ChrisCo Skrevet 15. september 2014 Rapporter Del Skrevet 15. september 2014 Vel, etter å tenkt etter i 2 sekunder lengre en i går så er det "feil" sånn du har gjort det... Servere og andre enheter skal du egentlig koble til switchen din, ikke routeren... Det fungerer jo, som du selv opplever og det er ikke direkte feil, men utifra et design synspunkt, så er det "feil"... VLAN 1 er default VLAN og bør ikke brukes! Hvis du skal ha et management VLAN, så velg et annet... Anbefaler deg å deaktivere VLAN 1... Som sagt, så kan du ha det sånn du har satt det opp nå, men det er ikke "riktig" måte å gjøre det på.. Siden du har en switch, så anbefaler jeg deg å koble den til routeren og alle andre enheter til switchen, og opprette sub-interfaces/VLANs på fa0/1... Lenke til kommentar
toreae Skrevet 15. september 2014 Forfatter Rapporter Del Skrevet 15. september 2014 Vel, etter å tenkt etter i 2 sekunder lengre en i går så er det "feil" sånn du har gjort det... Servere og andre enheter skal du egentlig koble til switchen din, ikke routeren... Det fungerer jo, som du selv opplever og det er ikke direkte feil, men utifra et design synspunkt, så er det "feil"... VLAN 1 er default VLAN og bør ikke brukes! Hvis du skal ha et management VLAN, så velg et annet... Anbefaler deg å deaktivere VLAN 1... Som sagt, så kan du ha det sånn du har satt det opp nå, men det er ikke "riktig" måte å gjøre det på.. Siden du har en switch, så anbefaler jeg deg å koble den til routeren og alle andre enheter til switchen, og opprette sub-interfaces/VLANs på fa0/1... Da skal jeg gjøre som du sier, men senere. Det er ganske mye som skal tas bort. Å laste ned konfigen - editer - laste opp igjen, er vel kjappeste framgangsmåten? Dåg editering med forsiktighet. Lenke til kommentar
ChrisCo Skrevet 15. september 2014 Rapporter Del Skrevet 15. september 2014 Bare skriv no foran... conf t int fa0/1 no ip adress no ip nat inside etc.... Og sette det opp på sub-interfacet i stedet... Du skal i praksis bare flytte konfigen fra det fysiske interfacet (fa0/1) til sub-interfacet (fa0/1.x) Lenke til kommentar
toreae Skrevet 19. september 2014 Forfatter Rapporter Del Skrevet 19. september 2014 For å opprette VLANs (eller rettere sagt routing av VLAN), så må du opprette sub-interfaces.. Det gjøres ved å legge til .X etter interface betegnelsen - eks: fa0/1.1 Da vil du komme inn i sub-interface menyen - Router(config-subif)# Tips: For å ha en enkel, logisk struktur på sub-interfaces mot VLAN ID, bruk samme sub-interface, subnet IP og VID... Eks: Int fa0/1.10 (ubetydelig hvilken .X nummer - kan være hva som helst) IP: 192.168.10.1 VLAN 10 Legg inn: encapsulation dot1Q X (X = VID) IP address <IP adresse> <mask> NB! Det fysiske interfacet, altså fa0/1, må ikke være konfigurert med IP info! Du må fjerne alt som er satt opp på det interfacet, ink NAT.. Du må "overføre" dette til sub-interfacet/sub-interfacene.. Du må også opprette DHCP pooler for hvert VLAN du oppretter.. Det fysiske interfacet skal kun være aktivt - altså i no shut tilstand Husk å lagre (do wr) og ta backup til tftp serveren din... Har nå gjort dette. For ikke svar på ping fysiske interfacet fa0/1. Hva mangler eller er feil? sh run firewall#sh run Building configuration... Current configuration : 3684 bytes ! ! Last configuration change at 19:01:29 Prague Fri Sep 19 2014 ! NVRAM config last updated at 19:01:32 Prague Fri Sep 19 2014 ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname firewall ! boot-start-marker boot system flash c1841-advsecurityk9-mz.124-15.T12.bin boot-end-marker ! no logging buffered no logging console enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXX ! no aaa new-model clock timezone Prague 1 clock summer-time Prague date Mar 30 