Cisco SG300-10 Inter-VLAN Routing

cynt4k

cynt4k

Neuling
Thread Starter
Mitglied seit
20.10.2012
Beiträge
10
Ort
Bayern
Hallo miteinander

ich habe folgendes Problem und will mich damit an euch wenden.

Habe mir jetzt einen SG300-10 L3 Switch zugelegt und wollte VLAN Routing betreiben.

So ist mein Aufbau:

VLAN20 - VLAN fürs "Normale" Netz
Maske: 192.168.1.0/24
Gateway 192.168.1.1

VLAN30 - VLAN fürs DMZ-Netz
Maske: 192.168.0.0/24
Gateway 192.168.0.1

VLAN10 - VLAN fürs WLAN-Netz
Maske: 192.168.2.0/24
Gateway: 192.168.2.1

VLAN40 - VLAN fürs VM-Netz
Maske: 192.168.3.0/24
Gateway: 192.168.3.1

VLAN50 - VLAN fürs Managment-Netz
Maske: 192.168.4.0/24
Gateway: 192.168.4.1

VLAN60 - VLAN fürs Switch-Netz
Maske: 192.168.5.0/24
Gateway: 192.168.5.1

VLAN 10,20 und 30 sind mit einer Sophos UTM verbunden.

VLAN 40,50 und 60 werden nur durch den SG300 geroutet.


Statische Routing Tabelle ist bei Sophos eingetragen.


Mein Problem ist jetzt, das ich zwar vom VLAN30 auf VLAN40,50 oder 60 zugreifen kann, aber umgekehrt nur auf die Gateways (z.B. 192.168.4.1 und der Standartgateway 192.168.0.1).

Hier meine Config
config-file-header
switch03
v1.3.7.18 / R750_NIK_1_35_647_358
CLI v1.0
set system mode router

file SSD indicator encrypted
@
ssd-control-start
ssd config
ssd file passphrase control unrestricted
no ssd file integrity control
ssd-control-end cb0a3fdb1f3a1af4e4430033719968c0
!
vlan database
vlan 2-3,10,20,30,40,50,60
exit
voice vlan oui-table add 0001e3 Siemens_AG_phone________
voice vlan oui-table add 00036b Cisco_phone_____________
voice vlan oui-table add 00096e Avaya___________________
voice vlan oui-table add 000fe2 H3C_Aolynk______________
voice vlan oui-table add 0060b9 Philips_and_NEC_AG_phone
voice vlan oui-table add 00d01e Pingtel_phone___________
voice vlan oui-table add 00e075 Polycom/Veritel_phone___
voice vlan oui-table add 00e0bb 3Com_phone______________
ip dhcp pool network 3.0er Netz
address low 192.168.3.30 high 192.168.3.254 255.255.255.0
lease 8
domain-name schneider.lan
default-router 192.168.3.1
dns-server 192.168.0.2
exit
ip dhcp relay address 192.168.0.1
bonjour interface range vlan 1
ip access-list extended deny-rules
exit
hostname switch03
no passwords complexity enable
username cisco password encrypted 1234asdf1234asdf1234asdf1234asdf privilege 15
ip telnet server
!
interface vlan 1
no ip address dhcp
!
interface vlan 2
name "vlan2"
!
interface vlan 3
name "vlan3"
!
interface vlan 10
name vlan-wlan
!
interface vlan 20
name vlan-intern
ip address 192.168.1.10 255.255.255.0
!
interface vlan 30
name vlan-dmz
ip address 192.168.0.34 255.255.255.0
!
interface vlan 40
name vlan-vms
ip address 192.168.3.1 255.255.255.0
!
interface vlan 50
name vlan-ipmi
ip address 192.168.4.1 255.255.255.0
!
interface vlan 60
name vlan-switch
ip address 192.168.5.1 255.255.255.0
!
interface gigabitethernet1
switchport trunk allowed vlan add 10,20,30
!
interface gigabitethernet2
switchport mode access
switchport access vlan 30
!
interface gigabitethernet3
switchport mode access
switchport access vlan 20
!
interface gigabitethernet4
switchport mode access
switchport access vlan 40
!
interface gigabitethernet5
channel-group 1 mode auto
!
interface gigabitethernet6
channel-group 1 mode auto
!
interface gigabitethernet7
channel-group 1 mode auto
!
interface gigabitethernet8
channel-group 1 mode auto
!
interface gigabitethernet9
switchport trunk allowed vlan add 10,20
!
interface gigabitethernet10
switchport mode access
switchport access vlan 30
!
interface Port-channel1
description lag-all
switchport trunk allowed vlan add 20,30,40,50,60
!
exit
ip default-gateway 192.168.0.1
ip route 192.168.0.0 /24 192.168.0.1
Zum Vergrößern anklicken....

