Netzwerkaufbau, spezifisch IP-Adressen - VLAN

[Ifino]

Hallo,

ich hoffe das Ihr mir bei meinem ganz großen Problem helfen könnt! =)

Undzwar, habe ich ein Netzwerk im Test aufgebaut.

Hardware:

• 2 Switche
  
• 1 Router
  

Die Hardware ist von Cisco.

Die Switche haben jeweils 2 VLAN:

VLAN 1

VLAN 5

Die beiden VLAN dürfen NICHT miteinander kommunizieren können. Es geht darum ein Gebäude an das andere Anzubinden.

Grafisch sieht das ganze dann so aus:

Gebäude 1 ist das Hauptgebäude. Gebäude 2 soll angebunden werden.

Jetzt stellt sich mir die Frage, wie ich die IP's vergeben muss.

Für den Router habe ich Subinterfaces erstellt und folgende IP's dort eingetragen:

interface FastEthernet0/0

no ip address

duplex auto

speed auto

!

interface FastEthernet0/0.1

encapsulation dot1Q 1 native

ip address 172.17.50.1 255.255.0.0

!

interface FastEthernet0/0.5

encapsulation dot1Q 5

ip address 192.168.5.1 255.255.255.0

!

interface FastEthernet0/1

no ip address

duplex auto

speed auto

!

interface FastEthernet0/1.1

encapsulation dot1Q 1 native

ip address 172.17.5.1 255.255.0.0

!

interface FastEthernet0/1.5

encapsulation dot1Q 5

ip address 192.168.5.1 255.255.255.0

Die VLANs auf den Switches sehen so aus:

interface Vlan1

ip address 172.17.50.10 255.255.0.0

ip access-group 101 in

!

interface Vlan5

ip address 192.168.5.10 255.255.255.0

ip access-group 105 in

Damit die VLANs nicht miteinander kommunizieren können, habe ich folgende access-lists erstellt und für die Switches konfugiert:

access-list 105 deny ip 192.168.5.0 0.0.0.255 172.17.50.0 0.0.255.255

access-list 105 deny icmp 192.168.5.0 0.0.0.255 172.17.50.0 0.0.255.255

access-list 105 permit ip 192.168.5.0 0.0.0.255 any

access-list 101 deny ip 172.17.50.0 0.0.255.255 192.168.5.0 0.0.0.255

access-list 101 permit ip 192.17.50.0 0.0.0.255 any

Jetzt brauche ich von einem, der sich damit auskennt eine Antwort ob da so korrekt ist, ich etwas beachten muss, Fehler drinne sind und ob ihr mir ggf. Lösungsvorschläge geben könnt.

Wäre super wenn ihr mir helfen würdet!

[lordy]

VLAN 1 ist erstmal einen schlechte Idee, denn das ist der Default, daher verwendet man das normalerweise nicht.

Deine Access-Listen sind viel zu kompliziert. Eine Access-List enthält immer ein implizites "deny any any" so dass du nur den Traffic via "permit" freigeben mußt, den du erlauben willst.

Wofür schließt du eigentlich beide Netze an einen Router an, wenn du eigentlich keine Kommunikation zwischen den beiden willst ??

[Ifino]

Das ganze soll ja über ein Glasfaserkabel angebunden werden. Und ich dachte ein Router wird daher benötigt, um die Netze zu Routen, da ich ein Portbasierendes VLAN aufbaue. Jetzt ist immer noch die Frage offen, wie ich die IP's vergeben muss um einen korrekten Aufbau zu haben.

Okay danke, das ist natürlich einfacher mit den Access-Listen und mit dem VLAN 1 erscheint mir auch für logisch.

[lordy]

So wie du es aufgezeichnet hast brauchst du da erstmal keinen Router. Du könntest einfach einen Trunk zwischen den beiden Switches konfigurieren.

Was die IP-Addressen angeht mußt du halt zwei unterschiedliche Subnetze für die VLANs verwenden. Wie groß das Subnetz sein muß, solltest du natürlich in Erfahrung bringen und Luft für Wachstum lassen.