VLAN på switch og ruter

[audunr]

Vi har en Cisco ASA 5505 og en HP ProCurve 2510-48 switch.

 

Målet er at dette utstyret skal håndtere to separerte nett, et for gjester og et internt i bedriften.

 

Ciscoen har tre vlan knyttet til tre porter: "internett", "bedrift" og "gjest. Opprinnelig var kabelmodemet koblet til den ene, og to switcher til de to andre. Den ene switchen var da for maskinene til bedriften, og den andre for gjester. De hadde hvert sitt vlan. Dette fungerte helt fint.

 

Når jeg nå prøver å få til samme funksjonalitet med bare én switch, så opplever vi ustabilitet på det bedriftsinterne nettverket. Får beskjed om at man ikke kan koble seg til mail-server, slike ting. Har ingen feilmeldinger å vise til fra switchen eller ruteren, da jeg ikke finner noenting i loggene.

 

Portene på den nye switchen (ProCurven) er fordelt mellom to vlan, og det er en uplink-port knyttet til hvert vlan. Det går da to kabler fra switchen til Ciscoen, slik at halvparten av portene skal bruke den ene uplinken, og den andre halvparten den andre uplinken. Alle portene er untagged.

 

Det er ikke allverdens med konfigurasjonsmuligheter på ProCurven, og i min kunnskapsløshet trodde jeg at dette var såre enkelt i og med at jeg kom på nett både på det bedriftsinterne og gjestenettverket etter at jeg hadde satt det opp.

 

Jeg har prøvd å reboote det som står det av utstyr etter å ha endret konfigurasjonen, uten hell.

 

Er det noen som har noen tips?

 

MVH Audun

[Joachimv]

uplinkporten skal vell ha tagga vlan mens "utportene" skal ha utagga verll å merke.

[Dal]

Og du er sikker på at de to uplink-kablene og de tilhørende portene står på hver sine VLAN ID?

Hvis ikke så får du loop, og det er det det høres ut som du har.

 

Strengt tatt trenger du bare en uplink-kabel som du kjører Trunk over, men det krever bittelitt konfigurasjon.

[audunr]

Tenker dere at problemet kan komme av en feil mellom switchen og ruteren, eller trenger jeg bare å fikse noe på switchen i og med at ruter + 2 separate switcher funker fint?

 

Skal forsøke det dere foreslår så snart jeg er alene her.

 

MVH Audun

[Demantios]

Vil ikke dette bli mest riktig da? Altså at begge nettene har tilgang til et vlan som heter internett, men ikke til hverandre?

 

Tar forbehold om at jeg kan være helt på jordet. Ikke utført i praksis

 

edit: ooops, fant en liten feil, skal redigere

edit2: lagt til tegning av begge burkene med nytt ny vlanoppsett som bør fungere uten tilgang til hverandre

Endret 25. juni 2008 av PepsiCo

[audunr]

Jo, forsåvidt. Men vi har to eksterne IP-adresser, og det bedriftsinterne nettverket brukar den eine, og gjestenettverket det andre.

 

MVH Audun

[Demantios]

To eksterne iper? Fra ett modem? Noen vlan-innstillinger i modemet også da?

 

btw: har forandret forrige post

Endret 25. juni 2008 av PepsiCo

[audunr]

Ja, det er tre vlan. bedrift, gjest og internett. "internett"-interfacet har en ekstern ip, og for at gjestenettverket ikke skal bruke denne er det en dynamisk NAT-regel som gjør at brukere på gjestenettverket får en annen ekstern ip.

 

Men jeg hadde håpet at det i første omgang var noe på switchen, og ikke i ruteren...

 

EDIT: Så den andre tegningen din er helt korrekt, bare at vi trikser det til for å få to IP-adresser ut. Men jeg har altså brukt uplink-portene på switchen til nå mellom switchen og ruteren, burde det ha noe å si?

 

MVH Audun

Endret 25. juni 2008 av audunr

[Demantios]

Uplinkporten er krysset. Det kan ha noe å si

 

 

Ja, det er tre vlan. bedrift, gjest og internett. "internett"-interfacet har en ekstern ip, og for at gjestenettverket ikke skal bruke denne er det en dynamisk NAT-regel som gjør at brukere på gjestenettverket får en annen ekstern ip.

Ehm, siden internett-interfacet ligger internt må det vel være en annen intern IP dem får?

Endret 25. juni 2008 av PepsiCo

[audunr]

Ja, de er på et annet subnett.

 

Det jeg mente var at den eksterne IP-adressen som ruteren skjuler brukerne bak er forskjellig fra bedriftsnettverket til gjestenettverket.

 

MVH Audun

[audunr]

Fant dette i en manual for ASA 5505:

 

http://www.cisco.com/univercd/cc/td/doc/pr...ral/int5505.pdf

 

In routed firewall mode, all VLAN interfaces share a MAC address. Ensure that any connected switches

can support this scenario. If the connected switches require unique MAC addresses, you can manually

assign MAC addresses.

 

In transparent firewall mode, each VLAN has a unique MAC address. You can override the generated

MAC addresses if desired by manually assigning MAC addresses.

 

Ciscoen er i routed firewall mode. Når man er kobla på bedriftsnettverket har den IP-adresse 192.168.1.1, og en viss MAC-adresse. Når man er kobla på gjestenettverket er IP-adressen 192.168.2.1, men MAC-adressen er den samme.

 

Har nå endra MAC-adressen til interfacet for gjestenettverket, og skal se om det fungerer.

 

Forslaget med å sette uplink-portene til tagged har vel ikke noe særlig for seg her, siden hver port bare skal håndtere trafikk for ett vlan?

 

MVH Audun

[audunr]

Ser ut som det fungerte fint å endre til to forskjellige MAC-adresser. Er litt vanskelig å si, i og med at problemene som oppstod var litt udefinerbare. Men har ikke merka noe rart til nå.

 

MVH Audun