2003 2:00 Oct 26 2003 3:00 dot11 syslog ip cef ! ! ! ! no ip domain lookup ip domain name hjem.local ! multilink bundle-name authenticated crypto pki token default removal timeout 0 ! crypto pki trustpoint TP-self-signed-1972925063 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-1972925063 revocation-check none rsakeypair TP-self-signed-1972925063 ! ! crypto pki certificate chain TP-self-signed-1972925063 certificate self-signed 01 SNIP****************************** quit ! ! username Tore privilege 15 password XXXXXXXXXXXXXXXXXXXX archive log config hidekeys ! ! ! ! controller SHDSL 0/1/0 termination cpe ! no ip ftp passive ip ssh version 2 ! ! ! interface FastEthernet0/0 description WAN_LINK ip address dhcp ip nat outside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet0/1 no ip address duplex auto speed auto ! interface FastEthernet0/1.10 description INSIDE_LAN encapsulation dot1Q 10 ip address 192.168.10.1 255.255.255.0 ip nat inside ip virtual-reassembly ! interface FastEthernet0/0/0 ! interface FastEthernet0/0/1 ! interface FastEthernet0/0/2 ! interface FastEthernet0/0/3 ! interface Vlan1 no ip address ! no ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 ! ! ip http server ip http authentication local ip http secure-server ip nat pool INSIDE_LAN 192.168.10.1 192.168.10.254 netmask 255.255.255.0 ip nat inside source list 1 interface FastEthernet0/1.10 overload ! access-list 1 permit 192.168.10.0 0.0.0.255 ! ! ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 password XXXXXXXXXXXXXXXXXXXX login local transport input telnet ssh line vty 5 15 login local ! scheduler allocate 20000 1000 ntp clock-period 17178597 ntp update-calendar ntp server 193.212.1.10 source FastEthernet0/0 end firewall# Lenke til kommentar
ChrisCo Skrevet 19. september 2014 Rapporter Del Skrevet 19. september 2014 (endret) Selvfølgelig får du ikke svar på fa0/1! Det har jo ikke noe IP adresse lengere... Og sub-interfacet har du tagget til VLAN 10 (encapsulation dot1Q 10).. Endre til 1, så funker det.. EDIT: Og her: ip nat inside source list 1 interface FastEthernet0/1.10 overload Har du satt feil interface.. Endre den også til fa0/0, så blir det andre boller... Endret 19. september 2014 av ChrisCo Lenke til kommentar
toreae Skrevet 19. september 2014 Forfatter Rapporter Del Skrevet 19. september 2014 Kjappt svart! (Venter du bar på neste post fra meg? ) Jeg får ikke sjekket om det virker før jeg får pinget. Ting må vel over på et fysisk interface for å få glede av noe? Trodde du ville ha: interface FastEthernet0/1.10description INSIDE_LANencapsulation dot1Q 10ip address 192.168.10.1 255.255.255.0 Har nå rettet:interface FastEthernet0/1.10description INSIDE_LANencapsulation dot1Q 1 nativeip nat insideip virtual-reassembly! Lenke til kommentar
ChrisCo Skrevet 19. september 2014 Rapporter Del Skrevet 19. september 2014 Ting må vel over på et fysisk interface for å få glede av noe? Det fysiske interfacet er nå bare et fysisk medium, so to speak.. Det skal kun være i no shut/aktivert.. Sub-interfacet er nå interfacet routeren bryr seg om... Så glem det fysiske, det er kun sub-interfacet som er relevant... Trodde du ville ha: interface FastEthernet0/1.10 description INSIDE_LAN encapsulation dot1Q 10 ip address 192.168.10.1 255.255.255.0 Ja, assa, når du ikke har en range som du allerede bruker liksom, så for å gjøre det enkelt for seg selv, så er det lurt å bruke den samme verdien på alle 3... For eksempel, du skal opprette 3 VLAN og du kan velge fritt hvilken range av IP adresser du vil bruke, så gjør man det sånn... VLAN 1 = fa0/1.1 | 192.168.1.0/24 VLAN 10 = fa0/1.10 | 192.168.10.0/24 VLAN 20 = fa0/1.20 | 192.168.20.0/24 Skjønner du logikken/tankegangen bak det nå? Det er bare for å ha en enkel, logisk struktur på det. Og encapsulation dot1q X kommandoen forteller hvilket VLAN sub-interfacet tilhører og VLAN ID som skal tagges.. Så du har satt interfacet ditt til å tagge trafikken til VLAN 10... Lenke til kommentar
