Configuracion multiples mux-vlans

Publicado 2020-1-8 08:56:46Última respuesta en. 14, 2020 12:18:12 77 6 0 0
  Recompensa Goldies : 0 (solución de problemas)

Buenos días, es mi primera publicación en este foro. Espero que alguien haya tenido experiencia con este tipo de configuraciones.


Actualmente tenemos 3 vlans normales, puertos de usuario en modo acceso, y en el firewall 3 interfaces ip que actuan como gateway acada una de ellas. Ej, VLAN6, VLAN802 y VLAN803. 3 switches de core, y 12 switches de acceso.

El firewall está conectado por un único eth-trunk a las 3 vlans.


Hemos estado haciendo pruebas con private vlans, creando una mux-vlan y subordinate vlan para la VLAN802 (subordinate 812) tanto en cores como en switches de acceso, y funciona perfectamente. Los puertos de usuario solo pueden ver su default gateway (firewall) y entre ellos no se pueden ver, evitando así cualquier propagación horizontal de gusanos dentro de la misma vlan. Esto funciona perfectamente.


vlan 802
 description XXXXX
 name XXXX
 mux-vlan
 subordinate separate 812

interface Eth-Trunk1
 description FIREWALL
 port link-type trunk
 port trunk allow-pass vlan 6,803,812
 stp loop-protection
 port mux-vlan enable vlan 802
 mode lacp



El problema lo tengo cuando quiero duplicar  esta misma configuración y que las otras 2 vlans tengan también su private vlan, y pasarlas por el eth-trunk1 del firewall. El comando ( port mux-vlan enable vlan 802) solo permite una sola mux-vlan por interface, no te permite varias. Y según he leido esta configuración no es posible, pero me extraña mucho que esto no se pueda hacer en huawei. Alguien tiene experiencia en algo similar?


Gracias de antemano

  • x
  • convención:

Respuestas destacadas
Gustavo.HdezF
Moderador Publicado 2020-1-9 16:35:27 Útil(3) Útil(3)

Hola @HacheTech Analizando tu pregunta te podemos recomendar que utilices la tecnología de QinQ en vez de utilizar MUX VLAN. Ya que por la información que compartes ya tienes tus VLAN de servicio 6, 802 y 803 y si lo que buscas es proteger el tráfico hacia el firewall via el Eth-trunk entonces te serviria QinQ ya que haces un segundo encapsulamiento en 802.1q lo cual aisla el tráfico. 


Te invito a visitar la siguiente publicación que habla sobre la tecnología QinQ.


Descubriendo la encapsulación QinQ en los switches de Huawei


Cualquier duda adicional que llegaras a tener quedo a la orden para contestarla.


Saludos.

  • x
  • convención:

Todas las respuestas
Gustavo.HdezF
Gustavo.HdezF Moderador Publicado 2020-1-8 10:46:33 Útil(0) Útil(0)
Hola @HacheTech Danos oportunidad de revisar tu pregunta y en breve te daremos una respuesta. Saludos.
  • x
  • convención:

Ingeniero%20en%20Comunicaciones%20y%20Electr%C3%B3nica%20con%2022%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1rea%20de%20las%20telecomunicaciones%20para%20voz%20y%20datos%2C%20comparto%20mi%20experiencia%20dando%20clases%20en%20la%20Universidad%20Polit%C3%A9cnica%20de%20Quer%C3%A9taro.
Estrella
Estrella Publicado 2020-1-9 06:08:41 Útil(0) Útil(0)
Buenos días,
por favor revise el siguiente enlace

https://support.huawei.com/enterprise/en/doc/EDOC1000088746?section=j009
  • x
  • convención:

I%20am%20an%20information%20Technology%20Engineer%3B%20I%20work%20as%20Head%20of%20section%20in%20Management%20Information%20System%20with%20over%20five%20years%20of%20experience%20specializing%20in%20Software%20Testing.%20I%20am%20looking%20forward%20to%20growing%20my%20management%20skills%20to%20develop%20and%20inspire%20my%20team%20and%20I%20am%20a%20MVE%20in%20this%20forum
Gustavo.HdezF
Gustavo.HdezF Moderador Publicado 2020-1-9 15:54:38 Útil(0) Útil(0)
Hola @HacheTech Nos ayudaría un diagrama para visualizar en donde estan ubicados los MUX VLAN y el Eth-trunk para darte una mejor respuesta. Sera posible tener la topología? Gracias.
  • x
  • convención:

