Autor Tema: Problemas con AP + Switch + Firewall (VLAN's)  (Leído 2933 veces)

0 Usuarios y 1 Visitante están viendo este tema.

ponpeyon

  • Visitante
Problemas con AP + Switch + Firewall (VLAN's)
« en: 19-05-2010, 09:08 (Miércoles) »
Hola a todos,

Primero que nada me presento soy Andrés, soy de México D.F. y estoy haciendo prubas con VLAN's, les envio saludos y les doy las gracias por adelantado por la ayuda y consejos que puedan darme.

Tengo los siguientes equipos:

1.- AP Cisco Aironet 1240AG
2.- Switch Extreme Network Summit400-48t
3.- Firewall Juniper SSG-550M

Todos estos equipos son compatibles con el protocolo 802.1Q para crear y administrar VLAN's.

Sobre mi red les puedo comentar que tengo todo en una sola red con el siguiente direccionamiento 192.168.0.0/21 actualmente no tengo VLAN's y quiero hacer mis primera pruebas de VLAN's con mi red Wireless.

El AP Cisco tiene la capacidad de multiples SSID (hasta 16) cada uno en una VLAN diferente o compartiendola, lo que deseo es crear 2 SSID's uno para el wireless de mi red interna (VLAN ID Tag 100 - 10.20.40.0/24) y uno más para los equipos invitados (VLAN ID Tag 101 - 10.20.30.0/24)

La manera en que conectaria los equipos es la siguiente:

AP -------> Switch -------> Firewall

El problema que tengo es que cuando conecto al SSID de invitados (WiFi-Guest) puedo hacer ping a mi gateway (10.20.30.1/24) SIEMPRE Y CUANDO LA VLAN DEL SWITCH TENGA EL TAG 101 pero si conecto al SSID de red interna (WiFi-Trust) no puedo hacer ping a su gateway (10.20.40.1/24).

Y viceversa:

Si conecto al SSID de red interna (WiFi-Trust) puedo hacer ping a mi gateway (10.20.40.1/24) SIEMPRE Y CUANDO LA VLAN DEL SWITCH TENGA EL TAG 100 pero si conecto al SSID de red invitados (WiFi-Guest) no puedo hacer ping a su gateway (10.20.30.1/24).

Y sí....:

EN LA VLAN DEL SWITCH PONGO CUALQUIER OTRO TAG (Ejem. 250) y posteriormente conecto a mi red interna o de invitados no me es posible llegar a ninguno de los 2 gateways.

A continuación pondre las configuraciones de los 3 equipos que segun yo esta correcta, espero que alguien me pueda orientar sobre este problema.

Configuración Juniper SSG550M:

Código: [Seleccionar]
set vrouter name "WiFi_CISA_G-vr" id 1035 sharable
exit

set vrouter name "WiFi_CISA_T-vr" id 1034 sharable
exit

set zone id 110 "WiFi_CISA_G-zone"
set zone "WiFi_CISA_G-zone" vrouter "WiFi_CISA_G-vr"

set zone id 109 "WiFi_CISA_T-zone"
set zone "WiFi_CISA_T-zone" vrouter "WiFi_CISA_T-vr"

set interface "ethernet6/15.1" tag 101 zone "WiFi_CISA_G-zone"
set interface "ethernet6/15.2" tag 100 zone "WiFi_CISA_T-zone"

set interface ethernet6/15.1 ip 10.20.30.1/24
set interface ethernet6/15.1 route

set interface ethernet6/15.2 ip 10.20.40.1/24
set interface ethernet6/15.2 route

Configuración del AP Cisco Aironet 1240AG

Código: [Seleccionar]
ap#sh conf
!
dot11 ssid WiFi-Guest
   vlan 101
   authentication open
!
dot11 ssid WiFi-Trust
   vlan 100
   authentication open
!
!
bridge irb
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption vlan 100 key 1 size 40bit 7 0782F312341F transmit-key
 encryption vlan 100 mode wep mandatory
 !
 encryption vlan 101 key 1 size 40bit 7 305B41516184 transmit-key
 encryption vlan 101 mode wep mandatory
 !
 ssid WiFi-Guest
 !
 ssid WiFi-Trust
 !
 mbssid
 station-role root
!
interface Dot11Radio0.100
 encapsulation dot1Q 100
 no ip route-cache
 bridge-group 100
 bridge-group 100 subscriber-loop-control
 bridge-group 100 block-unknown-source
 no bridge-group 100 source-learning
 no bridge-group 100 unicast-flooding
 bridge-group 100 spanning-disabled
!
interface Dot11Radio0.101
 encapsulation dot1Q 101
 no ip route-cache
 bridge-group 101
 bridge-group 101 subscriber-loop-control
 bridge-group 101 block-unknown-source
 no bridge-group 101 source-learning
 no bridge-group 101 unicast-flooding
 bridge-group 101 spanning-disabled
!
interface Dot11Radio1
 no ip address
 no ip route-cache
 shutdown
 dfs band 3 block
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
 bridge-group 1 spanning-disabled
!
interface FastEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
!
interface FastEthernet0.100
 encapsulation dot1Q 100
 no ip route-cache
 bridge-group 100
 no bridge-group 100 source-learning
 bridge-group 100 spanning-disabled
!         
interface FastEthernet0.101
 encapsulation dot1Q 101
 no ip route-cache
 bridge-group 101
 no bridge-group 101 source-learning
 bridge-group 101 spanning-disabled
!
interface BVI1
 ip address 192.168.0.235 255.255.248.0
 no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/wa....
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
 login local
!
end

Configuración de Switch Extreme Network Summit400-48t (1)
Con esta configuración puedo llegar a mi gateway Trust (10.20.40.1/24)
-------> EL AP ESTA CONECTADO EN EL PUERTO 33 Y EL FIREWALL EN EL PUERTO 48 <-------

Código: [Seleccionar]
* Summit400-48t:1 # sh conf
# Configuration Mode
# Configuration Information for Cable Diagnostics.
config diagnostics cable time 00 : 00 : 00 reset-port-on-failure disable
disable snmp traps cable-diagnostics
create vlan "AP-01"
# Config information for VLAN Default.
configure vlan "Default" tag 1     # VLAN-ID=0x1  Global Tag 1
configure stpd s0 add vlan "Default"
configure vlan "Default" ipaddress 192.168.0.232 255.255.248.0
configure vlan "Default" add port 1 untagged
configure vlan "Default" add port 2 untagged
configure vlan "Default" add port 3 untagged
configure vlan "Default" add port 4 untagged
configure vlan "Default" add port 5 untagged
# Config information for VLAN Mgmt.
# Config information for VLAN AP-01.
configure vlan "AP-01" tag 100     # VLAN-ID=0x64  Global Tag 4
configure vlan "AP-01" add port 33 tagged
configure vlan "AP-01" add port 48 tagged
enable web
# SNMP Configuration

Configuración de Switch Extreme Network Summit400-48t (2)
Con esta configuración puedo llegar a mi gateway Invitados (10.20.30.1/24)
-------> EL AP ESTA CONECTADO EN EL PUERTO 33 Y EL FIREWALL EN EL PUERTO 48 <-------

Código: [Seleccionar]
* Summit400-48t:1 # sh conf
# Configuration Mode
# Configuration Information for Cable Diagnostics.
config diagnostics cable time 00 : 00 : 00 reset-port-on-failure disable
disable snmp traps cable-diagnostics
create vlan "AP-01"
# Config information for VLAN Default.
configure vlan "Default" tag 1     # VLAN-ID=0x1  Global Tag 1
configure stpd s0 add vlan "Default"
configure vlan "Default" ipaddress 192.168.0.232 255.255.248.0
configure vlan "Default" add port 1 untagged
configure vlan "Default" add port 2 untagged
configure vlan "Default" add port 3 untagged
configure vlan "Default" add port 4 untagged
configure vlan "Default" add port 5 untagged
# Config information for VLAN Mgmt.
# Config information for VLAN AP-01.
configure vlan "AP-01" tag 101     # VLAN-ID=0x64  Global Tag 4
configure vlan "AP-01" add port 33 tagged
configure vlan "AP-01" add port 48 tagged
enable web
# SNMP Configuration

Configuración de Switch Extreme Network Summit400-48t (3)
Con esta configuración NO puedo llegar a ningun gateway
-------> EL AP ESTA CONECTADO EN EL PUERTO 33 Y EL FIREWALL EN EL PUERTO 48 <-------

Código: [Seleccionar]
* Summit400-48t:1 # sh conf
# Configuration Mode
# Configuration Information for Cable Diagnostics.
config diagnostics cable time 00 : 00 : 00 reset-port-on-failure disable
disable snmp traps cable-diagnostics
create vlan "AP-01"
# Config information for VLAN Default.
configure vlan "Default" tag 1     # VLAN-ID=0x1  Global Tag 1
configure stpd s0 add vlan "Default"
configure vlan "Default" ipaddress 192.168.0.232 255.255.248.0
configure vlan "Default" add port 1 untagged
configure vlan "Default" add port 2 untagged
configure vlan "Default" add port 3 untagged
configure vlan "Default" add port 4 untagged
configure vlan "Default" add port 5 untagged
# Config information for VLAN Mgmt.
# Config information for VLAN AP-01.
configure vlan "AP-01" tag 250     # VLAN-ID=0x64  Global Tag 4
configure vlan "AP-01" add port 33 tagged
configure vlan "AP-01" add port 48 tagged
enable web
# SNMP Configuration

Les pido una disculpa por lo extenso de este post pero queria detallar todas mis configuraciones para recibir la mejor ayuda. Una vez más GRACIAS a todos por adelantado.