Und die Routing Einträge im SG300-10
S 0.0.0.0/0 [1/1] via 192.168.0.1, 00:50:57, vlan 30
C 192.168.0.0/24 is directly connected, vlan 30
C 192.168.1.0/24 is directly connected, vlan 20
C 192.168.3.0/24 is directly connected, vlan 40
C 192.168.4.0/24 is directly connected, vlan 50
C 192.168.5.0/24 is directly connected, vlan 60
Zum Vergrößern anklicken....

Schon mal danke für die Hilfe

mfg
cynt4k
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
was ist denn jeweils das DG der Clients in VID 30,40,50,60?
welche stat. routen hast du in der UTM eingetragen?

mache doch mal einen tracert, dann siehst du wo du "hängen" bleibst..

Dein Port 1 ist der uplink zur utm?

p.s. welche IP's sind denn den vid's 10,20,30 auf den UTM zugeordnet?
 
Zuletzt bearbeitet:
Der DG von VLAN 30 ist 192.168.0.1 (Sophos UTM)
von VLAN 40 ist 192.168.3.1 (Cisco SG300-10)
von VLAN 50 ist 192.168.4.1 (Cisco SG300-10)
von VLAN 60 ist 192.168.5.1 (Cisco SG300-10)

Routing Tabelle von der UTM
192.168.0.0 * 255.255.255.0 U 0 0 0 eth1
192.168.1.0 * 255.255.255.0 U 0 0 0 vlan20
192.168.2.0 * 255.255.255.0 U 0 0 0 vlan10
192.168.3.0 192.168.0.34 255.255.255.0 UG 0 0 0 eth1
192.168.4.0 192.168.0.34 255.255.255.0 UG 0 0 0 eth1
192.168.5.0 192.168.0.34 255.255.255.0 UG 0 0 0 eth1
Zum Vergrößern anklicken....

Habe zwei Uplinks zur UTM. Einmal Port 9 für VLAN 20 und 10 als Trunk. Port 10 ist Uplink für VLAN 30 und über diesem Port sind die VLANs 40, 50, 60 verbunden.

Tracert von VLAN 40 in VLAN 30 sieht so aus
Routenverfolgung zu server07.contoso.lan [192.168.0.2] über maximal 30 Abschni
tte:

1 1 ms 5 ms 5 ms 192.168.3.1
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
Zum Vergrößern anklicken....

Von VLAN 30 zu VLAN 40 sieht es so aus
Routenverfolgung zu 192.168.3.2 über maximal 30 Abschnitte

1 <1 ms <1 ms <1 ms host00.contoso.lan [192.168.0.1]
2 1 ms 6 ms 5 ms 192.168.3.2

Ablaufverfolgung beendet.
Zum Vergrößern anklicken....
 
du hast klassisch asynchrones routing ...

