SAUL-ENRIQUE
20/04/2021, 11:54
Las Vlans pertenecen a la capa 2 lo que indica que no pueden tener comunicación entre ellos, para que se puedan comunicar necesitamos de un equipo de capa tres, nosotros ocuparemos un RB2011 para que haga el routing y las vlans puedan tener comunicación
Para este ejemplo ocuparemos 3 Vlans con las siguientes características
Vlan ID
Name
Adddress
Network
2
Contabilidad
192.168.202.1
192.168.202.0/24
3
Ventas
192.168.203.1
192.168.203.0/24
4
Sistemas
192.168.204.1
192.168.204.0/24
Estas Vlans serán configuradas en el RB como en el Switch Planet
Al igual configuramos unas reglas para las Vlans,
-La Vlan de Contabilidad y Ventas no podrán tener comunicación entre si ni tampoco podrán tener comunicación con la Vlan de Sistemas
-La Vlan de Sistemas si podrá tener comunicación con la Vlan de Contabilidad y Ventas
1063
Entrar al RB
Ingresamos a nuestro RB, esto lo hacemos conectando un cable Ethernet de nuestro equipo al RB, automáticamente el winbox detecta el RB. Ingresamos admin:
1
En el menú de nuestro RB se encuentra el botón Interfaces, le damos clic y se abrirá una nueva ventana, esta ventana tiene varias pestañas, seleccionamos la pestaña VLAN. Se muestra la interface de VLAN y nos aparece un símbolo de +, damos clic en este símbolo y se abrirá una ventana nueva donde crearemos nuestras interfaces lógicas Vlans
842
Cuando nos aparezca la nueva ventana ingresamos el nombre nuestra vlan, ingresamos la Vlan ID y seleccionamos la interface que actuará como nuestra troncal
843
Repetiremos estos pasos con las demás Vlans, al terminar de crearlas tendremos una ventana con estas características
844
Ya hemos Creador nuestras interfaces lógicas o Vlans, ahora configuramos las direcciones que tendrán.
2
Como siguiente paso es darle dirección a nuestras Vlans, para eso vamos al menú del RB seleccionamos /IP-Addresses nos aparece una nueva ventana, seleccionamos el símbolo + , se abrirá una nueva ventana donde configuramos nuestras direcciones
845
Como ejemplo crearemos la dirección de Contabilidad, esto se repetirá con las demás VLans
846
Al terminar de ingresar nuestras direcciones tendremos un recuadro como este.
847
HASTA EL MOMENTO YA CREAMOS NUESTRAS INTERFACES LOGICAS VLANS SELECCIONAMOS EL PUERTO QUE ACTUARA COMO NUESTRO TRONCAL Y CONFIGURAMOS SUS DIRECCIONES DE NUESTRAS VLANS, COMO SIGUIENTE PUNTO ES BLOQUEAR LA COMUNICACIÓN ENTRE LAS VLANS CONTABILIDAD Y VENTAS ENTRE SI Y CON SISTEMAS. SISTEMAS SI PUEDE TENER COMUNICACIÓN CON LAS OTRAS DOS VLANS
3 OPCION 1
CONFIGURACION DE VLAN EN SWITCH PLANET MEDIANTE INTERFAZ GRAFICA
En este switch GSD-1002M vamos a configurar las siguientes VLAN
VLAN ID
Nombre de la VLAN
Puertos
2
Contabilidad
GigabitEthernet 4
3
Ventas
GigabitEthernet 5
4
sistemas
GigabitEthernet 7
Los puertos que serán usados como troncales y las VLAN que deben configurarse en cada uno son los siguientes:
Puertos
VLANs permitidas
6
2, 3
8
1, 2, 3, 4
Inicio de sesión en el switch
Configuración de IP fija en Windows 10
Para poder administrar via web nuestro switch debemos tener una IP fija en nuestro equipo para poder conectarnos al switch. Por defecto el switch tiene la IP 192.168.0.100/24. Nosotros nos asignaremos la IP 192.168.0.10/24 para tener comunicación.
Primero nos dirigimos a Panel de control > Redes e Internet > Conexiones de Red y hacemos doble clic sobre nuestro adaptador Ethernet y veremos algo así:
854
Hacemos doble clic sobre Habilitar el Protocolo de Internet Versión 4 y cambiamos las opciones y debe quedar configurado así:
855
Inicio de sesión en el switch
Para iniciar sesión en el switch, abrimos nuestro navegador y nos conectamos a la IP 192.168.0.100, el portal que veremos es el siguiente:
Las credenciales por defecto del switch son usuario: “admin” contraseña: “admin”.
