[VLAN] Comunicación inter-VLAN HP Procurve 1700
hysteresis
Mensajes publicados
2
Fecha de registro
Estado
Miembro
-
brupala Mensajes publicados 111108 Fecha de registro Estado Miembro Última intervención -
brupala Mensajes publicados 111108 Fecha de registro Estado Miembro Última intervención -
Hola a todos,
Tengo un HP Procurve 1700 - 24 puertos.
He creado 2 VLAN -
* VLAN 1: Puertos 7 y 9
* VLAN 2: Puertos 7 y 10
Configuración de puertos:
7 sin etiquetar, VLID 1
9 sin etiquetar, VLID 1
10 sin etiquetar, VLID 2
Puedo comunicarme con los puertos 7 y 9 cuando estos 2 puertos tienen el mismo VLID, pero el 7 y 10 no funcionan, y solo puedo poner un VLID por puerto.
Sin embargo, en la página principal veo que el puerto 7 y 9 son miembros de la VLAN 1 y el 7 y 10 miembros de la VLAN 2.
De hecho, me gustaría conectar en el puerto 7, mi firewall/router.
En el puerto 9 mi router wifi y en el puerto 10 mi otra red 200.200.1.X
Mi objetivo es que el wifi y mi red 200.200.1.X no se vean entre sí.
Gracias por indicarme si es posible compartir un puerto de mi switch en múltiples VLAN.
Gracias
Laurent.
Tengo un HP Procurve 1700 - 24 puertos.
He creado 2 VLAN -
* VLAN 1: Puertos 7 y 9
* VLAN 2: Puertos 7 y 10
Configuración de puertos:
7 sin etiquetar, VLID 1
9 sin etiquetar, VLID 1
10 sin etiquetar, VLID 2
Puedo comunicarme con los puertos 7 y 9 cuando estos 2 puertos tienen el mismo VLID, pero el 7 y 10 no funcionan, y solo puedo poner un VLID por puerto.
Sin embargo, en la página principal veo que el puerto 7 y 9 son miembros de la VLAN 1 y el 7 y 10 miembros de la VLAN 2.
De hecho, me gustaría conectar en el puerto 7, mi firewall/router.
En el puerto 9 mi router wifi y en el puerto 10 mi otra red 200.200.1.X
Mi objetivo es que el wifi y mi red 200.200.1.X no se vean entre sí.
Gracias por indicarme si es posible compartir un puerto de mi switch en múltiples VLAN.
Gracias
Laurent.
Configuración: Windows XP Internet Explorer 7.0
3 respuestas
Hola,
oh no, no funciona así.
Un puerto puede ser miembro de múltiples VLANs estáticas (por puerto) solo si está etiquetado.
De lo contrario, los puertos que pertenecen a VLANs diferentes están aislados entre sí.
Las VLANs solo pueden estar conectadas a través de un enrutador.
En este caso, necesitarías un enrutador con 2 interfaces Ethernet diferentes (no un switch incorporado) que puedan conectar cada VLAN independientemente.
Estas 2 interfaces pueden estar en el mismo puerto físico si el enrutador también gestiona la encapsulación 802.1q para encontrar las VLANs, el puerto del switch estando en modo etiquetado en las 2 VLANs en ese momento, o bien 2 puertos físicos diferentes si el enrutador no gestiona las VLANs.
Por cierto,
¿Qué es VLID? ¿Es lo mismo que PVID?
--
oh no, no funciona así.
Un puerto puede ser miembro de múltiples VLANs estáticas (por puerto) solo si está etiquetado.
De lo contrario, los puertos que pertenecen a VLANs diferentes están aislados entre sí.
Las VLANs solo pueden estar conectadas a través de un enrutador.
En este caso, necesitarías un enrutador con 2 interfaces Ethernet diferentes (no un switch incorporado) que puedan conectar cada VLAN independientemente.
Estas 2 interfaces pueden estar en el mismo puerto físico si el enrutador también gestiona la encapsulación 802.1q para encontrar las VLANs, el puerto del switch estando en modo etiquetado en las 2 VLANs en ese momento, o bien 2 puertos físicos diferentes si el enrutador no gestiona las VLANs.
Por cierto,
¿Qué es VLID? ¿Es lo mismo que PVID?
--
y ... ¡Voilá Voilou Voila!
Gracias por tu respuesta brupala,
De hecho, no es VLID, ¡sino PVID!
¡Pensé que aún era posible poner un puerto en varios VLAN!
En realidad, voy a reexplicar mi caso,
Tengo un router firewall (watchguard) que tiene 3 salidas de red
- External (para la conexión al router ADSL)
- Trusted (hacia mi red 10.101.X.X)
- Optional (hacia un router wifi D-Link 192.168.2.1)
Tengo otra red en la empresa (200.200.1.X), esta última está físicamente conectada a mi red 10.101.X.X.
