Probleme mit VLAN & Supernetting

[XeTu]

Hallo zusammen,

zum Aufbau erstmal:

ich habe eine Vodafone easyBox 803A als DSL Modem und dahinter einen Cisco RV110W VPN Firewall Router

jetzt habe ich mir 4 VLAN's eingerichtet

10.10.10.0 / 24 VLAN 1
10.10.20.0 / 24 VLAN 2
10.10.30.0 / 24 VLAN 3
10.10.40.0 / 24 VLAN 4

nun möchste ich noch ein VLAN 5 haben, welches Drucker und Backupclients besitzt. Wie muss ich den IP Bereich belegen, damit ich auch allen anderen VLAN Ressourcen aus dem VLAN 5 nutzen kann?

Wäre um Hilfe dankbar =)
Gruß

 

[Revolution]

/16 du brauchst aber noch einen VLAN-Switches oder ähnliches da die VLAN nicht miteinander kommunizieren dürfen... Hast du wirklich so viele Client das du VLAN's brauchst?

 

[RadicalEd]

Hallo,

dein VLAN kannst du wie gewohnt konfigurieren. Jedoch müssen alle VLANs über einen Router verfügen der in das entsprechende Subnetz Routet. Das kann dein Cisco Router.

Die konfiguration müsste wie folgt sein:

interface vlan 5
description Print- & Backupservices
ip address 10.10.50.254 255.255.255.0

Die anderen VLANs müssten natürlich auch über eine IP Adresse verfügen.

 

[XeTu]

reicht es da inter vlan routing anzuschalten? das könnte der cisco rv110w

wie wäre bei /16 das netz für das VLAN 5 ?

 

[Merle]

Normal sollen die VLANs ja getrennt sein...
Du müsstest daher zwischen den VLANs routen oder mit gewissen managed/smartmanaged switches einen Port haben, über den alle dürfen. Dahinter muss dann aber immernoch ein Router sein. Ohne Tricksereien muss der dann auch Trunking unterstützen, um VLAN Tags erkennen zu können (Können das Consumerrouter heute?).

Also ganz klassisch müssten daher aus jedem VLAN 1 Port auf den Router gehen, damit der Router die Netze kennt und dazwischen Routet.
Bei besseren Geräten geht das beim Switch mit Trunking und beim Router mit (z.B.) Subinterfaces.

VLAN inter routing sollte gehen.

 

[Vivster]

Ich verstehe nicht ganz die Frage.
Das Ding ist ein Router. Je nach Defaulteinstellung wird er zwischen den VLANs routen oder eben nicht. Hier wirst du nichts mit Supernetting anstellen können, da eine andere Subnetzmaske auch ein anderes Netz bedeutet und zwischen verschiedenen Netzen wird nicht geswitcht sondern nur geroutet.

Ich weiß nicht wie granular du das Routing beeinflussen kannst aber wenn es nur eine Checkbox "inter VLAN routing" gibt dann kannst du dir gleich VLANs sparen, da dann alle miteinander kommunizieren können.

 

[XeTu]

wie bekomme ich es nun hin, dass beispielsweise der Drucker in allen der 4 VLAN's funktioniert?!

 

[RadicalEd]

Über Subnetting ist das nicht möglich. Lediglich Routing führt hier zum erfolg. Hierzu muss der Router über eine IP Adresse in jedem VLAN verfügen. Er fungiert dann als Router. Jedoch kannst du dann nicht mehr trennen da der Router keine Cisco Access Lists unterstützt und somit jeder in das jeweilig andere VLAN zugriff hat.

Edit: Bei den Access Lists bin ich mir nicht sicher.

 

[shadow_one]

Was willst du eigentlich genau erreichen? Dürfen die Vlan 1-4 untereinander kommunizieren?
Wie schon gesagt kannst du das mit der Funktion "inter-vlan-Routing". Wenn die Vlans 1-4 nicht untereinander kommunizieren dürden, müsstest du noch mit ACL arbeiten.

Wie groß ist dein Netzwerk eigentlich? Easybox und 1016 Host Adressen kommt mir etwas komisch vor.