856
Creación de las VLANs
Nos dirigimos al apartado VLAN, elegimos la opción “Create VLAN”.
Tenemos las opciones:
VLAN LIST à Desde aquí colocamos el número de la VLAN
VLAN Action àNos permite añadir o eliminar una VLAN
VLAN Name Profile à Aquí escribimos el nombre de la VLAN
En la siguiente imagen se muestra la configuración de la VLAN 2 con nombre “contabilidad”. Para finalizar hacemos clic en Apply para que los cambios se guarden.
857
Repetimos los pasos para las VLANs restantes. Al terminar deberíamos ver lo siguiente.
858
Modificación del tipo de interfaces del Switch
Para vincular los puertos de nuestro switch a una VLAN nos dirigimos al apartado VLAN y seleccionamos Interface Settings. Las opciones son que vamos a modificar son:
Port Select à Elegimos los puertos a modificar.
Interface VLAN Mode à Elegimos el modo de puerto. Puede ser acceso o troncal.
Configuramos según la tabla mostrada al inicio de este documento
En la siguiente imagen se muestra como configurar las 4 interfaces de acceso. Las restantes siguen los mismos pasos.
2997
Asignación de VLANs a los puertos de acceso
Lo siguiente es vincular VLANs con cada puerto. Se muestra la configuración del puerto GE4.
1.- Nos vamos a Port VLAN Membership
2.- Seleccionamos el puerto a configurar
859
Se nos mostrara un menú y debe quedar configurado como sigue:
860
Con esto el puerto queda vinculado a la VLAN 2.
Asignación de VLANs a los puertos troncales
Para configurar el paso de las VLANs por los puertos troncales el procedimiento es similar y se muestra en la siguiente imagen, donde se configura el puerto GE8:
861
El puerto restante se configura de la misma manera.
3 OPCIÓN 2
CONFIGURACION DE VLAN EN SWITCH PLANET MEDIANTE CLI
LA CONFIGURACION QUE HAREMOS EN LOS PUERTOS PARA LAS VLANS ES LA SIGUIENTE
PUERTO 4 PARA LA VLAN 2
PUERTO 5 PARA LA VLAN 3
PUERTO 6 PARA LA VLAN 2 Y 3
PUERTO 7 PARA LA VLAN 4
PUERTO 8 PARA EL TRONCAL
Para configuración mediante el CLI el switch trae por default un servidor interno con ip 192.168.0.100, ingresaremos por telnet con la herramienta putty, para ellos vamos a configuración de red/Cambiar opciones de adaptador/Adaptador Ethernet/IPv4 y cambiamos nuestra IP al mismo segmento ingresamos usuario y contraseña admin:admin
848
Ya estando en el switch mediante cli entramos al modo de configuración con el comando “Configure”, seguidamente creamos nuestras vlan con la la misma ID configurado en el RB y el nombre para identificarlo
849
Ya que tenemos creado nuestras Vlans con su ID y Nombre toca asignarlo al puerto del switch
Entramos a la interface del switch, configuramos que sea modo de acceso y que permita la vlan
Seguidamente se configura la troncal con las vlans que queremos dejar pasar para este caso las mismas vlans que creamos en el RB
851
Ahora configuramos el puerto troncal que estará conectado al RB, en este puerto configuramos las Vlans que vamos a permitir.
852
YA HEMOS CREADO LAS VLANS, LAS ASIGNAMOS A LOS PUERTOS QUE CORRESPONDEN Y CREAMOS EL PUERTO TRONCAL QUE TENDRÁ COMUNICACIÓN CON EL RB.
COMO VERAN EN LA INTERFACE 6 SE CONFIGURÓ COMO MODO TRUNK PARA QUE EN ESE PUERTO PUEDAN CONECTARSE DOS VLANS
EL EQUIPO ESTA CORRIENDO LA CONFIGURACIÓN CON MEMORIA VOLÁTIL , POR LO QUE SI EL SWITCH LLEGA A PERDER ENERGÍA SE PUEDE BORRAR LA CONFIGURACIÓN, PARA GUARDAR LA CONFIGURACIÓN EN MEMORIA NO VOLÁTIL PODEMOS ESCRIBIR EL COMANDO “copy running-config startup-config”
APAGAR LAS INTERFACES WIFI DE LOS EQUIPOS PARA LOGRAR EL PING EXITOSO Y TENER COMUNICACIÓN
2998
4
Con la siguiente configuración podremos contestar las siguientes preguntas
1.- ¿En el puerto 4 del switch puedo conectar mi equipo y ponerle una IP de la Vlan 3?