Por ahora, las personas que quieren hacer VPN en mi red 200.200.1.X pasan por la red 10.101.x.x (trusted).
Me gustaría eliminar el enlace entre la red 10.101.X.X y la 200.200.1.X.
Por lo tanto, mi objetivo es hacer que el VPN pase por la salida hacia el router D-Link, que deberá estar conectado a mi switch 200.200.1.X.
Y quería poner un switch con VLAN entre el switch 200.200.1.X y mi router D-Link, ya que pasan paquetes DHCP en ambos.
Esperando haber sido lo más claro posible.....
De hecho, no es VLID, ¡sino PVID!
¡Pensé que aún era posible poner un puerto en varios VLAN!
En realidad, voy a reexplicar mi caso,
Tengo un router firewall (watchguard) que tiene 3 salidas de red
- External (para la conexión al router ADSL)
- Trusted (hacia mi red 10.101.X.X)
- Optional (hacia un router wifi D-Link 192.168.2.1)
Tengo otra red en la empresa (200.200.1.X), esta última está físicamente conectada a mi red 10.101.X.X.
Por ahora, las personas que quieren hacer VPN en mi red 200.200.1.X pasan por la red 10.101.x.x (trusted).
Me gustaría eliminar el enlace entre la red 10.101.X.X y la 200.200.1.X.
Por lo tanto, mi objetivo es hacer que el VPN pase por la salida hacia el router D-Link, que deberá estar conectado a mi switch 200.200.1.X.
Y quería poner un switch con VLAN entre el switch 200.200.1.X y mi router D-Link, ya que pasan paquetes DHCP en ambos.
Esperando haber sido lo más claro posible.....
Hola,
Para que un puerto sea visible desde varios VLANs, debe estar en todos los VLANs desde los cuales es visible y desmarcar la casilla VLAN Aware en el 1700.
Ejemplo con el puerto 2 como puerta de enlace común a 1 y 3
puerto 1: VLAN 1 y 2 PVID 1
puerto 2: VLAN 1, 2 y 3 PVID 2
puerto 3: VLAN 2 y 3 PVID 3
Funciona, se ve bien desde los otros VLANs y los VLANs no se ven entre sí.
Hay que tener mucho cuidado de desmarcar solo este puerto y también con los PVID de los otros puertos que deben ser diferentes entre sí para evitar que algún listillo taguee con la ID correcta usando un switch y se pase.
Siempre hay que verificar la separación con pings y recordar que un pirata puede forzar el PVID mediante un switch, por lo tanto, el retorno de tramas etiquetadas debe impedirlo.
Dicho esto, el funcionamiento del 1700 no parece evidente para los VLANs.
Nounours
Para que un puerto sea visible desde varios VLANs, debe estar en todos los VLANs desde los cuales es visible y desmarcar la casilla VLAN Aware en el 1700.
Ejemplo con el puerto 2 como puerta de enlace común a 1 y 3
puerto 1: VLAN 1 y 2 PVID 1
puerto 2: VLAN 1, 2 y 3 PVID 2
puerto 3: VLAN 2 y 3 PVID 3
Funciona, se ve bien desde los otros VLANs y los VLANs no se ven entre sí.
Hay que tener mucho cuidado de desmarcar solo este puerto y también con los PVID de los otros puertos que deben ser diferentes entre sí para evitar que algún listillo taguee con la ID correcta usando un switch y se pase.
Siempre hay que verificar la separación con pings y recordar que un pirata puede forzar el PVID mediante un switch, por lo tanto, el retorno de tramas etiquetadas debe impedirlo.
Dicho esto, el funcionamiento del 1700 no parece evidente para los VLANs.
Nounours
Una aclaración, en mi respuesta anterior, olvidé mencionar que en VLAN 1 y VLAN 3 solo tengo servidores conectados directamente a los puertos; si se trata de switches y usuarios, un pequeño ingenioso podría etiquetar los tramas como le plazca y, por lo tanto, ver 1 desde 3, por ejemplo, etiquetando en 1 los tramas con la ayuda de un switch (el PVID solo se asigna por el 1700 en caso de que no haya etiqueta en el trama)
Así que precaución con esto.
Nounours
Así que precaución con esto.
Nounours
no,
porque los usuarios están en principio conectados a puertos de acceso no etiquetados y monovlan, por lo que si envían tramas etiquetadas, el switch no las leerá, o las colocará únicamente en el vlan por defecto.
hay que reservar los puertos etiquetados para los puertos trunk y, eventualmente, para los puertos hacia los servidores.
--
y ... ¡Voilà Voilà Voilá!
porque los usuarios están en principio conectados a puertos de acceso no etiquetados y monovlan, por lo que si envían tramas etiquetadas, el switch no las leerá, o las colocará únicamente en el vlan por defecto.
hay que reservar los puertos etiquetados para los puertos trunk y, eventualmente, para los puertos hacia los servidores.
--
y ... ¡Voilà Voilà Voilá!