Hardware y software

utm+vlan+dhcp = ??

Kiroushi
Kiroushi #1 Mar '15

Hola, a ver si alguien que maneje de redes me podría echar una mano.

Tengo un XTM 25, un Cisco SG300-28P, un Windows Server 2008 R2 con DHCP+DNS y una máquina que ha de hacer de servidor.

Estoy usando la subred 172.20.0.0/24 como VLAN1 donde tengo puesto:

  • 172.20.0.1 -> Interfaz del UTM
  • 172.20.0.21 -> Interfaz del Cisco
  • 172.20.0.100 -> WS DHCP + DNS

Quiero crear una VLAN 250 para meter los servidores ahí (de ahí la máquina de prueba).

Creo la VLAN tanto en el XTM como en el Cisco (172.20.250.0/24). Y asigno:

  • 172.20.250.1 -> Interfaz del UTM
  • 172.20.250.254 -> Interfaz del Cisco

Tanto como el XTM, y la máquina con Windows Server los tengo conectados en puertos en trunk con la VLAN1 untagged y la VLAN250 tagged.

El servidor de prueba lo tengo conectado en un puerto en access con la VLAN250 untagged.

La pregunta es:

¿¿Cómo demonios puedo enrutar el tráfico de la subred 172.20.250.0/24 a la 172.20.0.0/24?? ¿He de usar la interfaz en la VLAN250 del XTM como gateway? ¿O he de usar la del switch?

Si asigno la IP a mano consigo hacer ping a la 172.20.250.0/24, pero nada fuera de eso.

Invoco a alguien que me pueda sacar de mi absoluta torpeza :<

ElRuso
ElRuso #2 Mar '15

Si quieres enrturar, debes tener un dispositivo de Layer 3. No necesitas tener ningun VLAN tagged.
Al parecer SG3000 puede hacer L3 switching, en modo de configuración prueba ejecutar ese comando
ip route

Tambien ayudaria entender el setup fisico, como esta conectado todo, sobretodo el XTM

1 1 respuesta
SpiuK
SpiuK #3 Mar '15 Moderador

Estoy de acuerdo con #2 , el saber como esta conectado todo es algo que facilitaria mogollon,ya que viendo eso te podriamos decir hacia donde debes enrutar.

PD: Si no recuerdo mal, a la hora de enrutar nunca se enruta hacia el switch,si no hacia el que seria su siguiente salto

Kiroushi
Kiroushi #4 Mar '15

Tengo configurado el SG300 en modo L3.

Según tengo entendido la mejor aproximación sería el "router on a stick", ¿no?

La cosa es que quiero 3 VLAN:

VLAN 1: admin (ahora mismo tengo ahí el DHCP porque tengo que tener la red funcionando mientras las configuro).

VLAN 250: servers

VLAN 218: invitados (está configurada en un AP200 de WatchGuard que tiene integración con el software del UTM).

La cosa es que tengo configurado tanto en el XTM como en el SG300 una interfaz en cada VLAN.

En el caso de la VLAN 250 (servers), tengo lo siguiente:

172.20.250.1 -> UTM
172.20.250.254 -> SG300

Si cojo el "test", y le asigno una IP a mano en la subnet 172.20.250.0/24, puedo hacer ping a ambas interfaces, pero no veo nada fuera de eso.

Es aquí donde me surge la duda si los ordenadores de esa subnet deben de usar la interfaz del XTM o la del SG300 como puerta de enlace.

Siento si son preguntas muy obvias, pero estoy muy perdido xDD

1 respuesta
ElRuso
ElRuso #5 Mar '15

He echo in croquis.

Yo lo que haría es 4 VLANs si quieres perseguir lo suyo.

  1. Para servers
  2. Para Management
  3. Para firewall
  4. Para Wireless

Procura que le Switch/SG300 enruta con el default gateway/route de IP de XTM. Los default gateway de los ordenadores debe ser la IP address del VLAN en de Cisco switch de cada VLAN correspondiente.
Y ya esta.

