Configurar enrutamiento entre vlans
-
Contestando la pregunta del encabezado anterior:
Según mis datos la tarjeta debe soportar estandar 802.1q, de otra forma solo vera la vlan nativa (por defecto del switch), aunque hacer la prueba no esta de mas.
Todas las vlans de nivel 3 por ipes, pasan por una misma interfaz, por ejemplo si una interfaz (tarjeta de red de pfsense) tiene por nombre sk0, las interfaces virtuales serira sk0.1, sk0.2, etc. En el caso de pfsense, hice lo sgte:
1.En asignacion de interfaces se crea una opt#
2.En la pestaña vlan: se crea una vlan con un nombre apuntando a la interfaz sk0. Se asigna el vlan tag # (que debe ser el mismo tag # de una de las vlans del switch)
3.Luego a opt# se le debe configurar como cualquier interfaz: dandole un nomble, direccion de red (puerta de enlace de la vlan), etc.
4.Por ultimo volvemos a asignacion de interfaces y apuntamos nuestra opt# (ya con un nombre punto 3) a la vlan creada (ya con un nombre punto 2) y que esta a su vez apunta a la interfaz sk0.;)
-
Contestando la pregunta del encabezado anterior:
Según mis datos la tarjeta debe soportar estandar 802.1q, de otra forma solo vera la vlan nativa (por defecto del switch), aunque hacer la prueba no esta de mas.
Todas las vlans de nivel 3 por ipes, pasan por una misma interfaz, por ejemplo si una interfaz (tarjeta de red de pfsense) tiene por nombre sk0, las interfaces virtuales serira sk0.1, sk0.2, etc. En el caso de pfsense, hice lo sgte:
1.En asignacion de interfaces se crea una opt#
2.En la pestaña vlan: se crea una vlan con un nombre apuntando a la interfaz sk0. Se asigna el vlan tag # (que debe ser el mismo tag # de una de las vlans del switch)
3.Luego a opt# se le debe configurar como cualquier interfaz: dandole un nomble, direccion de red (puerta de enlace de la vlan), etc.
4.Por ultimo volvemos a asignacion de interfaces y apuntamos nuestra opt# (ya con un nombre punto 3) a la vlan creada (ya con un nombre punto 2) y que esta a su vez apunta a la interfaz sk0.;)
Uff.. me haz quitado tremendo peso de encima, a mí al menos.
-Esto que haz dicho lo haz probado experimentalmente ¿ cierto ?- ¿ La tarjeta no necesita configuración especial para que funcionen las vlan sobre la interfaz ? , sólo los pasos que haz indicado y ¿ ya está ?. Saludos, perdona lo insistente, pero no tengo como comprobar nada por el momento.
Eternamente agradecido ! jeje :-[
;D ;D ;D Saludos ! -
Bueno la verdad no he tenido el tiempo, pero conceptulmente es asi, ya que como dije soy relativamente nuevo en pfsense.
De todas formas hay que tener en cuenta que la figura es la siguiente = Internet–->Modem--->Router Pfsense (con sus correspondientes 2 tarjetas: wan y lan <para vlans="">)--->Switch "administrable"--->Cableado fisico bien definido.La tarjeta solo requiere cumplir con la norma IEEE y seguir los pasos descritos anteriormente.
Como dato, en otro post llamado "regas con alias", que esta un poco mas abajo, veimaos como era una buena alternativa de segmentacion logica de la red, te invito a que lo veas.
Quiza mas adelante, con un poco mas de practica y tiempo, cree algunos tutoriales con pasos mas exactos.
Un saludo :)</para>
-
gracias.. !
-
Yo tengo armado en el switch tres vlans q salen por un enlace troncal en el puerto 1 del switch este esta conectado directamente a la lan del pfsense .
Hasta ahi todo bien lo q no logro hacer es q se comuniquen las vlans con el pfsense !!!
alguien tiene mas data ?¿¿¿?
Saludos -
Mira configura un puerto del switch para que pertenesca a las 3 vLANs , luego solo conectas ese puerto a la entrada lan del pfsense y en el pfsense vas a Interfacez/assigna/vlans y creas con el TAG correspondiente a cada vLan luego le asignas el ambito de cada vlan en Interfacez , reinicias el pfsense y listo deberias tener conexion a internet con su respectiva puerta de enlace y enrutamiento entre las 3 vLans , esto se llama crear interfazes virtuales en la Fast ethernet del pfsense es como tener 3 tarjetas de red independientes una para cada vLAN.
