Virtual Local Area Network – VLAN Teil 3 – Konfiguration InterVLAN Routing

Im dritten und letzten Teil geht es um das InterVLAN Routing und die dazugehöhrige Konfiguration. Damit ist der in Teil 1 und Teil 2 beschriebene Aufbau des Netzwerkes vollständig.

Meine imaginäre Firma ist über einen normalen DSL Anschluss an das Internet angebunden. Als Router kommt daher ein Cisco 886 ADSL (ADSL über ISDN) zum Einsatz (die Konfiguration ist aber auf allen Modellen ähnlich). Dieser Router ist in der imaginären Firma auch der DHCP Server und Firewall bzw. Access Control Server. Aufgrund der umfangreichen Konfiguration habe ich die vollständige Routerkonfiguration hier als Textdatei hinterlegt.
InterVLAN Routing

Die IP Bereiche sind folgende:

VLAN 10 : 172.16.1.0 / 24 Produktion
VLAN 20 : 172.16.2.0 / 24 Entwicklung
VLAN 30 : 172.16.3.0 / 24 Finanzen
VLAN 40 : 172.16.4.0 / 24 Management

Der Router wird in allen Netzwerkadressbereichen das Standardgateway sein.
Als erstes werden die DHCP Bereiche erstellt. Die ersten 64 IP Adressen bleiben in jedem Netz für statische IP Vergabe frei und werden nicht per DHCP verteilt:

ip dhcp excluded-address 172.16.1.1 172.16.1.64
ip dhcp excluded-address 172.16.2.1 172.16.2.64
ip dhcp excluded-address 172.16.3.1 172.16.3.64
ip dhcp pool Produktion
   import all
   network 172.16.1.0 255.255.255.0
   dns-server 208.67.222.222
   default-router 172.16.1.1
ip dhcp pool Entwicklung
   import all
   network 172.16.2.0 255.255.255.0
   dns-server 208.67.222.222
   default-router 172.16.2.1
ip dhcp pool Finanzen
   import all
   network 172.16.3.0 255.255.255.0
   dns-server 208.67.222.222
   default-router 172.16.3.1

Das Management VLAN bekommt keinen DHCP Bereich, da hier nur Netzwerkgeräte mit festen IP Adressen zum Einsatz kommen.

Die erste Schnittstelle am Router wird ein Trunk Port für die Verbindung zum Switch 4:

Inteface FastEthernet0
 switchport mode trunk

Als nächstes werden die Accesslisten für den Zugriff auf die unterschiedlichen IP Adressbereiche angelegt:

ip access-list extended Produktion
 permit udp host 0.0.0.0 eq bootpc host 255.255.255.255 eq bootps
 deny   ip 172.16.1.0 0.0.0.255 172.16.4.0 0.0.0.255
 deny   ip 172.16.1.0 0.0.0.255 172.16.3.0 0.0.0.255
 deny   ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
 permit ip 172.16.1.0 0.0.0.255 any
 deny   ip any any
!
ip access-list extended Entwicklung
 permit udp host 0.0.0.0 eq bootpc host 255.255.255.255 eq bootps
 deny   ip 172.16.2.0 0.0.0.255 172.16.4.0 0.0.0.255
 deny   ip 172.16.2.0 0.0.0.255 172.16.3.0 0.0.0.255
 deny   ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
 permit ip 172.16.2.0 0.0.0.255 any
 deny   ip any any
!
 ip access-list extended Finanzen
 permit udp host 0.0.0.0 eq bootpc host 255.255.255.255 eq bootps
 deny   ip 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255
 deny   ip 172.16.3.0 0.0.0.255 172.16.1.0 0.0.0.255
 deny   ip 172.16.3.0 0.0.0.255 172.16.2.0 0.0.0.255
 permit ip 172.16.3.0 0.0.0.255 any
 deny   ip any any
!
 ip access-list extended Management
 permit ip 172.16.4.0 0.0.0.255 any
 deny   ip any any

Das Management VLAN hat Zugriff auf alle Bereiche, damit der Administrator in allen Bereichen support leisten kann.
Danach noch die Konfiguration der VLAN Schnittstellen:

interface Vlan10
 description Produktion
 ip address 172.16.1.1 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1412
!
interface Vlan20
 description Entwicklung
 ip address 172.16.2.1 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1412
!
interface Vlan30
 description Finanzen
 ip address 172.16.3.1 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1412
!
 interface Vlan40
 description Management
 ip address 172.16.4.1 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1412

An den Schnittstellen der einzelnen VLAN’s werden die Accesslisten angewendet:

interface Vlan10
ip access-group Produktion in
interface Vlan20
ip access-group Entwicklung in
interface Vlan30
ip access-group Finanzen in
interface Vlan40
ip access-group Management in

Damit ist die firmeninterne Kommunikation möglich. Innerhalb eines VLAN ist alles zu erreichen, die Kommunikation in die anderen VLAN’s wird durch die Accesslisten (ACL) unterbunden.

Um den Mitarbeiten aus der Firma den Zugriff auf das Internet zu ermöglichen, wird noch die DSL-Einwahl und die ausgehende NAT (Network Address Translation) Konfiguration benötigt. NAT wird verwendet, um die internen, im Internet nicht gerouteten IP Adressen in eine öffentliche IP Adresse zu übersetzen.

Zuerst die ATM (Asynchronous Transfer Mode) Schnittstellen und die Dialer Schnittstelle:

interface ATM0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
 description $FW_OUTSIDE$$ES_WAN$
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 pvc 1/32
  pppoe-client dial-pool-number 1
!
interface Dialer0
 description $FW_OUTSIDE$
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1452
 ip nbar protocol-discovery
 ip flow ingress
 ip flow egress
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication chap pap callin
 ppp chap hostname [USERNAME]
 ppp chap password [PASSWORT]
 ppp pap sent-username [USERNAME] password [PASSWORT]
 no cdp enable
!
dialer-list 1 protocol ip permit

Für das NAT werden folgende Einträge benötigt:

ip nat inside source list 1 interface Dialer0 overload
access-list 1 permit 172.16.1.0 0.0.0.255
access-list 1 permit 172.16.2.0 0.0.0.255
access-list 1 permit 172.16.3.0 0.0.0.255
access-list 1 permit 172.16.4.0 0.0.0.255
access-list 1 deny   any

Und die Default-Route:

ip route 0.0.0.0 0.0.0.0 Dialer0

Damit sind alle Voraussetzungen erfüllt, um flexibles Arbeiten und den Zugang zum Internet zu ermöglichen. Einige der hier gezeigten Konfigurationsteile sind etwas umständlich und einfacher zu lösen, aber das es hier um das Verständnis geht, sind ein paar Zeilen mehr zu verkraften. Aufgrund der umfangreichen Konfiguration habe ich die vollständige Routerkonfiguration hier als Textdatei hinterlegt.

3 Kommentare

  • vielen dank fuer die infos, hatte am anfang probleme mit dem ATM…doch jetzt funktioniert es!! super, mach weiter so!

  • Ciscoianer

    Hallo,

    ist ja nett gemacht, aber hast Du Deine ACLs mal selbst ausprobiert? Die können so leider nicht funktionieren. Mach Dich nochmal schlau, was “ip access-group XX in” auf einem VLAN-Interface bedeutet. Auch wenn es anders klingt, wird Traffic, der IN das VLAN herein will gerade nicht erfasst…

    • Michael Kruse

      Hi. Du hast recht. Die ACL hat nicht funktioniert. Ich habe die ACL für dieses Beispiel angepasst und getestet. Im normalfall würde ich für so eine Aufgabe eine Firewall nehmen, aber hier ging es mehr umd VLANs. Danke für den Hinweis.
      Gruß Michael

Schreibe einen Kommentar

You have to agree to the comment policy.

This Blog will give regular Commentators DoFollow Status. Implemented from IT Blögg