aiuto a configurare un router cisco per routing tra due vlan

[motala]

Ciao ragazzi, avrei bisogno di un consiglio per configurare un router cisco per il routing tra 2 switch cisco 1900 che hanno 2 vlan.
Gli switch sono collegati tra loro con un backbone, (frame tagging isl), le vlan sono due, vlan 1 vlan 2 la prima usa le prime 5 porte dello switchA, la vlan 2 usa le porte 6-7-8 dello switch A e le prime tre dello switch B. ho collegato il router sull' upplink dello switch A come configuro il router per il routing tra le vlan?
Grazie in anticipo!!!

[Roby]

Verifica se lo switch è compatibile con Vlan 802.1q e se il router ha una
Cisco IOS release 12.0(5.2)WC(1) o superiore, cioè se ha la feature IP PLUS.

Se la risposta è si ti basterà una ethernet da dedicare per il router altrimenti devi disporre di un router con due ethernet e occupare anche due porte dello switch.

Dimmi intanto questo.

ciao

[motala]

...ho creato 2 subinterface sulla porta FastEthernet 0/0 come segue....
dimmi se potrebbe andar bene.....
Switch A
-interface fastethernet 0/1
trunk on
description ”trunkport_to_diverse"
switchport mode trunk
switchport trunk encapsulation isl

Switch B
-interface fastethernet 0/2
trunk on
description ”trunkport_to_ricerche”
switchport mode trunk
switchport trunk encapsulation isl


configurazione router per routing tra le 2 Vlan

E0.0 = interface FastEthernet 172.16.0.1/21

Sub Interfaces


E0.1 = 172.16.24.1/21 default gateway

E0.2 = 172.16.8.1/21 default gateway

malmö(config)#interface FastEthernet 0/0
router(config-if)# ip address 172.16.0.1 255.255.248.0

router (config-if)# interface FastEthernet 0/1
router (config-if-if)# ip address 172.16.24.1 255.255.248.0
router (config-if-if)# encap isl 1
router (config-if-if)# no shut down
router (config-if-if)# exit


router(config-if)# interface FastEthernet 0/2
router(config-if-if)# ip address 172.16.8.1 255.255.248.0
router(config-if-if)# encap isl 2
router(config-if-if)#no shut down
router(config-if-if)#exit

[Roby]

Hai scelto di utilizzare un router con due ethernet per far comunicare le due VLAN.
Ora però è necessario capire perchè ci sono due VLAN.
Le due VLAN sono state creare solamente per dividere il dominio di broadcast ma comunque possono comunicare fra di loro?
Oppure le VLAN sono state create per non far comunicare fra di loro i Pc ad esse collegate per scopi di sicurezza?

Se la risposta è "il secondo caso" usando il protocollo RIP v2 (come dal topic sul "Frame Relay") dovrai utilizzare delle ACL per consentire che il traffico esca dal routrer verso la WAN ma non fra le due VLAN.

Ciao

[motala]

..allora in pratica ci sono due vlan, vlan1 "ricerche" e vlan2 "diverse"
la vlan2 non ha acesso alle "ricerche"(vlan1) ma la vlan1 ha acesso all'intero network, in piu' c'e' un web server a cui devono accedere le due vlan...come le configuro le acl? che indirizzo do al webserver?
su hai gli ip delle vlan...
Grazie

[motala]

....questa e' la configurazione del rip v2:

router(config)#router rip
router(config-rip)#version 2
router(config-rip)#network 172.16.0.0
router(config-rip)#network 172.16.8.0
router(config-rip)#network 172.16.24.0
E' giusta l'impostazone degli ip?

[motala]

....un aiuto per configurare le acl delle due vlan?
Grazie!!!

[Roby]

Scusa ma ho bisogno di capire meglio la situazione.

Per quanto riguarda le VLAN, Ricapitolando:
La VLAN1 ha accesso a tutta la rete, quindi può stabilire connessioni anche su macchine della VLAN2 per quale scopo?
Amministrazione, o deve solo utilizzare i servizi di uno o più server?

Inoltre il Web server deve essere visto da tutta le rete VLAN 1 e VLAN2, hai deciso dove collocarlo?

Per annunciare le reti con network è sufficiente
router(config-rip)#network 172.16.0.0
comunque quello che hai messo va bene.

Ciao

[motala]

.....allora, la societa' commercializza caviale, a Malmö c'e' la sede centrale, ci sono 2 vlan, la vlan 1 fa ricerche di mercato e di prodotto ed amministrazione, devono avere acesso all'intero network, nella vlan 1 ci sono venditori e segretari.... il web server viene utilizzato dalle due vlans, non l'ho ancora piazzato, il collegamento internet l'ho fatto in una porta logica dell' isdn backup....(e' tra malmö e stockholm)...ti allego uno schizzo che ho fatto delle vlan... e uno dell'intera wan...
grazie ancora...

[Roby]

Grazie,
ora mi è più chiaro.
Fammi dare un'occihata con calma e poi ti rispondo

Ciao

[motala]

Perfetto! ti ringrazio!

[motala]

...in base allo schizzo riportato qui in alto, dove posso piazzare un web server e che indirizzo gli posso dare?....non riesco a creare un acl per le due lan e web server.....

[Roby]

Eccomi nuovamente, dopo una settimana inensa di lavoro.
Non mi sono dimenticato del tuo problema ed ho potuto guardare con un po' di calma lo schema e la configurazione che mi hai dato.
Per la comunicazione fra le VLAN usi una porta trunk ed frame tagging isl nella E0. La configurazione è corretta
Il Web server è visibile solo dalle due VLAN, quindi potresti configurare una ulteriore porta dello switch sulla VLAN 1 e metterci il Web Server ad un indirizzo libero della rete 172.16.24.0/21 ( per esempio 172.16.24.100).

E consentire alla VLAN2 di vedere solo il Web Server e rispondere alle connessioni dalla dei PC sulla VLAN1
access-list 100 permit tcp 172.16.8.0 0.0.7.255 host 172.16.24.100 eq www
access-list 100 permit tcp 172.16.8.0 0.0.7.255 172.16.24.0 0.0.7.255 estabilished


router (config-if)# interface FastEthernet 0/1
router (config-if-if)# ip address 172.16.24.1 255.255.248.0
router (config-if-if)# encap isl 1
router (config-if-if)# no shut down
router (config-if-if)# exit


router(config-if)# interface FastEthernet 0/2
router(config-if-if)# ip address 172.16.8.1 255.255.248.0
router(config-if-if)# encap isl 2
router(config-if-if)#no shut down
router(config-if-if)#ip access-group 100 in

Fai queste prove. Eventualmente dimmi se ci sono esigenze diverse

ciao

[motala]

ti ringrazio infinitamente! perfetto!

[motala]

..gentilissimo e superprofessionale Roby!