[Løst] Cisco 1841 - ny ruter i heimen

[ChrisCo]

Vel, etter å tenkt etter i 2 sekunder lengre en i går så er det "feil" sånn du har gjort det... Servere og andre enheter skal du egentlig koble til switchen din, ikke routeren... Det fungerer jo, som du selv opplever og det er ikke direkte feil, men utifra et design synspunkt, så er det "feil"...

 

VLAN 1 er default VLAN og bør ikke brukes! Hvis du skal ha et management VLAN, så velg et annet... Anbefaler deg å deaktivere VLAN 1...

 

Som sagt, så kan du ha det sånn du har satt det opp nå, men det er ikke "riktig" måte å gjøre det på.. Siden du har en switch, så anbefaler jeg deg å koble den til routeren og alle andre enheter til switchen, og opprette sub-interfaces/VLANs på fa0/1...

[toreae]

Vel, etter å tenkt etter i 2 sekunder lengre en i går så er det "feil" sånn du har gjort det... Servere og andre enheter skal du egentlig koble til switchen din, ikke routeren... Det fungerer jo, som du selv opplever og det er ikke direkte feil, men utifra et design synspunkt, så er det "feil"...

 

VLAN 1 er default VLAN og bør ikke brukes! Hvis du skal ha et management VLAN, så velg et annet... Anbefaler deg å deaktivere VLAN 1...

 

Som sagt, så kan du ha det sånn du har satt det opp nå, men det er ikke "riktig" måte å gjøre det på.. Siden du har en switch, så anbefaler jeg deg å koble den til routeren og alle andre enheter til switchen, og opprette sub-interfaces/VLANs på fa0/1...

 

Da skal jeg gjøre som du sier, men senere. Det er ganske mye som skal tas bort. Å laste ned konfigen - editer - laste opp igjen, er vel kjappeste framgangsmåten? Dåg editering med forsiktighet.

[ChrisCo]

Bare skriv no foran...

 

conf t

int fa0/1

no ip adress

no ip nat inside

etc....

 

Og sette det opp på sub-interfacet i stedet... Du skal i praksis bare flytte konfigen fra det fysiske interfacet (fa0/1) til sub-interfacet (fa0/1.x)

[toreae]

For å opprette VLANs (eller rettere sagt routing av VLAN), så må du opprette sub-interfaces.. Det gjøres ved å legge til .X etter interface betegnelsen - eks: fa0/1.1

 

Da vil du komme inn i sub-interface menyen - Router(config-subif)#

 

Tips: For å ha en enkel, logisk struktur på sub-interfaces mot VLAN ID, bruk samme sub-interface, subnet IP og VID...

 

Eks:

Int fa0/1.10 (ubetydelig hvilken .X nummer - kan være hva som helst)

IP: 192.168.10.1

VLAN 10

 

Legg inn:

 

encapsulation dot1Q X (X = VID)

IP address <IP adresse> <mask>

 

NB! Det fysiske interfacet, altså fa0/1, må ikke være konfigurert med IP info! Du må fjerne alt som er satt opp på det interfacet, ink NAT.. Du må "overføre" dette til sub-interfacet/sub-interfacene.. Du må også opprette DHCP pooler for hvert VLAN du oppretter..

 

Det fysiske interfacet skal kun være aktivt - altså i no shut tilstand

 

Husk å lagre (do wr) og ta backup til tftp serveren din...

 

Har nå gjort dette. For ikke svar på ping fysiske interfacet fa0/1. Hva mangler eller er feil?

 

sh run

 

 

 

firewall#sh run

Building configuration...

 

Current configuration : 3684 bytes

!

! Last configuration change at 19:01:29 Prague Fri Sep 19 2014

! NVRAM config last updated at 19:01:32 Prague Fri Sep 19 2014

!

