el 08-02-2018 10:57 AM
Buenas tardes.
Soy nuevo en el diseño de redes, así que pido perdón por anticipado si mi pregunta resulta muy obvia.
Pretendo configurar una red con tres switches y un router.
en la red he creado varias vlan: 10,20,88,99
la vlan 88 está creada para efectos de administración, y la vlan ha sido creada como nativa.
Todo lo que he configurado me funciona correctamente, salvo la parte de administración.
Los tres switches tienen como direcciones IP 192.168.88.11, 192.168.88.12 y 192.168.88.13, y todos ellos tienen como default-gateway 192.168.88.1.
He configurado acceso ssh tanto en los switchs como en el router.
Se supone (o eso había entendido) que solo debería poder acceder a la configuración de los switchs desde equipos de la vlan 88, pero puedo acceder sin problema por ssh desde equipos de cualquier otra vlan (tanto de la 10 como de la 20).
¿podríais decirme qué estoy haciendo mal?
Muchas gracias y perdón por las molestias
¡Resuelto! Ir a solución.
el 08-02-2018 05:02 PM
Hola Cesar,
Entiendo, lo que sucede es lo siguiente, las VLANs únicamente se pueden comunicar entre VLANs si existe un equipo capa 3 como un router, firewall, switch multicapa, etc, debido a que cada VLAN es un dominio de broadcast diferente, adicional la direccion IP de gateway permite habilitar la comunicación con otras redes. Entonces desde que en el router estan creados los gateways de las VLANs, tu estas habilitando la comunicación entre ellas.
La VLAN de administración es creada para controlar el equipo desde redes remotas. Por lo general y buena practica, la VLAN de administracion es creada para ese rol unicamente y no para ser utilizada para ningun usuario y tambien se puede decir que tampoco sea la VLAN nativa (es preferible crear otra VLAN para ser nativa).
Entonces tu deberias de tener por ejemplo:
1 VLAN para administracion de equipos
1 VLAN para VLAN nativa
1 VLAN para Informatica
1 VLAN para Gerencia
1 VLAN para Recursos Humanos
etc.
Si tu solo deseas que la VLAN de Informatica pueda alcanzar a la VLAN administrativa de equipos, entonces debes utilizar ACL junto con access-class bajo las lineas virtuales. Otra opcion pero mas complicada es aplicando ACL a las interface vlan de administracion de equipos o utilizando VLAN ACL.
Espero esto te sea util
:-)
08-02-2018 12:12 PM - editado 08-02-2018 12:20 PM
Hola Cesar,
Un gusto poder apoyarte, ese es un comportamiento normal. Desde que en el router estan creados todos los gateways de las VLANs. Todas las redes creadas en un router pueden comunicarse sin ningun problema, esto puede ser evitado con métodos de filtrado, ahora bien si tu quieres únicamente acceder a tus switches desde un host o red especifica, lo recomendable es que apliques Access list para controlar el acceso, ejemplo:
ip access-list standard ADMINISTRACION
permit host 172.16.10.25
permit host 172.16.10.144
permit host 172.20.1.47
line vty 0 15
access-class ADMINISTRACION in
La ACL te permite especificar que host o red puede administrar los equipos, esto debe ser hecho en todos los switches.
Espero esto te sea util
Saludos
:-)
el 08-02-2018 04:50 PM
Ante todo, muchas gracias por tu tiempo.
Si esto es así, no entiendo cual es el concepto de la vlan de administración. Pensaba que al configurarla solo podría acceder a la configuración de los switch y del router solo desde equipos pertenecientes a esa vlan.
O sea, que, si no te he entendido mal, solo tiene sentido si solo intervienen switches ¿no?
Muchas gracias otra vez
el 08-02-2018 05:02 PM
Hola Cesar,
Entiendo, lo que sucede es lo siguiente, las VLANs únicamente se pueden comunicar entre VLANs si existe un equipo capa 3 como un router, firewall, switch multicapa, etc, debido a que cada VLAN es un dominio de broadcast diferente, adicional la direccion IP de gateway permite habilitar la comunicación con otras redes. Entonces desde que en el router estan creados los gateways de las VLANs, tu estas habilitando la comunicación entre ellas.
La VLAN de administración es creada para controlar el equipo desde redes remotas. Por lo general y buena practica, la VLAN de administracion es creada para ese rol unicamente y no para ser utilizada para ningun usuario y tambien se puede decir que tampoco sea la VLAN nativa (es preferible crear otra VLAN para ser nativa).
Entonces tu deberias de tener por ejemplo:
1 VLAN para administracion de equipos
1 VLAN para VLAN nativa
1 VLAN para Informatica
1 VLAN para Gerencia
1 VLAN para Recursos Humanos
etc.
Si tu solo deseas que la VLAN de Informatica pueda alcanzar a la VLAN administrativa de equipos, entonces debes utilizar ACL junto con access-class bajo las lineas virtuales. Otra opcion pero mas complicada es aplicando ACL a las interface vlan de administracion de equipos o utilizando VLAN ACL.
Espero esto te sea util
:-)
el 08-02-2018 05:07 PM
Entendido.
Muchas gracias por ti tiempo.
Un placer
el 08-02-2018 05:08 PM
Para servirte mi amigo, cualquier consulta estoy a tus ordenes.
Saludos
:-)
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad