Configurar una VLAN Conectada A Través de Dos Interfaces

Puede configurar una VLAN para puentear entre dos interfaces de Firebox. Puede desear conectar una VLAN a través de dos interfaces si su organización se extiende en ubicaciones múltiples. Por ejemplo, supongamos que su red está en el primer y segundo piso en el mismo edificio. Algunos equipos del primer piso están en el mismo grupo operativo que algunos equipos del segundo piso. Desea agrupar estos equipos en un dominio de difusión para que puedan compartir recursos fácilmente, como un servidor de archivos dedicados para su LAN, archivos compartidos basados en el host, impresoras y otros accesorios de la red.

Este ejemplo muestra cómo conectar dos conmutadores 802.1Q de modo que ambos conmutadores puedan enviar tráfico desde la misma VLAN a dos interfaces en el mismo Firebox.

En este tema se describe un diagrama de la arquitectura VLAN. En el diagrama, el Conmutador A está conectado a la interfaz 3 y el Conmutador B, a la interfaz 4.

En este ejemplo, dos conmutadores 802.1Q se conectan a las interfaces Firebox 3 y 4, y llevan tráfico desde la misma VLAN.

Definir la VLAN en Firebox

En Firebox, configure VLAN 10 para un manejo de tráfico VLAN etiquetado desde las interfaces 3 y 4.

  1. Seleccione Red > Configuración.
  2. Seleccione la pestaña VLAN.
  3. Haga clic en Agregar.

    Aparece el cuadro de diálogo Configuración de Nueva VLAN.
  4. En el cuadro de texto Nombre (Alias), ingrese un nombre para la VLAN. Para este ejemplo, ingrese VLAN10.
  5. En el cuadro de texto Descripción, ingrese una descripción. Para este ejemplo, ingrese Contabilidad.
  6. En el cuadro de texto VLAN ID, ingrese el número de VLAN configurado para el VLAN en el conmutador. Para este ejemplo, ingrese 10.
  7. De la lista desplegable Zona de seguridad, seleccione la zona de seguridad. Para este ejemplo, seleccione De confianza.
  8. En el cuadro de texto Dirección IP, ingrese la dirección IP para utilizarla para el Firebox en esta VLAN. Para este ejemplo, ingrese 192.168.10.1/24.

Cualquier equipo en esta nueva VLAN debe usar esta dirección IP como su puerta de enlace predeterminada.

  1. (Opcional) Para configurar Firebox para que funcione como servidor DHCP para los equipos en la VLAN10:
  • Seleccionar Utilizar Servidor DHCP.
  • En la derecha de la lista Grupo de direcciones, haga clic en Agregar.
  • Para este ejemplo, en el cuadro de texto Dirección de inicio, ingrese 192.168.10.10 y en el cuadro de texto Dirección de finalización ingrese 192.168.10.20.

La configuración de VLAN10 completa para este ejemplo tiene este aspecto:

Screen shot of the Network Configuration dialog box, VLAN tab, with a completed configuration for VLAN10.

  1. Haga clic en Aceptar para agregar la nueva VLAN.
  2. Para hacer que las interfaces 3 y 4 de Firebox sean miembros de la nueva VLAN, seleccione la pestaña Interfaces.
  3. Seleccione Interfaz 3. Haga clic en Configurar.
    Aparece el cuadro de diálogo Configuración de interfaz.

Screen shot of General tab in Interface Settings dialog box

  1. En la lista desplegable Tipo de interfaz, seleccione VLAN.
  2. Seleccione la casilla de selección Enviar y recibir tráfico etiquetado para VLAN seleccionadas.
  3. En la columna Miembro, seleccione la casilla de selección para VLAN10. Haga clic en Aceptar.
  4. Seleccione Interfaz 4. Haga clic en Configurar.
    Aparece el cuadro de diálogo Configuración de interfaz.

Screen shot of General tab in Interface Settings dialog box

  1. En la lista desplegable Tipo de interfaz, seleccione VLAN.
  2. Seleccione la casilla de selección Enviar y recibir tráfico etiquetado para VLAN seleccionadas.
  3. En la columna Miembro, seleccione la casilla de selección para VLAN10. Haga clic en Aceptar.
  4. Seleccione la pestaña VLAN.

Screen shot of VLAN tab in Network Configuration dialog box

  1. Verifique que la columna Interfaces para VLAN10 muestre las interfaces 3 y 4.
  2. Guarde la configuración en el dispositivo.
  1. Seleccione Red > Interfaces.
  2. Seleccione la interfaz número 3. Haga clic en Editar.
  3. En el cuadro de texto Nombre de Interfaz (Alias), ingrese un nombre. Para este ejemplo, ingresevlanfloor1.
  4. En la lista desplegable Tipo de interfaz, seleccione VLAN.

Screen shot of Interface Configuration page

  1. Haga clic en Guardar.
  2. Repita los mismos pasos para configurar la Interfaz 4 como una interfaz VLAN denominada vlanfloor2.
  3. Seleccione Red > VLAN.
  4. Haga clic en Agregar.
  5. En el cuadro de texto Nombre, ingrese un nombre para la VLAN. Para este ejemplo, ingrese VLAN10.
  6. En el cuadro de texto Descripción, ingrese una descripción. Para este ejemplo, ingrese Contabilidad.
  7. En el cuadro de texto VLAN ID, ingrese el número de VLAN configurado para el VLAN en el conmutador. Para este ejemplo, ingrese 10.
  8. De la lista desplegable Zona de seguridad, seleccione la zona de seguridad. Para este ejemplo, seleccione De confianza.
  9. En el cuadro de texto Dirección IP, ingrese la dirección IP para utilizarla para el Firebox en esta VLAN. Para este ejemplo, ingrese 192.168.10.1/24.
  10. En la lista de interfaces, seleccione ambas interfaces.
  11. De la lista desplegable Seleccionar Tráfico, seleccione Tráfico Etiquetado.

Screen shot of VLAN Configuration page

  1. Haga clic en Guardar.

Para aplicar políticas de firewall al tráfico entre las dos redes que son parte de esta VLAN, marque la casilla de selección Aplicar políticas de firewall al tráfico interno con VLAN en la configuración de VLAN. Para más información, consulte Definir una nueva VLAN.

Configurar los conmutadores

Configure cada uno de los conmutadores que se conectan a las interfaces 3 y 4 de Firebox. Consulte las instrucciones del fabricante de su conmutador para obtener detalles sobre cómo configurar sus conmutadores.

Configurar las Interfaces del Conmutador conectadas al Firebox

El segmento físico entre la interfaz del conmutador y la interfaz de Firebox es un segmento de datos etiquetado. El tráfico que fluye sobre este segmento debe utilizar un etiquetado VLAN 802.1Q.

Algunos fabricantes de conmutadores se refieren a una interfaz configurada de esta manera como puerto troncal o interfaz troncal.

En cada conmutador, para la interfaz de conmutador que conecta al Firebox:

  • Desactive el Protocolo de Árbol de Expansión.
  • Configure la interfaz para que sean miembro de la VLAN10.
  • Configure la interfaz para que envíe tráfico con la etiqueta VLAN10.
  • Si es necesario para su conmutador, defina el modo del conmutador a troncal.
  • Si es necesario para su conmutador, defina el modo de encapsulación a 802.1Q.

Configurar las otras interfaces del conmutador

Los segmentos físicos entre cada una de las otras interfaces del conmutador y los equipos (u otros dispositivos interconectados) que se conectan a ellos son segmentos de datos no etiquetados. El tráfico que fluye en estos segmentos no tiene etiquetas VLAN.

En cada conmutador, para las interfaces del conmutador que conectan equipos al conmutador:

  • Configure estas interfaces del conmutador para que sean miembros de la VLAN10.
  • Configure estas interfaces del conmutador para envíen tráfico no etiquetado para VLAN10.

Conectar físicamente todos los dispositivos

  1. Utilice un cable Ethernet para conectar la interfaz 3 de Firebox a la interfaz de Conmutador A que configuró para etiquetar para VLAN10 (la interfaz troncal VLAN del Conmutador A).
  2. Utilice un cable Ethernet para conectar la interfaz 4 de Firebox a la interfaz de Conmutador B que configuró para etiquetar para VLAN10 (la interfaz troncal VLAN del Conmutador B).
  3. Conecte un equipo a la interfaz en el Conmutador A que configuró para enviar tráfico no etiquetado para VLAN10.
  4. Establezca las configuraciones de red en el equipo conectado. Los ajustes dependen de si configuró Firebox para que actúe como servidor DHCP para las computadoras en VLAN10 en el Paso 9 de Definir la VLAN en Firebox.
  • Si configuró Firebox para actuar como servidor DHCP para los equipos en VLAN10, configure el equipo para utilizar DHCP para obtener una dirección IP automáticamente. Consulte el Paso 9 en el procedimiento Definir la VLAN, anterior.
  • Si no configuró Firebox para actuar como servidor DHCP para los equipos en VLAN10, configure el equipo con una dirección IP en la subnet VLAN 192.168.10.x. Utilice la subnet mask 255.255.255.0 y fije la puerta de enlace predeterminada en el equipo a la dirección IP VLAN de Firebox 192.168.10.1
  1. Repita los dos pasos anteriores para conectar un equipo al Conmutador B.

Probar la conexión

Después de completar estos pasos, los equipos conectados al Conmutador A y al Conmutador B pueden comunicarse como si estuvieran conectados en la misma red de área local física. Para probar esta conexión, puede:

  • Enviar un ping de un equipo conectado al Conmutador A a un equipo conectado al Conmutador B.
  • Enviar un ping de un equipo conectado al Conmutador B a un equipo conectado al Conmutador A.