lunes, 6 de junio de 2011

Enrutamiento entre Vlan con Switches Cisco de capa 3


Una vez que se tiene los conocimientos para configurar la red, mediante el uso de Vlan, resulta necesario que los usuarios de las diferentes subredes lógicas se comuniquen entre si. Para esto es necesario utilizar el enrutamiento entre vlan.

Existen muchas formas de realizar el enrutamiento entre vlan, tales como:

En esta ocasión describiré un poco sobre como configurar el Enrutamiento entre Vlan con switches L3, utilizando para esto un switch Catalyst 3750G-24PS, uno de los tantos switches de Cisco que admite el enrutamiento de Capa 3.
Enrutamiento entre Vlan con switches L3
El ícono que representa el switch de Capa 3 se visualiza, es distinto a los iconos para representar un switch L2. Para poder entender la manera en que el switch L3 hace el proceso de enrutamiento es necesario, conocer un poco sobre las interfaces virtuales de los switches o SVI, por su sigla en inglés, que es la que realmente permite realizar el enrutamiento entre las vlan


SVI
SVI es una interfaz lógica configurada para una VLAN específica. Es necesario configurar una SVI para una VLAN si desea enrutar entre las VLAN. De manera predeterminada, una SVI se crea por la VLAN predeterminada (VLAN 1) para permitir la administración de switch remota.


Reenvío de capa 3
Un switch de Capa 3 tiene la capacidad de enrutar paquetes entre las VLAN. El procedimiento es el mismo que se utiliza con un router, excepto que las SVI actúan como las interfaces del router para enrutar los datos entre las VLAN. 
Switch Cisco L3 Trunk
 
Configuración de la Interfaces (SVI)
La configuración de las interfaces es muy sencillo, es similar a la configuración de la interface vlan 1, excepto que es en necesario especificar la vlan ID. A configuración ejemplo para configurar la interface SVI de la Vlan 10.
Sw1#configure terminal
Sw1(config)# interface vlan 10
Sw1(config-subif)# ip address 172.16.10.1 255.255.255.0
Sw1(config-subif)# no shutdown

De igual manera se hace para cada vlan que se desee enrutar, realizar el enrutamiento entre las vlan por medio de switches L3, mejora el rendimiento de los enfoques tradicionales, debido a que estos equipos poseen mejor desempeño que los enrutadores.
Lo único que hay que no hay que olvidar es, que la dirección IP de las interfaces SVI, será la ruta por defecto de los equipos dentro de cada vlan, según el ejemplo el default gateway de las Computadoras que pertenecen a la vlan 10, sera la 172.16.10.1(interface virtual en el switch).

El esquema de enrutamiento de vlan, por medio de switches L3, puede ser tan sencillo como el ejemplo que acá muestro, o bien tan complejo, como realizar distribución de las interfaces SVI entre varios switches, o implementando algún protocolo de enrutamiento como RIP, BGP o EIGRP, para realizar el intercambio de rutas.

48 comentarios:

Flavia Sarahi dijo...

me acuerdo de esa clase,, gracias profe,, por enseñarnos

Derman Zepeda dijo...

A la orden, Flavia... Saudes

Nlogo dijo...

Buenas tardes, soy un poco nuevo en el uso de switch administrables, tengo 2 switch L2 SG200 Cisco Small B. y 1 switch L3 SG300 Cisco Samll B., mi pregunta es con solo estos dos equipos puedo hacer mas de dos Vlan y que se comuniquen entre ellas?
Saludos

Anónimo dijo...

HOla disculpa tengo una consulta y espero que me puedas responder por favor, como puedo hacer ping 3 pc con un Switch si las PC tienen estas IP:
PC01: 192.168.1.N 255.255.255.0
PC02: 192.168.2.N 255.255.255.0
PC03: 192.168.3.N 255.255.255.0

te lo agredeceria si pudieras responderme
Gracias

Derman Zepeda dijo...

Saludes, para la pregunta del si es posible utilizar los SG200 y el SG300, efectivamente no conocia estos modelos, sin embargo al revisar la documentación técnica de ambos, si es posible, de hecho el equipo SG300, tal a como lo indicas es un equipo de L3, por lo que tendrías que crear las interfaces de vlan en el mismo, y luego crear las vlan y asignar los equipos a la vlan que desees, claro, para cada equipo el gateway, tendrá que ser la interface de vlan a la que pertenece.

Derman Zepeda dijo...

Bueno, no estoy claro, si lo que quieres hacer es ping desde las Pcs al switch o si lo que deseas es hacer ping de PC a PC. Sin embargo tratare de responder ambas preguntas

1) Si deseas dar ping desde la PC01 al switch, lo primero es configurar una dirección IP al switch, esto se hace en la interface vlan1

switch#configure terminal
switch(config)# int vlan 1
switch#(config-if)# ip address 192.168.5.1 255.255.255.0

Con estos comandos le estamos asignando la dirección 192.168.5.1 al switch, ya con esto me imagino también que las maquinas están dentro de vlans. Imagina lo siguiente:

PC01 conectada al puerto f0/1
PC02 conectada al puerto f0/2
PC03 conectada al puerto f0/3

Asignar puertos a la vlan necesarias

switch(config)# int f0/1
switch#(config-if)#switchport access vlan 10

switch(config)# int f0/2
switch#(config-if)#switchport access vlan 20

switch(config)# int f0/3
switch#(config-if)#switchport access vlan 30

Crear las interfaces de vlan (Estas permitirán realizar el enrutamiento)

switch(config)# int vlan 10
switch#(config-if)# ip address 192.168.1.1 255.255.255.0
switch#(config-if)# no shutdown

switch(config)# int vlan 20
switch#(config-if)# ip address 192.168.2.1 255.255.255.0
switch#(config-if)# no shutdown

switch(config)# int vlan 30
switch#(config-if)# ip address 192.168.3.1 255.255.255.0
switch#(config-if)# no shutdown


2) Si lo que deseas hacer es ping desde la PC01 a la PC02, bueno si era esto lo que necesitabas, con las configuraciones realizadas también ya podrás dar ping de PC a PC, bueno eso si recuerda permitir icmp en el firewall de Windows porque por lo general viene desactivado

Anónimo dijo...

Saludos,
Si tuviera un switch L3 donde tengo conectados mis servidores y en este switch configuradas las vlan 10, 20, 30 donde la vlan 10 es la de los servidores, como haría para que los demás equipos se puedan comunicar con mis servidores teniendo el siguiente direccionamiento
vlan 10 172.16.216.30/27
vlan 20 172.16.216.62/27
vlan 30 172.16.216.94/27

necesariamente debo tener puerto trunking en los otro switches?

debo habilitar ip routing en el switch L3?

Derman Zepeda dijo...

Bueno, para trabajar con un entorno de vlans, entre múltiples switches siempre que mas de una vlan se encuentre publicada en mas de un switch si es recomendable utilizar truncking,,,, entre los enlaces de swirches. luego, si en el caso del switch L3 no esta enrutando automáticamente, si seria necesario activar el ip routing, y para que los equipos puedan comunicarse con los servidores solamente es necesario que los PCo equipos terminales tengan bien configurado su GW e igual en el caso de los servidores.

Ignacio dijo...

Hola, con el ejemplo de Anonimo y las VLAN 10, 20 y 30. Con la configuracion que indicas se ven todas las VLAN entre si, pero si yo quisiera que solo se vieran los PC de VLAN 10 con PC de VLAN 30 y PCs VLAN 20 con PCs VLAN 30, pero no VLAN 20 con VLAN 30. ¿Se puede realizar sin ninguin dispositivo adicional?

Muchas gracias

Ignacio dijo...

Rectifico lo anterior, ya qeu hay un error.
Hola, con el ejemplo de Anonimo y las VLAN 10, 20 y 30. Con la configuracion que indicas se ven todas las VLAN entre si, pero si yo quisiera que solo se vieran los PC de VLAN 10 con PC de VLAN 30 y PCs VLAN 20 con PCs VLAN 30, pero no VLAN 10 con VLAN 20. ¿Se puede realizar sin ninguin dispositivo adicional?

Muchas gracias

ciscomau dijo...

Brother, tengo una duda como se puede configurar un router para que me de servicio de dhcp que esta conectado a un switch de capa 3 y este a su vez tiene conectado un switch normal(capa2) y al final esten dos PC.?? el servicio de dhcp tiene que llegar a las dos PC
les agradeceria muchisima su ayuda..

henry cortez dijo...

hola profesor..! llegue aqui de pura casualidad... no sabia que tenia su propio blog

bueno me ayudo al cien este articulo

Derman Zepeda dijo...