toreae Skrevet 19. september 2014 Forfatter Rapporter Del Skrevet 19. september 2014 Ting må vel over på et fysisk interface for å få glede av noe? Det fysiske interfacet er nå bare et fysisk medium, so to speak.. Det skal kun være i no shut/aktivert.. Sub-interfacet er nå interfacet routeren bryr seg om... Så glem det fysiske, det er kun sub-interfacet som er relevant... Trodde du ville ha: interface FastEthernet0/1.10 description INSIDE_LAN encapsulation dot1Q 10 ip address 192.168.10.1 255.255.255.0 Ja, assa, når du ikke har en range som du allerede bruker liksom, så for å gjøre det enkelt for seg selv, så er det lurt å bruke den samme verdien på alle 3... For eksempel, du skal opprette 3 VLAN og du kan velge fritt hvilken range av IP adresser du vil bruke, så gjør man det sånn... VLAN 1 = fa0/1.1 | 192.168.1.0/24 VLAN 10 = fa0/1.10 | 192.168.10.0/24 VLAN 20 = fa0/1.20 | 192.168.20.0/24 Skjønner du logikken/tankegangen bak det nå? Det er bare for å ha en enkel, logisk struktur på det. Og encapsulation dot1q X kommandoen forteller hvilket VLAN sub-interfacet tilhører og VLAN ID som skal tagges.. Så du har satt interfacet ditt til å tagge trafikken til VLAN 10... Nå er jeg helt lost: Interface FastEthernet0/0 er alt ok, men interface FastEthernet0/1 trenger jeg ikke plugge inn en gang, for der skjer det ingenting. Var det rett som jeg hadde det først,eller: interface FastEthernet0/1.10 description INSIDE_LAN encapsulation dot1Q 10 ip address 192.168.10.1 255.255.255.0 Var tenkt å lage 192.168.10.0 192.168.20.0 nett osv. Lenke til kommentar
ChrisCo Skrevet 19. september 2014 Rapporter Del Skrevet 19. september 2014 (endret) Skjønte du ikke hva jeg skrev i forrige post? Encapsulation dot1 X er det som styrer det hele.. X = VLAN ID! Hverken sub-interface-nummer eller IP adressen du setter på interfacet, spiller noen rolle... Alt styres av hvilken VLAN ID du setter! Hvis 10.0/24 skal kjøre på VLAN 1, så skriver du encapsulation dot1q 1 Endret 19. september 2014 av ChrisCo Lenke til kommentar
j-- Skrevet 19. september 2014 Rapporter Del Skrevet 19. september 2014 Du er sikker på du ønsker flere forskjellige VLAN? Du kan kjøre det på denne måten óg, om du kun ønsker forskjellige subnett: no int FastEthernet0/1.10 int FastEthernet0/1 description LAN inside ip nat inside ip address 192.168.0.1 255.255.255.0 ip address 192.168.1.1 255.255.255.0 secondary ip address 192.168.2.1 255.255.255.0 secondary end Fordelen er større ved å kjøre separate VLAN. Enklere logisk sett, og sikrere. Lenke til kommentar
ChrisCo Skrevet 19. september 2014 Rapporter Del Skrevet 19. september 2014 Det er ikke den lureste måten å gjøre det på, men det går... Er bedre å bruke vanlige VLANs til å segmentere og skille de forskjellige subnettene.... Lenke til kommentar
j-- Skrevet 19. september 2014 Rapporter Del Skrevet 19. september 2014 Er jo det jeg skriver, ChrisCo. Fordelen er større ved å kjøre separate VLAN. Enklere logisk sett, og sikrere. Lenke til kommentar
ChrisCo Skrevet 19. september 2014 Rapporter Del Skrevet 19. september 2014 (endret) Jepp det gjør du! Jeg som leste/tenkte/tolket feil! My bad! Glem det..... It's friday, it's late and I'm tired... Giv me a break, man! Endret 19. september 2014 av ChrisCo Lenke til kommentar
toreae Skrevet 19. september 2014 Forfatter Rapporter Del Skrevet 19. september 2014 Slik oppfatter jeg dette, så for du si hva jeg oppfatter feil: Fra spoileren i post # 64. interface FastEthernet0/1.10description INSIDE_LANencapsulation dot1Q 10ip address 192.168.10.1 255.255.255.0ip nat insideip virtual-reassembly I post # 65 sier du at jeg skal endre til encapsulation dot1Q 1 Post # 67, skjønner ikke bæret. POst # 69, encapsulation dot1Q 10 er kanskje riktigt? Men uansett må trafikken fra brukere (og senere server(e)) ut på et fysisk medium, hvilket det ikke er nå. Lenke til kommentar
ChrisCo Skrevet 19. september 2014 Rapporter Del Skrevet 19. september 2014 encapsulation dot1Q 10 = VLAN tagging - All trafikk, altså IP pakker, blir tagget i henhold til 802.11Q protokollen, med en VLAN ID (10). Dette interfacet tilhører nå VLAN 10 og sender og mottar kun trafikk tilhørende VLAN 10... Standard/native VLAN er 1, så med mindre du har endret alle switchporter til å enten tilhøre, eller trunke til VLAN 10, så må du endre encapsulation til VLAN 1 Konfigen skal være sånn interface FastEthernet0/1.10description INSIDE_LANencapsulation dot1Q 1ip address 192.168.10.1 255.255.255.0ip nat insideip virtual-reassembly Lenke til kommentar
toreae Skrevet 19. september 2014 Forfatter Rapporter Del Skrevet 19. september 2014 Så det jeg gjorde i post #66 var riktig? Men foreløpig er Ciscoen min like nyttig som et kabelbrudd. Lenke til kommentar
ChrisCo Skrevet 19. september 2014 Rapporter Del Skrevet 19. september 2014 Det du rettet til, er riktig, ja... Har du IP adresse på sub-interfacet nå? Post en ny show run... Lenke til kommentar
toreae Skrevet 19. september 2014 Forfatter Rapporter Del Skrevet 19. september 2014 Sh run firewall#sh runBuilding configuration...Current configuration : 3667 bytes!! Last configuration change at 22:30:11 Prague Fri Sep 19 2014 by Tore! NVRAM config last updated at 22:30:15 Prague Fri Sep 19 2014 by Tore!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecservice password-encryption!hostname firewall!boot-start-markerboot system flash c1841-advsecurityk9-mz.124-15.T12.binboot-end-marker!no logging bufferedno logging consoleenable secret 5 $1$BlIc$lYp4r37.0njtM0rLuqn5R/!no aaa new-modelclock timezone Prague 1clock summer-time Prague date Mar 30 2003 2:00 Oct 26 2003 3:00dot11 syslogip cef!!!!no ip domain lookupip domain name hjem.local!multilink bundle-name authenticatedcrypto pki token default removal timeout 0!crypto pki trustpoint TP-self-signed-1972925063enrollment selfsignedsubject-name cn=IOS-Self-Signed-Certificate-1972925063revocation-check nonersakeypair TP-self-signed-1972925063!!crypto pki certificate chain TP-self-signed-1972925063certificate self-signed 013082024B 308201B4 A0030201 02020101 300D0609 2A864886 F70D0101 0405003031312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 4365727469666963 6174652D 31393732 39323530 3633301E 170D3134 30393134 3133333730395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 031326494F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 3937323932353036 3330819F 300D0609 2A864886 F70D0101 01050003 818D0030 818902818100B505 86890221 AB0E9D9A 4E5D9AA1 C6032560 A0F46D23 50D9B8A1 56F78105FABDCBBF 69AB864B CA69FA63 4DC77E97 C2A210C2 96406C14 5DB9D7CF F2E1AF1F80C6FEE5 07138382 771D9BE4 C74B4BCD 0F2BEA62 F93BBED4 8E627117 6E3AEFE522804684 95EA6583 91CCBC81 466C3609 C3FDFB14 4CA98BB1 A86E2FF3 1ED1E8EA8CD90203 010001A3 73307130 0F060355 1D130101 FF040530 030101FF 301E0603551D1104 17301582 13666972 6577616C 6C2E686A 656D2E6C 6F63616C 301F0603551D2304 18301680 143A783D 92189D05 521C4D0D ADFA8F21 D4BCD954 65301D0603551D0E 04160414 3A783D92 189D0552 1C4D0DAD FA8F21D4 BCD95465 300D06092A864886 F70D0101 04050003 81810042 963777BC 7B8922E0 2FE93072 E8023ACFEECF1AD6 8F564EB1 289E432C DB9ACB14 93D8B335 BD52EDAC 0B8ECF39 6F5EA965B9E9E999 1C881A98 A400BDE0 783EF52A 8B7F2A64 8EEF402D 853B6FB0 363A98B171B82BCB 7A6C58C5 4A398559 0D54C8FD 60E4D489 250510EA 