Ifino Geschrieben 1. Juni 2010 Geschrieben 1. Juni 2010 Hallo, ich hoffe das Ihr mir bei meinem ganz großen Problem helfen könnt! =) Undzwar, habe ich ein Netzwerk im Test aufgebaut. Hardware: 2 Switche1 Router Die Hardware ist von Cisco. Die Switche haben jeweils 2 VLAN: VLAN 1 VLAN 5 Die beiden VLAN dürfen NICHT miteinander kommunizieren können. Es geht darum ein Gebäude an das andere Anzubinden. Grafisch sieht das ganze dann so aus: Gebäude 1 ist das Hauptgebäude. Gebäude 2 soll angebunden werden. Jetzt stellt sich mir die Frage, wie ich die IP's vergeben muss. Für den Router habe ich Subinterfaces erstellt und folgende IP's dort eingetragen: interface FastEthernet0/0 no ip address duplex auto speed auto ! interface FastEthernet0/0.1 encapsulation dot1Q 1 native ip address 172.17.50.1 255.255.0.0 ! interface FastEthernet0/0.5 encapsulation dot1Q 5 ip address 192.168.5.1 255.255.255.0 ! interface FastEthernet0/1 no ip address duplex auto speed auto ! interface FastEthernet0/1.1 encapsulation dot1Q 1 native ip address 172.17.5.1 255.255.0.0 ! interface FastEthernet0/1.5 encapsulation dot1Q 5 ip address 192.168.5.1 255.255.255.0 Die VLANs auf den Switches sehen so aus: interface Vlan1 ip address 172.17.50.10 255.255.0.0 ip access-group 101 in ! interface Vlan5 ip address 192.168.5.10 255.255.255.0 ip access-group 105 in Damit die VLANs nicht miteinander kommunizieren können, habe ich folgende access-lists erstellt und für die Switches konfugiert: access-list 105 deny ip 192.168.5.0 0.0.0.255 172.17.50.0 0.0.255.255 access-list 105 deny icmp 192.168.5.0 0.0.0.255 172.17.50.0 0.0.255.255 access-list 105 permit ip 192.168.5.0 0.0.0.255 any access-list 101 deny ip 172.17.50.0 0.0.255.255 192.168.5.0 0.0.0.255 access-list 101 permit ip 192.17.50.0 0.0.0.255 any Jetzt brauche ich von einem, der sich damit auskennt eine Antwort ob da so korrekt ist, ich etwas beachten muss, Fehler drinne sind und ob ihr mir ggf. Lösungsvorschläge geben könnt. Wäre super wenn ihr mir helfen würdet!
lordy Geschrieben 1. Juni 2010 Geschrieben 1. Juni 2010 VLAN 1 ist erstmal einen schlechte Idee, denn das ist der Default, daher verwendet man das normalerweise nicht. Deine Access-Listen sind viel zu kompliziert. Eine Access-List enthält immer ein implizites "deny any any" so dass du nur den Traffic via "permit" freigeben mußt, den du erlauben willst. Wofür schließt du eigentlich beide Netze an einen Router an, wenn du eigentlich keine Kommunikation zwischen den beiden willst ??
Ifino Geschrieben 1. Juni 2010 Autor Geschrieben 1. Juni 2010 Das ganze soll ja über ein Glasfaserkabel angebunden werden. Und ich dachte ein Router wird daher benötigt, um die Netze zu Routen, da ich ein Portbasierendes VLAN aufbaue. Jetzt ist immer noch die Frage offen, wie ich die IP's vergeben muss um einen korrekten Aufbau zu haben. Okay danke, das ist natürlich einfacher mit den Access-Listen und mit dem VLAN 1 erscheint mir auch für logisch.
lordy Geschrieben 1. Juni 2010 Geschrieben 1. Juni 2010 So wie du es aufgezeichnet hast brauchst du da erstmal keinen Router. Du könntest einfach einen Trunk zwischen den beiden Switches konfigurieren. Was die IP-Addressen angeht mußt du halt zwei unterschiedliche Subnetze für die VLANs verwenden. Wie groß das Subnetz sein muß, solltest du natürlich in Erfahrung bringen und Luft für Wachstum lassen.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden