1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

VLANs, layer 2, layer 3, CONFUSAO, PLEASE HELP

Discussão em 'Dúvidas e Suporte—Internet, Redes, Segurança' iniciada por jotenko, 18 de Abril de 2008. (Respostas: 9; Visualizações: 6675)

  1. jotenko

    jotenko Banido

    Boa noite pessoal.

    Estou de volta de um projecto de redes quando me surge aqui um problema.

    Eu estava a dar como adquirido que a capacidade de criar VLANs era exclusiva de um switch layer 3, mais ainda, pensava que os switch layer 3 permitiam intercomunicação de VLANs (por exemplo, num switch com 16 portas na VLAN1 e 8 portas na VLAN2, todas elas poderiam comunicar entre si, por o switch ser layer 3).

    Mas pelos vistos, existem VLANs em switches layer 2, e pelos vistos a intercomunicação de VLANs não é permitida por todo o tipo de switchs?

    Alguem me quer ajudar aqui? Tenho de comprar o equipamento e não sei se preciso de um switch layer 2 ou layer 3. Mais ainda, já nem sei se preciso de um router para conexão à Internet ou o switch layer 3 chega (tambem li que alguns permitem conexão directa ao ISP, tipo router).

    Eh pah tou muito confuso, se alguem me pudesse ajudar era optimo.

    O esquema de rede que eu tava a pensar era:

    Router-----Switch Layer 3

    Este Switch Layer 3 teria 3 VLANs: uma para a rede wireless, outra para a rede de funcionarios e outra para a rede de serviços. Mas eu preciso que elas comuniquem entre si, mesmo sem o router ligado!

    Alguem me esclareça estes conceitos porque já tou a pensar que tenho tudo mal.
     
  2. miraportuga

    miraportuga Power Member

    Ora bem, julgo não estar dizer nada de errado(caso esteja corrijam-me). Por aquilo que sei, apenas Switch's layer 3 permitem comunicação entre VLan's pois estes já funcionam com rotas(tipo router). Penso que será isto...
    Quanto ao resto já não te sei dizer bem. Tenho cá em casa um Switch Netgear que tem algumas caracteristicas de layer2 e layer 3, embora não seja nem switch de um nem outro. Mas este não permite interacção entre VLan's.

    Cumps
     
  3. TuxBoss

    TuxBoss Power Member

    VLans só fazem sentido em L2, servem para segmentar os collision domains, logo não fazem sentido em L3.

    Como as VLans têm endereçamento diferente, precisas de um router em L3 que as faça comunicar. Normalmente os "switches L3" são routers, agora se têm interfaces WAN ou não já é outra conversa.

    Que tipo de ligação ao exterior tens? Circuito, ADSL, Ethernet com ligação a um CPE do ISP?
     
  4. jotenko

    jotenko Banido

    Então é assim.

    Este é o esquema da rede que vamos implementar:

    [​IMG]

    Pronto. Agora é assim, temos vários problemas.

    O meu pensamento era:

    Layer 3 switch com 3 VLANs.

    VLAN1 (wireless) - 1 porta para o access point da rede wireless.
    VLAN2 (serviços) - 2 portas para 2 servidores
    VLAN3 (trabalhadores da junta) - 30 portas para computadores de trabalho.

    A VLAN de wireless não poderia "contactar" a VLAN de trabalhadores nem de serviços. Quer dizer, poderia contactar apenas o proxy. A VLAN dos trabalhadores (presume-se de confiança) poderia contactar os servidores à vontade.

    Agora, surge um dos primeiros problemas.

    Dentro da rede wireless, eu tenho os utilizadores registados (que através de um login podem aceder a serviços especificos de rede como VoIP, armazenamento de ficheiros, base de dados, etc.) e os utilizadores casuais, que deixam o login em branco, mas só têm WWW e mais nada.

    A primeira coisa que eu pensei foi, se o utilizador for registado entao o seu computador fica com o IP da VLAN "wireless registados", senao fica com o IP da VLAN "wireless casuais".

    Mas pelos vistos, as VLANs nao funcionam nada como eu tava a pensar :confused: Ou seja, o que eu estava a pensar fazer nao eh possivel, pois as VLANs sao configuradas em cada porta, e tanto os utilizadores wireless casuais como os registados se ligam à mesma porta.

    Agora surge-me outra confusão, pois gostava de meter isto com autenticação por domínios (trabalhadores, wireless registado, wireless casual). Sendo assim já não preciso de VLANs?

