf maak dan gewoon een VLAN aan waar beheerders inzitten. Zodat dat subnet gewoon alles mag.
Overigens je kan prima op een bepaald source adres routeren hoor op een cisco router in ieder geval wel.

Ik begrijp dat je dan ook van een firewall gebruik zou moeten maken. Maar dan ga je het idee van VLAN's voorbij. Je kunt dan gewoon zeggen van: die die en die IP's mogen bij de server, de rest niet.

Niet iedereen heeft een cisco router, dus ik denk dat het verstandig is om source-routing te vermijden.

Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/

donderdag 13 september 2007 14:30

Acties:

0 Henk 'm!

Anoniem: 202522

Topicstarter

Keiichi schreef op donderdag 13 september 2007 @ 14:21:
[...]

Ik begrijp dat je dan ook van een firewall gebruik zou moeten maken. Maar dan ga je het idee van VLAN's voorbij. Je kunt dan gewoon zeggen van: die die en die IP's mogen bij de server, de rest niet.

Niet iedereen heeft een cisco router, dus ik denk dat het verstandig is om source-routing te vermijden.

ja we willen hier proberen zonder aanschaf van een nieuwe router die inter-vlan-routing aankan het probleem op te lossen.

een gewone firewall kan niet bepalen of een ip een ander ip mag bereiken op een ander vlan. Hier is dus weer inter-vlan-routing voor nodig.

Maar kan iemand me nu conreet voor hetvolgende een oplossing geven:

Hoe kan ik nu communicatie laten plaats vinden van de een ip in VLAN1 naar VLAN2. Zonder het gebruik van een inter-vlan-routing router aan het netwerk te koppelen.

donderdag 13 september 2007 14:39

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

Je switch kan dat zelf doen als je tenminste die Dell powerconnect switch hebt.
http://www1.euro.dell.com...l&cs=RC1078542&l=nl&s=lca
Inclusief alle Access-control als ik het zo snel lees. Dat ding heeft hardstikke veel mogelijkheden en staat nu uit zijn neus te eten. Je maakt (waarschijnlijk) gewoon twee VLAN L3 interfaces aan. Je maakt een statische default gateway routering aan richting je router. Je zet de default gateway van je PC's op het VLAN adress op je switches. Je kan dan ook nog aangeven welke ip adressen er wel en niet naar het andere vlan mogen.

[ Voor 31% gewijzigd door TrailBlazer op 13-09-2007 14:41 ]

donderdag 13 september 2007 14:45

Acties:

0 Henk 'm!

jvanhambelgium

Een concrete oplossing ?? De handleiding lezen ja ;-)
Op de Dell site staat netjes de handleiding van deze doos, alle info over de VLAN's (hoe ze aanmaken etc) en ook ivm de IP ACL (access-lists om vb het verkeer inter-vlan verder te beperken)

VLAN ROUTING : http://support.dell.com/s...ML/configud.htm#wp1197247

SECURITY :
http://support.dell.com/s...ML/configuc.htm#wp1351427

Ziet er best te doen uit.

donderdag 13 september 2007 14:49

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

ieuw een webinterface. Dat ding heeft en CLI ja gebruik die dan ook. Lijkt ook heel veel op cisco zo te zien.
Verder ben ik het met hierboven eens verdiep je eens in dat ding. Die switch is echt wel wat meer dan dat je thusi hebt staan.

donderdag 13 september 2007 15:02

Acties:

0 Henk 'm!

Anoniem: 202522

Topicstarter

TrailBlazer schreef op donderdag 13 september 2007 @ 14:49:
ieuw een webinterface. Dat ding heeft en CLI ja gebruik die dan ook. Lijkt ook heel veel op cisco zo te zien.
Verder ben ik het met hierboven eens verdiep je eens in dat ding. Die switch is echt wel wat meer dan dat je thusi hebt staan.

Daar was ik al achter ja, vandaar dat ik ook de routing tussen de vlans door hem wil laten dien en niet met een aparte router, dan was het probleem al opgelost. Niet voor niets L3 switches.

En uiteraard maak ik gebruik van de CLI, tis bijna de cisco CLI.

alvast bedankt voor al jullie reacties.

vrijdag 14 september 2007 11:54

Acties:

0 Henk 'm!

MindStorm

Je kunt met een zyxel 1050 prima routeren tussen verschillende vlans. Wij gebruiken er hier ook een voor een flink aantal vlans.

