Este artículo ha sido escrito por Vic_Thor en www.hackxcrack.com
- Switches, VLAN's y DHCP (Parte I de VIII)
- Switches, VLAN's y DHCP (Parte II de VIII)
- Switches, VLAN's y DHCP (Parte III de VIII)
- Switches, VLAN's y DHCP (Parte IV de VIII)
- Switches, VLAN's y DHCP (Parte V de VIII)
- Switches, VLAN's y DHCP (Parte VI de VIII)
- Switches, VLAN's y DHCP (Parte VII de VIII)
- Switches, VLAN's y DHCP (Parte VIII de VIII)
*************************************************************************************
Ahora veamos en la práctica que hay que hacer....
Hay que elegir el puente raíz y si lo deseamos uno secundario por si nos falla el primero
Hay que elegir el diámetro de la red, es decir, el valor máximo u óptimo de switches por el que pasarán los datos.
Hay que proteger el switch raíz... porque imagina que llega un administrador capullo y nos enchufa otro switch en el culo del mundo de nuestra red y por "casualidad” o porque así lo dispuso el administrador capullo, este switch que es una mierda y está lejos, se convierte en raíz.... a tomar por saco la red... todo lento...
Hay que elegir el puente raíz y si lo deseamos uno secundario por si nos falla el primero
Hay que elegir el diámetro de la red, es decir, el valor máximo u óptimo de switches por el que pasarán los datos.
Hay que proteger el switch raíz... porque imagina que llega un administrador capullo y nos enchufa otro switch en el culo del mundo de nuestra red y por "casualidad” o porque así lo dispuso el administrador capullo, este switch que es una mierda y está lejos, se convierte en raíz.... a tomar por saco la red... todo lento...
- Hay que decidir si utilizamos STP o no
- Hay que configurar VTP, el modo VTP y el dominio de gestión
- Hay que decidir la velocidad de los puertos
- Hay que decidir si esos puertos son trunking (compartidos) o no
- Hay que decidir el protocolo de encapsulación, si tiramos por ISL, por IEEE, por dot1q...
- Hay que construir las VLAN's y asignarlas a puertos estáticos o dinámicos
- Hay que decidir el modo de negociación de los puertos
- Hay que decidir si serán puertos rápidos, de backbone o de uplink
Escenario
1 Switch con tres VLAN's
1 Router que intercomunica las tres VLAN's y proporciona acceso a Internet
1 Servidor DHCP que asigna IP's automáticas a cualquier cosa que se conecte al switch
Parece fácil, pero no lo es, el problema o mejor dicho, lo que le llamó la atención a Grullanetx, es que existiendo 3 VLAN's sólo había un servidor DHCP, con una única tarjeta de red....
Pensaréis, pues vaya problema, se configura el DHCP con cada rango de red y ya está... pues NO!!! Porque qué pasaría si el servidor DHCP le entrega a un PC de la VLAN de secretarias una IP que le debería corresponder a la VLAN de los jefes.... pues que se quedará sin comunicación, no será ni secretaria, ni jefe... el switch no entenderá que coño hace ese PC con un rango de red que no le corresponde...
Vamos, que no me extraña que le haya sorprendido, pero a grandes problemas, grandes remedios...
Antes de solucionar y configurar todo, pongamos el caso real
Configuración del Switch
Cisco Catalyst 2950 de 24 puertos.
