Lancom 8011 & Kabeldeutschland mit Cisco EPC 3212

Anmeldungsdatum: 23.01.2005 Beiträge: 79

Moin moin,

wir haben seit kurzem eine 100 Mbit Leitung von Kabeldeutschland mit o. g. Modem. Des Weiteren haben wir einen Win2003 DHCP Server. Der Lancom Router steht räumlich getrennt vom Kabeldeutschland Anschluss, ist also über mehrere Switche verbunden und nicht direkt. Das Cisco Modem gibt die öffentliche IP-Adresse an den Ethernetport durch. Jetzt habe ich logischerweise, wenn ich die Verbindung mit dem Lancom einrichten möchte, das Problem dass der Lancom sich IP-Adresse vom Win2003 DHCP Server zieht und nicht vom Cisco Kabelmodem. Auf dem Win2003 Server kann ich leider die MAC-Adresse des Lancoms nicht von der Vergabe ausschließen. Wie kann ich das Lösen? Mit einer Firewallregel im Lancom?

Grüße
blackeagle2002de

Moderator Anmeldungsdatum: 07.11.2004 Beiträge: 4500 Wohnort: Aachen

Moin,

was 'können' die Switches auf dem Weg denn so? Port-basiertes VLAN. d.h. die Ports, über
die der 'WAN-Traffic' läuft, von den restlichen Ports abzutrennen, wäre die einfachste Lösung.
Alternativ kann man natürlich auch Tag-basiertes VLAN machen, d.h. den WAN-Traffic in ein
anderes VLAN verlegen. Das müssen die Switches aber unterstützen.

Nur DHCP wegzublocken, dürfte für eine vernünftige Trennung kaum reichen, dann ist das
LANCOM ja immer noch im LAN mit seiner WAN-Adresse erreichbar, und alle anderen Rechner
im LAN haben auch einen direkten Zugang zum Kabelmodem an der Firewall vorbei. Des weiteren
hättest Du auf einmal eine gemainsame Broadcast-Domäne zusammen mit dem Providernetz -
gar nicht gut...

Gruß Alfred

Anmeldungsdatum: 23.01.2005 Beiträge: 79

Hallo Alfred,

vielen Dank für Deine Antwort. Es sind vier switche dazwischen, wovon zur Zeit leider nur einer port-basiertes VLAN unterstützt.

Mir ist jetzt aber noch ein anderer Gedanke gekommen. Wir haben zwei SDSL Leitungen und die jetzt neu hinzugekommene Kabeldeutschland Leitung. Des Weiteren haben wir noch einen Backup Lancom 8011, der per VRRP eingerichtet ist und bislang nichts tut. Ich wollte den Backup Router eigentlich sowieso räumlich von dem Master Router trennen. Würde das funktionieren, dass ich den Backup Router direkt an das Kabeldeutschland Modem anschließe und dieser im Regelbetrieb weiterhin keine Funktion übernimmt außer dem Weiterrouten der KD Leitung bzw. dann im Backupfalle die Leitung übernimmt? Die beiden SDSL Leitungen würden dann ja ggf. im Backupfall ohne Probleme über das LAN übertragen werden

Grüße
blackeagle2002de

Anmeldungsdatum: 23.01.2005 Beiträge: 79

Hallo!

Ich habe jetzt von KabelDeutschland hin zum Lancom alle Switche ausgetauscht und ein neues Vlan eingerichtet. Funktioniert soweit alles auch gut, bis auf dass der Lancom 8011 nicht mehr als 30 - 40 Mbit Durchsatz schafft. Ist das normal? Selbst wenn ich einen Cisco E4200 davor hänge (Also Lancom 8011 -> Cisco E4200 -> Cisco EPC 3212) und über den E4200 rausgehe bleibt der Durchsatz gleich. Wenn ich den E4200 bpsw. direkt als Standardgateway bei meinem Rechner angebe komme ich auf die vollen 100 Mbit...Würde es etwas ändern, wenn ich im Lancom keine eigene Verbingung aufbaue, sondern einfach in der Routing Tabelle einen Eintrag auf den E4200 anlege (255.255.255.255. 0.0.0.0 Router 192.168.1.1)?

Grüße
blackeagle2002de

Moderator Anmeldungsdatum: 07.11.2004 Beiträge: 4500 Wohnort: Aachen

Moin,

tendenziell haette ich etwas mehr erwartet, aber je nachdem was Du an Firewall-Regeln
eingerichtet hast, kann das normal sein. Benutzt Du eine 8.50 oder 8.60? Die 8.60
ist tendenziell schneller.

Zitat:

Würde es etwas ändern, wenn ich im Lancom keine eigene Verbingung aufbaue, sondern einfach in der Routing Tabelle einen Eintrag auf den E4200 anlege (255.255.255.255. 0.0.0.0 Router 192.168.1.1)?

LAN-LAN-Routing ist schneller als LAN-WAN-Routing, aber dafuer verliert man auch die
eine oder andere Funktion, z.B. NAT. Die 100 MBit wirst Du so oder so nie erreichen,
alleine weil sich ueber einen 100MBit-Port netto im besten Falle mit TCP etwa 90 MBit
schieben lassen. Und wenn bidirektionaler Traffic dazukommt, wird's eher noch weniger,
weil Ethernet-Baustein und CPU im 8011 nur ueber einen FE-Link miteinander verbunden
sind, ueber den aller Traffic drueber muss.

Gruss Alfred

Anmeldungsdatum: 23.01.2005 Beiträge: 79

Hallo alf,

vielen Dank für Deine Antwort. Wir haben noch die 8.5 drauf, ich werd sie die Tage mal aktualisieren.

Bzgl. der Lan-Lan Verbindung: Wir wollen die Leitung sowieso nur sporadisch für eingehende VPN Verbindungen (mittels port forwarding vom E4200 auf den 8011) und ausgehendes Internetbrowsing nutzen, es gibt keine von außen zu erreichende Server. Wenn ich nun ein separates VLAN nur für den E4200 und 8011 einrichte, sollte das doch auch unter Sicherheitsaspekten kein problem sein oder? Dann lege ich in der Firewall des 8011 eine entsprechende Regel mit Routing Tag für den Internetverkehr und einen übereinstimmenden Eintrag in der Routing-Tabelle an. Dabei ist die fehlende NAT Funktion dann doch nicht weiter tragisch oder habe ich da jetzt was übersehen?

Anmeldungsdatum: 23.01.2005 Beiträge: 79

Also das Update auf die Firmware 8.60.0169-RC3 hat zu einer signifikanten verschlechterung der Übertragunsleistung geführt. Die Pingzeiten haben sich von ca. 20 auf 40 ms erhöht, maximale downloadgeschwindigkeit liegt nun zwischen 10-15 mbit...Ich werde morgen wieder die 8.5 aktivieren.

Moderator Anmeldungsdatum: 07.11.2004 Beiträge: 4500 Wohnort: Aachen

Moin,

keine Ahnung was bei Dir da lost ist. Bei allen anderen Leuten ist die 8.60
merklich schneller....

Gruss Alfred