VLAN's e Cisco [RESOLVIDO]

paulistinha
(usa Red Hat)

Enviado em 24/02/2009 - 01:50h

Pessoal,

Estou desenvovlendo um projeto, ainda laboratorial, onde possuo um switch cisco, 2960 e dois servidores linux.

Minha intenção é criar no Cisco, duas VLANs, para atender distintamente, a lan de cada servidor Linux. Sem que cada uma "converse" com a outra. Isso é possível? Minha pergunta, se faz, pois tenho apenas um unico switch e gostaria de separar o trafego dessas lans. Estou no caminho certo? Como fazer isso com o switch? E o Linux, tenho algo que configurar/preparar?

Grato.

mutheair
(usa Slackware)

Enviado em 03/03/2009 - 12:09h

É possível sim.
Eu faria da seguinte forma:

Crio as vlans, SERVIDOR-1 e SERVIDOR-2, Não sei se você tem a intenção de crescer a quantidade de servidores, então colocaria o endereçamento com /28, onde você terá 14 hosts (servidores) em cada vlan.

CONF. DAS VLANS

(config)# vlan 100
(config)# name SERVIDOR-1
(config)# int vlan 100
(config-if)# description VLAN-SERVIDOR-1
(config-if)# ip address 10.10.100.1 255.255.255.240
(config-if)# no ip redirects
(config-if)# no ip proxy-arp

#(VOCÊ PODERÁ ENDEREÇAR SEU SERVIDOR DO 10.10.100.2 ao 10.10.100.14)

(config)# vlan 200
(config)# name SERVIDOR-2
(config)# int vlan 200
(config-if)# description VLAN-SERVIDOR-2
(config-if)# ip address 10.10.200.1 255.255.255.240
(config-if)# no ip redirects
(config-if)# no ip proxy-arp

#(VOCÊ PODERÁ ENDEREÇAR SEU SERVIDOR DO 10.10.100.2 ao 10.10.100.14)

Ao terminar a configuração das vlans, salve a conf.(wr) e entre na interface onde o servidor esta conectado para associa-lo a vlan correspondente, ex:

(config)# int fa 0/5 (INTERFACE DO SERVIDOR-1)
(config-if)# switchport mode access
(config-if)# switchport access vlan 100

(config)# int fa 0/8 (INTERFACE DO SERVIDOR-2)
(config-if)# switchport mode access
(config-if)# switchport access vlan 200

Para balancear o acesso aos servidores, você deverá criar ACL's (access list) dizendo que rede pode acessar qual servidor de qual vlan, ex:

As redes 10.10.50.0 e 10.10.14.0 só podem acessar o SERVIDOR-1
As redes 10.10.30.0 , 10.10.25.0 e 10.10.85.0 só acessam o SERVIDOR-2
E a rede 10.10.70.0 acessa os dois servidores

As ACL's seriam:

permit ip 10.10.50.0 0.0.0.255 host 10.10.100.2 (IP DO SERVIDOR-1)
permit ip 10.10.14.0 0.0.0.255 host 10.10.100.2 (IP DO SERVIDOR-1)
permit ip 10.10.30.0 0.0.0.255 host 10.10.200.2 (IP DO SERVIDOR-2)
permit ip 10.10.25.0 0.0.0.255 host 10.10.200.2 (IP DO SERVIDOR-2)
permit ip 10.10.85.0 0.0.0.255 host 10.10.200.2 (IP DO SERVIDOR-2)
permit ip 10.10.70.0 0.0.0.255 host 10.10.100.2 (IP DO SERVIDOR-1)
permit ip 10.10.70.0 0.0.0.255 host 10.10.200.2 (IP DO SERVIDOR-2)

Essas são ACL's simples, de acesso aos servidores, existem mais ACL's, mais isso depende de que tipo de aplicações você usa e que irá se enquadrar e adaptar melhor em seu ambiente de rede.

OBS: Os endereços IPs que usei, são de exemplo, você deverá usar IPs de sua faixa.

Espero ter ajudado.

jucinaldo
(usa Debian)

Enviado em 03/03/2009 - 12:30h

acredito q esta dica de cima deva te ajudar na configurac~ao dos switches, porem acho q vc deve analiza melhor suas necessidades, pois vc deve precisar qua algum host da rede fale com uotro e vc n~ao precisa ter terminais pra 2 gatewas, ent~ao acredito que deva ter portas trunk, e o linux trabalhando nas 2 vlans pra que dai vc possa rotear s´o o que lhe interessar, n~ao tem logica apenas separar o trfego, + separar o trafego e permitir um ou outro servico q for interessante e apenas um gateway linux..
se precisar diga que posso colocar dicas pra vc de como muntar vlan em servido linux pra vc...

junior
(usa Ubuntu)

Enviado em 03/03/2009 - 14:54h

Se você não quiser usar o switch Cisco, e talvez criar um projeto mais audacioso, utilize sub interfaces no Linux.

=D

jucinaldo
(usa Debian)

Enviado em 03/03/2009 - 18:21h

Sim tb pode se voce n~ao precisa de prioridade em pacotes pode criar sia vlan apenas em seu linux.. desde que tenhe conhecimento de vlans em plataformas distintas. + tb 'e muito facil

paulistinha
(usa Red Hat)

Enviado em 04/03/2009 - 23:56h

Pessoal,

A todos que responderam, muito obrigado. Foi fundamental a participação de todos, para que eu pudesse ter a visao de um outro prisma, sabendo assim, se minha linha de raciocínio estava correta.

Muitissimo obrigado!

É isso ae... compartilhar conhecimento.