Je moet er voor zorgen dat de pcs die wel toegang hebben een statische route hebben naar het andere vlan, met als gateway de zyxel 1050. Dit geldt ook voor de servers/machines waar je naartoe wilt. Dan kun je in de zyxel zelf een host-object aanmaken die je al dan niet toegang geeft tot het andere vlan. (even kijken onder Configuration->Object->Address)

vrijdag 14 september 2007 15:39

Acties:

0 Henk 'm!

Anoniem: 202522

Topicstarter

MindStorm schreef op vrijdag 14 september 2007 @ 11:54:
Je kunt met een zyxel 1050 prima routeren tussen verschillende vlans. Wij gebruiken er hier ook een voor een flink aantal vlans.

Je moet er voor zorgen dat de pcs die wel toegang hebben een statische route hebben naar het andere vlan, met als gateway de zyxel 1050. Dit geldt ook voor de servers/machines waar je naartoe wilt. Dan kun je in de zyxel zelf een host-object aanmaken die je al dan niet toegang geeft tot het andere vlan. (even kijken onder Configuration->Object->Address)

ok maar ik heb nu 3 vlans:

VLAN1: 192.168.1.0/24
VLAN2: 192.168.2.0/24
VLAN3: 192.168.3.0/24

Maar als me 1050 in VLAN1 zit en ik in VLAN3 hoe zorg ik er dan voor dat me vlan wordt gerouteerd? de switch moet daar toch oko een rol in spelen?

vrijdag 14 september 2007 15:52

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

je moet zogenaamde VLAN interfaces aanmaken op je switch. Je switch is dan je default gateway. Je switch zal dan gaan routeren tussen die VLANS.

maandag 17 september 2007 21:30

Acties:

0 Henk 'm!

MindStorm

TrailBlazer schreef op vrijdag 14 september 2007 @ 15:52:
je moet zogenaamde VLAN interfaces aanmaken op je switch. Je switch is dan je default gateway. Je switch zal dan gaan routeren tussen die VLANS.

Volgens mij wil de TS juist niet dat zijn switch gaat routeren tussen de vlans, maar dat door de firewall laten afhandelen om security te verbeteren. Wanneer je alleen alle poorten wilt openzetten, kun je inderdaad proberen vlans te definieren, en de poortjes van de pcs van de administrators in alle vlans plaatsen.

Wil je dit niet, zet dan alle pcs in hun vlan, met als gateway de zyxel. De zyxel routeert dan, je kunt hiervoor routes aanmaken via het menu onder network.

Anoniem: 202522 schreef op vrijdag 14 september 2007 @ 15:39:
[...]
Maar als me 1050 in VLAN1 zit en ik in VLAN3 hoe zorg ik er dan voor dat me vlan wordt gerouteerd? de switch moet daar toch oko een rol in spelen?

Ik ben het even kwijt denk ik. Wij hebben hier een configuratie, aparte vlans op twee switches, en routeren via de zyxel. Maar dat zullen layer2 switches zijn.

[ Voor 22% gewijzigd door MindStorm op 17-09-2007 21:33 ]

maandag 17 september 2007 22:42

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

MindStorm schreef op maandag 17 september 2007 @ 21:30:
[...]

Volgens mij wil de TS juist niet dat zijn switch gaat routeren tussen de vlans, maar dat door de firewall laten afhandelen om security te verbeteren. Wanneer je alleen alle poorten wilt openzetten, kun je inderdaad proberen vlans te definieren, en de poortjes van de pcs van de administrators in alle vlans plaatsen.

Je kan geen poortje in alle VLANs zetten gewoon niet mogelijk.

Wil je dit niet, zet dan alle pcs in hun vlan, met als gateway de zyxel. De zyxel routeert dan, je kunt hiervoor routes aanmaken via het menu onder network.

[...]

Ik ben het even kwijt denk ik. Wij hebben hier een configuratie, aparte vlans op twee switches, en routeren via de zyxel. Maar dat zullen layer2 switches zijn.

maandag 17 september 2007 23:19

Acties:

0 Henk 'm!

ChaserBoZ_

TrailBlazer schreef op maandag 17 september 2007 @ 22:42:
[...]

Je kan geen poortje in alle VLANs zetten gewoon niet mogelijk.

[...]

Idd, kom eens met een switch welke een ethernetpoortje in meerdere vlans kan zetten ?'

'Maar het heeft altijd zo gewerkt . . . . . . '

dinsdag 18 september 2007 02:10

Acties:

0 Henk 'm!

CyBeR

💩

ChaserBoZ_ schreef op maandag 17 september 2007 @ 23:19:
[...]

Idd, kom eens met een switch welke een ethernetpoortje in meerdere vlans kan zetten ?'

Elke switch die 802.1q ondersteunt? Oh, en d'r zijn switches die protocol-based VLANs aankunnen.

[ Voor 10% gewijzigd door CyBeR op 18-09-2007 02:12 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 18 september 2007 07:32

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

Ik ben totaal geen fan van een PC in meerdere VLANs hangen dmv een trunk. Het kan wel maar je gaat dan wel veel meer koppelingen maken tussen de VLANs die nergens voor nodig zijn. Geef mij maar een specifiek subnet waarin de mgt PC's zitten die je dan alle toegang geeft dmv een firewall.

woensdag 19 september 2007 11:20

Acties:

0 Henk 'm!

Anoniem: 202522

Topicstarter

Ik ben het even kwijt denk ik. Wij hebben hier een configuratie, aparte vlans op twee switches, en routeren via de zyxel. Maar dat zullen layer2 switches zijn.

Het zijn layer 3 switches. Maar we proberen nu te routeren via tussen de vlans via de zyxel zywall 1050

vrijdag 21 september 2007 10:58

Acties:

0 Henk 'm!

Anoniem: 202522

Topicstarter

Ok ik heb het een en ander gedaan en heb het voor de helft werken

VLAN1: 192.168.1.0 /24
VLAN2: 192.168.252.0 /24
VLAN3: 192.168.3.0 /24

192.168.3.254 gekoppeld aan vlan 3
192.168.252.254 gekoppeld aan vlan 2

Gisteren heb ik communicatie getest tussen vlan 2 en 3 met alleen 1 switch. Dus: PC1 op poort die in vlan 2 staat en andere PC die op poort in vlan 3 staat.

Vervolgens 2 ACL's ingesteld: VLAN3 mag VLAN2 berijken en anders om.

Pings waren succesvol...

Part2
Nu het volgende:
Aan de switch zit nog een switch gekoppeld dmv een trunk. nu stel in een poort op switch1 in op vlan3 en hang er een pc aan met IP: 192.168.3.50. en op switch2 zet ik een poort in vlan2 met IP: 192.168.252.51.

Welke of en hoe moet ik de static routes op de switches instellen om dit werkend te krijgen?

Management ips van de switches zijn 192.168.2.252 en 192.168.2.251

Overigens staat in de routing table van bijde switches:
Afbeeldingslocatie: http://pretjeuh.romlan.nl/routes.JPG

Afbeeldingslocatie: http://pretjeuh.romlan.nl/routes.JPG

[ Voor 5% gewijzigd door Anoniem: 202522 op 21-09-2007 11:06 ]

vrijdag 21 september 2007 11:18

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

ALs je een trunk hebt heb je geen routing nodig vanaf switch 2 de VLAN zijn namelijk transparant over beide switches. Dus de default gateway van de PC in Vlan 3 op switch2 gewoon het default gateway adres geven wat je hebt geconfigureerd op Switch1.

vrijdag 21 september 2007 11:38

Acties:

0 Henk 'm!

Anoniem: 202522

Topicstarter

Op beide switches staat geen default gateway ingesteld op de switches.

welke default-gateway moeten deze dan krijgen in dit geval?

Normaal de router of domeincontroller?

vrijdag 21 september 2007 13:25

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

ik denk de firewall in dit geval.

vrijdag 21 september 2007 16:10

Acties:

0 Henk 'm!

Anoniem: 202522

Topicstarter

ok het werkt allemaal, ik kan nu dmv de access lists pingen onderling de vlans.

Volgende probleem:
zodra ik een pc in bv vlan 3 hang en een ping uitvoer naar vlan 2 duurt het echter ontiegelijk lang voordat hij converged zeg maar. Na ongeveer 10min krijg ik pas responds...

Pagina: 1

Reageer