Ingeniero%20en%20Comunicaciones%20y%20Electr%C3%B3nica%20con%2022%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1rea%20de%20las%20telecomunicaciones%20para%20voz%20y%20datos%2C%20comparto%20mi%20experiencia%20dando%20clases%20en%20la%20Universidad%20Polit%C3%A9cnica%20de%20Quer%C3%A9taro.
Gustavo.HdezF
Gustavo.HdezF Moderador Publicado 2020-1-9 16:35:27 Útil(3) Útil(3)

Hola @HacheTech Analizando tu pregunta te podemos recomendar que utilices la tecnología de QinQ en vez de utilizar MUX VLAN. Ya que por la información que compartes ya tienes tus VLAN de servicio 6, 802 y 803 y si lo que buscas es proteger el tráfico hacia el firewall via el Eth-trunk entonces te serviria QinQ ya que haces un segundo encapsulamiento en 802.1q lo cual aisla el tráfico. 


Te invito a visitar la siguiente publicación que habla sobre la tecnología QinQ.


Descubriendo la encapsulación QinQ en los switches de Huawei


Cualquier duda adicional que llegaras a tener quedo a la orden para contestarla.


Saludos.

  • x
  • convención:

HacheTech
HacheTech Publicado 2020-1-14 01:40:14 Útil(0) Útil(0)

Buenos días Gustavo

   He estado mirando el tema de QinQ, pero no creo que aplique para lo que estoy buscando. Lo veo más para tunelizar vlans sobre redes públicas con doble tagging, pero no para securizar horizontalmente una vlan privada ante gusanos y otros virus. Voy a intentar explicar mejor el esquema y lo que necesito hacer



Esquema



  Este es un esquema resumido de nuestra red, con unos switches de core y varios switches de acceso. El objetivo usando private vlans es:

        COMP1 no debe poder comunicarse con COMP4 y viceversa, a pesar de estar en la misma vlan

        COMP2 no debe poder comunicarse con COMP5 y viceversa, a pesar de estar en la misma vlan

        COMP3 no debe poder comunicarse con COMP6 y viceversa, a pesar de estar en la misma vlan

        Sin embargo, los 6 equipos deben poder ver su default gateway que está en varias vlans sobre ese eth-trunk del core.


   La opción de port-isolation no es válida, ya que los puertos están en distintos switches de acceso, y el port-isolation solo trabaja en el mismo switch.

 

   La prueba que he realizado funciona correctamente sobre la VLAN 802. El COMP2 no puede comunicarse con el COMP5, pero si contra el firewall. En el eth-trunk he puesto esta configuración


interface Eth-Trunk1
 description FIREWALL
 port link-type trunk
 port trunk allow-pass vlan 6,803,812
 stp loop-protection
 port mux-vlan enable vlan 802
 mode lacp


vlan 802
 description VLAN802
 name VLAN802
 mux-vlan
 subordinate separate 812


  Los equipos COMP2 y COMP5 tienen una configuración de acceso a la vlan 812 con "port mux-vlan enable vlan 812". Esto nos permite que dentro de la private vlan 812, ningún equipo pueda verse entre si (así no se pueden expandir gusanos horizontalmente), pero pueden seguir trabajando con los servicios de la red a través de su default gateway en el firewall. Esto funciona bien


  No obstante, no he encontrado forma de hacerlo con las 3 vlans que quiero securizar. El comando de port mux-vlan enable vlan 802 del eth-trunk1 (firewall) solo permite una vlan , si quiero meter otras pierdo la 802. Me gustaría ver como poder hacer esta configuración de private-vlan con 3 mux-vlan, sobre este único eth-trunk del firewall.


  Gracias por vuestra ayuda

  • x
  • convención:

user_153387
user_153387 Publicado 2020-1-14 12:18:12 Útil(0) Útil(0)
Hola, Si en la red de acceso hacia el switch core donde está el eth-trunk implementas MPLS (tienes licencia) con VPLS (VPN Modo Martini) configuras solo el peer en cada VSI del switch core y en este último todos los peer, las pc de una misma vlan perteneciente al VSI solo pueden dar ping al gateway y este a todos pero entre ellos no, gracias al horizonte dividido, en un mismo switch puedes implementar port-isolation
  • x
  • convención:

Hello%20friends%2C%20I%20am%20a%20Telecommunications%20and%20electronics%20engineer%20and%20I%20just%20graduated%20as%20a%20master%20in%20telecommunications%20systems.%20I%20work%20in%20the%20telecommunications%20company%20of%20Cuba%2C%20ETECSA.%20I%20am%2035%20years%20old%20and%20I%20attend%20the%20transport%20network%20in%20my%20province%2C%20which%20is%20mainly%20Huawei.

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión