Hi. Vorweg: Das Arbeitstreffen in Essen hat mir wirklich gut gefallen -- auch wenn ich nicht sooo lange Zeit hatte und mein Beitrag eher bescheiden ausgefallen ist. Trotzdem schön, dass ich endlich mal ein paar Gesichter vor Augen habe -- bin froh, dass ich da war! :)
Heute habe ich folgendes ausprobiert: Unsere Testumgebung mit lmn 6.1 + VLAN + Subnetting funktioniert soweit. Ich habe ein Extra-VLAN 2 nur für die Switch-Verwaltung eingerichtet und zusätzlich ein Black-Hole-VLAN 99 für unbenutzte Ports bereit gestellt. Das habe ich deshalb so gemacht, damit ich eine default-Konfig auf alle Switche einspielen kann und diese dann schnell an die konkreten Anforderungen anpassen kann. Das funktioniert auch endlich (danke Holger!) -- doch eine Sache stört: Die Switche sind alle in der workstations-Datei eingetragen und könnten theoretisch ihre IP via DHCP erhalten. Das klappt natürlich nicht, da der Cisco-L3-Switch den Zugriff durch die entsprechende ACE verbietet. Ich habe daher nachgeholfen und ein Extra-Set "ACL für Switch-Management" erstellt, in dem ich den Zugriff auf 10.16.1.1 erlaube und VLAN 2 zuordne. Das funktioniert zwar dann -- doch jetzt haben die Rechner natürlich auch automatisch Zugriff auf's Internet, was ich natürlich nicht will. Daher die Frage: Kann man eine ACE auf dem Cisco SG300 so einrichten, dass NUR DHCP auf 10.16.1.1 erlaubt wird und alles andere unterbunden wird? Das würde das Problem meiner Meinung nach lösen... Alternative Idee: Kann man den workstations-Eintrag so gestalten, dass die MAC zwar eine IP erhält aber trotzdem nicht ins Internet darf? Michael _______________________________________________ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
