Criar VLAN em ambiente e configurar internet!

gunboltvt · 9 de junho de 2013

Galera, bom dia

Comecei a trabalhar como analista de infra em uma nova empresa e possuo o seguinte cenário de network:

O que eu queria que alguem me orientasse a nível de passos somente, nada técnico a priori, é o procedimento básico de no caso da estrutura atual para criar vlan na rede wired para criar uma rede guest em um ap que suporta vlan.

Links Wan(2 links) ligados em um firewall Fortigate que liga num SW CORE Layer 3 HP e depois liga Switch Layer 2 3COM e por fim hosts(desktops/printers e etc) e os AP's.

Nesse cenário só não temos acesso a esse tal Fortigate que é gerenciamento pela equipe de network na França(irei solicitar o que eles precisam fazer), nesse caso avalie meus passos e veja se procede:

Criar a vlan no Sw Core L3 (ex vlan20) definir uma rede (classe,mascara) fazer trunk da porta com o outro Sw l2 agora do lado do Fortigate vai precisar de uma porta física no equipamento ou não?

Sobre o ap (Cisco WAP121) Ele suporta criar vlan mas no caso ele só tem uma porta ethernet. Se eu criar uma vlan no caso a 20 na wired e querer que o ap acesse ela eu vou precisar fazer a vlan default(1) comunicar na 20 também certo?

Agora a ultima duvida para liberar internet na nova vlan o que eu devo solicitar a equipe que gerencia esse fortigate que recebe os links? ou dá para para criar alguma rota estática direto no SW l3 sem mexer com o firewall?

Agradeço a ajuda Srs, estou com um grande desafio e preciso de orientaçoes!

Tenho interesse tambem em criar varias vlans, porque hoje nao existe, tudo está na default, quero criar uma para gerencia, servidores, hosts, wifi guest e etc.. mas preciso saber dos conceitos de onde começar essas criações.

Obrigado desde ja.

gunboltvt · 10 de junho de 2013

Boa noite galera, num pode ajudar?

Linio Alan · 10 de junho de 2013

Criar a vlan no Sw Core L3 (ex vlan20) definir uma rede (classe,mascara) fazer trunk da porta com o outro Sw l2 agora do lado do Fortigate vai precisar de uma porta física no equipamento ou não?

Como o switch é do tipo L2 não é necessário colocá-lo em porta trunk com o switch L3, afinal é um switch de acesso e por ser L2 não irá atuar em mais de 1 VLAN. No caso do seu appliance Fortigate, se ele desempenhar alguma tarefa para a rede em camada 3, aí ele sim irá conectar em uma porta trunk.

Sobre o ap (Cisco WAP121) Ele suporta criar vlan mas no caso ele só tem uma porta ethernet.

Seguinte, todo equipamento atualmente suporta VLAN-tag, que é basicamente identificar o ID da VLAN dentro do quadro Ethernet Ok!? Me corrija se estiver errado sobre o seu equipamento, mas se ele também aceitar configuração de múltiplas VLANs, aí precisa verificar se ele irá trocar BPDUs normalmente com o outro switch também em L3, aí então você terá que se atentar na configuração do Spaning-Tree e/ou suas variações para não ter problemas.

Se eu criar uma vlan no caso a 20 na wired e querer que o ap acesse ela eu vou precisar fazer a vlan default(1) comunicar na 20 também certo?

Considerando o que disse anteriormente, neste caso somente será necessário fazer o roteamento inter-VLAN se o AP operar em rede diferente da rede cabeada (wired). Porque se ambos operarem na mesma VLAN você tem a vantagem de o AP em modo bridge (transparente). Mas se realmente a sua intenção e ter a rede sem-fio em VLAN diferente da cabeada, então sim, será necessário ativar o roteamento inter-VLAN.

Agora a ultima duvida para liberar internet na nova vlan o que eu devo solicitar a equipe que gerencia esse fortigate que recebe os links? ou dá para para criar alguma rota estática direto no SW l3 sem mexer com o firewall?

O tráfego para a internet obrigatoriamente irá passar pelo gateway da sua rede, no caso o Fortigate, sendo ele o tradutor de rede, ou NAT (ou no seu caso NAT overloading). Pronto! Mas como não é você quem irá configurar esse appliance, pelo que deu a entender, então despreocupe-se inicialmente desta configuração.

