[Cisco] Vlan + DOT1q trunk - Netwerken

vrijdag 23 mei 2008 18:57

Acties:

Topicstarter

Hallo,
Ik ben bezig met een configuratie van een 2921XM router en een 2950 switch. Op dit moment ben ik nog bezig in packet tracer, maar ik zal later deze in het echt gaan bouwen.

Afbeeldingslocatie: http://img361.imageshack.us/img361/7536/overzichtdq1.jpg

Afbeeldingslocatie: http://img361.imageshack.us/img361/7536/overzichtdq1.jpg

Bovenstaande is mijn opstelling.

code:

Current configuration : 729 bytes
!
version 12.2
no service password-encryption
!
hostname Router
!
!
!
!
interface FastEthernet0/0
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet0/0.10
 encapsulation dot1Q 10
 ip address 200.1.10.1 255.255.255.0
!
interface FastEthernet0/0.20
 encapsulation dot1Q 20
 ip address 200.1.20.1 255.255.255.0
 ip access-group 101 in
!
interface Serial0/0
 bandwidth 2048
 ip address 100.1.1.2 255.255.255.252
!
router eigrp 100
 passive-interface FastEthernet0/0
 network 100.0.0.0
 network 200.1.10.0
 network 200.1.20.0
 auto-summary
!
ip classless
!
access-list 101 deny tcp any any eq ftp
access-list 101 deny tcp any any eq telnet
access-list 101 permit ip any any
!
!
!
line con 0
line vty 0 4
 login
!
!
end

code:

Current configuration : 1172 bytes
!
version 12.1
no service password-encryption
!
hostname Switch
!
!
!
interface FastEthernet0/1
 switchport access vlan 10
!
interface FastEthernet0/2
 switchport access vlan 20
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
 switchport trunk allowed vlan 10,20
 switchport mode trunk
!
interface Vlan1
 description Beheer VLAN
 no ip address
 shutdown
!
interface Vlan10
 description Management VLAN
 ip address 200.1.10.2 255.255.255.0
!
interface Vlan20
 description Production VLAN
 ip address 200.1.20.2 255.255.255.0
!
line con 0
!
line vty 0 4
 login
line vty 5 15
 login
!
!
end

code:

Router Fast Ethernet 0/0.10:
IP address  : 200.1.10.1
Subnet masker   : 255.255.255.0
Netwerk : 200.1.10.0

Router Fast Ethernet 0/0.20:
IP address  : 200.1.20.1
Subnet masker   : 255.255.255.0
Netwerk : 200.1.20.0

VLAN 10 interface:
IP address  : 200.1.10.2
Subnet masker   : 255.255.255.0
Netwerk : 200.1.10.0

VLAN 20 interface:
IP address  : 200.1.20.2
Subnet masker   : 255.255.255.0
Netwerk : 200.1.20.0

Management PC Fast Ethernet 0/0
IP address  : 200.1.10.3
Subnet masker   : 255.255.255.0
Netwerk : 200.1.10.0

Production PC Fast Ethernet 0/0
IP address  : 200.1.20.3
Subnet masker   : 255.255.255.0
Netwerk : 200.1.20.0

Ik heb 2 vlan's op dit moment maar daar moet er nog eentje bijkomen, volgensmij heb ik nu alles goed geconfigureerd qua vlan's.

Ik kan nu pingen tussen de twee vlan's, maar dat is niet de bedoeling. Doordat het verkeer nu via de router naar het andere vlan gaat.

Ik wil dus dat er geen verkeer meer mogelijk is tussen de 2 vlan's, maar boven de router zitten nog een netwerk met een webserver die wel toegankelijk moet zijn.

Ik heb zelf al aan een access-list zitten te denken maar dat is niet de bedoeling en niet handig ivm uitbreiding.

Mijn vraag is, hoe kan ik dat het best doen?

Edit: Typfout in de titel

zaterdag 24 mei 2008 17:16

Acties:

bazkar

toch is een ACL (access list) precies wat je zoekt.
Als je niet wilt adt er tussen deze twee netwerken gerouteerd wordt, waarom heb je dan toch je router in allebei die netwerken een IP adres gegeven?

Als beide netwerken wel met een derde netwerk moeten kunnen communiceren, dan is een ACL de beste oplossing

dinsdag 27 mei 2008 09:43

Acties:

Predator

Suffers from split brain

Wat je wel kan doen is je router virtualiseren via vrf-lite.
Je kan dan ook 2 vlan's aanmaken in het andere segment (met de webserver).
Je plaats dan telkens 1 client vlan interface samen met 1 vlan interface van het andere stuk in een vrf.
Idem voor de andere kant. Dan heb je als het ware 2 verschillende routers gecreërd.

Maar het hangt van de rest van je netwerk af of dat handiger is, of juist nog meer geknoei dan met access-lists.

Als de router zelf default router is voor het andere segment zit je al met een potentieel probleem (servers moeten naar beide subnetten gaan, en moeten dan een aparte route hebben voor de andere vrf).
In de vrf routing table kan je misschien ook geen default route gebruiken, anders kan die nog via een router toch terugkeren en naar de andere vrf gaan (buiten in vrf-1 naar een andere router die dan routeert naar de interface in vrf-2).

Het kan ook via vrf-lite door elke client interface in een aparte vrf te zetten en de uplink naar de webserver in de global routing zone te laten. Maar dan moet je wel via manuele route-leaking crossrouting tussen de vrf's doen.

Als ik jou was bleef ik bij access-lists, en als je echt veel moet filteren, neem dan een firewall met vlan support...

[ Voor 20% gewijzigd door Predator op 27-05-2008 09:50 ]

Everybody lies | BFD rocks ! | PC-specs

dinsdag 27 mei 2008 10:00

Acties:

jvanhambelgium

VRF Lite ?
Dan zal z'n 2620XM routertje minstens een 12.2T release moeten draaien en geen "gewoon" IP image (vb wel een IP Plus / Enterprise Plus)
...en mogelijk botst hij dan op te weinig DRAM ofzo om deftig te werken.

Zoals je zelf aanhaalde ... doe maar Keep It Simple Stupid en gebruik (extended) ACL's

dinsdag 27 mei 2008 10:06

Acties:

Equator

Crew Council

#whisky #barista

Minor title change

dinsdag 27 mei 2008 15:15

Acties:

Predator

Suffers from split brain

jvanhambelgium schreef op dinsdag 27 mei 2008 @ 10:00:
VRF Lite ?
Dan zal z'n 2620XM routertje minstens een 12.2T release moeten draaien en geen "gewoon" IP image (vb wel een IP Plus / Enterprise Plus)
...en mogelijk botst hij dan op te weinig DRAM ofzo om deftig te werken.

Toch niet, check maar op CFN

Ik draai zelfs vrf-lite op een stokoude 2612 (geen XM !) met de IP base en default memory (32MB/8MB), wel op de 12.3 release natuurlijk.

Zolang het een interne router is met vrij kleine routingtables zou ik ook niet weten waarom dat memory issues zou geven.

Everybody lies | BFD rocks ! | PC-specs

dinsdag 27 mei 2008 15:54

Acties:

It-er

waarom maak je én op je router een ip-adres en én op je switch?

enkel op de router een subinterface .10 en .20 is voldoende.

Om te voorkomen dat systemen in vlan10 met systemen in vlan20 kunnen praten heb je 2 opties:

1) zoals hierboven aangegeven een vrf lite constructie maken zodat voor systemen in vlan10 de default router subinterface .10 is en voor systemen in vlan 20 subint. .20.

2) private-vlan constructie. Waarbij de trunk interface tussen router en switch in promiscuous mode, en de switchpoorten van de systemen in isolated mode draait. Meer info hierover ken je ook vinden op cisco/google.

dus zoiets (op je switch):

interface FastEthernet0/24
switchport trunk allowed vlan 10,20
switchport mode trunk
switchport private vlan mapping 10,20
switchport mode private-vlan promiscuous
!
vlan1
native vlan
!
vlan10
private-vlan isolated
!
vlan20
private-vlan primary
private-vlan association 10
!
#### geen interface vlan's meer !!!! ####

interface FastEthernet0/1
switchport access vlan 10
switchport private-vlan host-association 10 20
switchport private-vlan host
!
interface FastEthernet0/2
switchport access vlan 10
switchport private-vlan host-association 10 20
switchport private-vlan host
!

+++++++++++++++++++++
vrf-constructie (op de router)
+++++++++++++++++++++

ip vrf vlan_10
ip vrf vlan_20

int fa0/0.10
encaps dot1q 10
ip vrf forwarding vlan_10
ip add........etc.

int fa0/0.20
encaps dot1q 20
ip vrf forwarding vlan_20
ip add........etc.

[ Voor 44% gewijzigd door It-er op 27-05-2008 16:06 ]

what is your major malfunction???

dinsdag 27 mei 2008 17:25

Acties:

jvanhambelgium

Predator schreef op dinsdag 27 mei 2008 @ 15:15:
[...]

Toch niet, check maar op CFN

Ik draai zelfs vrf-lite op een stokoude 2612 (geen XM !) met de IP base en default memory (32MB/8MB), wel op de 12.3 release natuurlijk.

Zolang het een interne router is met vrij kleine routingtables zou ik ook niet weten waarom dat memory issues zou geven.

Hmm, heb nochtans op de cisco feature navigator gekeken en kon geen "gewoon" IP image vinden.
Wel een plus, enterprise, telco en meer van die prutsen.
Bon, neemt niet weg dat het totaal voor deze oplossing euh..lichtelijk overkill is....

dinsdag 27 mei 2008 17:27

Acties:

jvanhambelgium

Ah, ik heb de check op de CFN gedaan in functie van de image die de topicstarter nu heeft.
In principe kan hij zomaar geen ander image gaan downloaden.
Jij kan dat, ik kan dat, maar eigenlijk zonder contract niet...

Dus binnen de 12.2 branch heb je een probleem als je een "gewoon" IP base image hebt.
Je moet dan naar een 12.2T release gaan zoeken.

Pagina: 1

Reageer