Szenario Aufbau - D-Link

Szenario Aufbau Es sollen vier von einander getrennte Subnetze erstellt und konfiguriert werden. Diese

werden stockwerksübergreifend über drei Switche mit einem Internet Gateway verbunden, um Zugang zum Internet zu erhalten.

Jedes Subnetz wird von einem Access Point verwaltet und an einen vorher bestimmten Port angeschlossen. In

diesem Beispiel jeweils einen AP an Port 1, 3, 5, 7 an Switch 3 (192.168.192.30).

Die drei Switche sind auf drei Stockwerke verteilt und mit einer Leitung miteinander verbunden.

Alle vier Subnetze sollen auf dem Switch im obersten Stockwerk eingerichtet werden,

wobei das Internet Gateway, mit dem Switch im untersten Stockwerk verbunden sein soll.

Das Routing wird von einem Layer 3 Switch übernommen.

In diesem Szenario wäre das Switch 1 (192.168.192.10), im untersten Stockwerk.

Das Internet Gateway bietet lediglich den Internetzugang an.

Weitere Rechner, auf sämtlichen Stockwerken, sollen unabhängig von den Subnetzen,

mit allen drei Switchen verbunden werden.

Es soll sowohl die Kommunikation zwischen den Rechnern innerhalb der Subnetze, als auch die Kommunikation zwischen den unabhängigen Rechnern, gewährleistet sein.

Subnetze und unabhängige Rechner sollen voneinander getrennt sein und nicht miteinander kommunizieren.

Sämtliche Rechner im Netzwerk sollen über das Internet Gateway Zugang zum Internet erhalten.

Szenario Skizze

Vor raussetzungen Sowohl ein Grundwissen, im Konfigurieren von Access Points, als auch im Konfigurieren von managebaren Switchen, wird vorausgesetzt.

Es werden lediglich die benötigten Schritte zum Aufbau des Test-Szenarios beschrieben.

Diese Anleitung ist beispielhaft an einem DGS-3324SR erstellt worden.

Abbildungen können je nach Modell abweichen.

Umsetzung

Konf igurat ion der Accesspoints

Die AP´s sollten als DHCP Server konfiguriert werden, jeweils 20 - 50 IP´s als Pool, je nach

Kundenanforderung. Die AP´s werden an den Switch Ports 1, 3, 5, 7 angeschlossen. In diesem Beispiel betrifft das Switch 3, mit der IP-Adresse 192.168.192.30

Die AP´s sollten in verschiedene Netze gelegt werden, hier im Beispiel: IP Bereiche: Accesspoint: Gateway: DNS Server:

192.168.1.x 192.168.1.50 192.168.1.254 192.168.1.254 192.168.2.x 192.168.2.50 192.168.2.254 192.168.2.254 192.168.3.x 192.168.3.50 192.168.3.254 192.168.3.254 192.168.4.x. 192.168.4.50 192.168.4.254 192.168.4.254 Das Gateway wird die korrespondierende IP Adresse des Interfaces des Layer 3 Switches. Der DNS Server wird die korrespondierende IP Adresse des Interfaces des Layer 3 Switches.

Konf igurat ion von Sw i tch 3 (192.168 .0.30) im OG2 Verbinden Sie sich mit Switch 3 und öffnen Sie das Konfigurationsmenü.

Default Gateway / DNS Relay

Der Switch 1 im EG übernimmt in diesem Beispiel das Routing.

Folglich muss die IP-Adresse des Internet Gateway´s (192.168.192.155) unter

DNS Relay eingetragen werden.

Abb.1: DNS Relay auf Switch 1

VLAN Einrichtung und Konfiguration

Alle Rechner, die über einen bestimmten Port und unabhängig von den restlichen Ports, miteinander

kommunizieren sollen, werden zu einem VLAN konfiguriert. In unserem Beispiel betrifft das Port 1, 3, 5, 7, wobei jeder Port einem VLAN reserviert werden soll.

Um ein VLAN auf einem Switch zu erstellen und zu konfigurieren, klicken Sie innerhalb des

Konfigurationsmenüs, links in der Menüleiste, auf…

„Configuration -> VLANs -> Static VLAN Entry”

…um auf die VLAN Konfigurationsseite zu gelangen.

Bevor VLAN´s erstellt werden, müssen die besagten Ports aus dem Default-VLAN genommen werden, indem

man sie dort deaktiviert.