1 respuesta
neo-ns
neo-ns #6 Mar '15

Yo no se como sera ese UTM, pero con los de Sophos o ex Astaro que ai trabajo, unavez creadas las VLAN hay que enrutar el trafico en este para que un rango de ips pueda acceder a otro.

Por supuesto en los switch L3 tienes que realizar configuracion tambien para no usar el UTM de puente.

1 respuesta
Kiroushi
Kiroushi #7 Mar '15

#5 En tu diagrama, ¿a qué equivaldría cada VLAN? Me refiero a management/servers/etc. No al número xD

#6 Hasta donde he llegado a entender, la diferencia está en qué gateway use. Cuando usaba como gateway la interfaz del switch Cisco y añadía una ruta default 0.0.0.0/0 a la interfaz del UTM en 172.20.0.1, el problema que tenía era que me identificaba el tráfico como "1-Trusted" en vez de como el alias de VLAN que creaba a nivel de UTM.

La verdad es que creando políticas con alias de VLAN a nivel de UTM es muy cómodo, porque puedo cambiar los rangos de subredes sin tener que redefinir alias por rangos de IP.

1 respuesta
ElRuso
ElRuso #8 Mar '15

#7 He intentado mantener el mismo addressing que has puesto.
VLAN250 Servers
VLAN1 Managment
VLAN218 Wireless
VLAN100 Firewall segment

Yo te desaconsejo hacer routing a nivel de firewall. Se deberia de enrutar a nivel de switch si es un switch L3.
Es importante que los puertos estan en modo access y no trunk en la configuracion que he puesto mas arriba.

1 respuesta
Kiroushi
Kiroushi #9 Mar '15

#8 ¿Y el tema del DHCP cómo lo manejarías? ¿Relay a nivel de switch?

¿La configuración que me has puesto sería compatible si enlazara este SG300 con otro a través de un trunk? Tenemos dos naves unidas por un Alvarion.

1 respuesta
ElRuso
ElRuso #10 Mar '15

#9 En Cisco iOS hay un comando ip helper-address . En cada VLAN pondrias

ip helper-address <IP de DHCP server>

Esto dice al VLAN que mande DHCP boradcast a dicho servidor. Supongo que en tu modelo de switch habra algo parecido.

No soy experto en trunk ports, pero basandose en teoría no veo pq no podrias anyadir otro switch y hacer un trunk mientras los vlans estan configurados en ambos.

Tenemos dos naves unidas por un Alvarion.
Eso, no lo entiendo.

2 respuestas
NueveColas
NueveColas #11 Mar '15

#10 Tenemos dos naves unidas por un Alvarion Perdonadme que me meta (no tengo ni flower idea de redes), pero te dice que tiene dos pabellones industriales (naves industriales) conectadas usando un cacharro de marca Israelí.

Joder se que estoy haciendo el cagar, pero creo que deberías preguntarle que tipo de modelo Alvarion es. Si es lo de las naves (por si no conocías la palabra en sí, te he leído y se que aunque llevas muchos años no eres de aquí) pues espero haber sido de ayuda.

Perdona por lo grosera de la explicación.

1 respuesta
Kiroushi
Kiroushi #12 Mar '15

#10 Ah, sí, disculpa XD

Tenemos dos edificios unidos por un enlace inalámbrico (esto me da miedo porque aún no lo he tocado y no sé si es capaz de hacer trunking de VLANes).

1 respuesta
_Akiles_
_Akiles_ #13 Mar '15 Sellsword

#4 router on a stick seria si solo tuvieras una interfaz fisica y tuvieras la necesidad de crear varias VLAN en el XTM, la mejor opcion como te comentaron arriba es utilizar como L3 el SG y crear lo que se llaman SVIs, -la interfaz para cada VLAN con su correspondiente IP-.

Todo depende que puedas hacer trunks entre los switches y los Alvarion.

1 respuesta
ElRuso
ElRuso #14 Mar '15

#11 Gracias
#12 Eso lo deberías mirar si puedes crear un trunk entre los dos nodos usando el Alvarion.
Otra opción que se me ocurre es usar VLANs diferentes para cada "nave" y tirar de L3.

