cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
New Member

Ayuda para entender RED interna extensa ( Firewall, Switches, etc...)

Hola a tod@s

Este es mi primer mensaje. Me dedico a la redes desde hace años, aunque hasta hace poco lo estaba haciendo mas en un entorno WAN de un proveedor de telecomunicaciones. Mis conocimientos estan mas enfocados a la conectividad que hay que establecer entre un router final y la red MPLS del proveedor, realizando la configuración del equipo final y validando que el acceso se establece.

Desde hace unas semanas, he cambiado de trabajo a un entorno LAN, basado en la red de la empresa, donde mi función junto con otros compañeros es la de administrar la red que hay montada en la misma, con firewall, Switch de Core, SW de Users y servidores, y SW de distribucion. Es una red bastante grande, donde hay bastantes servidores y usuarios conectados a la misma, y donde tambien hay VPN´s establecidas con clientes a traves de un Finalizador de tunel y con lineas dedicadas contra clientes en el propio Firewall.

Entendiendo el concepto de las redes, para mi el cambio es significativo al haber estado en un entorno diferente, y se me presentan varias dudas que me gustaria comentar con los expertos a fin de que me puedan echar una mano. No es una duda puntual, sino que son dudas que se me van presentando y donde yo creo que la solucion es mas sencilla de lo que parece, pero que al no entenderlo del todo bien, acabo pensando que es mas dificil de lo que es.

Comienzo con la cabeza piramidal de la red, el Firewall. Es lo que mas claro tengo. Administro segun origen y destino los tipos de permisos y denegaciones que quiero realizar a un determinado objeto ( grupos de maquinas) o IP´s, a traves de algun servicio concreto. Es decir, trafico ICMP, TCP, UDP, etc... En el Firewal esta definida una entrada para la LAN, otra para la conexion publica, router publico, conexion con el tunelador ipsec, lineas dedicadas con clientes, etc ect.  El origen debe acceder a traves de una de las bocas del firewall definida dentro de una interface fisica o logica con una red establecida. Exactamente igual que en el destino. Las reglas son extensas. 

Ahora bien, en el firewall apenas hay routing, y el routing que hay esta establecido a traves de un routing virtual entre zonas seguras y zonas no seguras. Esto no lo acabo de entender. No se si alguien me puede echar una mano con esto.

Por otra parte, conectado a traves de la pata LAN del firewall, ya esta conectado el grupo de Switches que la integran. Directamente a traves de una conexion directa comunica con los SW de Usuarios/Servidores. Switches muy extensos con una gran cantidad de VLAN´s configuradas,diferenciando diferentes redes de la empresa. Estas VLAN´s estan aplicadas en diferentes interfaces de los Switches, ya sea en modo access, con lo cual entiendo que a ese puerto solo puede conectarse un Switch para maquinas y conexiones de esa VLAN en particular, o bien en modo trunk, donde se permiten varias VLAN´s, y detras de ese puerto habra un SW o varios SW interconectados en los que podemos utilizar servicios de esas VLAN´s permitidas. En el Switch que estoy describiendo tambien hay configurados varios Port-Channel, que agrupan varias interfaces fisicas dentro de un grupo. Imagino que detras de estas interfaces, hay switches conectados para proporcionar servicios a las VLAN´s permitidas en esos Port-Channel.

Una duda que tengo es la siguiente.

Imaginar que yo tengo un implementar una nueva VLAN para X servidor o grupos de usuarios. ¿Cual seria el proceso?.

Es decir, entiendo que debo de crear la VLAN en los SW de usuarios/servidores ya existentes, creando la VLAN, y la interface, y posteriormente asociar esa VLAN a uno o varios puertos, ya sea en modo access o trunk.

¿Es necesario repetir el proceso en todos los SW?

¿Como hago para que desde equipos conectados a ese nuevo servidor o desde la red pueda llegar al Firewall?

Entiendo que ya entra en juego el tipo de direccionamiento. Si es estatico habria que crear una ruta estatica desde esa rango de red hacia la pata LAN del Firewall que conecta con el SW. ¿Es correcto?. ¿Deberia hacerlo solamente en este SW mas cercano al Firewall o deberia de establecer tambien rutas estaticas ( o direccionamiento dinamico establecido) en los Switches que estan conectados por detras en la red.

 

Es decir, tengo dudas en la forma de interconectar correctamente los servicios de una red de este tipo, o bien de como identificar los problemas de direccionamiento si desde un origen ( pongamos de ejemplo una maquina interna de un usuario) no se puede alcanzar el firewall o bien un servidor, maquina o IP a la cual si tengo acceso por ejemplo desde un Switch especifico o el propio firewall.

 

Agradeceria vuestra ayuda o consejos para ir entendiendo mejor estas preguntas que indico y en general el funcionamiento de este "nuevo" mundo para mi. Creo que estoy mas cerca de entenderlo de lo que yo mismo pienso, pero creo que me estoy liando con cosas que seguro que al entenderlas me van a parecer sencillas.

Un saludo

Carlos 

 

 

2 RESPUESTAS

wao veo tu problema es

wao veo tu problema es bastante extenso, dejame analizarlo bien a ver que podemos hacer

New Member

Hola,Cuando llegas como

Hola,

Cuando llegas como administrador a una red grande de una empresa corporativa te sentís complicado al ver la magnitud, lo primero que necesitas es tener a la mano un diagrama de como se encuentran las conexiones físicas y comenzar a analizar las conexiones lógicas,  CDP es un protocolo de mucha ayuda, luego  con el tiempo vas a ver que  tu red es bien sencilla en donde aplicar cambios e implementar algo nuevo ya no es nada complicado.

 

Saludos.

286
Visitas
0
ÚTIL
2
Respuestas