Dificuldade com configuração de VLAN's

Servidores, Storage & Networking

Servidores, Storage & Networking
Procurando por soluções de negócio mais eficientes? Encontre aqui dicas, tutoriais e respostas para suas dúvidas sobre Servidores, Storage e Redes.

Dificuldade com configuração de VLAN's

Esta pergunta foi respondida Alexei Saad

Boa tarde,

Estamos abrindo um novo escritório da empresa e queremos implementar VLAN's para aumentar a segurança e diminuir broadcast da rede. Hoje, tenho a seguinte idéia de divisão de Vlan's:

VLAN 10 - Switches, Roteadores e Equipamentos de Rede - Rede: 192.168.10.XXX

VLAN 20 - Rede Interna - Rede: 192.168.20.XXX

VLAN 30 - Rede Convidados - Rede: 192.168.30.XXX

VLAN 40 - Câmeras de Segurança e DVR's - Rede: 192.168.40.XXX

VLAN 50 - Servidores - Rede: 192.168.1.XXX

VLAN 99 - Admin TI - Rede: 192.168.99.XXX (vlan para administração geral, deve acessar todas VLAN's)

No layout dos switches, tenho 2 racks em andares distintos, da seguinte forma:

Todos meus switches core (1 e 2) são do modelo Dell N2024 e como switches de distribuição DELL 6224 e cinco Dell powerconnect 2824. Ademais, os 2 cores estão com um stack entre os dois N2024 e interligação entre os Cores dos dois racks via gbic.

Bom, a partir dai criamos as vlans e os roteamentos entre elas, conforme abaixo:

en
conf t
vlan 10
name Switches
vlan 20
name Interna
vlan 30
name Convidados
vlan 40
name Cameras
vlan 50
name Servidores
vlan 99
name Admin-TI

exit
ip routing
interface vlan 1
ip address 192.168.0.2 255.255.255.0
interface vlan 10
ip address 192.168.10.2 255.255.255.0
interface vlan 20
ip address 192.168.20.2 255.255.255.0
interface vlan 30
ip address 192.168.30.2 255.255.255.0
interface vlan 40
ip address 192.168.40.2 255.255.255.0
interface vlan 50
ip address 192.168.1.2 255.255.255.0
interface vlan 99
ip address 192.168.99.2 255.255.255.0

Depois configuramos as pontes entre os switches como trunk:


interface range gigabitethernet 1/0/1-10
switchport mode trunk
switchport trunk allowed vlan add 1,10,20,30,40,50,99

interface range gigabitethernet 2/0/1-10
switchport mode trunk
switchport trunk allowed vlan add 1,10,20,30,40,50,99

interface tengigabitethernet 1/0/1
switchport mode trunk
switchport trunk allowed vlan add 1,10,20,30,40,50,99

interface tengigabitethernet 2/0/1
switchport mode trunk
switchport trunk allowed vlan add 1,10,20,30,40,50,99

end
wr (ou copy ru st)

Após isso, configuramos as portas de 11 a 24 nos switches do core1 como portas de acesso GENERAL, liberando todas VLANS.

interface range gigabitethernet 1/0/11-24
switchport mode general
switchport general allowed vlan add 10,20,30,40,50,99

interface range gigabitethernet 2/0/11-24
switchport mode general
switchport general allowed vlan add 10,20,30,40,50,99

Nossa intenção é fazer o controle de acesso pelas VLANs por cadastramento de MAC address e os MAC dos computadores dos Administradores da Rede deveriam ser adicionados a todas as VLAN's.

Assim, teríamos um perfil "móvel" de vlans, qualquer porta do switch daria acesso para a rede que o colaborador precisa ter, como uma sala de reunião, um trabalho em grupo em outro departamento, não mudaria nada para ele quanto ao acesso a rede e as permissões dele. 

Ai esbarramos num problema, ao tentar adicionar um MAC para mais de uma VLAN, retorna a seguinte mensagem: "The MAC can not be associated with multiple VLANs."

