Gå til innhold

[Løst] Cisco 1841 - ny ruter i heimen

toreae

Av toreae
i Hjemmenettverk

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
toreae

toreae

Skrevet
  • Forfatter
Skrevet (endret)

Og det var der i post #64, men ble borte etter mye om og men med vlan. Og okke som hvor stor nerde-faktoren måtte være når man sitter med en Cisco 1841 på en fredagskveld (og forsåvidt sist lørdagskveld), så er det nettopp kveld. Og i morgen kveld er det 40årsdag. så natta og takk så langt.

wr...

poweroff.

:)

 

(ping virket)

 

Edit for ettertid:

 

 

Ser ikke noe IP adresse på interfacet ditt da.....

 

interface FastEthernet0/1.10
description INSIDE_LAN
encapsulation dot1Q 1 native

MANGLER NOE VESENTLIG HER DA......
ip nat inside
ip virtual-reassembly

 

 

 

Den røde linjen som skulle inneholde

ip address 192.168.10.1 255.255.255.0
kan bli borte om man forandre noe av det over...

Endret av toreae
  • Liker 1
Lenke til kommentar
toreae

toreae

Skrevet
  • Forfatter
Skrevet

Vel, etter å tenkt etter i 2 sekunder lengre en i går :p så er det "feil" sånn du har gjort det... Servere og andre enheter skal du egentlig koble til switchen din, ikke routeren... Det fungerer jo, som du selv opplever og det er ikke direkte feil, men utifra et design synspunkt, så er det "feil"... :p

 

VLAN 1 er default VLAN og bør ikke brukes! Hvis du skal ha et management VLAN, så velg et annet... Anbefaler deg å deaktivere VLAN 1...

 

Som sagt, så kan du ha det sånn du har satt det opp nå, men det er ikke "riktig" måte å gjøre det på.. Siden du har en switch, så anbefaler jeg deg å koble den til routeren og alle andre enheter til switchen, og opprette sub-interfaces/VLANs på fa0/1...

 

Du er sikker på du ønsker flere forskjellige VLAN?

 

Du kan kjøre det på denne måten óg, om du kun ønsker forskjellige subnett:

 

no int

FastEthernet0/1.10

int FastEthernet0/1

description LAN inside

ip nat inside

ip address 192.168.0.1 255.255.255.0

ip address 192.168.1.1 255.255.255.0 secondary

ip address 192.168.2.1 255.255.255.0 secondary

end

Fordelen er større ved å kjøre separate VLAN. Enklere logisk sett, og sikrere.

 

Er jo det jeg skriver, ChrisCo.

 

 

Fordelen er større ved å kjøre separate VLAN. Enklere logisk sett, og sikrere.

 

Hva er egentlig fordelen med å bruke FastEthernet0/1.10, FastEthernet0/1.20, osv mot å bruke FastEthernet0/1, FastEthernet0/0/0, osv. Om en server på FastEthernet0/1.20 skulle få noe ondsinnet i seg, vil ikke det lettere spre seg til FastEthernet0/1.10? Hvis serveren befinner seg på FastEthernet0/0/0 og ruteren er konfigurert til ikke slippe igjennom trafikk som starter FastEthernet0/0/0 burde jo det være sikrere. (Ikke det at jeg vet om dette en gang er mulig. En inndeling i forskjellige nettverk gir vel ikke mye ekstra sikkerhet?

 

Altså spørsmålet er mere hvorfor man ikke burde gjøre dette, en om det kan gjøres.

Lenke til kommentar
j--

j--

Skrevet
Skrevet

En port med forskjellige subinterfaces er like trygt som forskjellige fysiske interface (om kantswitcher som er koblet til trunken kun slipper igjennom de VLAN den skal på sine porter mot klienter.

 

Forskjellen ligger i hvilket lag man separerer trafikken i, og hvilke grep som må gjøres for å injecte uønsket trafikk. Å sette opp secondary-adresser på ett interface gir ingen separasjon om ikke kantswitcher har aksesslister som tillater/stopper pakker basert på source IP.

 

Subinterface gir separasjon på lag 2. Flere IP-adresser gir separasjon på lag 3.

 

Forstår du hva ett VLAN er nå, aksessport, trunk og hvordan man identifiserer ett VLAN i en ethernet-pakke? Det burde du for å leke med subinterfaces.

  • Liker 1
Lenke til kommentar
toreae

toreae

Skrevet
  • Forfatter
Skrevet

En port med forskjellige subinterfaces er like trygt som forskjellige fysiske interface (om kantswitcher som er koblet til trunken kun slipper igjennom de VLAN den skal på sine porter mot klienter.