2.- ¿Desde el puerto 4 puedo darle ping a la red 203 o 204?
3.- ¿La Vlan 4 puede dar ping a la vlan 2 y 3?
4.- ¿Desde el puerto 6 puedo poner una IP del 202, 203 o 204?
Miktrotik por default trae que nuestras direcciones VLANS que creamos puedan tener comunicación entre ellos, como parte de privacidad y seguridad bloquearemos la comunicación entre estas Vlans para ello en el menú del RB seleccionamos /IP---Addresses, seguidamente nos aparecerá una nueva ventana, como podremos observar esta ventana tiene unas direcciones ya configuradas que aprendió el RB de manera dinámica. Esta nueva ventana que se abre tiene varias pestañas, seleccionamos la pestaña RULES seguidamente clic en el símbolo de + y se nos abrirá una nueva venta
863
La ventana que se abre es donde configuraremos nuestra Rules
Nuestras Vlan de contabilidad no pueden tener comunicación con la Vlan de ventas ni sistemas
Nuestras Vlans de ventas no pueden tener comunicación con la Vlan de contabilidad ni sistemas
Nuestra Vlan de Sistemas si puede tener comunicación con la VLan de Contabilidad y ventas
Como ejemplo configuramos la rule de contabilidad
864
Al finalizar tendremos un recuadro como las siguientes rules
865
PARA REALIZAR LA PRUEBA DE LOS DROPS ES NECESARIO QUE VERIFIQUEN QUE EL EQUIPO DONDE SE HAGA LA PRUEBA NO TENGA NINGÚN TIPO DE RESTRICCIÓN EN SU PROPIO FIREWALL (FIREWALL DE WINDOWS, IPTABLES) YA QUE DE LO CONTRARIO NO LE VA A PERMITIR VISUALIZAR EL FUNCIONAMIENTO DE LAS REGLAS.
YA CREAMOS LAS INTERFACES LOGICAS VLANS, YA CONFIGURAMOS SUS DIRECCIONES POR CADA VLAN, Y YA INGRESAMOS UNAS REGLAS QUE DEBE SERGUIR.
Para este ejemplo ocuparemos 3 Vlans con las siguientes características
Vlan ID
Name
Adddress
Network
2
Contabilidad
192.168.202.1
192.168.202.0/24
3
Ventas
192.168.203.1
192.168.203.0/24
4
Sistemas
192.168.204.1
192.168.204.0/24
Estas Vlans serán configuradas en el RB como en el Switch Planet
Al igual configuramos unas reglas para las Vlans,
-La Vlan de Contabilidad y Ventas no podrán tener comunicación entre si ni tampoco podrán tener comunicación con la Vlan de Sistemas
-La Vlan de Sistemas si podrá tener comunicación con la Vlan de Contabilidad y Ventas
1063
Entrar al RB
Ingresamos a nuestro RB, esto lo hacemos conectando un cable Ethernet de nuestro equipo al RB, automáticamente el winbox detecta el RB. Ingresamos admin:
1
En el menú de nuestro RB se encuentra el botón Interfaces, le damos clic y se abrirá una nueva ventana, esta ventana tiene varias pestañas, seleccionamos la pestaña VLAN. Se muestra la interface de VLAN y nos aparece un símbolo de +, damos clic en este símbolo y se abrirá una ventana nueva donde crearemos nuestras interfaces lógicas Vlans
842
Cuando nos aparezca la nueva ventana ingresamos el nombre nuestra vlan, ingresamos la Vlan ID y seleccionamos la interface que actuará como nuestra troncal
843
Repetiremos estos pasos con las demás Vlans, al terminar de crearlas tendremos una ventana con estas características
844
Ya hemos Creador nuestras interfaces lógicas o Vlans, ahora configuramos las direcciones que tendrán.
2
Como siguiente paso es darle dirección a nuestras Vlans, para eso vamos al menú del RB seleccionamos /IP-Addresses nos aparece una nueva ventana, seleccionamos el símbolo + , se abrirá una nueva ventana donde configuramos nuestras direcciones
845
Como ejemplo crearemos la dirección de Contabilidad, esto se repetirá con las demás VLans
846
Al terminar de ingresar nuestras direcciones tendremos un recuadro como este.
847
HASTA EL MOMENTO YA CREAMOS NUESTRAS INTERFACES LOGICAS VLANS SELECCIONAMOS EL PUERTO QUE ACTUARA COMO NUESTRO TRONCAL Y CONFIGURAMOS SUS DIRECCIONES DE NUESTRAS VLANS, COMO SIGUIENTE PUNTO ES BLOQUEAR LA COMUNICACIÓN ENTRE LAS VLANS CONTABILIDAD Y VENTAS ENTRE SI Y CON SISTEMAS. SISTEMAS SI PUEDE TENER COMUNICACIÓN CON LAS OTRAS DOS VLANS
3 OPCION 1
CONFIGURACION DE VLAN EN SWITCH PLANET MEDIANTE INTERFAZ GRAFICA
En este switch GSD-1002M vamos a configurar las siguientes VLAN
VLAN ID
Nombre de la VLAN
Puertos
2
Contabilidad
GigabitEthernet 4
3
Ventas
GigabitEthernet 5
4
sistemas
GigabitEthernet 7
Los puertos que serán usados como troncales y las VLAN que deben configurarse en cada uno son los siguientes:
Puertos
VLANs permitidas
6
2, 3
8
1, 2, 3, 4
Inicio de sesión en el switch
Configuración de IP fija en Windows 10
Para poder administrar via web nuestro switch debemos tener una IP fija en nuestro equipo para poder conectarnos al switch. Por defecto el switch tiene la IP 192.168.0.100/24. Nosotros nos asignaremos la IP 192.168.0.10/24 para tener comunicación.
Primero nos dirigimos a Panel de control > Redes e Internet > Conexiones de Red y hacemos doble clic sobre nuestro adaptador Ethernet y veremos algo así:
854
Hacemos doble clic sobre Habilitar el Protocolo de Internet Versión 4 y cambiamos las opciones y debe quedar configurado así:
855
Inicio de sesión en el switch
Para iniciar sesión en el switch, abrimos nuestro navegador y nos conectamos a la IP 192.168.0.100, el portal que veremos es el siguiente:
Las credenciales por defecto del switch son usuario: “admin” contraseña: “admin”.
856
Creación de las VLANs
Nos dirigimos al apartado VLAN, elegimos la opción “Create VLAN”.
Tenemos las opciones:
VLAN LIST à Desde aquí colocamos el número de la VLAN
VLAN Action àNos permite añadir o eliminar una VLAN
VLAN Name Profile à Aquí escribimos el nombre de la VLAN
En la siguiente imagen se muestra la configuración de la VLAN 2 con nombre “contabilidad”. Para finalizar hacemos clic en Apply para que los cambios se guarden.
857
Repetimos los pasos para las VLANs restantes. Al terminar deberíamos ver lo siguiente.
858
Modificación del tipo de interfaces del Switch
Para vincular los puertos de nuestro switch a una VLAN nos dirigimos al apartado VLAN y seleccionamos Interface Settings. Las opciones son que vamos a modificar son:
Port Select à Elegimos los puertos a modificar.
Interface VLAN Mode à Elegimos el modo de puerto. Puede ser acceso o troncal.
Configuramos según la tabla mostrada al inicio de este documento
En la siguiente imagen se muestra como configurar las 4 interfaces de acceso. Las restantes siguen los mismos pasos.
2997
Asignación de VLANs a los puertos de acceso
Lo siguiente es vincular VLANs con cada puerto. Se muestra la configuración del puerto GE4.
1.- Nos vamos a Port VLAN Membership
2.- Seleccionamos el puerto a configurar
859
Se nos mostrara un menú y debe quedar configurado como sigue:
860
Con esto el puerto queda vinculado a la VLAN 2.
Asignación de VLANs a los puertos troncales
Para configurar el paso de las VLANs por los puertos troncales el procedimiento es similar y se muestra en la siguiente imagen, donde se configura el puerto GE8:
861
El puerto restante se configura de la misma manera.