Existe alguma maneira de contornar isso? Assim, nossa idéia básica é ter uma estrutura assim:

usuário da VLAN 20 (rede interna) consegue acessar um IP da VLAN 50 (servidores de sistemas), um usuário da VLAN 30 só acessa ela mesmo para navegação de internet. Um usuário da VLAN 99 acessa todas VLAN's (como se fosse o default VLAN1).

Existe alguma outra alternativa para fazer isso?

Espero não ter ficado muito confuso e aguardo um help de vocês.

Obrigado!!

Alex

Resposta verificada
  • Boa tarde, Alex.

    hehehe! Sim, vamos lá! Que bom que faltam poucas dúvidas. Big Smile

    O seu roteador de internet é um firewall? Ou é um roteador que a operadora forneceu?

    Se for um firewall (appliance da Fortigate, SonicWall, CheckPoint, PFSense, etc...) ele tem que ser configurado nas suas regras para fazer NAT das faixas de endereço das VLANs. Além disso, você vai ter que configurar uma rota no firewall para todas as VLANs.

    Se for um roteador mais simples desses fornecidos pela operadora, tem que ver se ele vai suportar essas mesmas configurações de firewall que falei acima. Algumas vezes não suporta e você vai ter que mudar o desenho da solução de rede adicionando um firewall entre o roteador e o switch core.

    Qualquer que seja o caso, Alex, você vai precisar usar rota padrão.

    Não é que não se pode usar default route quando o roteamento entre VLANs está habilitado. Apenas não é a melhor prática fazer isso sem avaliar a situação pois se corre o risco de se criar um loop. Surprise

    Mas não é esse o seu caso, Alex.

    Aqui você precisa que as máquinas dentro das VLANs 20, 30 e 50 possam ir para a Internet (leia-se: o resto do mundo). Para isso, essas máquinas precisam que o seu próprio default gateway seja o endereço IP da VLAN onde elas estão.

    Ou seja, Alex, a máquina da VLAN 20 vai ter 192.168.20.2 como seu gateway. Dessa forma, ela vai repassar todo o tráfego para o Core.

    O Core vai ter um default gateway para o firewall. No caso 192.168.10.254 .

    O script de configuração seria:

    en

    conf t

    ip route 0.0.0.0 0.0.0.0 192.168.10.254

    exit

    wr

    Alex, se você quiser, existe um time de especialistas que podem realizar o desenho e a implantação da sua solução de rede. Verifique com o comercial se precisa fazer um orçamento.

    Espero ter ajudado mais um pouco ainda.

    Obrigado e até mais! Yes Geeked

      Antonio Moraes
     Fórum Moderator
     Enterprise ProSupport

    Chat | Twitter | Facebook | 0800 970 3355

    Clique em   aqui em baixo caso esta postagem tenha respondido à sua pergunta.

     

  • Boa tarde Antônio,

    Gostaria de agradecer teu apoio e as orientações passadas, foram de grande valia.

    Conseguimos configurar todo o ambiente da forma que queríamos, num próximo momento vamos voltar a nos falar sobre a parte de filtro de vlan por MAC via Radius. Com certeza vai ser um próximo passo importante para nós.

    Obrigado pelo apoio.

    Até mais!

    Alex

Todas as respostas
  • Olá, Alex!

    Como vai? Tudo bem?

    Alex, em primeiro lugar eu quero lhe agradecer pelo nível altíssimo de detalhamento do seu post! Show de bola! Muito didático! Geeked

    Outro ponto legal é que a sua implementação está digna de CCNA que "fez o dever de casa" saindo do Network Academy. Yes

    Agora, quanto à solução, se a idéia era para fazer o controle de acesso pelas VLANs por cadastramento de MAC address, faltou pouco Alex.

    Para fazer controle de acesso você tem duas formas no switch.

    1. ACL = Access Control List - também conhecida apenas por access-list
    2. 802.1x = dot1x - autenticação de porta (por usuário ou por MAC address)

    Como a segunda opção vai requerer a implantação de um servidor RADIUS, sugiro que você apenas implemente access-lists. É mais simples e direto. Além do mais, implantar a ACL não impede de implantar o RADIUS no futuro (que seria útil para wi-fi) e até complementa o dot1x. Surprise

    O guia do usuário do N2000 series tem um exemplo de ACL na página 679.