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

service password-encryption

!

hostname firewall

!

boot-start-marker

boot system flash c1841-advsecurityk9-mz.124-15.T12.bin

boot-end-marker

!

no logging buffered

no logging console

enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXX

!

no aaa new-model

clock timezone Prague 1

clock summer-time Prague date Mar 30 2003 2:00 Oct 26 2003 3:00

dot11 syslog

ip cef

!

!

!

!

no ip domain lookup

ip domain name hjem.local

!

multilink bundle-name authenticated

crypto pki token default removal timeout 0

!

crypto pki trustpoint TP-self-signed-1972925063

enrollment selfsigned

subject-name cn=IOS-Self-Signed-Certificate-1972925063

revocation-check none

rsakeypair TP-self-signed-1972925063

!

!

crypto pki certificate chain TP-self-signed-1972925063

certificate self-signed 01

SNIP******************************

quit

!

!

username Tore privilege 15 password XXXXXXXXXXXXXXXXXXXX

archive

log config

hidekeys

!

!

!

!

controller SHDSL 0/1/0

termination cpe

!

no ip ftp passive

ip ssh version 2

!

!

!

interface FastEthernet0/0

description WAN_LINK

ip address dhcp

ip nat outside

ip virtual-reassembly

duplex auto

speed auto

!

interface FastEthernet0/1

no ip address

duplex auto

speed auto

!

interface FastEthernet0/1.10

description INSIDE_LAN

encapsulation dot1Q 10

ip address 192.168.10.1 255.255.255.0

ip nat inside

ip virtual-reassembly

!

interface FastEthernet0/0/0

!

interface FastEthernet0/0/1

!

interface FastEthernet0/0/2

!

interface FastEthernet0/0/3

!

interface Vlan1

no ip address

!

no ip forward-protocol nd

ip route 0.0.0.0 0.0.0.0 FastEthernet0/0

!

!

ip http server

ip http authentication local

ip http secure-server

ip nat pool INSIDE_LAN 192.168.10.1 192.168.10.254 netmask 255.255.255.0

ip nat inside source list 1 interface FastEthernet0/1.10 overload

!

access-list 1 permit 192.168.10.0 0.0.0.255

!

!

!

!

control-plane

!

!

line con 0

line aux 0

line vty 0 4

password XXXXXXXXXXXXXXXXXXXX

login local

transport input telnet ssh

line vty 5 15

login local

!

scheduler allocate 20000 1000

ntp clock-period 17178597

ntp update-calendar

ntp server 193.212.1.10 source FastEthernet0/0

end

 

firewall#

 

 

[ChrisCo]

Selvfølgelig får du ikke svar på fa0/1! Det har jo ikke noe IP adresse lengere...

 

Og sub-interfacet har du tagget til VLAN 10 (encapsulation dot1Q 10).. Endre til 1, så funker det..

 

EDIT: Og her: ip nat inside source list 1 interface FastEthernet0/1.10 overload

Har du satt feil interface.. Endre den også til fa0/0, så blir det andre boller...

Endret 19. september 2014 av ChrisCo

[toreae]

Kjappt svart! (Venter du bar på neste post fra meg? )

Jeg får ikke sjekket om det virker før jeg får pinget. Ting må vel over på et fysisk interface for å få glede av noe?

 

 

Trodde du ville ha:

interface FastEthernet0/1.10
description INSIDE_LAN
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0

 

Har nå rettet:
interface FastEthernet0/1.10
description INSIDE_LAN
encapsulation dot1Q 1 native
ip nat inside
ip virtual-reassembly
!

[ChrisCo]

 

 

Ting må vel over på et fysisk interface for å få glede av noe?

 

Det fysiske interfacet er nå bare et fysisk medium, so to speak.. Det skal kun være i no shut/aktivert.. Sub-interfacet er nå interfacet routeren bryr seg om... Så glem det fysiske, det er kun sub-interfacet som er relevant...