Das Default-VLAN ist bereits vorhanden und muss lediglich umkonfiguriert werden. Klicken Sie im VLAN Konfigurationsmenü neben VLAN „default“ auf „Modify“.

Standardmäßig sind im Default-VLAN alle Ports mit „Egress“ aktiviert und untagged.

Behalten Sie die Einstellungen bei und ändern Sie lediglich den Status bei Port 1, 3, 5, 7 (nur bei Switch 192.168.192.30) auf „None“ und aktivieren Sie das „Tagging“, indem Sie bei diesen Ports ein Häkchen in das

Kontrollkästchen setzen.

Abb.2: Default VLAN auf Switch 3

Bestätigen Sie die Einstellungen mit „Apply“.

Mit „Show All Static VLAN Entries” gelangen Sie wieder zur VLAN Übersicht.

Um ein VLAN zu erstellen und zu konfigurieren, klicken Sie in der VLAN Konfigurationsseite auf „Add“. Im nun

geöffneten Fenster müssen Sie dem neuen VLAN, sowohl eine ID und einen Namen zuweisen, als auch den jeweiligen Port bzw. Ports konfigurieren.

Konfigurieren Sie die Ports für das jeweilige VLAN, indem Sie bei jedem dafür bestimmten Port, auf „Egress“

umstellen und das Häkchen bei „Tag“ deaktivieren.

Bei den Ports, die als Verbindungsschnittstelle unter den Switchen dienen, muss das „Tagging“ aktiviert sein.

Konfigurieren Sie die VLAN´s wie folgt:

Port 1, 3, 5, 7 wurden aus dem Default VLAN herausgenommen und werden jetzt jeweils in neue VLAN´s

gesetzt.

ID Name Advertisement Ports 10 10 Disabled Port 1 – untagged / Port 23 - tagged

20 20 Disabled Port 3 – untagged / Port 23 - tagged



Die PVID der Ports 1, 3, 5, 7 müssen unter GVRP Set tings jeweils den VLAN´s angepasst werden. Also Port 1 VLAN 10, Port 3 VLAN 20, Port 5 VLAN 30 und Port 7 VLAN 40.

Port 23 dient als Verbindungsschnittstelle mit Switch 2 im OG1.

Abb.3: VLAN 10 auf Switch 3

Vergeben Sie ID und Namen und lassen Sie den Status bei Advertisement auf „Disabled“.

Setzen Sie Port 1 auf untagged, indem Sie das Häkchen aus dem Kontrollkästchen deaktivieren und ändern

Sie auf „Egress“.

Sämtliche Ports, die nicht in das VLAN konfiguriert werden sollen, behalten die Einstellung „None“ bei und

bleiben getagged.


Klicken Sie auf „Show All Static VLAN Entries“ um zur VLAN Übersicht zurück zu gelangen. Hier sehen Sie nun

das erstellte VLAN.

Klicken Sie erneut auf „Add“ um das zweite VLAN zu erstellen.

Beachten Sie bitte, dass die Ports für die verschiedenen VLAN´s reserviert werden und dass beispielsweise

Port 1 nicht mehr im VLAN20 mit einbezogen werden darf.


Erstellen Sie anschließend nacheinander VLAN 3 und 4.

Bestätigen Sie Änderungen bei jedem VLAN mit „Apply“.

Mit „Show All Static VLAN Entries“ gelangen Sie wieder zur VLAN Übersicht.

Abb.7: VLAN Übersicht auf Switch 3

Konf igurat ion von Sw i tch 2 (192.168 .0.20) im OG1

Verbinden Sie sich mit Switch 2 und öffnen Sie das VLAN Konfigurationsmenü.

VLAN Einrichtung und Konfiguration

Das Default-VLAN bleibt hier unverändert.

Das bedeutet, dass sowohl die VLAN-Netzwerke von Switch 3, als auch die unabhängigen Rechner, die sich

zusätzlich an allen Switchen verbinden, Zugang zum Internet erhalten (in unserem Beispiel von Port 23 über

Port 24 auf Port 1), ohne dass eine Kommunikation zwischen ihnen und den VLAN´s möglich ist.

Standardmäßig sind im Default-VLAN alle Ports mit „Egress“ aktiviert und untagged. Behalten Sie diese Einstellung bei.

Hier dient Port 23 als Verbindungsschnittstelle mit Switch 3 im 2OG und Port 24 mit Switch 1 im EG.


Bestätigen Sie die Einstellung mit „Apply“.

Auf Switch 2 müssen nun ebenfalls vier VLAN´s erstellt und Konfiguriert werden.

Zusätzlich müssen die Ports, die als Verbindungsschnittstelle zwischen den reservierten VLAN´s von Switch 3,

Switch 1 und dem Router dienen, konfiguriert werden.

Erstellen Sie wieder vier VLAN´s nach beschriebener Vorgehensweise.

Benennen Sie die VLAN´s genau so wie auf Switch 3.

Stellen Sie bei allen vier VLAN´s Port 23 und Port 24 auf „Egress“ um, wobei wieder das „Tagging“ aktiviert sein muss.


ID Name Advertisement Ports

10 10 Disabled Port 23 – tagged / Port 24 - tagged

20 20 Disabled Port 23 – tagged / Port 24 - tagged 30 30 Disabled Port 23 – tagged / Port 24 - tagged

40 40 Disabled Port 23 – tagged / Port 24 - tagged



Bestätigen Sie die Einstellungen bei jedem VLAN mit „Apply“.

Es müssten nun wieder alle erstellten VLAN´s in der Übersicht angezeigt werden.

Abb.13: VLAN Übersicht auf Switch 2 Konf igurat ion von Sw i tch 1 (192.168 .0.10) im EG

Verbinden Sie sich schließlich mit Switch 1 und öffnen Sie das VLAN Konfigurationsmenü. VLAN Einrichtung und Konfiguration

Erneut bleibt das Default-Vlan unverändert.

Behalten Sie sämtliche Einstellungen im Default VLAN bei.



In unserem Beispiel dient Port 24 als Verbindungsschnittstelle mit Switch 2 im OG1 und Port 1 mit dem Internet

Gateway 192.168.192.155

Erstellen Sie wieder vier VLAN´s nach beschriebener Vorgehensweise.

Benennen Sie die VLAN´s genau so wie auf Switch 3.


ID Name Advertisement Ports

10 10 Disabled Port 24 - tagged

20 20 Disabled Port 24 - tagged 30 30 Disabled Port 24 - tagged

40 40 Disabled Port 24 - tagged

Aktivieren Sie diesmal bei jedem VLAN, Port 1 und Port 24 mit „Egress“, wobei das „Tag“, bei beiden Ports,

aktiviert sein muss.

Erstellt mit einer Testversion von PDF Annotator - www.PDFAnnotator.de

Abb.18: VLAN 40 auf Switch 1 Bestätigen Sie die Einstellungen mit „Apply“. Es müssten nun wieder alle erstellten VLAN´s in der Übersicht angezeigt werden.

Abb.19: VLAN Übersicht auf Switch 1 IP Interfaces Settings / Routing Als nächstes werden die IP Interfaces definiert (im Beispiel jeweils die 192.168.x.254) und den VLANs

zugeordnet. Über…

„Configuration -> Layer 3 IP Networking -> IP Interfaces Settings”

…gelangen Sie auf die IP Interfaces Settings Konfigurationsseite.

Klicken Sie auf “Add”, um ein Interface zu konfigurieren.

Weisen Sie IP Adressen den Interfaces wie folgt zu: VLAN IP-Adresse Netz Gateway

10 192.168.1.254 192.168.1.0 192.168.192.254

20 192.168.2.254 192.168.2.0 192.168.192.254

30 192.168.3.254 192.168.3.0 192.168.192.254

40 192.168.4.254 192.168.4.0 192.168.192.254

Sobald die Routen auf dem Internet Gateway erstellt worden sind, fängt der Switch an zu Routen.

Abb.20: Interface Setting auf Switch 1

Fügen Sie vier IP Interfaces, wie oben beschrieben, ein. Mit „Show All IP Interfaces Entries“ gelangen Sie wieder zur Übersicht zurück.

Abb.21: IP Interfaces Settings auf Switch 1 Access Profile Table (ACL) Damit das Routing zwischen den Netzen unterbunden werden kann, müssen Access Profile Tables (ACL), mit

dazugehörigen Access Rules, erstellt werden.

Es wird als erstes ein generelles Profil für die Netzmaske 255.255.255.0 erstellt.