-
Hola PETEROJO
Mira yo tengo la misma config que tu y ese problema lo resolvi quitando la opcion que trae el kavsperski en el antihaker, ahi le desmarcas la opcion del firewall y resuelto el problema, por lo menos asi fue como yo lo resolvi, no se si ese sera tu caso…Saludos
-
Para ese tipo de error verifica lo siguiente:
1. Asegúrate de que el puerto esté conectado y no reciba ningún error de capa física.
2. Configura la interfaz física del router con una subinterfaz por cada VLAN que enrute el tráfico. Asegúrate también de que cada
subinterfaz en el router tenga el número de VLAN, dirección IP y máscara de subred correctos configurado.
3. Activa el protocolo RIP, en pfsenseNota: es importante señalar que el proposito de las vlans es segmentar e "impedir que los segmentos se vean", por eso en este caso el protocolo de ruteo RIP debe activarse, para que suceda lo contrario… no se si me explico.
Saludos y suerte.
-
Muchachos yo de vuelta les cuento que logre enrutar las vlans con un switch layer3 el tema es que ahora no puedo hacer que estas vean al pfsense !!
si pongo una pc todas las vlans las ven pero cuando pongo la lan del pfsense no la ve ninguna !!!! -
Entiendo que si se ven las vlan solo con el switch, quiere decir que aun no has creado ninguna… ya que la unica forma de que las vlans se vean es a traves de enrutamiento RIPv2 o sea en el router "pfsense", no se si me explico.
Revisa los posteos anteriores y verifica cada paso a ver que esta mal.
Persevera y suerte. -
Entiendo que si se ven las vlan solo con el switch, quiere decir que aun no has creado ninguna… ya que la unica forma de que las vlans se vean es a traves de enrutamiento RIPv2 o sea en el router "pfsense", no se si me explico.
Revisa los posteos anteriores y verifica cada paso a ver que esta mal.
Persevera y suerte.-No tiene sentido habilitar un protocolo de enrutamiento teniendo un único router.
-Si con el switch de capa 3 logró tener conectividad entre las subredes (vlan que configuró) como dijo, es fue porque cada a cada vlan se le asignó una ip ( que actúa como GW de cada segmento, esto es posible por la capacidad del switch, a cada vlan le pudo asignar una ip ) .
- A) Ahora si desea tener conectividad con pfsense, debería o configurar una vlan más y asignarle un puerto (además de configurar la ip en el mismo segmento de red de pfsense) para conectar el pfsense ahí. B) O conectar el pfsense a alguno de los segmentos que ya tiene configurando éste, con una dirección ip dentro del rango que maneja para ese segmento) y tendrá conectividad.
- Ahora con ésta configuración no se logra nada casi nada, el pfsense estaría demás.
-Ahora para que todos los segmentos tenga salida a internet u otra red (como la de pfsense), en el caso A) , debería habilitar algún protocolo de enrutamiento como dice mamuga, en el switch si es que es posible y el pfsense , configurando en el switch una ruta por defecto hacia pfsense.
- Y en el caso B) , según el switch, habría que tratar de configurar esta ruta por defecto hacia la ip pfsense ubicado en uno de los segmentos de red ( la peor elección).Aunque estas son opciones, ninguna es la solución ideal. Lo que debe hacer es lo que comentó el usuario cgca16182009 (configurar bien el switch) y fin del problema.
-
-Si con el switch de capa 3 logró tener conectividad entre las subredes (vlan que configuró) como dijo, es fue porque cada a cada vlan se le asignó una ip ( que actúa como GW de cada segmento, esto es posible por la capacidad del switch, a cada vlan le pudo asignar una ip ) .
Para crear vlans siempre es necesario un router (en este caso pfsense) con un enlace troncal hacia el switch (interfaz fisica con varias interfaces virtuales vlans) y luego el switch tiene la "capacidad" de determinar por ese enlace troncal hacia donde van y vienen los paquetes que pertenecen a una u otra vlan, por lo tanto si el switch trabaja sin el router (porque no tiene conectividad)… es porque algo no marcha.
Por otra parte como tu dices, cada vlan tiene un GW distinto con redes distintas, es por eso que no existe comunicacion de una vlan a otra porque son segmentos distintos... es verdad que un switch de capa tres tiene capacidades pero no actua de forma independiente.Claro que hay muchas alternativas pero seamos claros en como trabajan los dispositivos y las interfaces.