 

 

Trodde du ville ha:

interface FastEthernet0/1.10

description INSIDE_LAN

encapsulation dot1Q 10

ip address 192.168.10.1 255.255.255.0

 

Ja, assa, når du ikke har en range som du allerede bruker liksom, så for å gjøre det enkelt for seg selv, så er det lurt å bruke den samme verdien på alle 3... For eksempel, du skal opprette 3 VLAN og du kan velge fritt hvilken range av IP adresser du vil bruke, så gjør man det sånn...

 

VLAN 1 = fa0/1.1 | 192.168.1.0/24

VLAN 10 = fa0/1.10 | 192.168.10.0/24

VLAN 20 = fa0/1.20 | 192.168.20.0/24

 

Skjønner du logikken/tankegangen bak det nå? Det er bare for å ha en enkel, logisk struktur på det. Og encapsulation dot1q X kommandoen forteller hvilket VLAN sub-interfacet tilhører og VLAN ID som skal tagges.. Så du har satt interfacet ditt til å tagge trafikken til VLAN 10...

[toreae]

 

 

 

Ting må vel over på et fysisk interface for å få glede av noe?

 

Det fysiske interfacet er nå bare et fysisk medium, so to speak.. Det skal kun være i no shut/aktivert.. Sub-interfacet er nå interfacet routeren bryr seg om... Så glem det fysiske, det er kun sub-interfacet som er relevant...

 

 

Trodde du ville ha:

interface FastEthernet0/1.10

description INSIDE_LAN

encapsulation dot1Q 10

ip address 192.168.10.1 255.255.255.0

 

Ja, assa, når du ikke har en range som du allerede bruker liksom, så for å gjøre det enkelt for seg selv, så er det lurt å bruke den samme verdien på alle 3... For eksempel, du skal opprette 3 VLAN og du kan velge fritt hvilken range av IP adresser du vil bruke, så gjør man det sånn...

 

VLAN 1 = fa0/1.1 | 192.168.1.0/24

VLAN 10 = fa0/1.10 | 192.168.10.0/24

VLAN 20 = fa0/1.20 | 192.168.20.0/24

 

Skjønner du logikken/tankegangen bak det nå? Det er bare for å ha en enkel, logisk struktur på det. Og encapsulation dot1q X kommandoen forteller hvilket VLAN sub-interfacet tilhører og VLAN ID som skal tagges.. Så du har satt interfacet ditt til å tagge trafikken til VLAN 10...

 

 

 

Nå er jeg helt lost:

Interface FastEthernet0/0 er alt ok, men interface FastEthernet0/1 trenger jeg ikke plugge inn en gang, for der skjer det ingenting.

 

Var det rett som jeg hadde det først,eller:

interface FastEthernet0/1.10

description INSIDE_LAN

encapsulation dot1Q 10

ip address 192.168.10.1 255.255.255.0

Var tenkt å lage 192.168.10.0 192.168.20.0 nett osv.

[ChrisCo]

Skjønte du ikke hva jeg skrev i forrige post?

 

Encapsulation dot1 X er det som styrer det hele.. X = VLAN ID!

 

Hverken sub-interface-nummer eller IP adressen du setter på interfacet, spiller noen rolle... Alt styres av hvilken VLAN ID du setter! Hvis 10.0/24 skal kjøre på VLAN 1, så skriver du encapsulation dot1q 1

Endret 19. september 2014 av ChrisCo

[j--]

Du er sikker på du ønsker flere forskjellige VLAN?

 

Du kan kjøre det på denne måten óg, om du kun ønsker forskjellige subnett:

no int 
FastEthernet0/1.10
int FastEthernet0/1
description LAN inside
ip nat inside
ip address 192.168.0.1 255.255.255.0
ip address 192.168.1.1 255.255.255.0 secondary
ip address 192.168.2.1 255.255.255.0 secondary
end

Fordelen er større ved å kjøre separate VLAN. Enklere logisk sett, og sikrere.

[ChrisCo]

Det er ikke den lureste måten å gjøre det på, men det går... Er bedre å bruke vanlige VLANs til å segmentere og skille de forskjellige subnettene....

[j--]

Er jo det jeg skriver, ChrisCo.