Saludes espero que esto les pueda ayudar un poco

Router Cisco como dhcp server

Anónimo dijo...

tengo u proyecto para una especializacion me gustaria que me ayudares necesito hacer un servidor DHCP en linux con multiples vlan con un switch capa 3 como hago para conectar el servidor con el switch capa 3 y como hago para enrutar sin utilizar el router ese ejemplo es muy claro pero yo tengo 3 vlan me colaboras por favor gracias

alec dijo...

Buen día. tengo un switch catalyst 3560 y dos enlaces de 6 megas con cablemodem 2wire. quisiera dividir mi red por ejemplo en 2 vlans (ejemplo vlan2 y vlan3) y hacer que la vlan2 salga a internet por un cablemodem y la vlan3 por el otro cablemoden y que los dispositivos de las dos vlans se puedan ver. También no se si pueda configurar un dhcp para cada vlan en este mismo switch para que sea el que da las direcciones y dejar los cablemodems nada mas como acceso a internet. De antemano muchas gracias por su atencion.

Derman Zepeda dijo...

Saludes, muchas gracias por sus comentarios, he notado que este es un tema que llama mucho la atención, he publicado algo nuevo, que es mas bien una conbinacion de varias publicaciones, espero que les ayude un poco.

Enrutamiento entre vlan, utilizando un Switch Cisco L3 y un servidor dhcp en Linux

edinson cardoza dijo...

muy buenas tardes derman la verdad tengo un proyecto de una especializacion que me tiene loco
tengo un servidor DHCP en linux y tambien tengo una configuracion NAN en un router tengo que configurar el switch capa 3 conectado al router de la nan para que cuand el servidor DHCP envie las ip a los pc todos tengan acceso a internet y no se como hacer eso me puedes colaborar te agradezco mucho

Derman Zepeda dijo...

Bueno en este caso es sencillo, bueno primero tienes que configurar el servidor DHCP en linux, para que este tenga chance de llegar a cada vlan(puedes ver el enlace este enlace:

Configuración de servidor dhcp Linux múltiples vlans

Luego con la configuración del switch L3, ahi puedes crear las interfaces SVI de las diferentes vlan y asignarle las direcciones IP que indicastes en el dhcp serian el option-router. Es decir el el switch L3 entras a la interface de vlan 20 y le asignas una direccion como esta 172.16.20.1 ,, entonces en el servidor dhcp a la subred de la vlan 20,, le dices que el option-router es la 172.16.20.1, con esto le estas diciendo a los equipos que la ruta por defecto, para los PC es la interface SVI del switch L3 para esta subred. Haces lo mismo para las otras subredes o vlans

Ahora con esto ya tendrias enrutamiento entre las vlans, lo otro que tienes que hacer es conectar el router al 24 del switch L3 y lo conviertes en L3,, para eso solo entras al puerto y das el comando “no switchport” ahora le pones una dir IP a ese puerto y lo conectas con el router

|----------| 172.16.100.2 172.16.100.1 |----------|
| Sw L3 |f0/24-------------------f0/1-| Router |
|----------| |----------|


Tal como se ve aca, lo unico que hay que hacer es configurar una ruta por defecto en el switch como esta ip route 0.0.0.0 0.0.0.0 172.16.100.1 y en el router agregar una ruta para cada subred que tienes configurada en el switch algo como esta ip route 172.16.20.0 255.255.255.0 172.16.100.2

Ya con esto, solamente configuras el NAT en el router, para esto puedes ver este enlace:

Configuración básica de Nat en enrutador Cisco

Anónimo dijo...

Estimado sr:

tengo 3 switch uno ubicado en sala de servidores y otros dos en un lugar remoto, los remotos colectan datos de equipos y la envia a la sala de servidores y pasan a traves de un switch del sala de servidores ¿como crear las vlan en el switch de la sala de servidores para utilizar un puerto como enlace y las otras vlan no se vean entre si, pero si vean en puerto de enlace?

gerCO# dijo...

Apreciado Sr.
Tengo un switch L3 de 24 puertos, al cual se le ha creado 2 vlans (A y B), la A tiene 5 puertos asignados y la B contiene el resto de puertos del sw. Se requiere instalar un servidor al cual se pueda acceder desde cualquier Pc tanto de la Vlan A como de la B. Es posible hacer esto con un solo switch y sin un enrutador ?

Gracias de antemano por su ayuda.

Derman Zepeda dijo...

Bueno en el caso del switch L3 de 24 puertos, me imagino que ahí están creadas las subinterfaces SVI para comunicar ambas Vlan A y B

si la vlan A esta en el segmento de red 172.16.2.0 y
la vlan B en el segmento 172.16.3.0

las interfaces SVI en el sw L3 podrian tener las direcciones 172.16.3.1 y la 172.16.2.1

Si quisieras conectar el servidor directamente a uno de los puertos del Sw L3, lo que podrías hacer es configurar uno de los puertos como puerto de router con el comando (no switchport) para el caso de cisco y asignarle una dirección IP en el mismo rango del servidor (por ejemplo si el server tiene la dir ip 172.16.10.10) entonces el puerto puedes asignar la 172.16.10.1,,, ya con esto podría comunicarte con el servidor desde los equipos conectados en cada Vlan.

Espero que esto te sea de utilidad, si tienes algún inconveniente no dudes en comunicármelo. saludes

Daniel Jackson dijo...

Una consulta, en relación al dirccionamiento, que pasaria si miembros de la misma vlan están ubicados en locaciones distintas conectados a un suiche de acceso distinto y por ende a un suiche de distribución distinto. Utilizo segmentos de direcciones o vlans distintos a pesar de que usen la misma aplicación, utilizo el mismo segmento pero a cada vlan le asigno una ip de gateway distinta pero dentro del mismo segmento o configuro el gateway de esa vlan en el suiche donde se conectan ambos suiches de distribución, es decir el nucleo?

Derman Zepeda dijo...

Bueno, la ventaja de trabajar con vlans en una red lan, es que esta permite que usuarios que se encuentran en ubicaciones(distintos edificios) puedan ser agrupados en un mismo segmento de red lógica. Es decir la distancia y la ubicación no son importantes, los usuarios que se encuentren conectados en switches de acceso distintos no tienen px cambiar de segmento de red. solamente se utiliza un gw para esa vlan.

Eduardo Abanto dijo...

Muy bueno el ejemplo.

Tengo un ejercicio por realizar. Consta de 3 vlans:

10.10.100.0/24
10.10.110.0/24
10.10.120.0/24

Para este ejercicio he utilizado 1 DHCP W2003, 1 router, 1 Switch L3 y conectado a este switch tengo 3 switch L2, uno para cad Vlan.

Mi pregunta es, luego de configurar al router con subinterfaces y utilizar ip helper, y luego de configurar las vlans en el L3.

Hay algo que debo configurar en los L2 para asegurar la velocidad o algo asi? Quisiera optimizar esta pequeña red.

Saludos y gracias por el sitio, esta genial!

3

M.AMAYA dijo...

Saludos Ayuda profe

Tengo un switch sg300-20

Mi ISP me entrego la info a configurar IP/mask/gateway.

ya lo configure en mi switch, como hago para que las computadoras que estaran conectadas a el se comuniquen y tengan acceso a internet.

Lo tengo que pasar forzosamente a capa 3 para poder hacer esto?

Daniel Jackson dijo...

Señor Dierman, gracia spor su aporte... Estamos claro que cada vlan debe poseer su gateway para asi poder enrutar trafico a otras redes, mi duda es que si es una buena practica utilizar distintos gateways en una misma vlan, por ejemplo:

VLAN A: 10.0.0.0/24
Los usuarios de esta VLAN están en la sede administrativa (Grupo1, denominacion generica) están distribuidos en varios suiches de acceso pero convergen en un mismo suiche de distribución. A este Grupo1 le asignamos el gateway 10.0.0.1/24 como SVI en el suiche de distribución para que enrute.

Otros usuarios de la misma VLAN (Grupo2)se encuentran en el edificio 1 que esta a 300mts de la sede, en ese edificio se piensa disponer de otro suiche de distribución distinto al que están conectados los del Grupo. A este grupo de usuarios que están en la VLAN A (10.0.0.0/24) se les puidiera asignar un gateway 10.0.0.100/24?

O sería más conveniente asignar un segmento de red distinto y por ende otra VLAN, por ejemplo 10.0.1.0/24, a este grupo sin importar que su trafico sea identico al de los usuarios de la VLAN A?

O sin importar que esten bajo suiches de distribuición distinto se les asignaría a ambos grupos el mismo gateway? (lo cual me parece poco conveniente)

Derman Zepeda dijo...

Bueno he revisado la documentación de este modelo y si permite realizar enrutamiento. es decir que tienes que activar la función de enrutamiento, lamentablemente aun no he realizado esta configuración en este modelo en particular, ahora bien es importante tomar en cuenta que este equipo no hace NAT, por si pretendes que realice la función de un router.

Derman Zepeda dijo...

En relación a la consulta de Daniel Jackson, bueno dentro de una misma vlan es posible hacer lo que dices, siempre y cuando los equipos que hacen el enrutamiento en tu red, estén al tanto de esto, te digo por que como saben los equipos fuera de esta red que gateway utiliza cada uno de los equipos de esta subred. En lo personal recomendaría o segmentar la red en dos o bien utilizar el mismo gateway para todos los equipos.

Pero ojo, en algunos casos es necesario realizar lo que me dices, en lo personal, lo he utilizado y funciona muy bien.

Anónimo dijo...

Hola,quisiera preguntarles, estoy aprendiendo sobre las redes y estoy estudiando para configurar los switch que tengo, tengo un switch FNSW-2401 (Planet) y otro TL-SG2224WEB (TPLink), que no logro encontrar el ip para entrar a la interfaz web, para poder configurarlo. He leido en los manuales que tengo y no me dice el ip que trae por defecto. Alguien puede ayudarme?

Mantenimiento de Equipo de Cómputo dijo...

Dermian, que tal bueno tengo problemas al configurar un sg300-52 donde quiero lograr comunicacion con un 3750 (core) a traves de la vlan 110 con ip 192.168.110.6, y que a la vez este proporcione direcciones ip por dhcp a los usuarios que se conecten a este equipo.

Por otra parte quiero tener la administracion del equipo via consola, y segun esto tengo introducir la ip de la vlan de amdmistracion que en mi caso seria esta vlan 110, cosa que no he logrado aun, ya que si quiero configurarlo via web y al introducir la vlan con su ip respectivamente, pierdo la administracion web y solo puedo ingresar al equipo via consola.

Ahora tambien lei en otro comentario del foro que para el dhcp es necesario poner el default gateway con la ip de la vlan, entonces para lograr esto es lo que tendria que hacer?

Tambien quiero comentar que el equipo 3750 tiene la misma vlan 110 pero con su ip respectivamente, y su dhcp configurado es con la ip 192.168.101.240, donde he estado configurando esta ip como dhcp para el sg300-52 y ademas lo he estado habilitando la funcion del dhcp relay enable en modo global y en la vlan, pero sigo sin lograr la comunicacion, por lo que me queda la duda si es correcto esto.

Le agradeceria mucho de su apoyo para lograr la comunicacion con estos dos equipos.

Saludos...

Anónimo dijo...

QUE TAL PROFE EXCELENTE BLOCK, ME HA AYUDADO ACLARAR MEJOR LAS COSAS, Y LOS TEMAS Q PONEN SON MUY INTERESANTE...




GRACIAS.....
SALUDOS..
att:ROGER TIJERINO

Anónimo dijo...

yo quisiera saber cuales son los comandos que utiliza un switch de capa tres administrable, alguno de ellos son en el modo global hay varios comandos, el config them contiene mas comandos pero me gustaria que me ayudara,son 5 modos y en ellos hay varios comandos por modo.

Hasbleidy dijo...

Buenas tardes me gustaria saber como puedo hacer para realizar segmentación de una red con un switch capa 3

Anónimo dijo...

good

aRod dijo...

buen dia
estoy viendo sus ejemplos y me queda una duda, yo tengo una red 192.168.1.x donde el proveedor de internet, 192.168.1.1 reparte DHCP, ahora mismo nos estan conectando a la oficina centran, ellos con una red 172.16.1.X para que podamos llegar a las aplicaciones de la empresa, pero mi jefe quiere que tomemos los recursos de la ofcina central y el internet de nuestro proveedor local (red 192) como hago si tengo el enlace nuevo (enlace PtoP wireless), el internet y los usuarios, en un mismo switch cisco 3560 de 48 puertos?