    E a autenticação RADIUS entra onde? Com RADIUS ja nao preciso de Active Directory?

    Estou muito muito confuso. HELP
     
  5. TuxBoss

    TuxBoss Power Member

    Procura por NAC (e NAP também se quiseres ser rigoroso).

    Em relação às VLAN's deixa ver se te consigo explicar de forma simples.

    Uma VLAN serve para segmentar o collision domain, ou seja, qual o segmento L2 em que determinado equipamento (assumamos placas de rede) pode escutar/comunicar.
    As VLAN são configuradas por porta de equipamento, ou seja, uma porta na VLAN 10 do equipamento X está no collision domain de todos as outras portas também na VLAN 10 de todos os equipamentos, ou seja, só recebe/envia pacotes para essas portas e está isolada de todas as outras portas que não estejam na mesma VLAN.

    Para que 2 VLAN's diferentes possam comunicar entre si é preciso que desaguem num router ou num equipamento de L3.

    O importante aqui, e parece-me que é o que te está a falhar, são as noções do que é L2 e L3.
     
  6. jotenko

    jotenko Banido

    Amigo, eu tenho perfeitas noçoes do que é L2 e L3. Ou seja, para duas VLANs comunicarem entre si, é preciso que o switch que as aloja seja layer 3 (poder fazer endereçamento IP) OU entao um router em router-on-a-stick.

    O meu problema aqui é como faço um mecanismo de autenticação para todos os utilizadores, incluindo os de wireless. Um mecanismo que funcione por dominios tipo Active Directory. É preciso usar tipo RADIUS para isto?

    O que eu quero mesmo saber é como instalo um sistema de autenticaçao nisto, para atribuir previlegios de rede aos utilizadores consoante o seu login (cada dominio de utilizadores terá as suas permissoes). E se vale a pena usar VLANS?
     
    Última edição: 19 de Abril de 2008
  7. jotenko

    jotenko Banido

    Boa tarde pessoal...

    Voltando a mesma imagem:

    [​IMG]

    Estou agora com um problema com a Firewall ali da Rede Wireless. Ou seja, não sei se necessito dela.

    O que eu queria fazer era proteger a Rede da Junta do acesso da Rede Wireless. Mas isso consigo com a implementação de VLANs certo?

    E outra coisa, como faço para que o trafego da rede Wireless vá todo para o proxy? Isto é, seja todo reencaminhado para o proxy (que está na rede serviços). Não vou precisar de uma firewall para isto? Ou será que nem preciso do proxy?
     
  8. kiotto

    kiotto Power Member

    Boa tarde pessoal

    Tou com uma duvida

    Eu th um enunciado k numa parte diz isto "O edifício tem 2 Pisos, estando cada um deles servido por um equipamento activo Ethernet de Layer 2. A ligação entre ambos os equipamentos é assegurado através de duas ligações paralelas;"

    A minha duvida é o que eles querem dizer com ambos os equipamentos é assegurado através de duas ligações paralelas? o que é mesmo isto? os 2 switch sao ligados entre sim com 2 cabos ethernet e isso k ker dizer?

    Obrigado pela ajuda
     
  9. Kain

    Kain Power Member

    Sim é isso
     
  10. LoaDerS

    LoaDerS Power Member

    Amigo, ainda não consegui ver imagem nenhuma, e a estrutura da rede dava-me jeito para te ajudar.

    A cena que queres fazer não é complicada.

    1º - Por razões obvias de segurança, não te aconselho utilizares a VLan 1.
    2º - Se queres ter uma rede Wireless para "guests" só com acesso web, e outra com acesso à rede normal, convém teres duas Vlan's distintas. Para fazeres isso, podes configurar no Access point 802.1X onde farás a autenticação num servidor Radius. Se fizeres com o IAS da microsoft, tens integração directa com a AD, e podes logo aí separar o pessoal pelas duas VLans, baseando-te apenas num grupo da AD.
    3º - Se queres que haja comunicação entre os equipamentos/hosts que estão nas distintas Vlans, precisas sempre de um equipamento de Layer 3 (Router, Switch Layer 3).
    4º - Se queres que nem todo o tráfego entre esses hosts seja permitido, tens que ter uma firewall no meio, ou access lists num router que as permita configurar.
    5º - Se queres um proxy para a rede wireless, e neste campo já não tenho a certeza, presumo que te baste configurar o proxy como default-Gateway dos clientes.


    Cumps,
    LoaDerS
     

Partilhar esta Página