Tenho interesse tambem em criar varias vlans, porque hoje nao existe, tudo está na default, quero criar uma para gerencia, servidores, hosts, wifi guest e etc.. mas preciso saber dos conceitos de onde começar essas criações.

Essas são ótimas medidas para organização de redes, mas deve-se tomar cuidado! A sua configuração deve PRIMORDIALMENTE levar em consideração as necessidades dos usuários da sua rede, a organização lógica portanto deve ser norteada por este rumo.

Boa sorte e bom trabalho!

gunboltvt · 14 de junho de 2013

Linio, boa noite.

Agradeço de coração a sua boa vontade em esclarecer todas minhas dúvidas, obrigado!

Deixa me esclarecer a nossa estrutura:

Link de dados ---> Fortigate ---> SW L3 (Core) ----> Hosts / SW L2 -----....

Ok?

No caso, eu quero segmentar a rede com VLANs, devo iniciar a criação das VLANs no SW l3 e ir fazendo trunk conforme as minhas necessidades?

Sobre o WAP121, ele suporta a tag da vlan, então na verdade ela não suporta 2 redes, somente a vlan1 ou se eu tiver outra rede para wifi (ex: vlan 10) eu posso "taggear" ela ..só isso né? Vou precisar comprar Ap's Professional da linha aironet que suporta 2 redes né? Para concluir o projeto de rede wifi.

Agora sobre o GW Fortinet, é uma equipe de redes da frança que administra, mas no caso então devo iniciar a estruturação da rede criando as vlans antes correto?

Agradeço o retorno!

Abraços!

gunboltvt · 18 de junho de 2013

boa tarde pessoal, alguém mais pode me ajudar, Linio aguardo seu retorno.

obrigado!

Linio Alan · 20 de junho de 2013

No caso, eu quero segmentar a rede com VLANs, devo iniciar a criação das VLANs no SW l3 e ir fazendo trunk conforme as minhas necessidades?

Em teoria é isso mesmo, mas ativar trunk somente em porta que terá tráfego de mais de 1 VLAN ou como no seu caso, na porta onde terá servidores e/ou roteadores. Porta de hosts são e serão sempre do tipo access, independente de qual VLAN você a coloque.

Recomendo no seu caso, antes de fazer qualquer alteração, colocar tudo "no papel" e considerar que o seu Fortigate deverá atuar não apenas como gateway de rede/internet, fazendo NAT, mas ainda também ainda como firewall e eventualmente servidor DHCP. É um número considerável de funções que podem prejudicar o desempenho do equipamento, por isso colocar tudo "no papel" te ajudará a desenhar melhor a sua rede.

Sobre o WAP121, ele suporta a tag da vlan, então na verdade ela não suporta 2 redes, somente a vlan1 ou se eu tiver outra rede para wifi (ex: vlan 10) eu posso "taggear" ela ..só isso né? Vou precisar comprar Ap's Professional da linha aironet que suporta 2 redes né? Para concluir o projeto de rede wifi.

1) - Correto. 2) - Não conheço os equipamentos da Aironet para afirmar isso, mas se suporta esta função e você realmente precise disso não vejo empecilhos.

Agora sobre o GW Fortinet, é uma equipe de redes da frança que administra, mas no caso então devo iniciar a estruturação da rede criando as vlans antes correto?

Errado, você deve fazer o que disse aí em cima. Não vá meter as mãos pelos pés.

Um abraço

gunboltvt · 23 de junho de 2013

Em teoria é isso mesmo, mas ativar trunk somente em porta que terá tráfego de mais de 1 VLAN ou como no seu caso, na porta onde terá servidores e/ou roteadores. Porta de hosts são e serão sempre do tipo access, independente de qual VLAN você a coloque.
Recomendo no seu caso, antes de fazer qualquer alteração, colocar tudo "no papel" e considerar que o seu Fortigate deverá atuar não apenas como gateway de rede/internet, fazendo NAT, mas ainda também ainda como firewall e eventualmente servidor DHCP. É um número considerável de funções que podem prejudicar o desempenho do equipamento, por isso colocar tudo "no papel" te ajudará a desenhar melhor a sua rede.

1) - Correto. 2) - Não conheço os equipamentos da Aironet para afirmar isso, mas se suporta esta função e você realmente precise disso não vejo empecilhos.

Errado, você deve fazer o que disse aí em cima. Não vá meter as mãos pelos pés.

Um abraço

Obrigado Linio! obrigado mesmo, me esclareceu muitas dúvidas!

Abraços!