3 OPCIÓN 2
CONFIGURACION DE VLAN EN SWITCH PLANET MEDIANTE CLI
LA CONFIGURACION QUE HAREMOS EN LOS PUERTOS PARA LAS VLANS ES LA SIGUIENTE
PUERTO 4 PARA LA VLAN 2
PUERTO 5 PARA LA VLAN 3
PUERTO 6 PARA LA VLAN 2 Y 3
PUERTO 7 PARA LA VLAN 4
PUERTO 8 PARA EL TRONCAL
Para configuración mediante el CLI el switch trae por default un servidor interno con ip 192.168.0.100, ingresaremos por telnet con la herramienta putty, para ellos vamos a configuración de red/Cambiar opciones de adaptador/Adaptador Ethernet/IPv4 y cambiamos nuestra IP al mismo segmento ingresamos usuario y contraseña admin:admin
848
Ya estando en el switch mediante cli entramos al modo de configuración con el comando “Configure”, seguidamente creamos nuestras vlan con la la misma ID configurado en el RB y el nombre para identificarlo
849
Ya que tenemos creado nuestras Vlans con su ID y Nombre toca asignarlo al puerto del switch
Entramos a la interface del switch, configuramos que sea modo de acceso y que permita la vlan
Seguidamente se configura la troncal con las vlans que queremos dejar pasar para este caso las mismas vlans que creamos en el RB
851
Ahora configuramos el puerto troncal que estará conectado al RB, en este puerto configuramos las Vlans que vamos a permitir.
852
YA HEMOS CREADO LAS VLANS, LAS ASIGNAMOS A LOS PUERTOS QUE CORRESPONDEN Y CREAMOS EL PUERTO TRONCAL QUE TENDRÁ COMUNICACIÓN CON EL RB.
COMO VERAN EN LA INTERFACE 6 SE CONFIGURÓ COMO MODO TRUNK PARA QUE EN ESE PUERTO PUEDAN CONECTARSE DOS VLANS
EL EQUIPO ESTA CORRIENDO LA CONFIGURACIÓN CON MEMORIA VOLÁTIL , POR LO QUE SI EL SWITCH LLEGA A PERDER ENERGÍA SE PUEDE BORRAR LA CONFIGURACIÓN, PARA GUARDAR LA CONFIGURACIÓN EN MEMORIA NO VOLÁTIL PODEMOS ESCRIBIR EL COMANDO “copy running-config startup-config”
APAGAR LAS INTERFACES WIFI DE LOS EQUIPOS PARA LOGRAR EL PING EXITOSO Y TENER COMUNICACIÓN
2998
4
Con la siguiente configuración podremos contestar las siguientes preguntas
1.- ¿En el puerto 4 del switch puedo conectar mi equipo y ponerle una IP de la Vlan 3?
2.- ¿Desde el puerto 4 puedo darle ping a la red 203 o 204?
3.- ¿La Vlan 4 puede dar ping a la vlan 2 y 3?
4.- ¿Desde el puerto 6 puedo poner una IP del 202, 203 o 204?
Miktrotik por default trae que nuestras direcciones VLANS que creamos puedan tener comunicación entre ellos, como parte de privacidad y seguridad bloquearemos la comunicación entre estas Vlans para ello en el menú del RB seleccionamos /IP---Addresses, seguidamente nos aparecerá una nueva ventana, como podremos observar esta ventana tiene unas direcciones ya configuradas que aprendió el RB de manera dinámica. Esta nueva ventana que se abre tiene varias pestañas, seleccionamos la pestaña RULES seguidamente clic en el símbolo de + y se nos abrirá una nueva venta
863
La ventana que se abre es donde configuraremos nuestra Rules
Nuestras Vlan de contabilidad no pueden tener comunicación con la Vlan de ventas ni sistemas
Nuestras Vlans de ventas no pueden tener comunicación con la Vlan de contabilidad ni sistemas
Nuestra Vlan de Sistemas si puede tener comunicación con la VLan de Contabilidad y ventas
Como ejemplo configuramos la rule de contabilidad
864
Al finalizar tendremos un recuadro como las siguientes rules
865
PARA REALIZAR LA PRUEBA DE LOS DROPS ES NECESARIO QUE VERIFIQUEN QUE EL EQUIPO DONDE SE HAGA LA PRUEBA NO TENGA NINGÚN TIPO DE RESTRICCIÓN EN SU PROPIO FIREWALL (FIREWALL DE WINDOWS, IPTABLES) YA QUE DE LO CONTRARIO NO LE VA A PERMITIR VISUALIZAR EL FUNCIONAMIENTO DE LAS REGLAS.
YA CREAMOS LAS INTERFACES LOGICAS VLANS, YA CONFIGURAMOS SUS DIRECCIONES POR CADA VLAN, Y YA INGRESAMOS UNAS REGLAS QUE DEBE SERGUIR.