Duda sobre VLAN con router ADSL común normal

[SPTR]

Hola.

Tengo una duda que no encuentro mucha aclaración aunque seguiré buscando más.

Imaginad una pequeña planta en la que necesitamos segmentar la red con VLAN.

VLAN 1 para equipos de oficina.

VLAN 2 para equipos de planta.

Algo sencillo para no liar mucho el ejemplo.

Internet funciona a través del típico router trapero ADSL que pone una compañía. Nos olvidamos de él en principio.

Si pongo un switch que permite crear VLANs por puertos o tagged (IEEE 802.1Q), imaginad que lo configuro por puerto físico sin rollos patateros, en un principio, como ejemplo para entender esto.

VLAN1 le pongo del puerto 1 al 4 por decir algo
VLAN2 le pongo del puerto 5 a 7 por decir algo.

En el puerto 8 conecto un cable al router.

VLAN1 y VLAN2 no son visibles entre sí, pero tienen en común el puerto 8, que es donde está conectado el router para que tengan acceso todos a internet.

Las IP de equipos de VLAN1 y 2 tienen el mismo rango, no está en diferentes subredes.
Por ejemplo, imaginad en rango 192.168.0.x con máscara 255.255.255.0 todos.

Bien, la cuestión es la siguiente. Si no tengo el router conectado, seguramente los equipos de la VLAN1 con los de la 2 no se vean entre sí, ya que es como si hubiera puestos 2 switchs independientes, eso simula, ¿no?

Pero cuando conecto el router, ¿no es posible que los equipos de VLAN1 accedan a VLAN2, a través del maldito router porque es un puerto común del switch a las dos VLAN y al final el propio router trabaja como un tercer switch donde recolecta todo el tráfico??

Es decir que los paquetes vayan de VLAN1 al puerto 8 donde está el router y regresen de nuevo del router por el puerto 8 y acaben en VLAN2, de manera que pueda acceder a los recursos compartidos de VLAN1 dsede VLAN2, o que un virus chungo de esos como el wannacry pete las dos VLAN porque el puerto donde va el router es común.

O eso no pasa??

Esa es mi duda.

 

[Alvaris]

joer, te puedes creer que no entiendo muy bien lo que quieres hacer???

 

[ElGarufo]

Yes, no entiendo bien la pregunta. Pero la premisa parte con mala base, dos vlans con mismos direccionamiento malo, quien es el gateway ahí?

 

[radykal]

Creo que entiendo la duda.

Como todos los equipos están en la misma red y misma máscara, el router no enrutará esos paquetes entre ellos, ya que debería hacerse a nivel de switch. Los paquetes pasarán por el router sólo como salida a internet o a las redes que haya al otro lado del router ya que es el gateway de todos los equipos en ambas vlans, pero no para la misma red. Vamos, creo que debería funcionar así

 

[fbm1]

Me imagino que lo que tendras que hacer es configurar el switch, para que se vean las dos vlans, o lo que quieras hacer con ellas. Y el puerto donde está conectado el router dale la funcionalidad de ser neutro, entrada salida de datos sin importar.
Que switch es?

 

[SPTR]

Pues lo que quiero es fácil, pero según he leído parto con mala premisa de tener mismo rango de ips en Vlan diferentes.

Yo nunca he usado VLANS, aún no sé como funcionan, aunque me lo imagine.

Pues una fábrica pequeña en la que hay unos equipos de producción que deben tener internet y luego unos de oficina que deben tener internet, pero no deben verse entre ellos.

Con dos subredes se podría hacer, pero es cutrecillo. Si los PCs no los capas por directivas (no vamos a complicar la marrana con bizarrerías paranóicas de momento), y alguien cambia la IP, un listín, al otro rango, no habríamos hecho nada. Ahí es donde le veo sentidos a la VLAN.

Yo pensaba que la VLAN, podrías poner 2 con el mismo rango de IP y compartiendo el puerto del switch donde está conectado el router, los PCs saldrían a Internet sin más y sin verse, pero al tener mismo rango de IP el router se volverá gilipollas. Esto de mismo rango de IP creo que se puede hacer con dos VLAN pero el router debe soportar el vlan tagged para saber donde devolver paquetes de respuesta o algo así, es que no me queda muy claro, estoy un poco perdido en esto de las VLAN.

Y otra cuestión es que aunque tenga un switch q me permita hacer 2 vlan, y ponerle 2 rangos de ip diferentes, cómo hago que el router me escuche en las dos subredes???

El router es bueno, es un cisco 800, pero creo que como está montado para que chute por una VPN, no lo puede tocar nadie más que VODAFONE. Igual con el mismo cisco se pueden hacer dos VLAN con dos subredes y que escuche en ambas para internet. Ni p*ta idea.

Si lo hago con un switch, al final como hago que chute el router si no puedo entrar a configurarlo? (el router ya está configurado con una ip que funciona).

Se entiende o no? Quiero separar equipos pero quiero que puedan chutar con internet.

 

[KRT]

Yes, no entiendo bien la pregunta. Pero la premisa parte con mala base, dos vlans con mismos direccionamiento malo, quien es el gateway ahí?

Correcto, hay que cambiar direccionamientos, por otro lado no habria problema con varios direccionamientos y el puerto del router en modo trunk para varias Vlan.

Saludos!

 

[Alvaris]

las vlan's tienes que meterlas en el router, y luego con el puerto en modo trunk, puedes elegir cual asignar a cada puerto del switch.

 

[SPTR]

Lo miraré a ver. Gracias por las respuestas, que no dije nada, voy siempre liado.

Saludos.

 

[fbm1]

Lo miraré a ver. Gracias por las respuestas, que no dije nada, voy siempre liado.

Saludos.

Qué modelo de router es Teldat, Huawei, Cisco? Si es de Vodafone, no vas a poder entrar por la password al menos que entres por rommon, pero si te pasa alo Vodafone te va hechar las culpas.
Otro metodo es que llames HD Vodafone y le pidas lo que quieras hacer, no creo que te pongan pegas, son gente maja y controlan.

Saludos.

 

[SPTR]

Es un cisco 800 de vodafone porque tienen una VPN.

Eso ya se tendrán que apañar ellos. Yo preguntaba por curiosidad, porque me gusta saber y tenía esas dudas con una VPN.

Un día ya me pondré a practicar con esas historias..., cuando tenga tiempo y aparatos que permitan hacer esas prácticas.