Auf diesem bauen dann die folgenden DENY Rules auf.

Generelles Profile:

Über „Configuration -> Access Profile Table” gelangen Sie auf die Konfigurationsseite der Access Profile Table,

wo Sie ein generelles Profil anlegen müssen.

Klicken Sie auf “Add”, um ein Profil anzulegen.

Abb.22: ACL Profile Konfiguration auf Switch 1

Definieren Sie das Profil, indem Sie wie folgt vorgehen:

IP aktivieren,

Source Netmask -> Häkchen setzen -> 255.255.255.0 eingeben,

Destination Netmask -> Häkchen setzen -> 255.255.255.0 eingeben,

Mit „Apply“ bestätigen. Über „Show All Profile Table Entries“ gelangen Sie zur Übersicht zurück.

Hier sollte nun das erstellte Profil angezeigt werden.

Abb.23: ACL Profile Übersicht auf Switch 1

Abb.24: ACL Profile Details auf Switch1

Access Rules

Anschließend werden die Access Rules hinzugefügt, indem man bei dem erstellten Profil, unter „Access

Rules“, auf „Modify“ klickt.

Um eine Regel zu erstellen, klicken Sie in der Access Rule Table auf „Add“.

Weisen Sie als erstes der Access Rule eine ID zu. Bestimmten Sie, ob es sich um eine „Allow“ (Erlauben) oder „Deny“ (Verbieten)

Regel handeln soll. In diesem Beispiel werden allerdings ausschließlich „Deny“ Regeln festgelegt.

Geben Sie das Quell- und Zielnetzwerk an, bei denen die Kommunikation verboten werden soll. Schließlich

müssen Sie noch den betroffenen Port angeben. Vergeben Sie beispielsweise, für das Netz 192.168.1.0, folgende Rules: Rule ID 10 Rule ID 11 Rule ID 12 Rule ID 13

Deny Deny Deny Deny 192.168.1.0 192.168.1.0 192.168.1.0 192.168.1.0

192.168.2.0 192.168.3.0 192.168.4.0 192.168.192.0

Port 1:24 Port 1:24 Port 1:24 Port 1:24

Abb.25: Access Rule 10 auf Switch 1

(Wichtig: Der Port wird mit alter Firmwareversion, im Access Rule Display, nicht mehr angezeigt!)

Da sämtliche VLAN´s in diesem Beispiel immer über einen Verbindungsport (Port 24) kommunizieren, wird dieser bei jeder Regel als betroffener Port angegeben.


Mit “Show All Access Rule Entries” gelangen Sie wieder zurück zur Übersicht. Entsprechend sollte es für das Netz 192.168.2.0 wie folgt aussehen: Rule ID 20 Rule ID 21 Rule ID 22 Rule ID 23

DENY DENY DENY DENY

192.168.2.0 192.168.2.0 192.168.2.0 192.168.2.0

192.168.1.0 192.168.3.0 192.168.4.0 192.168.192.0 Port 1:24 Port 1:24 Port 1:24 Port 1:24

Nach diesem Schema sollten alle Regeln, bei Netzen die nicht geroutet werden sollen, erstellt werden. Somit wird eine gewisse Übersichtlichkeit gewährleistet. Natürlich können sämtliche Regeln und Einstellungen individuell angepasst werden.


Nach dem Sie sämtlich benötigten Rules angelegt haben, werden diese in der Access Rule Table angezeigt.

Abb.32: Access Rule Übersicht auf Switch 1

Abb.33: Access Rule Übersicht auf Switch 1

Klicken Sie auf „View“ um sich nähere Details der jeweiligen Regel anzeigen zu lassen.

Abb.34: Access Rule Display

Beachten Sie bitte, dass mit alter Firmwareversion, der zugewiesene Port im Access Rule Display nicht

angezeigt wird. Dieses Problem wird mit der aktuellen Firmware behoben.

Abb.23: Access Rule Display

5. Test

Damit sind alle Einstellungen abgeschlossen und der Aufbau kann getestet werden. Jeder der Rechner, unabhängig vom Subnetz kann das Internet nutzen, ausser dem innerhalb seines IP Bereiches Netzwerkdienste nutzen, es können aber keine Informationen zwischen den Subnetzen ausgetauscht werden.

Szenario Aufbau - D-Link

Documents

Transcript of Szenario Aufbau - D-Link