Ask Me Anythig- InterVLAN Routing

Cisco Moderador · ‎01-20-2020

-Este tipo de evento era formalmente conocido como Pregunte al Experto-

En este evento el Cisco Designated VIP Luis Cordova contestará todas sus dudas acerca de las mejores prácticas en InterVLAN routing.

El enrutamiento InterVLAN puede ser definido como una forma de reenviar tráfico entre diferentes VLANs mediante la implementación de un enrutador en la red. Las VLANs logran separar lógicamente las redes que se encuentran conectadas físicamente. El InterVLAN Routing permite que estas redes, separadas lógicamente, puedan tener conectividad.

Haga sus preguntas del 20 de Enero al 7 de Febrero del 2020.

Detalles del Especialista

Luis Cordova trabaja como jefe de proyectos en la sección empresarial de Claro Chile. También es instructor para los cursos de CCNA y Contacto Principal de un Cisco Academy Support Center. Luis es egresado del Instituto Profesional CIISA y actualmente cursa la ingeniería en ciberseguridad. Cuenta con la certificación de CCNA R&S. Luis es un contribuidor activo de la comunidad desde el 2018, ha sido nombrado Cisco Designated VIP en el 2020.

Visite nuestra categoría de Routing y Switching para más información del tema.

** ¡Los puntos de utilidad fomentan la participación! **
Por favor asegúrese de dar uno a las respuestas a sus preguntas.

Daniel Ordóñez Flores · ‎01-20-2020

Hola Luis.

Muchas gracias por participar en este envento, mi dudas son las siguientes:

Que diferencia hay entre realizar el intervlan routring en un router y un switch?
Si configuro el intervlan en un router, todos los segmentos se alcanzan entre ellos , pasa lo mismo si lo hago de una switch?
Si en mi deseño de red tengo un segmento de administración y un segmento de equipos "delicados" cómo puedo hacer para que el resto de segmentos de red no lleguen a el de los equipos delicados.
En un escenario dónde tengo intervlan-routing pero deseo que un segmento de red tenga una salida a internet diferente al resto, que opciones podría ejecutar.
Al tener un routing on a stick, es necesario encapsular cada sub-interfaz,? Qué pasa si lo encapsulo con número diferente a la VLAN que tengo en mis Switches.

Muchas Gracias por tu tiempo y tus respuestas.

Espero que la información haya sido útil y si no tienes más preguntas recuerda cerrar el topic, seleccionando la respuesta como "Respuesta correcta"
**Please rate the answer if this information was useful***
**Por favor si la información fue util marca esta respuesta como correcta**

luis_cordova · ‎01-20-2020

Hola @Daniel Ordóñez Flores

Qué gusto leerte :)

Trataré de responder de forma directa e ir complementando las respuestas al darles una segunda vuelta.

1- El trabajo principal de un router es, valga la redundancia, enrutar los paquetes que lleguen a el, por lo que el enrutamiento entre redes(vlan) configuradas en las subinterfaces es algo que el router hace por defecto.

El trabajo de un switch es conmutar las tramas que lleguen a el, por lo que el enrutamiento no es algo que haga por defecto, debiendo habilitarse el ruteo entre vlan en los switch con esa capacidad(switch multilayer).

2- No, pues, como comenté en la respuesta anterior, el ruteo no es algo que el switch haga por defecto.

3- En mi caso filtraría los destinos mediante ACL, denegando el acceso a los segmentos delicados desde las redes(vlan) menos protegidas.

Estas ACL pueden ser aplicadas en las subinterfaces de un router o en las SVI de un switch multilayer.
4- Si deseas que solo un segmento tenga salida a internet, entonces podrías incluir solo ese segmento en la ACL que asocias al NAT.

Si deseas que un segmento salga hacia un ISP y otro segmento salga por otro ISP, entonces mi recomendación sería usar PBR para señalar dichos segmentos e indicarles sus destinos.

5- El router por defecto no etiqueta los paquetes, por lo que es necesario indicarle manualmente al router el número de vlan(tag) al que está destinado ese paquete, así, cuando ese paquete llegue al switch, este sabrá a qué dominio debe propagar dicho paquete.

Saludos

Diana Karolina Rojas · ‎01-20-2020

Hola Luis buenas noches,

Mi duda sería: haciendo el intervlan routing teniendo un router on-a-stick ¿porque la encapsulación 802.1q es recomendable sobre ISL? ¿cual es la ventaja y la diferencia (más allá de que una sea estándar y la otra no)?

Saludos y gracias,

luis_cordova · ‎01-20-2020

Hola @Diana Karolina Rojas

Qué excelente pregunta.

Es curioso que Cisco recomiende el uso del estándar 802.1q sobre ISL, siendo que ISL es un protocolo propietario de ellos.

Bueno, además de permitir la interoperabilidad de diferentes marcas, el estándar 802.1q tiene ventajas que permiten una mejor optimización de la red.

Por ejemplo, tenemos la diferencia entre los encabezados, pues ISL agrega un encabezado de 26 bytes y un FCS extra de 4 bytes a la trama, mientras que 802.1q inserta solo 4 bytes a la trama, haciendo un recálculo del FCS ya existente.

Tenemos también el detalle de las vlan permitidas, ya que ISL solo permite unas 1000 vlans, en contra de las 4026 que permite el estándar 802.1q.

El detalle del FCS extra es importante porque una trama corrupta con un FCS extra válido, solo será detectada cuando se desencapsule los campos añadidos por ISL, pudiendo aumentar el tráfico en una red.

Hay otras ventajas, como el tema de las vlan nativas y el poder configurar Q-in-Q, pero, creo que la respuesta ya está larga :)

Saludos

Julio E. Moisa · ‎01-21-2020

Hola Luis,

Como estas?

Mis consultas son:

- Que recomendaciones darias a las personas que estan iniciando a conocer el termino Intervlan y que buenas practicas sugieres.

- La otra consulta: Donde recomiendas hacer intervlan routing cuando tienes un esquema de red empresarial pequena, donde existe un router y un switch capa 3 y porque? Muchas personas podrian utilizar el router o el switch como Core, que sugieres?

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

luis_cordova · ‎01-21-2020

Hola @Julio E. Moisa

Que recomendaciones darías a las personas que están iniciando a conocer el termino Intervlan y que buenas practicas sugieres.

Siempre les indico a mis estudiantes que, cuando lleguen a un nueva red, se den el tiempo de conocerla y entenderla.

Creo que más importante que entender el funcionamiento del InterVlan, es entender lo que se quiere lograr en la red.

Teniendo eso claro, el Interval solo será una herramienta para lograr el objetivo.

Por ejemplo, tener claridad de las vlan que se ocupan en la red, la funcionalidad de cada una y los sectores que se desea comunicar.

También se podrían realizar pruebas previas a la implementación, llevando un control de los procesos ejecutados, por si se debe hacer una vuelta a atrás.

Donde recomiendas hacer intervlan routing cuando tienes un esquema de red empresarial pequeña, donde existe un router y un switch capa 3 y porque?

Muchas personas podrían utilizar el router o el switch como Core, que sugieres?

MI sugerencia sería realizar el ruteo entre vlan lo mas próximo a los dispositivos finales, achicando el tamaño de los dominios de broadcast.

Con ello se logra evitar que los paquetes se propaguen por enlaces de la red donde no son necesarios y aplicar los filtros necesarios lo antes posible, añadiendo seguridad a la red.

Saludos

JorgeRiveros98819 · ‎01-21-2020

Hola Luis

Deseo actualizar el firmware de un router Linksys WRT54G que está con la versión 1.0009. Me ayudarías en cómo proceder?

Gracias

luis_cordova · ‎01-21-2020

Hola @JorgeRiveros98819

¿Has intentado actualizar siguiendo las indicaciones del fabricante?

Te dejo estos links:

https://www.linksys.com/us/support-article?articleNum=148648

https://www.linksys.com/us/support-article/?articleNum=132961

Espero que te sean de utilidad.

Saludos

JorgeRiveros98819 · ‎01-22-2020

Si Luis, estoy al tanto del procedimiento que me idicas, el problema es que por alguna razón no puedo acceder a la interfaz de Router bajo la dirección 192.168.1.1 ni cualquier otra combinación, dado que éste no genera IP y la laptop no lo puede ver, a pesar de que los led de conexión de los puertos LAN tanto del router como de la laptop están encendidos, y el led de power titilando ininterrumpidamente.

¡Habrá algo que pueda hacer para acceder a la interfaz de router?

Muchas gracias por tu atención.

Saludos

luis_cordova · ‎01-22-2020

Hola @JorgeRiveros98819

Si el router no te da direcciones, te sugiero ejecutar un factory reset, pues te será imposible actualizar el firmware sin acceso a la interfaz grafica del router.

Saludos

Hernan Garzon · ‎01-30-2020

Cordial saludo.

Me gustaria saber que aspectos debo tener en cuenta con respecto al diseño e implementacion intervlan IPv6

Saludos.

luis_cordova · ‎01-30-2020

Hola @Hernan Garzon

Más allá de los aspectos básicos de IPv6, como asegurarte que los dispositivos sean compatibles con IPv6 y habilitar el ruteo IPv6 en el router o switch L3, la metodología es la misma que con IPv4.

Esto es debido a que las VLAN trabajan en capa 2 y no les afecta el protocolo de capa 3 que se esté ejecutando.

En el dispositivo que va rutear, debe permitirse el ruteo con IPv6 y el intervlan routing hará su trabajo.

Hace poco vi un vídeo de Lacnic muy explicativo sobre este tema.

Te lo comparto:

https://youtu.be/1tY8yk-stlc

Saludos

fsalvador1 · ‎02-04-2020

Tengo un Switch SG550X y tengo configuradas 5 vlans, configure servicio de DHCP para cada Vlan, pero no encuentro como hacer NAT y dar salida a internet a las Vlans, existe alguna herramiente que me permita hacer el NAT?

luis_cordova · ‎02-04-2020

Hola @fsalvador1

Con ese dispositivo no podrás realizar NAT.

Vas a necesitar un router o firewall para realizar el nateo.

En el switch puedes configurar una ruta por defecto hacia el router.

En el router configuras NAT, incluyendo las redes que deseas que tengan salida a internet y te aseguras que el router tenga una ruta hacia las redes internas, ya sea mediante rutas estáticas o mediante un protocolo de ruteo.

Saludos