Solucionado: Problemas configuración vlan administración

CesarP · ‎08-02-2018

Buenas tardes.

Soy nuevo en el diseño de redes, así que pido perdón por anticipado si mi pregunta resulta muy obvia.

Pretendo configurar una red con tres switches y un router.

en la red he creado varias vlan: 10,20,88,99

la vlan 88 está creada para efectos de administración, y la vlan ha sido creada como nativa.

Todo lo que he configurado me funciona correctamente, salvo la parte de administración.

Los tres switches tienen como direcciones IP 192.168.88.11, 192.168.88.12 y 192.168.88.13, y todos ellos tienen como default-gateway 192.168.88.1.

He configurado acceso ssh tanto en los switchs como en el router.

Se supone (o eso había entendido) que solo debería poder acceder a la configuración de los switchs desde equipos de la vlan 88, pero puedo acceder sin problema por ssh desde equipos de cualquier otra vlan (tanto de la 10 como de la 20).

¿podríais decirme qué estoy haciendo mal?

Muchas gracias y perdón por las molestias

Julio E. Moisa · ‎08-02-2018

Hola Cesar,

Entiendo, lo que sucede es lo siguiente, las VLANs únicamente se pueden comunicar entre VLANs si existe un equipo capa 3 como un router, firewall, switch multicapa, etc, debido a que cada VLAN es un dominio de broadcast diferente, adicional la direccion IP de gateway permite habilitar la comunicación con otras redes. Entonces desde que en el router estan creados los gateways de las VLANs, tu estas habilitando la comunicación entre ellas.

La VLAN de administración es creada para controlar el equipo desde redes remotas. Por lo general y buena practica, la VLAN de administracion es creada para ese rol unicamente y no para ser utilizada para ningun usuario y tambien se puede decir que tampoco sea la VLAN nativa (es preferible crear otra VLAN para ser nativa).

Entonces tu deberias de tener por ejemplo:

1 VLAN para administracion de equipos
1 VLAN para VLAN nativa

1 VLAN para Informatica

1 VLAN para Gerencia

1 VLAN para Recursos Humanos

etc.

Si tu solo deseas que la VLAN de Informatica pueda alcanzar a la VLAN administrativa de equipos, entonces debes utilizar ACL junto con access-class bajo las lineas virtuales. Otra opcion pero mas complicada es aplicando ACL a las interface vlan de administracion de equipos o utilizando VLAN ACL.

Espero esto te sea util

:-)

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Ver la solución en mensaje original publicado

Julio E. Moisa · ‎08-02-2018

Hola Cesar,

Un gusto poder apoyarte, ese es un comportamiento normal. Desde que en el router estan creados todos los gateways de las VLANs. Todas las redes creadas en un router pueden comunicarse sin ningun problema, esto puede ser evitado con métodos de filtrado, ahora bien si tu quieres únicamente acceder a tus switches desde un host o red especifica, lo recomendable es que apliques Access list para controlar el acceso, ejemplo:

ip access-list standard ADMINISTRACION

permit host 172.16.10.25

permit host 172.16.10.144

permit host 172.20.1.47

line vty 0 15

access-class ADMINISTRACION in

La ACL te permite especificar que host o red puede administrar los equipos, esto debe ser hecho en todos los switches.

Espero esto te sea util

Saludos

:-)

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

CesarP · ‎08-02-2018

Ante todo, muchas gracias por tu tiempo.

Si esto es así, no entiendo cual es el concepto de la vlan de administración. Pensaba que al configurarla solo podría acceder a la configuración de los switch y del router solo desde equipos pertenecientes a esa vlan.

O sea, que, si no te he entendido mal, solo tiene sentido si solo intervienen switches ¿no?

Muchas gracias otra vez

Julio E. Moisa · ‎08-02-2018

Hola Cesar,

Entiendo, lo que sucede es lo siguiente, las VLANs únicamente se pueden comunicar entre VLANs si existe un equipo capa 3 como un router, firewall, switch multicapa, etc, debido a que cada VLAN es un dominio de broadcast diferente, adicional la direccion IP de gateway permite habilitar la comunicación con otras redes. Entonces desde que en el router estan creados los gateways de las VLANs, tu estas habilitando la comunicación entre ellas.

La VLAN de administración es creada para controlar el equipo desde redes remotas. Por lo general y buena practica, la VLAN de administracion es creada para ese rol unicamente y no para ser utilizada para ningun usuario y tambien se puede decir que tampoco sea la VLAN nativa (es preferible crear otra VLAN para ser nativa).

Entonces tu deberias de tener por ejemplo:

1 VLAN para administracion de equipos
1 VLAN para VLAN nativa

1 VLAN para Informatica

1 VLAN para Gerencia

1 VLAN para Recursos Humanos

etc.

Si tu solo deseas que la VLAN de Informatica pueda alcanzar a la VLAN administrativa de equipos, entonces debes utilizar ACL junto con access-class bajo las lineas virtuales. Otra opcion pero mas complicada es aplicando ACL a las interface vlan de administracion de equipos o utilizando VLAN ACL.

Espero esto te sea util

:-)

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

CesarP · ‎08-02-2018

Entendido.

Muchas gracias por ti tiempo.

Un placer

Julio E. Moisa · ‎08-02-2018

Para servirte mi amigo, cualquier consulta estoy a tus ordenes.

Saludos

:-)

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<