 

 

Fordelen er større ved å kjøre separate VLAN. Enklere logisk sett, og sikrere.

[ChrisCo]

Jepp det gjør du! Jeg som leste/tenkte/tolket feil! My bad! Glem det.....

 

It's friday, it's late and I'm tired... Giv me a break, man!

Endret 19. september 2014 av ChrisCo

[toreae]

Slik oppfatter jeg dette, så for du si hva jeg oppfatter feil:

Fra spoileren i post # 64.

 

interface FastEthernet0/1.10
description INSIDE_LAN
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly

 

I post # 65 sier du at jeg skal endre til

encapsulation dot1Q 1

 

Post # 67, skjønner ikke bæret.

 

POst # 69,

encapsulation dot1Q 10

er kanskje riktigt?

 

Men uansett må trafikken fra brukere (og senere server(e)) ut på et fysisk medium, hvilket det ikke er nå.

 

 

[ChrisCo]

encapsulation dot1Q 10 = VLAN tagging - All trafikk, altså IP pakker, blir tagget i henhold til 802.11Q protokollen, med en VLAN ID (10). Dette interfacet tilhører nå VLAN 10 og sender og mottar kun trafikk tilhørende VLAN 10...

 

Standard/native VLAN er 1, så med mindre du har endret alle switchporter til å enten tilhøre, eller trunke til VLAN 10, så må du endre encapsulation til VLAN 1

 

Konfigen skal være sånn

 

interface FastEthernet0/1.10
description INSIDE_LAN
encapsulation dot1Q 1
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly

[toreae]

Så det jeg gjorde i post #66 var riktig?

 

Men foreløpig er Ciscoen min like nyttig som et kabelbrudd.

[ChrisCo]

Det du rettet til, er riktig, ja...

 

Har du IP adresse på sub-interfacet nå? Post en ny show run...

[toreae]

Sh run

 

 

firewall#sh run
Building configuration...

Current configuration : 3667 bytes
!
! Last configuration change at 22:30:11 Prague Fri Sep 19 2014 by Tore
! NVRAM config last updated at 22:30:15 Prague Fri Sep 19 2014 by Tore
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname firewall
!
boot-start-marker
boot system flash c1841-advsecurityk9-mz.124-15.T12.bin
boot-end-marker
!
no logging buffered
no logging console
enable secret 5 $1$BlIc$lYp4r37.0njtM0rLuqn5R/
!
no aaa new-model
clock timezone Prague 1
clock summer-time Prague date Mar 30 2003 2:00 Oct 26 2003 3:00
dot11 syslog
ip cef
!
!
!
!
no ip domain lookup
ip domain name hjem.local
!
multilink bundle-name authenticated
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-1972925063
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1972925063
revocation-check none
rsakeypair TP-self-signed-1972925063
!
!
crypto pki certificate chain TP-self-signed-1972925063
certificate self-signed 01
3082024B 308201B4 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31393732 39323530 3633301E 170D3134 30393134 31333337
30395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 39373239
32353036 3330819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100B505 86890221 AB0E9D9A 4E5D9AA1 C6032560 A0F46D23 50D9B8A1 56F78105
FABDCBBF 69AB864B CA69FA63 4DC77E97 C2A210C2 96406C14 5DB9D7CF F2E1AF1F
80C6FEE5 07138382 771D9BE4 C74B4BCD 0F2BEA62 F93BBED4 8E627117 6E3AEFE5
22804684 95EA6583 91CCBC81 466C3609 C3FDFB14 4CA98BB1 A86E2FF3 1ED1E8EA
8CD90203 010001A3 73307130 0F060355 1D130101 FF040530 030101FF 301E0603
551D1104 17301582 13666972 6577616C 6C2E686A 656D2E6C 6F63616C 301F0603
551D2304 18301680 143A783D 92189D05 521C4D0D ADFA8F21 D4BCD954 65301D06
03551D0E 04160414 3A783D92 189D0552 1C4D0DAD FA8F21D4 BCD95465 300D0609
2A864886 F70D0101 04050003 81810042 963777BC 7B8922E0 2FE93072 E8023ACF
EECF1AD6 8F564EB1 289E432C DB9ACB14 93D8B335 BD52EDAC 0B8ECF39 6F5EA965
B9E9E999 1C881A98 A400BDE0 783EF52A 8B7F2A64 8EEF402D 853B6FB0 363A98B1
71B82BCB 7A6C58C5 4A398559 0D54C8FD 60E4D489 250510EA 4D84ECAF D9D19DD5
01D9EA05 C8116BB4 299A013C 3BD8E9
quit
!
!
username Tore privilege 15 password 7 06541D2644475F412A
archive
log config
hidekeys
!
!
!
!
controller SHDSL 0/1/0
termination cpe
!
no ip ftp passive
ip ssh version 2
!
!
!
interface FastEthernet0/0
description WAN_LINK
ip address dhcp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface FastEthernet0/1.10
description INSIDE_LAN
encapsulation dot1Q 1 native
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/0/0
!
interface FastEthernet0/0/1
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
!
interface Vlan1
no ip address
!
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
!
!
ip http server
ip http authentication local
ip http secure-server
ip nat pool INSIDE_LAN 192.168.10.1 192.168.10.254 netmask 255.255.255.0
ip nat inside source list 1 interface FastEthernet0/1.10 overload
!
access-list 1 permit 192.168.10.0 0.0.0.255
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
password 7 0356490C0E06771461
login local
transport input telnet ssh
line vty 5 15
login local
!
scheduler allocate 20000 1000
ntp clock-period 17178597
ntp update-calendar
ntp server 193.212.1.10 source FastEthernet0/0
end

firewall#

 

 

[ChrisCo]

Fra post #65

 

 

ip nat inside source list 1 interface FastEthernet0/1.10 overload

Har du satt feil interface.. Endre den også til fa0/0, så blir det andre boller...

[toreae]

Mulig det

sh run

 

 

firewall#sh run
Building configuration...

Current configuration : 3520 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname firewall
!
boot-start-marker
boot system flash c1841-advsecurityk9-mz.124-15.T12.bin
boot-end-marker
!
no logging buffered
no logging console
enable secret XXXXXXXXXXXXXXXXXXXXXXXXXXXX
!
no aaa new-model
clock timezone Prague 1
clock summer-time Prague date Mar 30 2003 2:00 Oct 26 2003 3:00
dot11 syslog
ip cef
!
!
!
!
no ip domain lookup
ip domain name hjem.local
!
multilink bundle-name authenticated
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-1972925063
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1972925063
revocation-check none
rsakeypair TP-self-signed-1972925063
!
!
crypto pki certificate chain TP-self-signed-1972925063
certificate self-signed 01
SNIP**************************
quit
!
!
username Tore privilege 15 password XXXXXXXXXXXXXXXXXXXX
archive
log config
hidekeys
!
!
!
!
controller SHDSL 0/1/0
termination cpe
!
no ip ftp passive
ip ssh version 2
!
!
!
interface FastEthernet0/0
description WAN_LINK
ip address dhcp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface FastEthernet0/1.10
description INSIDE_LAN
encapsulation dot1Q 1 native
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/0/0
!
interface FastEthernet0/0/1
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
!
interface Vlan1
no ip address
!
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
!
!
ip http server
ip http authentication local
ip http secure-server
ip nat pool INSIDE_LAN 192.168.10.1 192.168.10.254 netmask 255.255.255.0
ip nat inside source list 1 interface FastEthernet0/0 overload
!
access-list 1 permit 192.168.10.0 0.0.0.255
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
password XXXXXXXXXXXXXXXXXXXXX
login local
transport input telnet ssh
line vty 5 15
login local
!
scheduler allocate 20000 1000
ntp clock-period 17178597
ntp update-calendar
ntp server 193.212.1.10 source FastEthernet0/0
end

firewall#

 

 

Har ikke merket så mye...