Configurar enrutamiento entre vlans



  • Necesito ayuda para la configuracion de enrutamiento entre vlans dado que tengo un switch con 3 vlans y no puedo hacer q se comuniquen entre ellas espero sus res puestas saludos !!!!



  • :) hola…

    por fa informanos que tipo de suiche? modelo marca, tal vez es en el mismo suiche donde debes habilitar las interconexiones de sus vlans...

    cual es la topologia? donde esta el pfsense y el suiche? (interconexion fisica y logica)



  • El switch es un allied at-8000s en cual ya configure las vlans el tema es que este no las puede enrutar yo queria saber como hago para q el pfsense enrute las mismas este se encuentra conectado a una interfaz del switch directamete conectado pero como lo tengo separado por vlan lo ven solamente lo que se encuentran en la vlan en la que se encuentra el pfsense .
    Mi idea es q todos lo vean al pfsense y este enrute a las vlan entre si !!!
    Gracias y saludos



  • Tienes una interfaz por cada subred en tu lan hacia el computador con pfsense , se supone cierto?
    O utilizas un troncal hacia el computador , para pasar las vlan?



  • Estimado, soy nuevo en pfsense, pero se que el concepto es el suiguiente:

    Una interfaz del switch debe estar en modo trunk, esta va dirigida a la puerta de enlace del router pfsense.
    Con las otras interfaces del switch deben estar las vlan a las cuales se les asigna un nombre.

    Bueno, las vlan no tendran conectividad entre ellas, ya que tienen distintas puertas de enlace "virtuales", es aqui donde el pfsense como router debe actuar con reglas para permitir o no que haya comunicacion entre ellas.
    Ahora obviamente al router (pfsense), se deben crear las vlans con el mismo nombre que fueron asignadas en el switch.

    Espero te sirva de ayuda u orientacion



  • para conectar el puerto trunk del sw a la única puerta ethernet de pfsense, por donde pasan todas las vlan , esta tarjeta debe soportar el protocolo 802.1q cierto ? o todoas las tarjetas lo soportan y funciona sin mayor configuración en pfsense , hacia la tarjeta ?

    • lo anterior eran preguntas, lo que si puedo aportar es que una vez que soluciones el problema, que seguro es de configuración probablemente de la interfaz de pfsense, no necesitarás agregar rutas especiales a la tabla de enrutamiento, ya que todas estan directamente conectadas al "router" ( pfsense), solo será necesario si deseas alcanzar una red externa ( conectada a otro equipo remotamente ),  como por ejemplo , cualquier red de internet ( para ello por defecto van hacia  la puerta de enlace del modem/router, o que te asigna el isp a través de éste)  y generalmente se conoce como la ruta por defecto,y q sirve para alcanzar cualquier red desconocida por router ( osea que no está en añadida en la tabla de enrutamiento) y es una consulta que se envía otro router remoto con dirección a tu puerta de enlace.

    Espero haberte ayudado un poco….

    saludos :D



  • Contestando la pregunta del encabezado anterior:
    Según mis datos la tarjeta debe soportar estandar 802.1q, de otra forma solo vera la vlan nativa (por defecto del switch), aunque hacer la prueba no esta de mas.
    Todas las vlans de nivel 3 por ipes, pasan por una misma interfaz, por ejemplo si una interfaz (tarjeta de red de pfsense) tiene por nombre sk0, las interfaces virtuales serira sk0.1, sk0.2, etc. En el caso de pfsense, hice lo sgte:
    1.En asignacion de interfaces se crea una opt#
    2.En la pestaña vlan: se crea una vlan con un nombre apuntando a la interfaz sk0. Se asigna el vlan tag # (que debe ser el mismo tag # de una de las vlans del switch)
    3.Luego a opt# se le debe configurar como cualquier interfaz: dandole un nomble, direccion de red (puerta de enlace de la vlan), etc.
    4.Por ultimo volvemos a asignacion de interfaces y apuntamos nuestra opt# (ya con un nombre punto 3) a la vlan creada (ya con un nombre punto 2) y que esta a su vez apunta a la interfaz sk0.

    ;)



  • @mamuga:

    Contestando la pregunta del encabezado anterior:
    Según mis datos la tarjeta debe soportar estandar 802.1q, de otra forma solo vera la vlan nativa (por defecto del switch), aunque hacer la prueba no esta de mas.
    Todas las vlans de nivel 3 por ipes, pasan por una misma interfaz, por ejemplo si una interfaz (tarjeta de red de pfsense) tiene por nombre sk0, las interfaces virtuales serira sk0.1, sk0.2, etc. En el caso de pfsense, hice lo sgte:
    1.En asignacion de interfaces se crea una opt#
    2.En la pestaña vlan: se crea una vlan con un nombre apuntando a la interfaz sk0. Se asigna el vlan tag # (que debe ser el mismo tag # de una de las vlans del switch)
    3.Luego a opt# se le debe configurar como cualquier interfaz: dandole un nomble, direccion de red (puerta de enlace de la vlan), etc.
    4.Por ultimo volvemos a asignacion de interfaces y apuntamos nuestra opt# (ya con un nombre punto 3) a la vlan creada (ya con un nombre punto 2) y que esta a su vez apunta a la interfaz sk0.

    ;)

    Uff.. me haz quitado tremendo peso de encima, a mí al menos.
    -Esto que haz dicho lo haz probado experimentalmente ¿ cierto ?

    • ¿ La tarjeta no necesita configuración especial para que funcionen las vlan sobre la interfaz ? , sólo los pasos que haz indicado y ¿ ya está ?. Saludos, perdona lo insistente, pero no tengo como comprobar nada por el momento.

    Eternamente agradecido ! jeje  :-[
    ;D ;D ;D Saludos !



  • Bueno la verdad no he tenido el tiempo, pero conceptulmente es asi, ya que como dije soy relativamente nuevo en pfsense.
    De todas formas hay que tener en cuenta que la figura es la siguiente = Internet–->Modem--->Router Pfsense (con sus correspondientes 2 tarjetas: wan y lan <para vlans="">)--->Switch "administrable"--->Cableado fisico bien definido.

    La tarjeta solo requiere cumplir con la norma IEEE y seguir los pasos descritos anteriormente.

    Como dato, en otro post llamado "regas con alias", que esta un poco mas abajo, veimaos como era una buena alternativa de segmentacion logica de la red, te invito a que lo veas.

    Quiza mas adelante, con un poco mas de practica y tiempo, cree algunos tutoriales con pasos mas exactos.

    Un saludo  :)</para>



  • gracias.. !



  • Yo tengo armado en el switch tres vlans q salen por un enlace troncal en el puerto 1 del switch este esta conectado directamente a la lan del pfsense .
    Hasta ahi todo bien lo q no logro hacer es q se comuniquen las vlans con el pfsense !!!
    alguien tiene mas data ?¿¿¿?
    Saludos



  • Mira configura un puerto del switch para que pertenesca a las 3 vLANs , luego solo conectas ese puerto a la entrada lan del pfsense y en el pfsense vas a Interfacez/assigna/vlans y creas con el TAG correspondiente a cada vLan luego le asignas el ambito de cada vlan en Interfacez , reinicias el pfsense y listo deberias tener conexion a internet con su respectiva puerta de enlace y enrutamiento entre las 3 vLans , esto se llama crear interfazes virtuales en la Fast ethernet del pfsense es como tener 3 tarjetas de red independientes una para cada vLAN.



  • Hola PETEROJO

    Mira yo tengo la misma config que tu y ese problema lo resolvi quitando la opcion que trae el kavsperski en el antihaker, ahi le desmarcas la opcion del firewall y resuelto el problema, por lo menos asi fue como yo lo resolvi, no se si ese sera tu caso…Saludos



  • Para ese tipo de error verifica lo siguiente:

    1. Asegúrate de que el puerto esté conectado y no reciba ningún error de capa física.
    2. Configura la interfaz física del router con una subinterfaz por cada VLAN que enrute el tráfico. Asegúrate también de que cada
        subinterfaz en el router tenga el número de VLAN, dirección IP y máscara de subred correctos configurado.
    3. Activa el protocolo RIP, en pfsense

    Nota: es importante señalar que el proposito de las vlans es segmentar e "impedir que los segmentos se vean", por eso en este caso el protocolo de ruteo RIP debe activarse, para que suceda lo contrario… no se si me explico.

    Saludos y suerte.



  • Muchachos yo de vuelta les cuento que logre enrutar las vlans con un switch layer3 el tema es que ahora no puedo hacer que estas vean al pfsense !!
    si pongo una pc todas las vlans las ven pero cuando pongo la lan del pfsense no la ve ninguna !!!!



  • Entiendo que si se ven las vlan solo con el switch, quiere decir que aun no has creado ninguna… ya que la unica forma de que las vlans se vean es a traves de enrutamiento RIPv2 o sea en el router "pfsense", no se si me explico.
    Revisa los posteos anteriores y verifica cada paso a ver que esta mal.
    Persevera y suerte.



  • @mamuga:

    Entiendo que si se ven las vlan solo con el switch, quiere decir que aun no has creado ninguna… ya que la unica forma de que las vlans se vean es a traves de enrutamiento RIPv2 o sea en el router "pfsense", no se si me explico.
    Revisa los posteos anteriores y verifica cada paso a ver que esta mal.
    Persevera y suerte.

    -No tiene sentido habilitar un protocolo de enrutamiento teniendo un único router.

    -Si con el switch de capa 3 logró tener conectividad entre las subredes  (vlan que configuró) como dijo,  es fue porque cada a cada vlan se le asignó una ip ( que actúa como GW de cada segmento, esto es posible por la capacidad del switch, a cada vlan le pudo asignar una ip ) .

    - A) Ahora si desea tener conectividad con pfsense, debería o configurar una vlan más y asignarle un puerto (además de configurar la ip en el mismo segmento de red de pfsense) para conectar el pfsense ahí.  B) O conectar el pfsense a alguno de los segmentos que ya tiene configurando éste, con una dirección ip dentro del rango que maneja para ese segmento) y tendrá conectividad.

    - Ahora con ésta configuración no se logra nada casi nada, el pfsense estaría demás.
              -Ahora para que todos los segmentos tenga salida a internet u otra red (como la de pfsense), en el  caso A) , debería habilitar algún protocolo de enrutamiento como dice mamuga, en el switch si es que es posible y el pfsense , configurando en el switch una ruta por defecto hacia pfsense.
              - Y en el caso B) , según el switch, habría que tratar de configurar esta ruta por defecto hacia la ip  pfsense ubicado en uno de los segmentos de red ( la peor elección).

    Aunque estas son opciones, ninguna es la solución ideal. Lo que debe hacer es lo que comentó el usuario  cgca16182009 (configurar bien el switch) y fin del problema.



  • @elcuco:

    -Si con el switch de capa 3 logró tener conectividad entre las subredes  (vlan que configuró) como dijo,  es fue porque cada a cada vlan se le asignó una ip ( que actúa como GW de cada segmento, esto es posible por la capacidad del switch, a cada vlan le pudo asignar una ip ) .

    Para crear vlans siempre es necesario un router (en este caso pfsense) con un enlace troncal hacia el switch (interfaz fisica con varias interfaces virtuales vlans) y luego el switch tiene la "capacidad" de determinar por ese enlace troncal hacia donde van y vienen los paquetes que pertenecen a una u otra vlan, por lo tanto si el switch trabaja sin el router (porque no tiene conectividad)… es porque algo no marcha.
    Por otra parte como tu dices, cada vlan tiene un GW distinto con redes distintas, es por eso que no existe comunicacion de una vlan a otra porque son segmentos distintos... es verdad que un switch de capa tres tiene capacidades pero no actua de forma independiente.

    Claro que hay muchas alternativas pero seamos claros en como trabajan los dispositivos y las interfaces.

    De todas formas, si la solucion dada por "cgca16182009", funciona, vienvenido sea... en el fondo de eso se trata, de aportar con opiniones.

    Un saludo para todos



  • mm…. para crear las vlan no es necesario el router, ya que las vlan se crean en el switch,  lo que tu dices a cerca del router es para permitir enrutamiento entre vlans, todo ok,lo entiendo. Pero en este caso el switch de capa 3, puede comportarse como pseudo router ( no teniendo absolutamente todas las capacidades de uno ) , permitiendo enrutar y comunicar las vlans, sin necesidad de un router para esta tarea (ni la máquina pfsense) . Por eso es que le funciona al amigo, tal como comentó en su último post.

    PITEROJO

    Muchachos yo de vuelta les cuento que logre enrutar las vlans con un switch layer3 el tema es que ahora no puedo hacer que estas vean al pfsense !!
    si pongo una pc todas las vlans las ven pero cuando pongo la lan del pfsense no la ve ninguna !!!!

    la explicación de esto está en mi último post y se soluciona cambiando toda la configuración, como dice  "cgca16182009".

    Saludos  ;D



  • Gente como va
    les cuento q compre una placa q soporta 802.1q y segui los pasos como dijo el compañero pero no tengo suerte alguno realizo este trabajo ?¿
    si alguien lo hizo le pido por favor si me puede pasar la configuracion porq tengo q cerrar este tema q me esta volviendo loco !!!!!!!!!!!!!
    gracias y saludos para todos !



  • @mamuga:

    @elcuco:

    -Si con el switch de capa 3 logró tener conectividad entre las subredes  (vlan que configuró) como dijo,  es fue porque cada a cada vlan se le asignó una ip ( que actúa como GW de cada segmento, esto es posible por la capacidad del switch, a cada vlan le pudo asignar una ip ) .

    Para crear vlans siempre es necesario un router (en este caso pfsense) con un enlace troncal hacia el switch (interfaz fisica con varias interfaces virtuales vlans) y luego el switch tiene la "capacidad" de determinar por ese enlace troncal hacia donde van y vienen los paquetes que pertenecen a una u otra vlan, por lo tanto si el switch trabaja sin el router (porque no tiene conectividad)… es porque algo no marcha.
    Por otra parte como tu dices, cada vlan tiene un GW distinto con redes distintas, es por eso que no existe comunicacion de una vlan a otra porque son segmentos distintos... es verdad que un switch de capa tres tiene capacidades pero no actua de forma independiente.

    Claro que hay muchas alternativas pero seamos claros en como trabajan los dispositivos y las interfaces.

    De todas formas, si la solucion dada por "cgca16182009", funciona, vienvenido sea... en el fondo de eso se trata, de aportar con opiniones.

    Un saludo para todos

    hola hola

    tengo un problema que no se sinceramente como resolver

    tengo 2 switch y la idea es conectarlos a un router, necesito crear las vlan pero 1 de estos switch tiene que tener VTP, pero no he podido hacer pasar la información de el switch que es server al switc cliente que estan en interfaces diferentes.

    Espero me puedan ayudar muchas gracias



  • hola hola

    tengo un problema que no se sinceramente como resolver

    tengo 2 switch y la idea es conectarlos a un router, necesito crear las vlan pero 1 de estos switch tiene que tener VTP, pero no he podido hacer pasar la información de el switch que es server al switc cliente que estan en interfaces diferentes.

    Espero me puedan ayudar muchas gracias

    Aunque no lo he hecho, pero por lo que he leido la figura debiera ser la siguiente
    ROUTER–---trunk (toncal)---->SWITCH 1------trunk (toncal)---->SWITCH 2

    Supongamos que el switch nº1 es el servidor vtp solo este se configuraria para que cada cierto tiempo (en minutos), envie la actualizacion vtp al switch nº 2 por la interfaz troncal. (para eso debes definir en cada switch la interfaz trunk)
    Para que esto se cumpla (dependiendo del modelo de cada switch), el nº de revision del switch 1 servidor debe ser mayor al switch nº 2 cliente; ademas deben estar en el mismo dominio.
    En el switch 2 no se podran crar vlans.
    Las vlans solo deben ser del 1 al 1005

    Por ultimo este enlace te puede ayudar o aclarar un poco las cosas http://www.slideshare.net/Wladdy1023/cisco-exposicion-9-2

    Saludos


Log in to reply