 

Forskjellen ligger i hvilket lag man separerer trafikken i, og hvilke grep som må gjøres for å injecte uønsket trafikk. Å sette opp secondary-adresser på ett interface gir ingen separasjon om ikke kantswitcher har aksesslister som tillater/stopper pakker basert på source IP.

 

Subinterface gir separasjon på lag 2. Flere IP-adresser gir separasjon på lag 3.

 

Om jeg forstår deg rett så kommer det hele ann på switchen. Så lenge den settes opp riktig, så er alt ok. Om denne skulle dø, og jeg tar i bruk noe fra Elkjøp, så er det en sikkerhetsbrist.

 

Forstår du hva ett VLAN er nå, aksessport, trunk og hvordan man identifiserer ett VLAN i en ethernet-pakke? Det burde du for å leke med subinterfaces.

 

Skal overhode ikke påstå at jeg skjønner alt det der. (Det viste du vel? :) ). Det er et hjemmenettverk jeg en gang skal oppgradere. Som helst bør være mest mulig ferdig når det tas i bruk. Og i tillegg til hva et vanlig hjemmenettverk er, skal jeg leke med det jeg måtte ha lyst til. Filserver i "servernettet". Åpning av port for torrent i "brukernettet". Ikke fordi dette er noe jeg har bruk for daglig, men fordi jeg har lyst til å kunne det.

Opp i det hele prøver jeg å tenke litt økonomi, og å ikke gjøre ting for vanskelig. Om jeg kunne latt være å bruke D-Linken (med sin støy, strømforbruk, og den skal jo også settes opp), og heller kunne brukt de 4 fire portene i Slot 0 + switch fra Elkjøp, hadde det vært en fordel for meg.

Jeg kunne selvfølgelig bedt om å få en ferdig startup-config, men det hadde tatt vekk halve morroa. Så nei jeg skjønner ikke alt, men har tross alt til jul med å bli ferdig (hvilken jul?).

Lenke til kommentar
ChrisCo

ChrisCo

Skrevet
Skrevet (endret)

Om jeg forstår deg rett så kommer det hele ann på switchen. Så lenge den settes opp riktig, så er alt ok. Om denne skulle dø, og jeg tar i bruk noe fra Elkjøp, så er det en sikkerhetsbrist.

 

Ja og nei... Når du oppretter et sub-interface, så må du angi hvilken VLAN pakkene skal tagges med (encap. dot1q X (X= VLAN ID))... Da blir pakkene som skal over linken (trunk'en) tagget med VLAN ID'en til det respektive VLANet de skal til, i henhold til 802.11Q protokollen... Det vil da si at enheten i andre enden av linken, også må støtte 802.11Q for å kunne lese av VLAN ID'en og sende pakkene videre til det respektive VLAN'et...

 

En vanlig dum-switch fra Elkjøp støtter i 95% av tilfellene ikke dette... Da blir pakkene droppet, og trafikken kommer ikke igjennom...

 

VLAN er logisk separate nettverk og kan ikke nåes uten at trafikken routes (Lag 3)..

 

Opp i det hele prøver jeg å tenke litt økonomi, og å ikke gjøre ting for vanskelig. Om jeg kunne latt være å bruke D-Linken (med sin støy, strømforbruk, og den skal jo også settes opp), og heller kunne brukt de 4 fire portene i Slot 0 + switch fra Elkjøp, hadde det vært en fordel for meg.

Jeg kunne selvfølgelig bedt om å få en ferdig startup-config, men det hadde tatt vekk halve morroa. Så nei jeg skjønner ikke alt, men har tross alt til jul med å bli ferdig (hvilken jul?).

 

Det kan du faktisk gjøre, men da må alt være på samme native VLAN (standard VLAN 1).. Men da bruker du opp 4 porter på switchen, istedet for bare en...

Endret av ChrisCo
Lenke til kommentar
toreae

toreae

Skrevet
  • Forfatter
Skrevet

 

Om jeg forstår deg rett så kommer det hele ann på switchen. Så lenge den settes opp riktig, så er alt ok. Om denne skulle dø, og jeg tar i bruk noe fra Elkjøp, så er det en sikkerhetsbrist.

 

Ja og nei... Når du oppretter et sub-interface, så må du angi hvilken VLAN pakkene skal tagges med (encap. dot1q X (X= VLAN ID))... Da blir pakkene som skal over linken (trunk'en) tagget med VLAN ID'en til det respektive VLANet de skal til, i henhold til 802.11Q protokollen... Det vil da si at enheten i andre enden av linken, også må støtte 802.11Q for å kunne lese av VLAN ID'en og sende pakkene videre til det respektive VLAN'et...

 

En vanlig dum-switch fra Elkjøp støtter i 95% av tilfellene ikke dette... Da blir pakkene droppet, og trafikken kommer ikke igjennom...

 

VLAN er logisk separate nettverk og kan ikke nåes uten at trafikken routes (Lag 3)..

 

Så Elkjøpswitchen vil bare gjøre jobben på 192.168.10.0 nettet, eller bare 192.168.20.0 nettet. Og det vil ikke være en sikkerhetsbrist, men et ikke fungerende hjemmenettverk? En Elkjøpswitch aksepter bare en IP pr port?

 

 

 

Opp i det hele prøver jeg å tenke litt økonomi, og å ikke gjøre ting for vanskelig. Om jeg kunne latt være å bruke D-Linken (med sin støy, strømforbruk, og den skal jo også settes opp), og heller kunne brukt de 4 fire portene i Slot 0 + switch fra Elkjøp, hadde det vært en fordel for meg.

Jeg kunne selvfølgelig bedt om å få en ferdig startup-config, men det hadde tatt vekk halve morroa. Så nei jeg skjønner ikke alt, men har tross alt til jul med å bli ferdig (hvilken jul?).

 

Det kan du faktisk gjøre, men da må alt være på samme native VLAN (standard VLAN 1).. Men da bruker du opp 4 porter på switchen, istedet for bare en...

 

Hvorfor, og hvordan?

Kan ikke fa0/1 brukes til "brukernettet" med switch og fa0/0/x går direkte til opptil 4 servere. Eventuelt via egne switch.

Lenke til kommentar
ChrisCo

ChrisCo

Skrevet
Skrevet

Med mindre du finner en switch som støtter 802.11q (passthrough), så vil det høyst sannsynlig ikke fungere med forskjellige VLAN's kjørende... Kun native (utagget) vil kunne passere igjennom switchen...

Da må du eventuelt som du sier, bruke de individuelle portene på routeren din og koble til swithchen med kabel fra hvert interface....

 

 

 

Kan ikke fa0/1 brukes til "brukernettet" med switch og fa0/0/x går direkte til opptil 4 servere. Eventuelt via egne switch.

 

Jo, da må du dra en kabel fra hvert fa0/0/x interface til hver sin server, via switch, men da kjører du jo ikke VLAN's, men 4 individuelle nettverk...

Lenke til kommentar
toreae

toreae

Skrevet
  • Forfatter
Skrevet

Med mindre du finner en switch som støtter 802.11q (passthrough), så vil det høyst sannsynlig ikke fungere med forskjellige VLAN's kjørende... Kun native (utagget) vil kunne passere igjennom switchen...

Da må du eventuelt som du sier, bruke de individuelle portene på routeren din og koble til swithchen med kabel fra hvert interface....

 

Så Elkjøpswitchen vil overhode ikke gjøre noen ting.

 

 

 

Kan ikke fa0/1 brukes til "brukernettet" med switch og fa0/0/x går direkte til opptil 4 servere. Eventuelt via egne switch.

 

Jo, da må du dra en kabel fra hvert fa0/0/x interface til hver sin server, via switch, men da kjører du jo ikke VLAN's, men 4 individuelle nettverk...

 

Via switch? Må det være switch i mellom?

Det blir vel 5, 4 individuelle nettverk, 4 "servernett", og 1 "brukernettet".

Men det er kanskje bedre/lettere med 1 "servernett" med brigdeing mellom fa0/0/x, og 1 "brukernettet"?

Er det bakdeler eller fordeler med et slikt oppsett vs VLAN's? Altså når at Cisco først lager en slik modul, og min er utstyrt med en slik, så er det jo greit å bruk den?

 

Er ikke sikker på om jeg en gang stiller riktige spørsmålene?

Lenke til kommentar
ChrisCo

ChrisCo

Skrevet
Skrevet

 

 

Så Elkjøpswitchen vil overhode ikke gjøre noen ting.

 

Er det et spørsmål?

 

 

 

Via switch? Må det være switch i mellom?

 

Nei

 

 

 

Men det er kanskje bedre/lettere med 1 "servernett" med brigdeing mellom fa0/0/x, og 1 "brukernettet"?

 

Individuelle nettverk blir det uansett, enten det er fysisk eller logisk (virtuelt)

 

 

 

Er det bakdeler eller fordeler med et slikt oppsett vs VLAN's? Altså når at Cisco først lager en slik modul, og min er utstyrt med en slik, så er det jo greit å bruk den?

 

De ekstra portene du har, er beregnet for flere tilkoblinger mot andre nettverk/routere, ikke til LAN bruk (switchporter)... Det skal fungere, med som jeg har sagt tidligere, det er "feil" bruk av dem..

 

Rikitige måten å gjøre det på, er å bruke en ordentlig switch, som du kobler enhetene til, og setter switchportene til sine respektive VLAN....

Lenke til kommentar
nikey

nikey

Skrevet
Skrevet

Kanskje du kan plukke opp en CCNA bok og frese igjennom den? du kan også laste ned GNS3 og sette opp virtuelt hvordan du vil sette opp nettet ditt hjemme.

Blir litt enklere når du tar dette i bruk og det dukker opp problemer , så har du en viss peiling på hvor du skal begynne å feilsøke.

Hvis du bare vil ha en cfg som får dette til å fungere så kan du heller lage en skisse, så kan vi jo confe alt opp for deg ^^

  • Liker 1
Lenke til kommentar
toreae

toreae

Skrevet
  • Forfatter
Skrevet

 

Så Elkjøpswitchen vil overhode ikke gjøre noen ting.

 

Er det et spørsmål?

 

Det er slik jeg har forstått deg. Korriger om jeg har fortått deg feil.

 

 

 

 

Er det bakdeler eller fordeler med et slikt oppsett vs VLAN's? Altså når at Cisco først lager en slik modul, og min er utstyrt med en slik, så er det jo greit å bruk den?

 

De ekstra portene du har, er beregnet for flere tilkoblinger mot andre nettverk/routere, ikke til LAN bruk (switchporter)... Det skal fungere, med som jeg har sagt tidligere, det er "feil" bruk av dem..

 

Rikitige måten å gjøre det på, er å bruke en ordentlig switch, som du kobler enhetene til, og setter switchportene til sine respektive VLAN....

 

 

Oki. Foretrekker å lære riktige måten først. Ettersom det ble forbrukt endel voksenbrus i 40årsdagen i går, så har det for min del vært bedre å lære litt mere om ting bakom. Så conf t og su run har fått ligge. Men for å tenke litt

framover: Eventuelle servere, bør disse ha statisk IP? Slik jeg har forstått dette bør disse ikke plasseres i 192.168.10.0 /24 nettet? Om det er flere server bør disse ha eget 192.168.X.0 /24 nett? Det begynner vel også å bli på tide å tenke på D-Linken. Men her vet jeg ikke hva jeg skal spørre om engang.

 

 

 

Lenke til kommentar
ChrisCo

ChrisCo

Skrevet
Skrevet

 

 

Det er slik jeg har forstått deg. Korriger om jeg har fortått deg feil.

 

Hvis du skal kjøre VLANs, og Elkjøp switchen ikke støtter 802.11q, så vil det høyst sannsynlig ikke gå.. Hvis du skal bruke de fysiske interfacene ( 0/0/X), så skal det fungere med Elkjøp switchen..

 

 

Men for å tenke litt framover: Eventuelle servere, bør disse ha statisk IP? Slik jeg har forstått dette bør disse ikke plasseres i 192.168.10.0 /24 nettet? Om det er flere server bør disse ha eget 192.168.X.0 /24 nett? Det begynner vel også å bli på tide å tenke på D-Linken. Men her vet jeg ikke hva jeg skal spørre om engang.

 

Du kan plassere dem på akkurat hvilket subnett du vil... De MÅ ha statisk IP adresse, eller så vil du få problemer hvis de blir tildelt nye adresser senere... Grunnregel: All fast hardware, eksempelvis servere og lignende, gir man statiske IP adresser...

 

D-Linken kjenner jeg ikke til, men du må hvertfall konfigurere linken mellom router og switch som trunk i switchen...

Lenke til kommentar
ChrisCo

ChrisCo

Skrevet
Skrevet

Du spurte om IP adressen måtte settes på serveren eller om du kunne binde MAC-adresse til IP adresse, da altså i routeren, sånn jeg forsto deg... Gjør det i routeren...

 

Men jo da,du kan nok sette fast i serveren også.. Men hva gjør du hvis alt går ned og en annen enhet får IP adressen som serveren din skulle ha hatt når ting kommer opp igjen??

Lenke til kommentar
arnbju

arnbju

Skrevet
Skrevet

ip dhcp excluded-address er jo helt fint hvis man skal sette statisk ip på ting ja.

 

Et bra alternativ til en elkjøp switch hvis du ikke trenger gigabit er å kjøpe en 2950 fra finn. Da får du støtte for vlan og den er relativt stille, trekker kun 20W og koster 3-400kr for 24 porter.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...