[Cisco] Hoe tussen vlans te gaan routeren

Hallo tweakers,

Voor een klant moeten wij een netwerk op gaan zetten van zo'n 7 Catalyst 3750 49p switches. Op deze switches zijn een stuk of 6 vlans aanwezig. Deze vlan's zijn geconfigureerd.
De switches zijn gestackt met stackkabels en naar de verschillende ruimtes via glas.

In het netwerk is het noodzakelijk dat er gerouteerd kan worden tussen verschillende vlan's. Nu kan ik een simpele trunk leggen naar de router (asa 5510) en subinterfaces aanmaken op mijn router. Dit heb ik dan ook geprobeerd en dit werkt verder goed. Middels accesslists kan ik het e.e.a goed afschermen.

Nu heb ik gelezen dat de bovenstaande situatie performance problemen kan veroorzaken. Het is zo dat er straks ook audio en video tussen de vlan's gerouteerd gaat worden.

Zou ik bovenstaande situatie toch kunnen gebruiken of zal ik in de switches moeten gaan routeren?

Als ik de situatie wil ombouwen dat de switch(es) gaan routeren. Is het zo dat de switch in elk vlan een ip krijgt? Vervolgens routes krijgt om te kunnen routeren? En dat er dan een 0.0.0.0 0.0.0.0 [iprouter] aangemaakt moet worden? En dat alle clients vervolgens als gw het ip adres van de switch moeten krijgen?

Ik hoop dat jullie mij hier mee kunnen helpen.

Alvast bedankt.

Hoi Keiichi,

Bedankt voor je antwoord. Dat mijn switches kunnen routeren ben ik wel uit. Het is alleen mijn vraag of het verstandiger gaat zijn om de switch daarvoor te gebruiken?

Om nog even wat toe te voegen aan mijn verhaal.

In de verschillende vlan's heb ik ook dhcp nodig. Dit wil ik graag de router laten doen op 1 vlan na (waar servers etc in komen). Wanneer ik een trunk leg naar de router (asa5510) en ik subinterfaces aanmaak, kan ik op zo'n subinterface ook dhcp configureren.

Of moet ik dit dan ook op de 3750 gaan doen?

Als ik ga routeren op de 3750 die in een cluster komen. Is het dan ook zo dat als de master uitvalt, mijn routeringen in de lucht blijven?

Predator schreef op dinsdag 04 oktober 2011 @ 12:22:
De vraag is simpel, het antwoord misschien niet.

Moet verkeer tussen die VLAN's gefiltered worden door die ASA ?
Indien ja ... dan moet het via een trunk naar de ASA en dien je daar in alle VLAN's L3 vlan interfaces te hebben.

Indien nee ... dan ben je beter de switch te gebruiken, want die routeert in hardware, daar routeer je dan verder naar je ASA voor de externe links (die zitten achter ja ASA neem ik aan).

Wat betreft je DHCP. Je bent beter af met een win/*nix server daarvoor te gebruiken. Je hebt wat meer visibility daarmee. Die server hoeft geen interfaces te hebben in alle VLANs.
Je kan daarvoor ip helper-address $ip gebruiken op de vlan interfaces.

Je hebt toch over een stackwise met 3750 ? Dan neemt de switch met de 2de hoogste prioriteit alle taken over. Zorgt wel dat je up/down links redundant zijn en niet alleen op de master hangen.

Het onderlinge verkeer hoeft niet gefilterd te worden door de ASA. Ik wil uiteraard wel accesslists gebruiken omdat ik niet alle vlan's met elkaar wil laten communiceren. Sterker nog, het zou zomaar kunnen dat ik op poort niveau ook dingen wil gaan filteren. Maar dit kan ik de catalyst allemaal wel regelen.

Omdat ik zoveel switches heb idd met stackwise. Kan ik dit waarschijnlijk toch beter aan de switches overlaten. Bij uitval van een switch, werken dan tenminste mijn routeringen nog.

Wanneer ik alles via de router laat lopen en het ding valt uit, vallen al mijn routeringen weg totdat de router weer up is.

Nu ga ik nog even bekijken hoe ik het ga doen met de remote vpn verbindingen. Omdat verschillende partijen van buitenaf toegang moeten krijgen tot 1 of meer vlan's moet ik even gaan kijken of dat in bovenstaande situatie gaat werken. Ik wil namelijk niet dat Pietje zomaar van buitenaf in alle vlan's kan, maar alleen in de vlan's waar hij iets in te zoeken heeft.

Als iemand nog iets toe te voegen heeft voor het creëren van de meest ideale situatie dan hoor ik het graag.

Bedankt

Predator schreef op dinsdag 04 oktober 2011 @ 16:56:
Je VPN's doe je toch naar je ASA ? Daar kan je nog naar hartelust toegangen instellen naar server X of subnet Y.

Ik ben geen grote fan van acces-lists op interfacelevel bij switches omdat het vaak onoverzichtelijk wordt, maar als je niet overdrijft valt dat wel mee ;-)

Die doe ik inderdaad op de ASA. Ik heb nog geen ervaring met access-lists instellen voor bepaalde vpn users (groepen). Hier ga ik z.s.m. mee aan de slag.

Ik moet de access-lists nu op de switch gaan aanmaken. Met alleen ip routing aan en geen acl's kunnen alle vlan's automatisch met elkaar babbelen. Iets wat je volgens mij in de meeste situaties niet wil.