 

[XeTu]

VLAN 1 - 4 sollten eigentlich getrennt bleiben
lediglich alle sollen die Drucker und Backup-Server im VLAN 5 benutzten können

 

[RadicalEd]

Wie schon geschrieben musst du hierfür Access Lists nutzen und das Routing entsprechend den Anforderungen einschränken.

Edit: Der RV110W unterstützt nur 4 VLANs.

 

[Vivster]

Es geht auch komplett ohne ACLs mit einer einfachen statischen Route in das 5. Netz. Allerdings ist es fraglich ob der Router das so mitmacht und nicht automatisch alle VLANs routet.
Hast du mal einen Screen von den Routingeinstellungen?

 

[XeTu]

da wäre das Bild, hier könnte ich routen einfügen

 

[Vivster]

Ist schon alles ziemlich verflixt mit diesen AIOs.
Theoretsich müsstest du nur eine Route ins Zielnetz 10.10.50.0 mit dem Gateway des Subinterfaces des VLANs legen. Aber wie gesagt ist es fraglich ob der Router das mit sich machen lässt, ja ob er überhaupt dich die Subinterfaces sehen lässt und wenn er sowas macht ob er dann nicht sofort sämtliche VLANs routet.

Einfacher wäre es wahrscheinlich im Bereich Firewall einfach Verbindungen der Subnetze untereinander zu verbieten bis auf das Druckernetz und dann "inter VLAN routing" zu aktivieren.

 

[marcol1979]

Cisco RV110W VPN Firewall Router

VLAN 1 - 4 sollten eigentlich getrennt bleiben
lediglich alle sollen die Drucker und Backup-Server im VLAN 5 benutzten können

VLAN 5 erstellen, zb. 10.10.50.x /24, und im Cisco Router ACL erstellen das die ersten 4 VLANs mit VLAN 5 kommunizieren dürfen.
Ggf. noch Routing einrichten, sollte aber nicht nötig sein da alle 5 VLANs direkt an dem Router hängen.

 

[XeTu]

okay, dann werde ich das mal versuchen

gruß

 

[Merle]

Das Problem mit Inter VLAN Routing, ist, dass der Router dann alle auf Connected hat. Connected ist wichtiger als Static Routes oder die Defaultroute. Denn da weiß der Switch/Router sicher, dass sie da sind.
Entweder spielst du daher an der Metric (wobei ich glaube, dass eine niedrigere Metric als Connected nicht geht), oder du hast nur die Option der ACLs.

 

[XeTu]

mhm also ich komme nicht so wirklich weiter...

ich muss den RV110W also anders nutzen ich habe noch einen HP V1910-16G rumliegen kann man hier eventuell etwas verbinden um mein Problem zu beseitigen?!


Gruß

 

[marcol1979]

ich muss den RV110W also anders nutzen

Wieso anders ?
Normalerweise bindest das Modem per WAN/PPPoE an und richtest die 5 VLANs ein.
Zudem erstellst eine ACL mit der alle VLANs ins Internet dürfen, die ersten 4 VLANs mit VLAN 5 kommunizieren dürfen, der Rest wird verweigert.

Ergänzung (28. April 2013)

Aha, der Cisco hat nur 4 Ports und kann daher wohl nicht sinnvoll mit mehr als 4 VLANs umgehen da er auch kein Trunk unterstützt.
Von daher nützt die der HP Switch nicht viel, selbst wenn er VLAN Trunk unterstützen würde.
Bräuchtest also einen anderen Router.
Ggf. kannst das mit den VLANs auch überdenken ob es nicht sinnvoller ist das ganze ohne VLANs umzusetzen und die Kommunikation allein mit ACLs zu steuern.

 

[Hammelkopp]

Tjoa also da kannst du wohl nix machen. Mehr als 4 VLANs unterstützt dein Router nicht. Überleg dir also ob du den aufbau nicht anders hin bekommst (kenne deinen Einsatzzweck nicht aber evtl. brauchst du gar nicht so viele VLANs?!) Oder du kaufst dir nen anderen Router. Der RV120 scheint deine Anforderungen zu erfüllen (kann mehr als 4 VLANs und kann auch trunken). Für alle die es interessiert: Datasheet, "Online Device Manager"