Tischplattenbeißpotential: 0
1. Ein Kabel zwischen SW-1 und SW2 an den Fa0/23er Ports anbringen
-> braucht ein Crossover-Kabel, weil es zwei gleichartige Geräte sind.
-> wird nicht bewertet
2. Auf dem neuen Link "trunking" und alle Sicherheitsmechanismen aktivieren (den Port dem nativen VLAN 15 hinzufügen, auto-negotiation deaktivieren)
-> es sind damit nicht Root guard und Storm Control gemeint; die Arbeit kann man sich sparen.
SW-1(config)#int fa0/23
SW-1(config-if)#swi mode trunk
SW-1(config-if)#swi native vlan 15
SW-1(config-if)#swi nonegotiate
-> wen ein Port trunk ist, bleibt er so auch trunk bis ein Admin ihn umkonfiguriert, selbst wenn man ein Gerät im Access-Modus mit auto-negotiation anschließt
SW-1(config-if)#no shutdown
3. Ein gesondertes VLAN für Management erstellen (auf allen Switches - ginge effizienter über VTP, aber das ist hier nicht verlangt)
a) Nummer 20, Name VLAN0020:
SW-A(config)#vlan 20
SW-A(config-vlan)#name VLAN0020
b) Irgendeine IP-Adresse im Bereich 192.168.20.0/24 vergeben um eine IP-Adresse zu haben, mit der man den Switch von anderen Geräten aus erreichen und konfigurieren kann:
SW-A(config)#int vlan 20
SW-A(config-if)#ip add 192.168.20.1 255.255.255.0
-> jedem Switch natürlich eine andere Adresse geben
SW-A(config-if)#no shu
4. Den PC-C1 mit eine IP-Adresse zuweisen und mit dem Switch SW-A auf Port Fa0/1 verbinden.
-> Straight-Through-Kabel
-> Adresse aus dem Bereich 192.168.20.0/24: Im Config-Tab des PCs "FastEthernet" wählen, Adresse kann zB. 192.168.20.6 sein
5. Den PC in das Vlan 20 einbinden um ihm Zugriff zu geben (nur SW-A!)
SW-A(config-if)#int fa0/1
SW-A(config-if)#swi mode acc
SW-A(config-if)#swi acc vlan 20
SW-A(config-if)#no shu
6. Den Zugriff des Management-PCs auf den Router konfigurieren
a) Subinterface
-> erstelle ein neues Subinterface (Fa0/0.3) und vergib eine IP im Bereich 192.168.20.0/24
-> Subinterface heißt, dass es nur ein physikalisches Interface gibt, aber mehrere logische - entsprechend der existierenden VLANs auf den Switches
R1(config)#int fa0/0.3
R1(config-subif)#encapsulation dot1Q 20
-> erst die Encapsulation festlegen, vorher lässt sich keine IP-Adresse zuweisen
-> dot1q-Encapsulation mit dem Parameter 20, der IEEE 802.1Q VLAN ID
R1(config-subif)#ip add 192.168.20.20 255.255.255.0
b) PC konfigurieren
-> Die eben konfigurierte IP-Adresse muss noch als default gateway im PC eingestellt werden (Config-Tab -> Settings -> Gateway)
7. Verifizieren: Durch anpingen der Switches und des Routers von PC-C1 aus
Hinweis: Der erste Ping wird immer fehlschlagen, weil die ARP-Tabelle erst aufgebaut werden muss, also nicht wundern, wenn man "Add Simple PDU" verwendet und es fehlschlägt.
8. Eine ACL hinzufügen, die Zugriffe von anderen Netzwerken auf unser Management-Netzwerk 192.168.20.0/24 unterbindet, aber alle anderen Netzwerke einander den Zugriff erlaubt
-> wird nicht mehr bewertet, aber ich denke, dass meine Lösung richtig ist:
R1(config)#int fa0/0.3
R1(config-subif)#ip acc 1 in
-> am Sub-Interface angebracht = nah am Ziel = standard ACL
R1(config)#acc 1 permit 192.168.20.0 0.0.0.255
R1(config)#acc 1 deny 192.168.10.0 0.0.0.255
R1(config)#acc 1 deny 192.168.5.0 0.0.0.255
R1(config)#acc 1 deny any
-> Verifizieren:
R1(config)#sh ip acc 1
Standard IP access list 1
permit 192.168.20.0 0.0.0.255 (4 match(es))
deny 192.168.10.0 0.0.0.255 (1 match(es))
deny 192.168.5.0 0.0.0.255
deny any
-> der Router kann anpingt werden, aber nicht die Switches, das darf nur der Wartungs-PC im 20er-VLAN
Und: die PCs können sich gegenseitig noch anpingen
1. Ein Kabel zwischen SW-1 und SW2 an den Fa0/23er Ports anbringen
-> braucht ein Crossover-Kabel, weil es zwei gleichartige Geräte sind.
