sábado, 7 de junio de 2008

Hablando de VLANS, windows 2003 server, linux, solaris ...

Hola, para los que han seguido las "discusiones" acerca de como configurar la red con VLANS, lo último que se habló fué de la necesidad (o no ) de crear interfaces VLANS sobre la única interfaz real en los servidores, cualquiera que este fuera.

En OpenBSD vimos que era muy fácil (sigo esperando la entrada de alejandro y david)
Luego vimos que en Windows 2003 server tambien se podia hacer con los dirvers de intel y el ProSET (sigo esperando la entrada de tatiana) y aunque no probamos en Linux y Solaris, hay mucha documentación al respecto, por lo tanto no creo que sea muy complicado ;)

Pero bueno, el asunto no es ese, el asunto es saber si esa es la única forma de hacerlo o puedo ahorrarme algun trabajo, con puertos en modo trunk con interfaces nativas, con subinterfaces en los routers o etc, etc.

Hice una pequeña configuración en packet tracert, con la idea de verificar algo. espero que ustedes hagan lo mismo, usar un simulador para simular los posibles montajes, antes de ponerse a sacar todos los routers y switchs.

En el gráfico tenemos:

  • 2 VLANS configuradas: 100 y 200
  • 2 equipos por cada VLAN
  • 2 switchs configurados para vlans y un enlace trunk en la FastEthernet 0/3 para pasar las VLANS de switch a switch.
  • 1 router configurado con 2 sub interfaces en F0/0.1 y F0/0.2, donde cada una representa una VLAN.
  • 1 Switch (SW3), que no usa VLANS y al cúal se conecta un equipo que obviamente no tendra configuración de VLAN alguna.
Que se puede observar de la simulación?

Que cualquier PC puede conectarse con cualquier PC, sin importar que unos esten en VLANS y otros no, la razón es que el trunking se lleva hasta una interface del router, de ahí en adelante no se tiene en cuenta y el router reenvia los paquetes para que todas las subredes sean alcanzables (esto lo hace porque todas las subredes estan conectadas directamente, pero tambien podria alcanzar redes remotas con un protocolo de enrutamiento, por ejemplo RIP).

Que gano con esto?

Evitarme la configuración de 3 interfaces VLAN en cada servidor (web, ftp, proxy, dns), siempre y cuando los servidores esten en los lugares adecuados y las rutas de los routers sean coherentes.

El archivo de simulación para que repasen las configuraciones está en:
http://groups.google.com/group/nonroot-users/files?hl=es

(se llama VLANS.pkt)

Espero que esto les ayude a disipar las dudas o a aumentarlas, las dos cosas son buenas ;)

2 comentarios:

Astrid dijo...

duda aumentada...
y si cualquier pc puede ver cualquier pc, ¿para que quiero VLANS?

blueline dijo...

Ástrid, si configuras vlans en switches sin más, los hosts no se ven entre ellos. Para que se vean entre ellos has de colocar un router con la interfaz física configurada con subinterfaces.

Si quieres limitar los servicios que una red puede acceder en otra, aplicas listas de control de acceso y así limitas puertos e IP.

Espero que sirva ;)

Mi web en construcción todavía: www.redespracticas.com