    Mas para o seu caso específico, eu faria uma ACL para cada interface VLAN filtrando o tráfego de acordo com a necessidade de cada VLAN.

    Exemplo de script:

    en

    conf t

    ip access-list FILTRA_VLAN20

    10 permit ip 192.168.20.0 0.0.0.255

    20 permit any 192.168.50.0 0.0.0.255

    exit

    ip access-list FILTRA_VLAN30

    10 permit ip 192.168.30.0 0.0.0.255

    ! a linha abaixo permite acesso a um proxy server 192.168.X.Y para navegação de internet

    20 permit any host 192.168.X.Y

    exit

    interface vlan 20

    ip access-group FILTRA_VLAN20 in

    exit

    interface vlan 30

    ip access-group FILTRA_VLAN30 in

    exit

    wr

    A VLAN99 não precisa ACL pois vai ter acesso a tudo.

    Espero ter ajudado. Geeked

    Até mais!

      Antonio Moraes
     Fórum Moderator
     Enterprise ProSupport

    Chat | Twitter | Facebook | 0800 970 3355

    Clique em   aqui em baixo caso esta postagem tenha respondido à sua pergunta.

     

  • Bom dia Antônio,

    Muito obrigado pelo retorno. Confesso que ainda estou engatinhando em configurações de VLAN's mas tenho estudado bastante o conceito e os recursos.

    Bom, analisando as suas orientações aqui, vejo que as ACL's serão o caminho mesmo e pensando na prática, ao partir para a ACL vou ter algumas dificuldades adicionais, segue abaixo:

    Como a idéia inicial era amarrar as vlans por MAC, deixamos todas as portas de servidores dos switch core e todas as portas dos switches de acesso no modo general. Com a mudança para ACL's vou precisar fixar as portas do switch de servidores para modo access na vlan 50. É isso mesmo?

    Já nos switches de distribuição tenho que mudar as portas para modo access na vlan 20 (rede interna) e também fixar as vlans para as câmeras e rede convidados.

    Até ai tudo bem, só fiquei na dúvida com relação à VLAN 99, tenho que fixar ela como PVID padrão para todas as portas dos switches?

    Só mais um adendo, as VLANs 20 e 30 terão um DHCP server ativo no switch core. Poderia me orientar como fazer isso? 

    Muito obrigado pela ajuda até aqui, já contribuiu muito.

    Obrigado,

    Alex

  • Boa tarde, Alex! Obrigado pelo feedback positivo!

    Sim, Alex, é isso mesmo. Nas portas dos swiches onde existir um um servidor deve estar como mode de acesso e fazer parte da VLAN50 que é a de servidores. Da mesma forma, qualquer porta que se conectar uma máquina deve-se configurar para mode access com a VLAN desejada.

    A não ser, Alex, que você tenha um telefone IP e uma máquina na mesma porta, sendo que a máquina está conectada no telefone e o telefone no switch. Neste caso, configura-se a porta do switch como general e se adiciona a vlan de VoIP e a da estação. Sendo que o PVID tem que ser a VLAN da estação.

    Quanto à VLAN 99, você não precisa fixar como PVID nas portas onde não for conectada uma máquina de administrador de rede.

    Como não se sabe quando um administrador de rede vai se logar a uma estação que é de uso da rede interna (e assim está "presa" na VLAN 20) , você vai ter que mudar a VLAN daquela porta toda vez. Isso não é muito prático mas é a limitação da solução sem o servidor RADIUS e dot1x.

    Como você tem essa limitação, Alex, pode usar a própria VLAN 1 para os administradores de rede. Além do mais, alguns switches não aceitam outro número de VLAN ID para a gerência, como o powerconnect 28xx e o novo série X.

    Quanto ao DHCP server, você tem que configurar um DHCP Relay. Essa funcionalidade faz com que os pedidos de DHCP das estações em qualquer VLAN sejam repassados para um servidor que você indicar.

    Exemplo:

    en

    conf t

    interface vlan 20

    ip helper-address 192.168.50.55 dhcp

    exit

    interface vlan 30

    ip helper-address 192.168.50.55 dhcp

    exit

    wr

    Espero ter ajudado mais um pouco! Obrigado e até mais! Yes Cool

      Antonio Moraes
     Fórum Moderator
     Enterprise ProSupport

    Chat | Twitter | Facebook | 0800 970 3355

    Clique em   aqui em baixo caso esta postagem tenha respondido à sua pergunta.

     

  • Boa tarde Antônio,

    Mais uma vez obrigado. Restam poucas dúvidas, rsrs.

    Com relação ao gateway para navegação de internet nesse desenho que estamos fazendo, meu roteador (gateway) fica na vlan10, ip 192.168.10.254.

    Para liberar acesso a internet para a VLAN 30 você indicou fazer via ACL a permissão para o gateway em outra vlan.

    Essa é a mesma configuração que terei que fazer para liberar acesso à internet para a VLAN20 e VLAN50 ?

    Ex:

    20 permit any host 192.168.10.254

    30 permit any host 192.168.10.254

    50 permit any host 192.168.10.254

    Seria dessa forma mesmo? Pois sei que com o roteamento entre vlans habilitado não posso usar o ip default-gateway para direcionar o acesso à internet.

    Outro ponto é que eu já tenho dentro da minha rede um servidor RADIUS mas, a princípio, não vou configurar os acessos a rede por GPO's. Vamos chegar nesse nível numa próxima etapa.

    Mais uma vez agradeço a ajuda.

    Obrigado,

    Alex.

  • Boa tarde, Alex.

    hehehe! Sim, vamos lá! Que bom que faltam poucas dúvidas. Big Smile

    O seu roteador de internet é um firewall? Ou é um roteador que a operadora forneceu?

    Se for um firewall (appliance da Fortigate, SonicWall, CheckPoint, PFSense, etc...) ele tem que ser configurado nas suas regras para fazer NAT das faixas de endereço das VLANs. Além disso, você vai ter que configurar uma rota no firewall para todas as VLANs.

    Se for um roteador mais simples desses fornecidos pela operadora, tem que ver se ele vai suportar essas mesmas configurações de firewall que falei acima. Algumas vezes não suporta e você vai ter que mudar o desenho da solução de rede adicionando um firewall entre o roteador e o switch core.

    Qualquer que seja o caso, Alex, você vai precisar usar rota padrão.

    Não é que não se pode usar default route quando o roteamento entre VLANs está habilitado. Apenas não é a melhor prática fazer isso sem avaliar a situação pois se corre o risco de se criar um loop. Surprise

    Mas não é esse o seu caso, Alex.

    Aqui você precisa que as máquinas dentro das VLANs 20, 30 e 50 possam ir para a Internet (leia-se: o resto do mundo). Para isso, essas máquinas precisam que o seu próprio default gateway seja o endereço IP da VLAN onde elas estão.

    Ou seja, Alex, a máquina da VLAN 20 vai ter 192.168.20.2 como seu gateway. Dessa forma, ela vai repassar todo o tráfego para o Core.

    O Core vai ter um default gateway para o firewall. No caso 192.168.10.254 .

    O script de configuração seria:

    en

    conf t

    ip route 0.0.0.0 0.0.0.0 192.168.10.254

    exit

    wr

    Alex, se você quiser, existe um time de especialistas que podem realizar o desenho e a implantação da sua solução de rede. Verifique com o comercial se precisa fazer um orçamento.

    Espero ter ajudado mais um pouco ainda.

    Obrigado e até mais! Yes Geeked

      Antonio Moraes
     Fórum Moderator
     Enterprise ProSupport

    Chat | Twitter | Facebook | 0800 970 3355

    Clique em   aqui em baixo caso esta postagem tenha respondido à sua pergunta.

     

  • Boa tarde Antônio,

    Gostaria de agradecer teu apoio e as orientações passadas, foram de grande valia.

    Conseguimos configurar todo o ambiente da forma que queríamos, num próximo momento vamos voltar a nos falar sobre a parte de filtro de vlan por MAC via Radius. Com certeza vai ser um próximo passo importante para nós.

    Obrigado pelo apoio.

    Até mais!

    Alex