-> wird nicht bewertet
2. Auf dem neuen Link "trunking" und alle Sicherheitsmechanismen aktivieren (den Port dem nativen VLAN 15 hinzufügen, auto-negotiation deaktivieren)
-> es sind damit nicht Root guard und Storm Control gemeint; die Arbeit kann man sich sparen.
SW-1(config)#int fa0/23
SW-1(config-if)#swi mode trunk
SW-1(config-if)#swi native vlan 15
SW-1(config-if)#swi nonegotiate
-> wen ein Port trunk ist, bleibt er so auch trunk bis ein Admin ihn umkonfiguriert, selbst wenn man ein Gerät im Access-Modus mit auto-negotiation anschließt
SW-1(config-if)#no shutdown
3. Ein gesondertes VLAN für Management erstellen (auf allen Switches - ginge effizienter über VTP, aber das ist hier nicht verlangt)
a) Nummer 20, Name VLAN0020:
SW-A(config)#vlan 20
SW-A(config-vlan)#name VLAN0020
b) Irgendeine IP-Adresse im Bereich 192.168.20.0/24 vergeben um eine IP-Adresse zu haben, mit der man den Switch von anderen Geräten aus erreichen und konfigurieren kann:
SW-A(config)#int vlan 20
SW-A(config-if)#ip add 192.168.20.1 255.255.255.0
-> jedem Switch natürlich eine andere Adresse geben
SW-A(config-if)#no shu
4. Den PC-C1 mit eine IP-Adresse zuweisen und mit dem Switch SW-A auf Port Fa0/1 verbinden.
-> Straight-Through-Kabel
-> Adresse aus dem Bereich 192.168.20.0/24: Im Config-Tab des PCs "FastEthernet" wählen, Adresse kann zB. 192.168.20.6 sein
5. Den PC in das Vlan 20 einbinden um ihm Zugriff zu geben (nur SW-A!)
SW-A(config-if)#int fa0/1
SW-A(config-if)#swi mode acc
SW-A(config-if)#swi acc vlan 20
SW-A(config-if)#no shu
6. Den Zugriff des Management-PCs auf den Router konfigurieren
a) Subinterface
-> erstelle ein neues Subinterface (Fa0/0.3) und vergib eine IP im Bereich 192.168.20.0/24
-> Subinterface heißt, dass es nur ein physikalisches Interface gibt, aber mehrere logische - entsprechend der existierenden VLANs auf den Switches
R1(config)#int fa0/0.3
R1(config-subif)#encapsulation dot1Q 20
-> erst die Encapsulation festlegen, vorher lässt sich keine IP-Adresse zuweisen
-> dot1q-Encapsulation mit dem Parameter 20, der IEEE 802.1Q VLAN ID
R1(config-subif)#ip add 192.168.20.20 255.255.255.0
b) PC konfigurieren
-> Die eben konfigurierte IP-Adresse muss noch als default gateway im PC eingestellt werden (Config-Tab -> Settings -> Gateway)
7. Verifizieren: Durch anpingen der Switches und des Routers von PC-C1 aus
Hinweis: Der erste Ping wird immer fehlschlagen, weil die ARP-Tabelle erst aufgebaut werden muss, also nicht wundern, wenn man "Add Simple PDU" verwendet und es fehlschlägt.
8. Eine ACL hinzufügen, die Zugriffe von anderen Netzwerken auf unser Management-Netzwerk 192.168.20.0/24 unterbindet, aber alle anderen Netzwerke einander den Zugriff erlaubt
-> wird nicht mehr bewertet, aber ich denke, dass meine Lösung richtig ist:
R1(config)#int fa0/0.3
R1(config-subif)#ip acc 1 in
-> am Sub-Interface angebracht = nah am Ziel = standard ACL
R1(config)#acc 1 permit 192.168.20.0 0.0.0.255
R1(config)#acc 1 deny 192.168.10.0 0.0.0.255
R1(config)#acc 1 deny 192.168.5.0 0.0.0.255
R1(config)#acc 1 deny any
-> Verifizieren:
R1(config)#sh ip acc 1
Standard IP access list 1
permit 192.168.20.0 0.0.0.255 (4 match(es))
deny 192.168.10.0 0.0.0.255 (1 match(es))
deny 192.168.5.0 0.0.0.255
deny any
-> der Router kann anpingt werden, aber nicht die Switches, das darf nur der Wartungs-PC im 20er-VLAN
Und: die PCs können sich gegenseitig noch anpingen
Keine Kommentare:
Kommentar veröffentlichen