BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

problema con vlans y switch linksys srw224g4

1
plcabgut

Holaa todos

espero haber elegido bien donde hacer la pregunta.

Soy un programador al que le han mandado arreglar una red en la que tengo dos grupos de usuarios y que no se tienen que poder ver pero si salir por el mismo router hacia internet, es decir, comparten la salida a internet.

Dispongo de un switch gestionable linksys srw224g4 que permite hacer vlan.

He creado 2 vlan (vlan2 y vlan2 ya que la vlan1 es la que tiene por defecto) y les he asignado los puertos de los pc's que se conectan a el a dos vlan distintas, pero el problema viene al tratar de poner un puerto en ambas vlan que sera el que va al router para que así puedan salir a internet.

He leído ya muchos post en muchos foros ademas del manual de 180 páginas pero ninguno me lo deja claro, vi un post en este servidor y por eso les escribo porque es el mismo problema que tengo yo.

bandaancha.eu/tema/1134076/ayuda-switch- … 4g4#t1134076

Lo que yo hago es poner todos los puertos como "access" y el que va al router como "general"

• Access - El puerto pertenece solo a una untagged VLAN.

• General - El puerto puede pertenecer a varias VLANs. donde cada VLAN puede ser definida por el usuario como tagged or untagged.

ejemplo: para cada VLAN asigno los puertos.

a cada vlan le indico que es untagged.

vlan2 IP 10.1.1.0/24

  • Puerto1 mode:access
  • Puerto2 mode:access
  • Puerto3 mode:general (Es el que va al router)

vlan3 IP 10.2.1.0/24

  • Puerto4 mode:access
  • Puerto5 mode:access
  • Puerto3 mode:general (Es el que va al router)

Cuando hago ping desde un equipo conectado al Puerto3 que dispone de las ip 10.2.1.10/24 y 10.1.1.10/24 para poder estar en ambas redes hacia un equipo que se encuentre en cada una de las vlan no llega. y si pongo este equipo bien en el puerto 1 o el 4 y hago ping a equipos de su vlan si llega.

no se si me he explicado suficiente, sino es asi me lo comentan y me explayo mas :)

un saludo y les agradecería cualquier comentario que me pueda ayudar.

Frankie2004

Un equipo con conexiones en ambas VLAN debería ser solo un enrutador o un cortafuegos, nunca una estación de trabajo.

¡¡ Y por supuesto con tarjetas de red diferentes !!

🗨️ 5
plcabgut

hola frankie

si tienes razón uso un equipo para ver si hay conexión entre los equipos de la vlan con el puerto compartido por todos,

pero para la explotación tengo un Linux que hace proxy a través de Squid y dansguardian y como dices tienes 2 tarjetas de red una va al puerto compartido del switch que esta en las 2 vlan y la otra al router.

de las dos tarjetas una con 2 ip asociadas a las vlan

  • eth0.2 ip 10.1.1.254/24 interfaz eth0 hacia la vlan2
  • eth0.3 ip 10.2.1.254/24 interfaz eth0 hacia la vlan3

la otra

  • eth1 ip 192.168.1.2/24 interfaz eth1 hacia el router

mi problema es que los puertos de las vlan no hacen ping al puerto compartido en la vlan.

saldos

anthrax

Depende ;)

En teoría lo que comentas es lo correcto en el 99% de los casos.

Pero por ejemplo si en tu red tienes diversas vlan's, es posible que te interese poner en trunk en puerto giga de un virtualizador vmware, porque así puedes disponer de varias vlan's en el host que después se van asignado a las diferentes guest según convenga.

Así pueden tener el virtualizador en una red privada interna y algunos guest en segmentos de red/vlan públicas :D

Además que yo sepa, no es posible "saltar" de la máquina virtual al virtualizador si estan en vlan's diferentes aunque realmente compartan la misma tarjeta ethernet física, pero en diferentes vlan's.

No sé si me he terminado de explicar del todo :P

Saludos B-)

🗨️ 3
plcabgut

Bueno anthrax

parte de lo que has dicho de asignar el puerto compartido en uno de los puerto giga me parece una buena idea que no habia tenido en cuenta.

lo de utilizar una maquina virtual no me hace porque ya tengo una maquina fisica con lo que creo que es necesario. aunque eso que dices lo he hecho en otro sitio y esta funcionando perfectamente.

Otra cosa que comentas:

Pero por ejemplo si en tu red tienes diversas vlan's, es posible que te interese poner en trunk en puerto giga

un puerto trunk en el manual dice:

Interface VLAN Mode. One of the following VLAN modes will appear

• General - The port belongs to VLANs, and each VLAN is user-defined as tagged or untagged (full 802.1q mode).

• Access - The port belongs to a single, untagged VLAN. When a port is in Access mode, the packet tapes accepted on the port cannot be designated. Ingress filtering cannot be enabled/disabled on an access port.

• Trunk - The port belongs to VLANs in which all ports are tagged (except for one port that can be untagged).

un puerto trunk dice que pertenece a vlans en las cuales todos los puertos son etiquetados(tagged) excepto un puerto que puede estar sin etiquetar(untegged) que es lo que yo entiendo.

Y ademas no puedo tener ningún puerto etiquetado porque eso supondría ir por los 200 pc's cambiando la configuracion de los drivers para que emitan trafico etiquetado siempre y cuando las tarjetas de red sean mas o menos buenas y permitan etiquetar el trafico. por lo que no lo veo como solucion.

Os comento que he probado casi todas las posibilidades segun manual, foros que he leido y comentarios que me han hecho para configurar el switch y que dentro de la vlan se vea el puerto compartido por todas las vlan. y no lo he conseguido asi que si alguien me puede dar unos pasos concretos para poner un puerto en varias vlan pues me ayudaria un monton.

No se si no estoy interpretando bien lo que dice el manual en cuanto al puerto trunk.

🗨️ 2
anthrax

Vemos, segun los conceptos de equipos cisco, hp o avaya la idea sería:

  • En la ethernet del router/firewall definadas dos vlan's para cada segmento. En ese puerto del switch debe estar en modo trunk conj 8021Q
  • En el resto de pc's cada puerto está en la vlan que toca, y en los pc's no se configura nada de las vlan's ya que es transparente
  • En el puerto trunk se hace tagging, en el resto no.

Espero haberte ayudado :D

Saludos B-)

🗨️ 1
BocaDePez
BocaDePez
1