4D84ECAF D9D19DD501D9EA05 C8116BB4 299A013C 3BD8E9quit!!username Tore privilege 15 password 7 06541D2644475F412Aarchivelog confighidekeys!!!!controller SHDSL 0/1/0termination cpe!no ip ftp passiveip ssh version 2!!!interface FastEthernet0/0description WAN_LINKip address dhcpip nat outsideip virtual-reassemblyduplex autospeed auto!interface FastEthernet0/1no ip addressduplex autospeed auto!interface FastEthernet0/1.10description INSIDE_LANencapsulation dot1Q 1 nativeip nat insideip virtual-reassembly!interface FastEthernet0/0/0!interface FastEthernet0/0/1!interface FastEthernet0/0/2!interface FastEthernet0/0/3!interface Vlan1no ip address!no ip forward-protocol ndip route 0.0.0.0 0.0.0.0 FastEthernet0/0!!ip http serverip http authentication localip http secure-serverip nat pool INSIDE_LAN 192.168.10.1 192.168.10.254 netmask 255.255.255.0ip nat inside source list 1 interface FastEthernet0/1.10 overload!access-list 1 permit 192.168.10.0 0.0.0.255!!!!control-plane!!line con 0line aux 0line vty 0 4password 7 0356490C0E06771461login localtransport input telnet sshline vty 5 15login local!scheduler allocate 20000 1000ntp clock-period 17178597ntp update-calendarntp server 193.212.1.10 source FastEthernet0/0endfirewall# Lenke til kommentar
ChrisCo Skrevet 19. september 2014 Rapporter Del Skrevet 19. september 2014 Fra post #65 ip nat inside source list 1 interface FastEthernet0/1.10 overload Har du satt feil interface.. Endre den også til fa0/0, så blir det andre boller... Lenke til kommentar
toreae Skrevet 19. september 2014 Forfatter Rapporter Del Skrevet 19. september 2014 Mulig det sh run firewall#sh runBuilding configuration...Current configuration : 3520 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecservice password-encryption!hostname firewall!boot-start-markerboot system flash c1841-advsecurityk9-mz.124-15.T12.binboot-end-marker!no logging bufferedno logging consoleenable secret XXXXXXXXXXXXXXXXXXXXXXXXXXXX!no aaa new-modelclock timezone Prague 1clock summer-time Prague date Mar 30 2003 2:00 Oct 26 2003 3:00dot11 syslogip cef!!!!no ip domain lookupip domain name hjem.local!multilink bundle-name authenticatedcrypto pki token default removal timeout 0!crypto pki trustpoint TP-self-signed-1972925063enrollment selfsignedsubject-name cn=IOS-Self-Signed-Certificate-1972925063revocation-check nonersakeypair TP-self-signed-1972925063!!crypto pki certificate chain TP-self-signed-1972925063certificate self-signed 01SNIP**************************quit!!username Tore privilege 15 password XXXXXXXXXXXXXXXXXXXXarchivelog confighidekeys!!!!controller SHDSL 0/1/0termination cpe!no ip ftp passiveip ssh version 2!!!interface FastEthernet0/0description WAN_LINKip address dhcpip nat outsideip virtual-reassemblyduplex autospeed auto!interface FastEthernet0/1no ip addressduplex autospeed auto!interface FastEthernet0/1.10description INSIDE_LANencapsulation dot1Q 1 nativeip nat insideip virtual-reassembly!interface FastEthernet0/0/0!interface FastEthernet0/0/1!interface FastEthernet0/0/2!interface FastEthernet0/0/3!interface Vlan1no ip address!no ip forward-protocol ndip route 0.0.0.0 0.0.0.0 FastEthernet0/0!!ip http serverip http authentication localip http secure-serverip nat pool INSIDE_LAN 192.168.10.1 192.168.10.254 netmask 255.255.255.0ip nat inside source list 1 interface FastEthernet0/0 overload!access-list 1 permit 192.168.10.0 0.0.0.255!!!!control-plane!!line con 0line aux 0line vty 0 4password XXXXXXXXXXXXXXXXXXXXXlogin localtransport input telnet sshline vty 5 15login local!scheduler allocate 20000 1000ntp clock-period 17178597ntp update-calendarntp server 193.212.1.10 source FastEthernet0/0endfirewall# Har ikke merket så mye... Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå