VLAN con switch hp procurve 2524



  • Pfsense 2.0.2 configurado con dos vlans conforme a lo que se especifica en la documentación:
    REDALUMNOS-> VLANID:2
    REDPROFESORES->VLANID:3
    El equipo con pfsense se conecta al switch al puerto 1.
    En el switch del puerto 2 al 22 se conectan equipo de la red de alumnos
    En el puerto 23 se conecta otro switch para la red de alumnos completo.
    En el puerto 24 se conecta otro switch para la red de profesores completo.
    No encuentro documentación para dicho switch y no veo la combinación de tagged, untagged, forbiden, en los puertos, o si he de cambiar la configuración de Port/Trunk.
    Gracias



  • que tal jpabloace

    No entiendo cual es el motivo de tu post y tal vez el mismo problema lo tengan muchos otros ?

    Si explicas un poco mas lo que quieres hacer y que problematica tienes talvez se te pueda ayudar.

    Si el problema es que no encuentras la documentacion de la instalacion , creo que aqui poco vamos a poder hacer.

    Si lo que quieres es apoyo para recongigurar el switch , si pasas modelo y marca se te podra ayudar

    Creo que hay maneras para solicitar algo de apoyo..

    suerte


  • Rebel Alliance



  • Perdon , no vi el modelo.

    Por lo que comentas en tu post :

    El puerto 1 debe de estar en modo marcado ( Tagged ) , probablemente aceptando las VLAns de los profesores y de los alumnos ( VLAN2 y VLAN3.
    El puerto 23 untagged y perteneciendo a la VLAN2 de alumnos
    El puerto 24 ubtagged y perteneciendo a la VLAN3 de profesores.

    Pero sigo sin entender cual es el problema..  solo la configuracion del switch ?

    vas a tener que ingresar al switch, tal vez via consola si esta disponible para poder revisar la config.

    Saludos



  • Gracias por vuestro interés. Intentaré aclararme. El esquema de red es el que se adjunta.
    La idea general es tener dos vlans una para los ordenadores a los que tienen acceso profesores y otra para los ordenadores a los que tienen acceso los alumnos. El problema es que he configurado el pfsense como http://forum.pfsense.org/index.php/topic,23409.0.html con dos vlans en la re0, con los datos de la imagen. Después he intentado configurar las vlans en los switch de hp, con lo que se indica para Cisco en esa misma documentación, pero creo que la nomenclatura es diferente entre ambos tipos de switch. De los manuales de hp, no me queda claro, y he probado a hacer los siguiente pero no me funciona. El criterio que he seguido "tagged" si une dos switch y "unttaged" si es terminal.

    • Para la VLAN1 DEL SWITHC( la que tiene por defecto) he puesto todo No

    • El puerto 1 del primer switch lo he puesto tagged a ambas vlans

    • Los puertos para la vlan de los alumnos en el primer switch los he puesto untagged

    • El puerto 23 que va a otro switch para la red de alumnos los he puesto tagged

    • El puerto 24 que va a otro swithc para la red de profesores lo he puesto tagged

    • Los dos switch del final no los he cambiado la configuración que tienen por defecto puesto que cada uno es para una vlan diferente

    Después he probado a conectar un equipo en los puertos terminales y no he conseguido conectarme a ninguna de las vlans.
    He repasado la configuración del pfsense y creo que está todo correcto, por lo que me intereso por los switch que donde tengo la duda de su configuración. ¿Tendría que modificar algo en la configuración PORT/TRUNK?. Gracias por dedicarme vuestro tiempo.




  • Hola jpabloace,
    Los otros Switch también los debes configurar creando las vlan, dejando en tagged vlan 1 y 2 los puertos conectados al Switch principal y el untag las vlan correspondientes. Adjunto esquema para mayor comprensión de lo mencionado.

    También como consejo puedes agregar otra vlan a pfsense para tu administración con un segmento diferente.




  • Gracias. El lunes lo probaré.



  • Hola,
    Difiero un poco con la idea de que los otros switches deban de tener la misma configuracion que el switch que esta conectado directamente al PFSense, ya que los otros switche solo conectan a usuarios que estan dentro de la misma VLAN , ya se profesores o alumnos.

    Lo unico que hay que configurar de manera correcta son los puertos de la siguiente manera

    1. Puerto en modo de trunk, marcado o tagged ( para las vlans 2 y 3 )
    2. Los puertos 22 al 23 que deberan de estar configurados como miembros de la VLAN 2 ( ALUMNOS ) , solo como puertos de acceso o sin marca ( no tagged)
    3. El puerto 24 que debera formar parte de la VLAN 3 ( PROFESORES ) , como puertos de acceso o sin marca ( No tagged )

    Los switches que van  conectados a los puertos 23 y 24 pueden ir sin configuracion alguna de VLAN ya que todos los puertos van a pertencer al mismo dominio de colision/brodcast de la VLAN a la cual estaran conectados.

    El PFSense debera de ir configurado en la interface que va coectado al switch procurve con las VLANs 2 y 3.
    Posteriormente hay que asignar y configurar de manera adecuada estas interfaces.

    Vuelvo a insistir que los puertos 23 y 24 deben de ir untagged. y el puerto 1 debe de ir tagged conteniendo las VLANs 2 y 3

    Si puedes por favor enviarnos las pantallas de configuracion de las interfaces estaria muy bien.

    Si deeas apoyo, puedo apoyarte via remota sin compromiso y sin costo.  mandame un pm para que nos pongamos de acuerdo.

    Saludos

    AECM



  • Hola. Gracias. Lo he configurado de la siguiente manera y así me funciona. No se si es ortodoxo o crea algún problema de seguridad.
    Puerto 1 (que está conectado a pfsense) tagged
    Y luego todos los demás unttaged (cada uno en la red a la que ha de pertenecer), incluso los que van a otro switch.
    Los otros switch los he dejado sin configurar (con su vlan por defecto), puesto que cada uno iba a una vlan diferente.
    Me queda probar a poner los puertos que salen a los switch como tagged y configurar en los switch de destino el puerto de entrada como tagged y el resto como unttaged a ver si funciona.
    Gracias.



  • Hola, creo que esta es la configuracion correcta segun mi parecer.

    Unicamente hay que asegurarse de que los puertos pertenezcan a la red indicada.

    A los otros switches , a menos de que vayas a llevar mas de una vlan del PFSense a estos switches, estos deberan de llevar un puerto trunk (tagged). De otra manera esta perfecto si solo estan todos los puertos como de acceso ( untagged)

    Saludos



  • Estimados,
    segun mi experiencia siempre se deben abordar implementacion de red con aspectos basicos como: seguridad, escalabilidad y orden.

    Por ende mi recomendacion es que nunca dejes un dispocitivo en una red sin configurar ya que las contraseñas por defecto son demaciado obvias, tambien por un tema de administracion y monitoreo siempre es necesario configurar una ip en los dispocitivos.

    jpabloace, no te cierres a la posibilidad que la red no cresca o que a nadie le intereza hackear tu red.



  • Gracias por los comentarios Nilton_Wolf.

    Algun comentario en relacion al esquema que esta presentando jpabloace en relacion a la configuracion de los switches ? Me interesa saber un poco mas sobre el tema y ver si hay algo que pueda mejorar.

    Es totalmente correcto que jpabloace debe de implementar algun tipo de esquema en relacion de la seguridad tanto en la parte de acceso fisico como logico de los puertos de red , asi como sus politicas de ACLS de acceso entre las redes, etc.  Todo esto tomando en cuenta la escalabilidad de la red.

    saludos!!


Log in to reply