"
Routenverfolgung zu 192.168.3.2 über maximal 30 Abschnitte

1 <1 ms <1 ms <1 ms host00.contoso.lan [192.168.0.1]
2 1 ms 6 ms 5 ms 192.168.3.2
"
=> Pakete gehen zur UTM (192.168.0.1) und danach direkt in VID 40, ohne next hop route 192.168.1.3 (welche ja eingetragen ist 192.168.3.0 192.168.0.34 255.255.255.0)

"
Routenverfolgung zu server07.contoso.lan [192.168.0.2] über maximal 30 Abschni
tte:

1 1 ms 5 ms 5 ms 192.168.3.1
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
"

Hier gehen die Pakete korekt an den Switch (192.168.3.1) und vmtl. auch korrekt an die UTM, aber die rückpakete gehen nicht mehr an die 192.168.3.1 sondern vmtl. direkt an den Quellclient...

prüfe deine VLANs und IP Adressen auf der UTM, nicht dass diese auch eine IP in den entsprechenden VIDs hat...
 
ok Merci

ich schau's mir heute Abend nochmal an, da ich aktuell in der Arbeit bin.
 
Morgen zusammen

ich habe jetzt diesen Bug behoben, kann aber vom 3.0er Netz ins Internet (default gateway), aber nicht ins Lokale 0.0er Netz.

Er kann zwar den 192.168.0.1 erreichen, aber leider die Restlichen IPs nicht.


Tracert von 192.168.0.31 zu 192.168.3.99
Routenverfolgung zu netbook-pc.contoso.lan [192.168.3.99] über maximal 30 Absc
hnitte:

1 1 ms 1 ms 1 ms host00.contoso.lan [192.168.0.1]
2 3 ms 6 ms 13 ms switch01.contoso.lan [192.168.0.34]
3 3 ms 2 ms 2 ms netbook-pc.contoso.lan [192.168.3.99]
Zum Vergrößern anklicken....

Tracert von 192.168.3.99 zu 192.168.0.31

Routenverfolgung zu workstation.contoso.lan [192.168.0.31] über maximal 30 Abschni
tte:

1 1 ms 5 ms 5 ms 192.168.3.1
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
Zum Vergrößern anklicken....

Tracert von 192.168.3.99 zu 192.168.0.1

Routenverfolgung zu host00.contoso.lan [192.168.0.1] über maximal 30 Absc
hnitte:

1 1 ms 1 ms 1 ms 192.168.3.1
2 3 ms 6 ms 13 ms host00.contoso.lan [192.168.0.1]
Zum Vergrößern anklicken....

Running-Config Cisco
config-file-header
switch03
v1.3.7.18 / R750_NIK_1_35_647_358
CLI v1.0
set system mode router

file SSD indicator encrypted
@
ssd-control-start
ssd config
ssd file passphrase control unrestricted
no ssd file integrity control
ssd-control-end cb0a3fdb1f3a1af4e4430033719968c0
!
vlan database
vlan 2-3,10,20,30,40,50,60
exit
voice vlan oui-table add 0001e3 Siemens_AG_phone________
voice vlan oui-table add 00036b Cisco_phone_____________
voice vlan oui-table add 00096e Avaya___________________
voice vlan oui-table add 000fe2 H3C_Aolynk______________
voice vlan oui-table add 0060b9 Philips_and_NEC_AG_phone
voice vlan oui-table add 00d01e Pingtel_phone___________
voice vlan oui-table add 00e075 Polycom/Veritel_phone___
voice vlan oui-table add 00e0bb 3Com_phone______________
ip dhcp pool network 3.0er Netz
address low 192.168.3.30 high 192.168.3.254 255.255.255.0
lease 8
domain-name schneider.lan
default-router 192.168.3.1
dns-server 192.168.0.2
exit
ip dhcp relay address 192.168.0.1
bonjour interface range vlan 1
ip access-list extended deny-rules
exit
hostname switch03
no passwords complexity enable
username cisco password encrypted asdf1234asdf1234asdf1234asdf1234 privilege 15
ip telnet server
!
interface vlan 1
no ip address dhcp
!
interface vlan 2
name "vlan2"
!
interface vlan 3
name "vlan3"
!
interface vlan 10
name vlan-wlan
!
interface vlan 20
name vlan-intern
ip address 192.168.1.10 255.255.255.0
!
interface vlan 30
name vlan-dmz
ip address 192.168.0.34 255.255.255.0
!
interface vlan 40
name vlan-vms
ip address 192.168.3.1 255.255.255.0
!
interface vlan 50
name vlan-ipmi
ip address 192.168.4.1 255.255.255.0
!
interface vlan 60
name vlan-switch
ip address 192.168.5.1 255.255.255.0
!
interface gigabitethernet1
switchport trunk allowed vlan add 10,20,30
!
interface gigabitethernet2
switchport mode access
switchport access vlan 30
!
interface gigabitethernet3
switchport mode access
switchport access vlan 20
!
interface gigabitethernet4
switchport mode access
switchport access vlan 40
!
interface gigabitethernet5
channel-group 2 mode auto
!
interface gigabitethernet6
channel-group 2 mode auto
!
interface gigabitethernet7
channel-group 2 mode auto
!
interface gigabitethernet8
channel-group 2 mode auto
!
interface gigabitethernet9
switchport trunk allowed vlan add 10,20
!
interface gigabitethernet10
switchport mode access
switchport access vlan 30
!
interface Port-channel2
description lag-switch01
switchport trunk allowed vlan add 20,30,40,50,60
!
exit
ip default-gateway 192.168.0.1
Zum Vergrößern anklicken....
 