De todas formas, si la solucion dada por "cgca16182009", funciona, vienvenido sea... en el fondo de eso se trata, de aportar con opiniones.
Un saludo para todos
-
mm…. para crear las vlan no es necesario el router, ya que las vlan se crean en el switch, lo que tu dices a cerca del router es para permitir enrutamiento entre vlans, todo ok,lo entiendo. Pero en este caso el switch de capa 3, puede comportarse como pseudo router ( no teniendo absolutamente todas las capacidades de uno ) , permitiendo enrutar y comunicar las vlans, sin necesidad de un router para esta tarea (ni la máquina pfsense) . Por eso es que le funciona al amigo, tal como comentó en su último post.
PITEROJO
Muchachos yo de vuelta les cuento que logre enrutar las vlans con un switch layer3 el tema es que ahora no puedo hacer que estas vean al pfsense !!
si pongo una pc todas las vlans las ven pero cuando pongo la lan del pfsense no la ve ninguna !!!!la explicación de esto está en mi último post y se soluciona cambiando toda la configuración, como dice "cgca16182009".
Saludos ;D
-
Gente como va
les cuento q compre una placa q soporta 802.1q y segui los pasos como dijo el compañero pero no tengo suerte alguno realizo este trabajo ?¿
si alguien lo hizo le pido por favor si me puede pasar la configuracion porq tengo q cerrar este tema q me esta volviendo loco !!!!!!!!!!!!!
gracias y saludos para todos ! -
-Si con el switch de capa 3 logró tener conectividad entre las subredes (vlan que configuró) como dijo, es fue porque cada a cada vlan se le asignó una ip ( que actúa como GW de cada segmento, esto es posible por la capacidad del switch, a cada vlan le pudo asignar una ip ) .
Para crear vlans siempre es necesario un router (en este caso pfsense) con un enlace troncal hacia el switch (interfaz fisica con varias interfaces virtuales vlans) y luego el switch tiene la "capacidad" de determinar por ese enlace troncal hacia donde van y vienen los paquetes que pertenecen a una u otra vlan, por lo tanto si el switch trabaja sin el router (porque no tiene conectividad)… es porque algo no marcha.
Por otra parte como tu dices, cada vlan tiene un GW distinto con redes distintas, es por eso que no existe comunicacion de una vlan a otra porque son segmentos distintos... es verdad que un switch de capa tres tiene capacidades pero no actua de forma independiente.Claro que hay muchas alternativas pero seamos claros en como trabajan los dispositivos y las interfaces.
De todas formas, si la solucion dada por "cgca16182009", funciona, vienvenido sea... en el fondo de eso se trata, de aportar con opiniones.
Un saludo para todos
hola hola
tengo un problema que no se sinceramente como resolver
tengo 2 switch y la idea es conectarlos a un router, necesito crear las vlan pero 1 de estos switch tiene que tener VTP, pero no he podido hacer pasar la información de el switch que es server al switc cliente que estan en interfaces diferentes.
Espero me puedan ayudar muchas gracias
-
hola hola
tengo un problema que no se sinceramente como resolver
tengo 2 switch y la idea es conectarlos a un router, necesito crear las vlan pero 1 de estos switch tiene que tener VTP, pero no he podido hacer pasar la información de el switch que es server al switc cliente que estan en interfaces diferentes.
Espero me puedan ayudar muchas gracias
Aunque no lo he hecho, pero por lo que he leido la figura debiera ser la siguiente
ROUTER–---trunk (toncal)---->SWITCH 1------trunk (toncal)---->SWITCH 2Supongamos que el switch nº1 es el servidor vtp solo este se configuraria para que cada cierto tiempo (en minutos), envie la actualizacion vtp al switch nº 2 por la interfaz troncal. (para eso debes definir en cada switch la interfaz trunk)
Para que esto se cumpla (dependiendo del modelo de cada switch), el nº de revision del switch 1 servidor debe ser mayor al switch nº 2 cliente; ademas deben estar en el mismo dominio.
En el switch 2 no se podran crar vlans.
Las vlans solo deben ser del 1 al 1005Por ultimo este enlace te puede ayudar o aclarar un poco las cosas http://www.slideshare.net/Wladdy1023/cisco-exposicion-9-2
Saludos