Primero que nada me presento soy Andrés, soy de México D.F. y estoy haciendo prubas con VLAN's, les envio saludos y les doy las gracias por adelantado por la ayuda y consejos que puedan darme.
Tengo los siguientes equipos:
1.- AP Cisco Aironet 1240AG
2.- Switch Extreme Network Summit400-48t
3.- Firewall Juniper SSG-550M
Todos estos equipos son compatibles con el protocolo 802.1Q para crear y administrar VLAN's.
Sobre mi red les puedo comentar que tengo todo en una sola red con el siguiente direccionamiento 192.168.0.0/21 actualmente no tengo VLAN's y quiero hacer mis primera pruebas de VLAN's con mi red Wireless.
El AP Cisco tiene la capacidad de multiples SSID (hasta 16) cada uno en una VLAN diferente o compartiendola, lo que deseo es crear 2 SSID's uno para el wireless de mi red interna (VLAN ID Tag 100 - 10.20.40.0/24) y uno más para los equipos invitados (VLAN ID Tag 101 - 10.20.30.0/24)
La manera en que conectaria los equipos es la siguiente:
AP -------> Switch -------> Firewall
El problema que tengo es que cuando conecto al SSID de invitados (WiFi-Guest) puedo hacer ping a mi gateway (10.20.30.1/24) SIEMPRE Y CUANDO LA VLAN DEL SWITCH TENGA EL TAG 101 pero si conecto al SSID de red interna (WiFi-Trust) no puedo hacer ping a su gateway (10.20.40.1/24).
Y viceversa:
Si conecto al SSID de red interna (WiFi-Trust) puedo hacer ping a mi gateway (10.20.40.1/24) SIEMPRE Y CUANDO LA VLAN DEL SWITCH TENGA EL TAG 100 pero si conecto al SSID de red invitados (WiFi-Guest) no puedo hacer ping a su gateway (10.20.30.1/24).
Y sí....:
EN LA VLAN DEL SWITCH PONGO CUALQUIER OTRO TAG (Ejem. 250) y posteriormente conecto a mi red interna o de invitados no me es posible llegar a ninguno de los 2 gateways.
A continuación pondre las configuraciones de los 3 equipos que segun yo esta correcta, espero que alguien me pueda orientar sobre este problema.
Configuración Juniper SSG550M:
Código:
set vrouter name "WiFi_CISA_G-vr" id 1035 sharable
exit
set vrouter name "WiFi_CISA_T-vr" id 1034 sharable
exit
set zone id 110 "WiFi_CISA_G-zone"
set zone "WiFi_CISA_G-zone" vrouter "WiFi_CISA_G-vr"
set zone id 109 "WiFi_CISA_T-zone"
set zone "WiFi_CISA_T-zone" vrouter "WiFi_CISA_T-vr"
set interface "ethernet6/15.1" tag 101 zone "WiFi_CISA_G-zone"
set interface "ethernet6/15.2" tag 100 zone "WiFi_CISA_T-zone"
set interface ethernet6/15.1 ip 10.20.30.1/24
set interface ethernet6/15.1 route
set interface ethernet6/15.2 ip 10.20.40.1/24
set interface ethernet6/15.2 route
Configuración del AP Cisco Aironet 1240AG
Código:
ap#sh conf
!
dot11 ssid WiFi-Guest
vlan 101
authentication open
!
dot11 ssid WiFi-Trust
vlan 100
authentication open
!
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption vlan 100 key 1 size 40bit 7 0782F312341F transmit-key
encryption vlan 100 mode wep mandatory
!
encryption vlan 101 key 1 size 40bit 7 305B41516184 transmit-key
encryption vlan 101 mode wep mandatory
!
ssid WiFi-Guest
!
ssid WiFi-Trust
!
mbssid
station-role root
!
interface Dot11Radio0.100
encapsulation dot1Q 100
no ip route-cache
bridge-group 100
bridge-group 100 subscriber-loop-control
bridge-group 100 block-unknown-source
no bridge-group 100 source-learning
no bridge-group 100 unicast-flooding
bridge-group 100 spanning-disabled
!
interface Dot11Radio0.101
encapsulation dot1Q 101
no ip route-cache
bridge-group 101
bridge-group 101 subscriber-loop-control
bridge-group 101 block-unknown-source
no bridge-group 101 source-learning
no bridge-group 101 unicast-flooding
bridge-group 101 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
dfs band 3 block
channel dfs
station-role root
bridge-group 1
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
!
interface FastEthernet0.100
encapsulation dot1Q 100
no ip route-cache
bridge-group 100
no bridge-group 100 source-learning
bridge-group 100 spanning-disabled
!
interface FastEthernet0.101
encapsulation dot1Q 101
no ip route-cache
bridge-group 101
no bridge-group 101 source-learning
bridge-group 101 spanning-disabled
!
interface BVI1
ip address 192.168.0.235 255.255.248.0
no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/wa....
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
login local
!
end
Configuración de Switch Extreme Network Summit400-48t (1)
Con esta configuración puedo llegar a mi gateway Trust (10.20.40.1/24)
-------> EL AP ESTA CONECTADO EN EL PUERTO 33 Y EL FIREWALL EN EL PUERTO 48 <-------
Código:
* Summit400-48t:1 # sh conf
# Configuration Mode
# Configuration Information for Cable Diagnostics.
config diagnostics cable time 00 : 00 : 00 reset-port-on-failure disable
disable snmp traps cable-diagnostics
create vlan "AP-01"
# Config information for VLAN Default.
configure vlan "Default" tag 1 # VLAN-ID=0x1 Global Tag 1
configure stpd s0 add vlan "Default"
configure vlan "Default" ipaddress 192.168.0.232 255.255.248.0
configure vlan "Default" add port 1 untagged
configure vlan "Default" add port 2 untagged
configure vlan "Default" add port 3 untagged
configure vlan "Default" add port 4 untagged
configure vlan "Default" add port 5 untagged
# Config information for VLAN Mgmt.
# Config information for VLAN AP-01.
configure vlan "AP-01" tag 100 # VLAN-ID=0x64 Global Tag 4
configure vlan "AP-01" add port 33 tagged
configure vlan "AP-01" add port 48 tagged
enable web
# SNMP Configuration
Configuración de Switch Extreme Network Summit400-48t (2)
Con esta configuración puedo llegar a mi gateway Invitados (10.20.30.1/24)
-------> EL AP ESTA CONECTADO EN EL PUERTO 33 Y EL FIREWALL EN EL PUERTO 48 <-------
Código:
* Summit400-48t:1 # sh conf
# Configuration Mode
# Configuration Information for Cable Diagnostics.
config diagnostics cable time 00 : 00 : 00 reset-port-on-failure disable
disable snmp traps cable-diagnostics
create vlan "AP-01"
# Config information for VLAN Default.
configure vlan "Default" tag 1 # VLAN-ID=0x1 Global Tag 1
configure stpd s0 add vlan "Default"
configure vlan "Default" ipaddress 192.168.0.232 255.255.248.0
configure vlan "Default" add port 1 untagged
configure vlan "Default" add port 2 untagged
configure vlan "Default" add port 3 untagged
configure vlan "Default" add port 4 untagged
configure vlan "Default" add port 5 untagged
# Config information for VLAN Mgmt.
# Config information for VLAN AP-01.
configure vlan "AP-01" tag 101 # VLAN-ID=0x64 Global Tag 4
configure vlan "AP-01" add port 33 tagged
configure vlan "AP-01" add port 48 tagged
enable web
# SNMP Configuration
Configuración de Switch Extreme Network Summit400-48t (3)
Con esta configuración NO puedo llegar a ningun gateway
-------> EL AP ESTA CONECTADO EN EL PUERTO 33 Y EL FIREWALL EN EL PUERTO 48 <-------
Código:
* Summit400-48t:1 # sh conf
# Configuration Mode
# Configuration Information for Cable Diagnostics.
config diagnostics cable time 00 : 00 : 00 reset-port-on-failure disable
disable snmp traps cable-diagnostics
create vlan "AP-01"
# Config information for VLAN Default.
configure vlan "Default" tag 1 # VLAN-ID=0x1 Global Tag 1
configure stpd s0 add vlan "Default"
configure vlan "Default" ipaddress 192.168.0.232 255.255.248.0
configure vlan "Default" add port 1 untagged
configure vlan "Default" add port 2 untagged
configure vlan "Default" add port 3 untagged
configure vlan "Default" add port 4 untagged
configure vlan "Default" add port 5 untagged
# Config information for VLAN Mgmt.
# Config information for VLAN AP-01.
configure vlan "AP-01" tag 250 # VLAN-ID=0x64 Global Tag 4
configure vlan "AP-01" add port 33 tagged
configure vlan "AP-01" add port 48 tagged
enable web
# SNMP Configuration
Les pido una disculpa por lo extenso de este post pero queria detallar todas mis configuraciones para recibir la mejor ayuda. Una vez más GRACIAS a todos por adelantado.