"
Tracert von 192.168.0.31 zu 192.168.3.99
Routenverfolgung zu netbook-pc.contoso.lan [192.168.3.99] über maximal 30 Absc
hnitte:

1 1 ms 1 ms 1 ms host00.contoso.lan [192.168.0.1]
2 3 ms 6 ms 13 ms switch01.contoso.lan [192.168.0.34]
3 3 ms 2 ms 2 ms netbook-pc.contoso.lan [192.168.3.99]
"
=> richtig
1. Hop = lokales GW
2. Hop = next Hop GW
3. Hop = Ziel

"
Tracert von 192.168.3.99 zu 192.168.0.1

Routenverfolgung zu host00.contoso.lan [192.168.0.1] über maximal 30 Absc
hnitte:

1 1 ms 1 ms 1 ms 192.168.3.1
2 3 ms 6 ms 13 ms host00.contoso.lan [192.168.0.1]
"
=> auch korrekt
1. Hop = lokales GW
2. Hop = next Hop GW = Ziel
"
Tracert von 192.168.3.99 zu 192.168.0.31

Routenverfolgung zu workstation.contoso.lan [192.168.0.31] über maximal 30 Abschni
tte:

1 1 ms 5 ms 5 ms 192.168.3.1
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
"
=> hast du schon mal die CLIENT [192.168.0.31] Firewall abgeschalten? das Routing an sich ist korrekt eingestellt (siehe 1. und 2. Tracert)

BR
 
Zuletzt bearbeitet:
Ok merci

ich bin jetzt schon mal weitergekommen.

Habe mal alle meine IPs durchgepingt und dann ist mir aufgefallen, das manche Linux Maschinen funzen.

Hab jetzt bei zwei PCs die Firewall ausgeschaltet und ich konnte einen pingen, den anderen nicht.

Werde mich morgen noch intensiver beschäftigen.
 
Anmelden, um zu antworten.

Ähnliche Themen

L
TL-SG3424 VLAN Konfiguration Verständnis Problem
Antworten
2
Aufrufe
292
logan517
L
W
OpenWRT, VLAN-Konfiguration
Antworten
9
Aufrufe
2K
Supaman
Supaman
M
Openwrt anlegen mehrerer VLANs nicht möglich
Antworten
6
Aufrufe
507
Mater1984
M
A
ExtremeNetworks Summit X450 - Hostroute wird ignoriert
Antworten
2
Aufrufe
308
underclocker2k4
U
M
Proxmox - Netzwerk mit Broadcom NIC
Antworten
10
Aufrufe
2K
Nemetron
Nemetron
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh