Enrutamiento entre VLAN y Switch capa 3

ignaciobajo · ‎12-14-2011

Hola me gustaria configurar lo siguiente en un CIsco Catalyst Capa 3 SG300

COnfigurar 3 VLAN 10, 20 y 30

Deseo que los equipos entre las VLAN 10 y 30 se vean, tambien entre la 20 y 30, pero no entre la 10 y la 20. No encuentro la forma sin utilizar un equipamiento adiconal, opcion que no considero

Dispondria de

PC01 conectado al puerto f0/1
PC02 conectado al puerto f0/2
PC03 conectado al puerto f0/3

Asignaria puertos a la vlan necesarias

switch(config)# int f0/1
switch#(config-if)#switchport access vlan 10

switch(config)# int f0/2
switch#(config-if)#switchport access vlan 20

switch(config)# int f0/3
switch#(config-if)#switchport access vlan 30

Creo las interfaces de vlan

switch(config)# int vlan 10
switch#(config-if)# ip address 192.168.1.1 255.255.255.0
switch#(config-if)# no shutdown

switch(config)# int vlan 20
switch#(config-if)# ip address 192.168.2.1 255.255.255.0
switch#(config-if)# no shutdown

switch(config)# int vlan 30
switch#(config-if)# ip address 192.168.3.1 255.255.255.0
switch#(config-if)# no shutdown

Con esto haria ping desde los PC entre las distintas VLAN, obviemente tengo deasctivado el firewall en los PC.

Ahora bien, como hago para que no se vean los PC entre la VLAN 10 y 20?

Muchas gracais
..

zalonso1975 · ‎12-14-2011

Estimado Sr Bajo

Ud podria utilizar Acl o private vlan.

saludos

Gerardo Urrusti · ‎12-15-2011

Hola Ignacio,

Como menciona Miguel puedes solucionar este problema con private vlans, te anexo un link donde puedes encontrar la forma en la que se diseña esta solución, los comandos de configuración y notas para hacer troubleshooting.

http://www.cisco.com/en/US/tech/tk389/tk814/tk840/tsd_technology_support_sub-protocol_home.html

Espero te sea útil.

Saludos,

Gerardo

ignaciobajo · ‎12-16-2011

Hola Gerardo, es algo que valoro pero por lo que entiendo, una VLAN privada es que una VLAN primaria se divide en varias VLAN privadas, cada VLAN provada esta conectada en excluiva a un puerto del switch, y las VLAN privadas no se pueden ver entre ellas, pero si pueden ver a las otras VLAN sila VLAN primaria esta habilitda para ello.

Exactamente no es lo que quiero ya que los equipos dentro de las VLAN 10 y VLAN 20 si deberia verse entre si.

Igual es que no tengo claro como funciona la VLAN Privada.

Muchas gracias

Mario Munoz · ‎12-19-2011

Hola Ignacio,

Como ya se había comentado esto se puede resolver aplicando ACLs, las cuales se aplicarían en las SVI’s de la VLAN 10 y VLAN 20 en dirección de entrada, muestro un ejemplo a continuación:

Primero creamos las 2 ACLs, una para cada interfaz:

SW(config)#access-list 110 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

SW(config)#access-list 110 permit ip any any

SW(config)#access-list 120 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

SW(config)#access-list 120 permit ip any any

Luego aplicamos los filtros en la SVI correspondiente:

SW(config)#int vlan 10

SW(config-if)#ip access-group 110 in

SW(config)#int vlan 20

SW(config-if)#ip access-group 120 in

Listo, con esto quedara completo el filtro entre las redes 192.168.1.0 (VLAN 10) y la 192.168.2.0 (VLAN 20).

Saludos

fullinux · ‎01-19-2012

Estimado,

Creo que aplicar VLAN ACL o VLAN access map es mejor., de esa forma controlas el trafico I/O desde las VLAN según tus necesidades y en un mismo equipo.

Saludos

Benjamín

anrodriguezco · ‎08-09-2018

Gracias Mario tenía un caso parecido y me funcionó aunque aplique la acl así:

access-list 112 deny ip 10.163.12.0 0.0.0.255 10.163.0.0 0.0.3.255
access-list 112 permit ip any any

y a la apliqué a la VLAN 112 GUEST

ip access-group 112 in

de esta manera en la vlan guest no veo la red desde la ip 10.163.0.0 hasta la ip 10.163.3.255 que era lo que necesitaba.

Muchisimas gracias!!