Alejandro dijo...

Disculpame la ignorancia, tngo un switch Small Business 300. Soporta Vlans y ruteo estatico. Tiene el routing activado (entre las vlans se ven perfecto). La pregunta es : puedo tener mas de una ruta default ?? Ejemplo, VLan-3 10.10.10.0/24
VLan-4 20.20.20.0/24. El 0.0.0.0 0.0.0.0 va a x.x.x.x. Como puedo hacer que si el source es de la VLan3 salga por un enlace y si es de la 4 salga por el otro ??? Ha.. Me olvidaba. Tengo 2 conexiones a Internet. Mi necesidad es diferenciar el paquete source y mandarlo a un next-hop determinado.

Mil Gracias por ayudarme !!!

Alejandro.

alex dijo...

Saludos,
serían tan amable de ayudarme con esto.

trate de hacer el ejercicio que está arriba en el gráfico, cuando coloco la dirección ip a la vlan 20 da el error que esta abajo porque?

interface Vlan10
ip address 172.16.10.1 255.255.0.0
!
Switch(config)#int vl20
Switch(config-if)#ip add
Switch(config-if)#ip address 172.16.20.1 255.255.0.0
% 172.16.0.0 overlaps with Vlan10

si continuo puedo dar pin con muchos .!..!.
time-out u luego que reinicio el switch aunque salve la configuración borra la ip de la vlan 20
quiero saber como se hace
gracias

Anónimo dijo...

Muy bueno

Richard dijo...

Buenos Dias
Tengo una duda tengo 2 VLan de Data y 1 VLan de Voz. Y no quiero que los 2 VLan de Data se enlacen pero si el Vlan de Voz quiero que se enlace en los 2 Vlan. En otra palabras el Vlan de Voz que se enlace en los 2 de data pero que los de data no se enlacen.

Fernando Gonzalez Acosta dijo...

Buenas tardes:

Gracias por el aporte, en verdad me fue muy útil.
Si quisiera ahora quitar esa configuración con comandos, como le haría?
Saludos.

Fernando Gonzalez Acosta dijo...

es decir, como quito esa configuración que realicé?, Saludos.

Fernando Gonzalez Acosta dijo...

O en su defecto que comandos necesito para quitar el enrutamiento y la ip virtual de la VLAN?

De antemano muchas gracias.

AGUSTIN RODRIGUEZ FERNANDEZ dijo...

disculpe al enviar en packet tracer un sobre del pc al switch deberia dar succesfull o no ?? gracias

dan dijo...

una pregunta que es mejor usar para el enrutamiento inter vlan ,mediante VTP , un switch cap 3 , o un router , porque me he dado cuenta que al hacerlo con un switch capa 3 hay ping entre el el vtp server ,clientes y el switch capa 3 , pero al hacerlo con un router no hay ping entre el vtp server ,clientes y el router ??

has dijo...

el switch multicapa no soporta enlaces troncales

Anónimo dijo...

Buenas tardes
Tengo configurada una red lan a la cual deseo dar acceso a internet tengo un servidor dns interno en la misma. Conecté un punto que brinda internet por un interfaz fastethernet del router. he realizado una ruta por defecto para que envie todo por ese interfaz pero no puedo acceder a internet, podrias ayudarme por favor a solucionar este fallo?

Anónimo dijo...

Buenos tardes, Sr. German.
mi caso es el siguiente, tengo un catalyst 3560G, a el cual le llega un canal de dicado entre dos sedes, la sede 1 tiene una VLAN 10 con la ip 192.168.8.0 y la sede 2 tiene el segmento de red 10.11.222.0 cuando intento conectarme desde la sede 2 a la la sede 1 no me deja pasar el catalyst, que debeo hacer..

quedo muy atento a su pronta respuesta,

Saludos,

Carlos M.

Monica Moya dijo...

Saludos, tengo un switch SG-300 y me crea un conflict al hacer tranferencia de archivos, con TFTP. alguien me puede ayudar

Publicar un comentario