1 respuesta
Kiroushi
Kiroushi #15 Mar '15

#13 #14 Gracias.

Una pregunta, la interfaz física del switch donde conecto la máquina donde ejecuto el DHCP tengo que ponerla en trunk para que las VLANs pasen por ellas y pueda llegar el broadcast del DHCP, ¿no?

1 respuesta
ElRuso
ElRuso #16 Mar '15

Con configurar DHCP relay para cada VLAN te valdria. Acabo de googlear 'sg300 configure dhcp relay'.
Usadno GUI: http://sbkb.cisco.com/CiscoSB/GetArticle.aspx?docid=d8d34abcd43d445f95073301cae9fbd2_DHCP_Relay_Configuration_on_Cisco_300_Managed_Switch.xml&pid=2&converted=0

1
_Akiles_
_Akiles_ #17 Mar '15 Sellsword

#15 no, ese puerto tiene que estar en acceso asignado a la VLAN del server, realmente el relay no es un broadcast, reenvia le peticion como unicast.

1 respuesta
Kiroushi
Kiroushi #18 Mar '15

#17 Entiendo, muchísimas gracias.

Y siento si la pregunta es estúpida, pero: ¿necesitaría crear rutas adicionales en el XTM? O utilizando la default en el switch sería suficiente para hacer routing entre las VLAN?

1 respuesta
_Akiles_
_Akiles_ #19 Mar '15 Sellsword

#18 o configuras un protocolo de enrutamiento entre el switch y el XTM, o necesitas rutas estaticas en el XTM a cada subred.

Para el trafico entre VLANs no necesitas nada, se encarga el switch siempre que configures el ip routing.

2 respuestas
kaitoo
kaitoo #20 Mar '15 Penitente

Añado que el Switch tiene que tener licencia IP based / IP Services (acabada en S o T) para hacer routing, si acaba en L de LAN olvídate :wtf:

1 respuesta
Kiroushi
Kiroushi #21 Mar '15

#19 Es decir, que para aplicar las reglas del firewall necesito crear las rutas estáticas en el XTM.

¿Hay realmente alguna desventaja en usar el método de router on a stick? Lo digo porque creo que la gestión de las reglas del firewall son más sencillas de esa forma. (Y ojo, no estoy desprestigiando para nada lo que me habéis explicado, al revés, me ha sido de grandísima ayuda :) ).

#20 ¿Y este concepto nuevo… dónde puedo saber qué es mi equpo? XD

1 respuesta
kaitoo
kaitoo #22 Mar '15 Penitente

#21 los Switches son Cisco? Si es afirmativo 'sh ver | i IOS' te dirá si tienes ip based / ip services / LAN based

Edit : si necesitas más ayuda sube diagramas de L2 & L3 + scrubbed configs de Switches y Routers, te lo arreglamos en un momento.

1 respuesta
Kiroushi
Kiroushi #23 Mar '15

#22 Es un Cisco Small Business. No usa IOS :(

El diagrama es sencillo, es el que puse más arriba:

ElRuso
ElRuso #24 Abr '15

Por lo que he leido SG300 solo tiene una licencia. Y solo puede tener Static Routes.

La mayor desventaja de como lo llaman "router on a stick" es que dependiendo de numero de usuarios/requests puede introducir latencia innecesaria y puede aparecer drop packets. Teniendo un L3 switch no lo haria.

Firewall debe controlar y manejar las conexiones entre LAN y Internet/WAN (Inside<->Outside). Y las comunicaciones entre VLANs los puedes controlar usando ACL (Access Control Lists) en el switch mismo. SG300 puede hacerlo.

Por lo demas #19. O creas dos routes una a 172.20.0.0 255.255.0.0
y otra a 192.168.218.0 255.255.255.0

Usuarios habituales

  • ElRuso
  • Kiroushi
  • kaitoo
  • _Akiles_
  • NueveColas
  • neo-ns
  • SpiuK

Tags