VLAN 10 para el departamento de diseño, red 192.168.10.0/24
VLAN 20 para el departamento comercial, red 192.168.20.0/24
VLAN 30 para el departamento de administración, red 192.168.30.0/24
Puertos: 1-2-3-4-5-6-7-8 asignados a la VLAN 10
Puertos: 9-10-11-12-13-14-15-16, a la VLAN 20
Puertos: 17-18-19-20-21-22-23-24, a la VLAN 30
IP's de gestión del Switch
Para la VLAN 10, la IP de gestión es: 192.168.10.199 /24
Para la VLAN 20, la IP de gestión es: 192.168.20.199 /24
Para la VLAN 30, la IP de gestión es: 192.168.30.199 /24
Clave de acceso para telnet: clase
Clave de acceso para el administrador: cisco
Designarlo como switch raíz y protegerlo como raíz
Habilitar STP por VLAN
Habilitar VTP en modo servidor, con nombre de dominio HxC
Los puertos 22-23-24 en modo TRUNK, modo compartido para que pase el tráfico VTP
Los puertos 1 al 21 en modo dinámico "deseable”
Los puertos 1 al 21 se habilita el modo portfast para no esperar el cambio de estado de puerto
Los puertos 22-23-24 se habilita el modo backbone fast, son puertos troncales, que unirán al router y/o a otros switches en el futuro
En el puerto 24 conectaremos el router
En un puerto cualquiera de la VLAN 20 (del 9 al 16) conectaremos el servidor DHCP
Configuración del Servidor DHCP
Servidor DHCP de Windows 2000 advanced Server
IP 192.168.20.1 /24
Tres ámbitos de concesiones, uno para cada rango de red de VLAN para 50 host dinámicos, o sea, así:
Ámbito Diseño: 192.168.10.200 a 192.168.10.250
Ámbito Comercial: 192.168.20.200 a 192.168.20.250
Ámbito Admón.: 192.168.30.200 a 192.168.30.250
Los tres ámbitos con máscara 255.255.255.0 (/24)
Configuración de router
Cisco 1700
2 Tarjetas WAN serie (no usadas)
1 Tarjeta ATM para adsl (ya configurada, no se pone en el ejemplo)
1 Tarjeta FastEthernet 10/100 conectada al switch por el puerto 24
Se habilitarán 3 subinterfaces en la FastEthernet, de nombres: F0.10, F0.20 y F0.30 que conectarán las tres VLAN's, habilitando el enrutamiento entre las tres y proporcionando conectividad WAN xDSL
Bueno y más cosas que iremos "descubriendo” poco a poco... de momento con esto te haces una idea, observa dos cosas:
1º) Utilizamos vlan 10, 20 y 30, configuramos redes .10, .20 y .30, habilitamos subinterfaces .10, .20 y .30.... como ves todo coincide
Pero no te equivoques, esto es un convenio, es para "mejorar la comprensión”, pero es perfectamente posible tener la VLAN 80 con red 192.168.13.0/24, asignada a una subinterfaces del router que se llame F0.112 .... lo que ocurre es que es más sencillo de recordar así, que si empezamos a ser fantasiosos con los rangos de red, etc...
2º) Las subinterfaces.... hemos dicho que usar 25 VLAN's en un switch es como tener 25 switches, si queremos conectar esas VLAN entre si, necesitaríamos:
· 25 routers con al menos 1 interface ethernet
· 1 router con al menos 25 interfaces ethernet
· 1 router con una interface FastEthernet
No hay que ser muy listo para darse cuenta que los dos primeros puntos son carísimos e innecesarios a la vista del tercero... imagina una subinterface como un pc con una tarjeta de red con varias ip's.... eso es.... mas o menos....
Cada una de estas subinterfaces, tienen estas ip's:
Para f0.10 la IP 192.168.10.254/24
Para f0.20 la IP 192.168.20.254/24
Para f0.30 la IP 192.168.30.254/24
Estas IP's serán a su vez, las puertas de enlace para cada VLAN, es decir, si configurásemos manualmente un IP de la VLAN 20, por ejemplo el propio servidor DHCP, sería;
IP: 192.168.20.1
Máscara: 255.255.255.0
Puerta de enlace predeterminada: 192.168.20.254
Es como si tuviésemos 3 redes y 3 routers diferentes... son "virtuales”
Vale, pues al tajo....
No hay comentarios:
Publicar un comentario