IKTDavid Skrevet 15. februar 2010 Del Skrevet 15. februar 2010 Hei! Jeg skal kjøre et kurs i Windows Server 2008, og i den anledning så tenker jeg å sette opp et kurs nettverk med noe Cisco utstyr jeg har. Tanken er at hver kurs deltager skal ha en klient maskin og en server som skal stå i sitt eget nettverk. Dette er enkelt nok å sette opp med en crossover kabel, men jeg ønsker at alle skal ha tilgang til internett også så vi kan laste inn oppdateringer osv. Derfor tenkte jeg å sette opp et vlan til hver deltager på en Cisco Catalyst 2950, for så å trunke dette over til en Cisco 1760 router som gir tilgang til nett uten å skulle tillate DHCP pakker ut fra vlanet. Høres dette ut som en fungerende løsning? Følgende er en tegning av åssen jeg tenker at det skal se ut: Å sette opp vlanet til de enkelte portene er enkelt nok, men hadde håpt at jeg kunne få litt hjelp med å sette opp nat på vlanene på 1760 routeren. Noen som har en konfig snutt for dette som jeg kan stjele? Lenke til kommentar
arnizzz Skrevet 15. februar 2010 Del Skrevet 15. februar 2010 DU må da sette opp en 802.1Q trunk mellom catalysten og routeren. Routeren får standard router-on-a-stick oppsett. Google det og du finner helt sikkert masse tutorials og configs. Men hovedsaken er å sette opp en ip under hvert VLAN interface. Jeg ville satt ACL til å blocke som default, og hvis WAN-porten er utgående interface tillatt det. Lenke til kommentar
Knopfix Skrevet 15. februar 2010 Del Skrevet 15. februar 2010 Eks. på router. Her legges inn flere sub interfcae på Fastethernet 0/0. Hvert subinterfcae representerer ett VLAN. Sub interfacene brukes som default gateway for klientene i nettene: interface fastethernet 0/0 no shutdown interface 0/0.1 ip address 192.168.10.1 255.255.255.0 encapsulation dot1q 10 interface 0/0.2 ip address 192.168.20.1 255.255.255.0 encapsulation dot1q 1 20 interface 0/0.3 ip address 192.168.30.1 255.255.255.0 encapsulation dot1q 30 Tallet etter dot1q blir VLAN ID på ruter. Switch interface mot router interfacet settes med kommandoen : switchport mode trunk slik at alle nettene blir trunket. Lenke til kommentar
jocke Skrevet 15. februar 2010 Del Skrevet 15. februar 2010 (endret) Tror ikke folk helt leste det OP skrev i siste avsnittet. Han trenger hjelp med oppsett av NAT - ikke trunk/VLAN/sub-interface. Å sette opp vlanet til de enkelte portene er enkelt nok, men hadde håpt at jeg kunne få litt hjelp med å sette opp nat på vlanene på 1760 routeren. Om du bruker 10.0.10.0/24 for VLAN10, 10.0.20.0/24 for VLAN20, osv, og har tilgang/mulighet til å legge inn static routes på gatewayen du bruker for å komme på nett, så kan du bare rute 10.0.0.0/16 mot en IP på et av sub-interfacene (så fremt denne rangen ikke overlapper med andre subnets tilkoblet ruteren/gateway'en). Om du har følgende config; Du har c1760'en koblet til port fa0/24, og internett mot port fa0/23. c2950: interface FastEthernet0/1 switchport mode access switchport access vlan 10 no shutdown ! interface FastEthernet0/2 switchport mode access switchport access vlan 20 no shutdown ! interface FastEthernet0/3 switchport mode access switchport access vlan 30 no shutdown ! interface FastEthernet0/23 description das internets switchport mode access switchport access vlan 999 no shutdown ! interface FastEthernet0/24 description router on das stick \o/ switchport mode trunk switchport trunk native vlan 5 no shutdown ! c1760: interface FastEthernet0/0 no shutdown interface FastEthernet0/0.10 ip address 10.0.10.1 255.255.255.0 encapsulation dot1q 10 ! interface FastEthernet0/0.20 ip address 10.0.20.1 255.255.255.0 encapsulation dot1q 1 20 ! interface FastEthernet0/0.30 ip address 10.0.30.1 255.255.255.0 encapsulation dot1q 30 ! interface FastEthernet0/0.999 ip address <samme range som du får internett fra> <subnettmaske> encapsulation dot1q 999 ! ip default-gateway <gateway til internett, må være reachable via vlan 999> ! ip route 0.0.0.0 0.0.0.0 <gateway til internett> ! Om du vil bruke NAT, vil det bli noe ala dette; c2950 uforandret fra eksempelet over. c1760: interface FastEthernet0/0 no shutdown interface FastEthernet0/0.10 ip address 10.0.10.1 255.255.255.0 encapsulation dot1q 10 ip nat inside ! interface FastEthernet0/0.20 ip address 10.0.20.1 255.255.255.0 encapsulation dot1q 1 20 ip nat inside ! interface FastEthernet0/0.30 ip address 10.0.30.1 255.255.255.0 encapsulation dot1q 30 ip nat inside ! interface FastEthernet0/0.999 ip address <samme range som du får internett fra> <subnettmaske> encapsulation dot1q 999 ip nat outside ! ip default-gateway <gateway til internett, må være reachable via vlan 999> ! ip route 0.0.0.0 0.0.0.0 <gateway til internett> ! access-list 101 permit ip 10.0.10.0 0.0.0.255 any access-list 101 permit ip 10.0.20.0 0.0.0.255 any access-list 101 permit ip 10.0.30.0 0.0.0.255 any ! ip nat inside source list 101 interface FastEthernet 0/0.999 overload ! Endret 15. februar 2010 av jocke Lenke til kommentar
Knopfix Skrevet 16. februar 2010 Del Skrevet 16. februar 2010 Tror ikke folk helt leste det OP skrev i siste avsnittet. Han trenger hjelp med oppsett av NAT - ikke trunk/VLAN/sub-interface. Huffda, trenger en kaffe etter jobb. Lenke til kommentar
IKTDavid Skrevet 16. februar 2010 Forfatter Del Skrevet 16. februar 2010 Fungerte som et uvær det jocke! Takker. Greit at kursdeltagerne kan få testet ut et AD nettverkt med nett tilgang også, uten at vi skal få noen dhcp pakker på avveie Lenke til kommentar
jocke Skrevet 16. februar 2010 Del Skrevet 16. februar 2010 (endret) Huffda, trenger en kaffe etter jobb. :!: Fungerte som et uvær det jocke! Takker. Bare kos. Du kan selvsagt også bruke «ip address dhcp» på FA0/0.999 dersom du ikke ønsker å sette statisk adresse. Endret 16. februar 2010 av jocke Lenke til kommentar
VictorOsborn Skrevet 16. februar 2010 Del Skrevet 16. februar 2010 (endret) I følge jocke sin Konfig følger den ikke tegningen, jeg antar at ruteren har to ethernet interfacer.: Etter det jeg forstår så trenger man ikke å koble internet linja i switchen. Traffiken fra vlanene vil flyte fra switchen til ruteren og tilbake den samme kablen for å komme ut på internett. Det går sikkert fint men det er ikke pent. Husk at traffiken i mellom vlanene vil bruke trunken. Ha ett sub interface for hvert vlan, men interet kobler du rett i ethernet porten på ruteren, Ingen sub interface eller via switch. Velger du ett native vlan på ene siden bør du også velge samme native vlan på den andre siden. Utaggede pakker vil ta den veien. Du kan flytte kommandoen ip default gateway fra routeren til switchen. Den har kun betyding for lag 2 bokser. GW ip kan være ett av sub interface ip på ruteren eller ett eget management nett. Men det har kanskje ingen betyding siden du bruker konsoll. Ting som kan være greit å ha på access portene: spanning-tree portfast. Endret 16. februar 2010 av VictorOsborn Lenke til kommentar
jocke Skrevet 16. februar 2010 Del Skrevet 16. februar 2010 (endret) jeg antar at ruteren har to ethernet interfacer. Sist jeg sjekket, har 1760'en bare 1 FastEthernet. Skal du ha fler, må du putte i WIC's, og da tror jeg du bare får Ethernet. Endret 16. februar 2010 av jocke Lenke til kommentar
IKTDavid Skrevet 17. februar 2010 Forfatter Del Skrevet 17. februar 2010 Jeg har faktisk en Ethernet WIC i routeren, så jeg bruker den for å få nett inn til den. Et fett for min del om jeg tar det fra en switch port eller en WIC, tenkte det bare ble mindre trafikk over trunken ved å gjøre det slik. Trenger ikke mer enn 10mbit på internett linken uansett. Lenke til kommentar
jocke Skrevet 17. februar 2010 Del Skrevet 17. februar 2010 Jeg har faktisk en Ethernet WIC i routeren, så jeg bruker den for å få nett inn til den. Et fett for min del om jeg tar det fra en switch port eller en WIC, tenkte det bare ble mindre trafikk over trunken ved å gjøre det slik. Trenger ikke mer enn 10mbit på internett linken uansett. Med mindre du har trafikk mellom VLAN'ene, så spiller det ingen rolle uansett Lenke til kommentar
VictorOsborn Skrevet 18. februar 2010 Del Skrevet 18. februar 2010 (endret) Det blir akkurat dobbelt så mye traffik ved å gjøre det slik. Men men det fungerer jo, wan link BW er lav uannsett. ;-) Endret 18. februar 2010 av VictorOsborn Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå