Cisco: VLAN konfigurieren | Anleitung

Anzeige

In diesem Artikel wird beschrieben, wie VLANs auf Cisco Switchen und Router eingerichtet werden können.

Wenn Sie VLANs auf Cisco Switchen noch nie konfiguriert haben, ist es empfehlenswert, vorab den Artikel  Cisco VLANs für Anfänger zu lesen.

Kurze Infos über VLANs:
1) Klassische VLANs werden portbasiert konfiguriert (z.B. Port 1 - VLAN10, Ports 2, 3 - VLAN20, etc.)
2) Mit VLANs ist es möglich, mehrere Netze zu trennen, die z.B. an einen Switch angeschlossen sind.
3) Mit Hilfe von Tagged Ports (bei Cisco “VLAN Trunk”) können Ethernet Frames aus unterschiedlichen VLANs über 1 Leitung (z.B. zwischen 2 Switches) übertragen werden.

 

Einige Hinweise von Cisco:
“VLANs 1 through 1005 are allowed on each trunk by default.
Note: VLANs 1 and 1002 through 1005 are reserved VLANs and cannot be removed from any trunk link.“
Quelle: https://supportforums.cisco.com/docs/DOC-2218

 

Szenario:

Vlan unter Cisco Geräten einrichten



Hinweise zum Szenario:
1) In diesem Szenario können die Rechner/Server nur mit den Rechnern/Servern aus denselben VLANs miteinander kommunizieren. VLANs 10 und 20 haben den Internetzugang (siehe Punkt 3).
2) Über Trunk zwischen Switch 2 und 3 werden nur Ethernet Frames von VLAN 30 übertragen. Die Kommunikation würde natürlich auch mit Trunk funktionieren, in dem alle VLANs erlaubt sind, aber zu Demozwecken habe ich nur VLAN 30 in Trunk erlaubt.
3) Im Szenario dürfen nur die Rechner aus VLANs 10 und 20 den Zugriff auf Internet haben, deswegen wurden auf dem Router nur die Subinterfaces für VLAN 10 und 20 erstellt. Die Server aus VLAN 30 haben daher keinen Zugriff auf den Cisco Router und Internet.

 

Cisco VLANs mit Subinterfaces auf dem Router Beispielkonfiguration:

Konfiguration vom Switch 1
Switch>enable
Switch#conf t

Switch(config)#interface FastEthernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit

Switch(config)#interface FastEthernet 0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
Switch(config-if)#exit

Switch(config)#interface FastEthernet 0/10
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk 
Switch(config-if)#exit
Switch(config)# exit
Router#write



Hinweise:
Wenn die Option „switchport trunk encapsulation dot1q“ in der Konfiguration nicht verfügbar ist, bedeutet es, dass der Switch höchstwahrscheinlich nur den 802.1q Standard unterstützt.
Bei der Option "switchport mode trunk" werden standardmäßig alle VLANs in Trunk  erlaubt, wenn man erlaubte/gesperrte VLANs nicht extra angibt.

 

Konfiguration vom Switch 2
Switch>enable
Switch#conf t
Switch(config)#interface FastEthernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit

Switch(config)#interface FastEthernet 0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
Switch(config-if)#exit

Switch(config)#interface FastEthernet 0/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 30
Switch(config-if)#exit

Switch(config)#interface FastEthernet 0/10
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config-if)#exit

Switch(config)#interface FastEthernet 0/4
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan 30
Switch(config-if)#exit

Switch(config)#interface FastEthernet 0/20
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config-if)#exit
Switch(config)# exit
Router#write


Konfiguration vom Switch 3
Switch(config)#interface FastEthernet 0/4
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan 30
Switch(config-if)#exit

Switch(config)#interface FastEthernet 0/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 30
Switch(config-if)#exit
Switch(config)# exit
Router#write


Konfiguration vom Router
Router(config)#int fa0/0
Router(config-if)#no shutdown
Router(config-if)#ex

Subinterface für VLAN 10 erstellen:
Router(config)#int fa0/0.1
Router(config-subif)#encapsulation dot1Q 10
Router(config-subif)#ip address 10.10.10.1 255.255.255.0
Router(config-subif)#ex

Subinterface für VLAN 20 erstellen:
Router(config)#int fa0/0.2
Router(config-subif)#encapsulation dot1Q 20
Router(config-subif)#ip address 10.10.20.1 255.255.255.0
Router(config-subif)#ex

Das Netz 10.10.10.0/24 vom Netz 10.10.20.0/24 "isolieren":
Router(config)#int fa0/0.1
Router(config-subif)#ip access-group 101 in
Router(config-subif)#ex

Router(config)#access-list 101 deny ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255
Router(config)#access-list 101 deny icmp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255


Das Netz 10.10.20.0/24 vom Netz 10.10.10.0/24 "isolieren":
Router(config)#int fa0/0.2
Router(config-subif)#ip access-group 102 in
Router(config-subif)#ex

Router(config)#access-list 102 deny ip 10.10.20.0 0.0.0.255 10.10.10.0 0.0.0.255
Router(config)#access-list 102 deny icmp 10.10.20.0 0.0.0.255 10.10.10.0 0.0.0.255
Router(config)# ex
Router#write

 

Hinweise:
1) Damit die Rechner aus VLANs 10 und 20 den Zugriff auf Internet haben, müssen auf dem Cisco Router noch zusätzliche Routing und ACL Regeln erstellt werden. Firewalling und Routing sind aber nicht die Themen dieses Beitrags, deswegen werden hier diese Regeln nicht veröffentlicht.
2) Beim Erstellen von Cisco ACL Regeln “access-list” wird Cisco Wildcard Mask verwendet.

Praktische Cisco VLAN Befehle:
(Sie wurden im obigen Szenario nicht verwendet):

Weitere erlaubte VLANs in Trunk nachträglich hinzufügen:
Switch(config)#interface FastEthernet 0/10
Switch(config-if)#switchport trunk allowed vlan add 50

Ein erlaubtes VLAN in Trunk löschen:
Switch(config)#interface FastEthernet 0/10
Switch(config-if)#switchport trunk allowed vlan remove 50

Informationen über VLANs und Trunk anschauen:
Switch#show  vlan
Switch#show interface fa0/22 trunk
Switch#show interface fa0/10 switchport



Oben beschriebene Konfiguration wurde mit Cisco Packet Tracer getestet.
Fehler gefunden? Bitte melden Sie es über Kommentare.

Ist diese Konfiguration für Sie zu kompliziert?
Dann schauen Sie sich eine einfachere Beispielkonfiguration von Cisco Switchen mit VLANs


14 Kommentare

  1. Hallo,

    es scheint für mich so, als hättest du in der letzten Access-List einen kleinen Zahlendreher eingebaut.
    Meintest du anstelle von:
    "access-list 102 deny icmp 10.20.10.0 0.0.0.255 10.10.10.0 0.0.0.255"
    die
    "access-list 102 deny icmp 10.10.20.0 0.0.0.255 10.10.10.0 0.0.0.255" ?
    Das 10.20.10.0/24 Netz finde ich auf Anhieb nicht.

    MfG

    AntwortenLöschen
  2. Hallo, vielen Dank für den Hinweis, korrigiert.
    Mfg

    AntwortenLöschen
  3. Hallo,

    wird wegen des impliziten deny any am ende beider ACLs nicht der Internet Zugang für VLAN 10/20 unterbunden?

    AntwortenLöschen
  4. Hallo,
    vielen Dank für den Hinweis.
    Ja, damit der Internetzugriff funktioniert, muss auf dem Router das Routing eingerichtet werden und entsprechende ACL Regeln erstellt werden.
    In diesem Beitrag geht es nur um die VLANmäßige Konfiguration der Switche und Router.

    AntwortenLöschen
  5. Hallo,

    deine Scripte verstehe ich leider nur geringfügig.

    wir haben im Ausbildungslabor ein Cisco Switch SG100-1000 stehen 10 Ports glaube.. Verwaltung verläuft via WebInterface, andere Zugänge sind mir nicht bekannt.

    Wir haben festgestellt, das wir alles trunked haben..

    Folgendes..

    im VLAN1 befinden sich wichtige Geräte.. ESXi Server (Workstation) sowie ein Cisco Modem.
    in VLAN2-4 befinden sich Clients von Arbeitsgruppen. Geplant ist es bis Weihnachten eine Windows DC und DHCP aufzusetzen. Aktuell sehen wir alle Computer mittels Ping, da wir Trunk haben, ist aber eigentlich nicht gewollt.

    Jede Gruppe soll über den VLAN1 ins Internet gehen können. Der Server kann notfalls in ein anderes VLAN gehen, aber aktuell weiß ich nicht ob das erforderlich ist.

    Jede VLAN soll auf das Internet zugreifen können.
    Im VLAN1 steht ein ESXi Server der mehre VLANs konfiguiert hat. Wir haben dort 4 VLAN-Switche eingerichtet. Der nötige Bereich wird laut Konfigurator auch überwacht. Wenn die Server an sind, können wir leider nur mit dem Server der für VLAN ID 1 auf dem ESXi im VLAN 1 erfolgreich erfolgreich pingen, mit den anderen Servern die für deren VLANs erstellt wurden kommen wir nicht raus. Mein Lehrer und ich hatten uns schon ins Handbuch gesützrt, weil ich von der Regelung glaube das es falsch sei. Aber ich habe keine Vorkentnisse und er kann es offensichtlich auch nicht korrekt konfiguieren. Es gibt Allgemein, Zugriff, Trunk und glaube noch eine Option. Wie darf ich die Funktionen sehen. Gehen diese von mir aus?
    Ich hatte es so verstanden, der Server mit VLAN1 sollte Allgemein sein, damit die Netzwerkkarte des ESXi senden kann. oder setzt man hier auf Zugriff? Weil die VLAN 2-4 auf das LAN zugreifen sollen? Ich verstehe leider nicht wie es gemeint ist.. :-(

    Wir wollen im prinzip nur erreichen, das jeder administrativ auf den ESXi kann.
    Jeder Server zu einer fremden VLAN gehört also nicht nur VLAN 1.
    Würde mich freuen wenn ich Hilfe, Unterstützung und Wissen mir aneignen könnte.

    Freundliche Grüße
    David Losse



    aktuell

    AntwortenLöschen
  6. Hallo David, ich verstehe nicht, was IST-Zustand und was SOLL-Zustand ist.
    Am besten erstelle eine detaillierte Skizze, wie aller jetzt aufgebaut ist und lade es auf einem Bilder-Server hoch: http://www.itslot.de/2013/12/bilder-fur-ebay-kostenlos-hochladen.html

    Danach poste hier den Link zu deinem Bild und ich schaue es mir an.
    Grüße
    itslot_admin

    AntwortenLöschen
  7. Hallo...

    Ich bemühe mich spätestens kommenden Donnerstag für Detallierte Informationen. Hier nun grob

    http://abload.de/image.php?img=vlangrafikq8uj8.png

    IST Zustand kann ich nur halb dienen, wir sind in unserem Ausbildungs-Labor nur Donnerstags. Anderweitigen Zugriff hätte ich nur wenn mein PC an wäre.

    IST:
    Wir haben einen VLAN Switch/Router (Cisco SG100-xxxxx mit glaube 10x 1GBit Ports)

    Wir haben dort mehre VLANs. Die sind eingerichtet mit den IPs 192.168.VLAN_ID.0/24. Der Cisco SG100-xxxx dient als Gateway mit dem Gateway auf dem letzten Host (254) An 3 Ports hängen VLAN 1, darunter ein ESXi Server, ehemals Windows 2008 Server. An einem anderen Port im VLAN 1 hängt ein Zyxel Kabel Modem.
    In VLAN 2 bis VLAN 4 hängen die Azubis also auch ich. Ich habe das VLAN 3.
    Zugangsdaten zum Cisco SG100 VLAN SWITCH haben wir, jedoch wie erwähnt kann ich nur Donnerstags darauf zugreifen oder sofern der PC an bleibt auch darüber hinaus per TeamViewer.

    Wir haben in unseren VLAN jeder eine ESXi zum spielen aufgesetzt, aber die Leistung von den ESXi die wir haben sind mit 4 GB Ram schon am unteren Limit. Wir können nur 1 Server laufen lassen und das bei 2 GB Ram noch normal. Leider benötigt man dann noch für Windows 7 ca. 1 GB. Ab diesem Punkt hängt ESXi gewaltig. Auch sind die Festplatten mit 80 GB nicht sonderlich groß.

    Der ESXi im VLAN 1 hat die IP 192.168.1.2
    Das Kabelmodem im VLAN 1 hat die IP 192.168.1.1

    Aktuell ist es für mich möglich die IP des ESXi und des Modems zu pingen (Pong erhalte ich). Wenn ich einen virtuellen Server des ESXi mit der VLAN ID 3 anpingen möchte, der statisch die IP 192.168.3.100 erhalten hat erhalte ich: "Antwort von 192.168.3.57: Zielhost nicht erreichbar" Meine Route sähe wenn ich es mal aus meinem bisherigen Wissensschatz sehen tue so aus..

    192.168.3.57 (mein Client) -> 192.168.3.254 (CISCO SG100 (Gateway)) -> Port 2 (VLAN 1) -> Virtueller ESXi Server mit VLAN 3
    Wie erwähnt jeder hat einen 2. PC also einen ESXi. Darauf läuft bei mir ein Windows Server oder ebend ein Windows 10 Preview.
    eigentlich bezieht sich das grob auf das ganze subnetz 192.168.3.0/24. Ich gebe aber mal meine Client IP mit an.

    192.168.3.57 soll 192.168.1.1 (Modem) erreichen
    192.168.3.57 soll 192.168.1.2 (ESXi) zu administrativen Zwecken erreichen
    192.168.3.57 soll 192.168.2.0/24 nicht erreichen, dazu auch der virtuelle Server (192.168.2.100) mit VLAN 2 von 192.168.1.2
    192.168.3.57 soll 192.168.3.0/24 erreichen, dazu auch der virtuelle Server (192.168.3.100) mit VLAN 3 von 192.168.1.2
    192.168.3.57 soll 192.168.4.0/24 nicht erreichen, dazu auch der virtuelle Server (192.168.4.100) mit VLAN 4 von 192.168.1.2

    Wir nutzen beim CISCO generell das Webinterface. Ich würde gerne die Funktion verstehen. Wir haben alles derzeit alles mit Trunk und haben neben 3M und 3OP usw. eingestellt. Wenn ich richtig gelesen habe verbindet man mit Trunk 2 Netzwerke.
    VLAN 2 darf VLAN 1 sehen aber VLAN 3 und VLAN 4 nicht sehen.
    VLAN 3 darf VLAN 1 sehen aber VLAN 2 und VLAN 4 nicht sehen.
    VLAN 4 darf VLAN 1 sehen aber VLAN 2 und VLAN 3 nicht sehen.
    Der ESXi aus VLAN 1 soll administrativ erreichbar sein (vSphere Client) aber die Server sollen auch nur in den jeweiligen VLANS zu sehen sein,

    Gruß

    AntwortenLöschen
  8. Möchte mein SG100 revidieren, es war ein Cisco SG300-10MP VLAN habe ihn nun im Internet gefunden,

    Ein Screenshot von jemanden aus der VLAN Einstellung wäre das, da ist was ich leider derzeit nicht verstehe.

    http://sw.nohold.net/CiscoSB/Images/3130_9..png

    AntwortenLöschen
  9. Hallo David,
    ich habe gerade versucht, dein Szenario zu verstehen, aber ohne Erfolg.
    Zuerst schreibst du, es gibt einen ESXi in VLAN1.
    Danach schreibst du, jeder hat eine ESXi in jedem VLAN. Das verwirrt etwas.

    Deswegen ist eine genaue Skizze notwendig, wo alles aufgelistet ist. Die hilf mehr als viele Wörter.
    Ich erstelle für diesen Fall extra ein Thema auf dem Blog. Bitte vervollständige die Skizze, die ich erstellt habe und führe die Diskussion im folgenden Thema weiter:
    http://www.itslot.de/2014/11/cisco-sg300-10mp-und-vlans.html

    AntwortenLöschen
  10. @David
    Verbindet das Cisco-Modem Ihr Labor-Netzwerk mit Internet?
    Oder hast du vielleicht einen Router gemeint?

    AntwortenLöschen
  11. Es ist natürlich alles mit dem CISCO verbunden. GE nennt sich bei CISCO der LAN-Port

    http://abload.de/img/vlangrafik2ces9d.png

    DIe orangene BOX um die vServer des ESXi aus VLAN 1 hängen am GE 3, dieser Port ist bisher definiert für VLAN 1
    Die Geräte aus 192.168.2-4.0/24 hängen an jeweils 3 weiteren Ports.

    Hier ein Bild der Konfigruation aus Oktober 2014
    http://abload.de/img/img_8163lhuzf.png

    Am Donnerstag kann ich wenn gewünscht näheres festhalten.

    AntwortenLöschen
  12. @David:
    Bitte schaue Kommentare im folgenden Thema an:
    http://www.itslot.de/2014/11/cisco-sg300-10mp-und-vlans.html
    Bitte schreibe alles Weitere zu diesem Thema dort.

    AntwortenLöschen
  13. Hallo,
    die Konfiguration vom Switch 2 von interface FastEthernet 0/20
    kann so nie funktionieren. Wenn Du wirklich CISCO nutzt, dann kansnt Du nur - switchport trunk ? => allowed oder native setzen!
    Gruß

    AntwortenLöschen
    Antworten
    1. Hallo, Danke für deinen Hinweis, aber laut diesem Artikel würde "switchport mode trunk" auch ohne Angabe von erlaubten VLANs funktionieren:

      http://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus5000/sw/configuration/guide/cli/CLIConfigurationGuide/AccessTrunk.html

      Grüße

      Löschen