Segmentar Red local

jcarlinsantos · ‎12-17-2019

Hola. Actualmente tengo una red lan formada por un router cisco 890 para el acceso a Internet y a otras sedes, conectado
a un Switch cisco SG550 central, al cual estan conectados otros switchs de la misma serie para la distribución de la red. Toda la red esta montada en la Vlan 20, con lo que todos los ordenadores tienen acceso a todo. El caso es que quisiera dividir la red en varias Vlan por departamentos, pero conservando la Vlan 20 para los servidores y para el acceso a internet. Al mismo tiempo necesito que los servidores estén accesible desde todas la Vlanes. ¿Alguien me podría ayudar? . Gracias.

luis_cordova · ‎12-17-2019

Hola @jcarlinsantos

En pocas palabras:

En el switch

Crea las vlan que necesites agregar y asigna los puertos a la vlan que corresponda.

Configura el puerto del switch que conecta al router ne modo troncal.

En el router

Configura las SVI que correspondan a las vlan que creaste en el switch y asignarles una IP que pertenezca a una red distinta(cada SVI debe pertenecer a una red distinta).

La IP que asignes a cada SVI será el gateway de las vlan.

Incluye en las configuraciones de NAT las redes que desees que salgan a internet.

Saludos

Julio E. Moisa · ‎12-18-2019

Hola

Existen 2 formas de hacerlo:

1 - Utilizando un esquema de router in a stick (ROAS), para habilitar intervlan routing en el router. http://www.firewall.cx/cisco-technical-knowledgebase/cisco-routers/336-cisco-router-8021q-router-stick.html

En este esquema el default gateway de las nuevas redes estaria configurado en el router.

2- Intervlan routing en el switch. Como el switgh SG500 es multicapa, puedes crear las Interface Vlans (SVI) en el switch para Intervlan y habilitar enrutamiento entre el router y el switch para permitir conexion hacia internet a traves del NAT. Con este esquema le puedes quitar carga de trabajo al router.

En este esquema el default gateway de las nuevas redes estara configurado en el switch.

En cualquiera de los 2 esquemas debes incluir los segmentos de las nuevas VLANs en la lista de acceso relacionada al NAT para permitir acceso a Internet.

Yo creeria que tu actual esquema es el primero, para agregar mas VLANs debes hacer modificaciones en el, deberias crear algo similar:

ROUTER

vlan 20

name SERVIDORES

vlan 30

name HHRR

vlan 40

name Gerencia

interface Vlan 20
description SERVIDORES
ip address 192.168.20.1 255.255.255.0
no shutdown

interface Vlan 30
description HHRR
ip address 192.168.30.1 255.255.255.0
no shutdown

interface Vlan 40
description GERENCIA
ip address 192.168.40.1 255.255.255.0
no shutdown

interface FastEthernet0
switchport mode trunk
switchport trunk encapsulation dot1q
switchport trunk allowed all

Luego en la lista de acceso del NAT incluir los nuevos segmentos de las redes, configurar el puerto que conecta al router desde el switch en modo trunk igual como:

int g24

switchport mode trunk.

Y por ultimo crear las vlans 30 y 40 en el switch:

vlan 30

name HHRR

vlan 40

name GERENCIA.

Espero esto conteste tu pregunta.

Saludos.

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

jcarlinsantos · ‎12-18-2019

Gracias por tu respuesta. El routing preferiría hacerlo en el switch por ser mas rápido que el router. Como el router es de telefónica, no puedo tocarlo. ¿que tendría que pedirles que configuraran?. ¿Se podría hacer utilizando vlanes privadas?.
Gracias anticipadas.

Julio E. Moisa · ‎12-18-2019

Hola

Entonces en tu switch debes crear tus VLANs con los gateways de todas las redes, en el router de telefonica unicamente indicarles las redes que deben salir a Internet y en el switch crear una ruta por defecto 0.0.0.0/0 apuntando al router.

VLANs privadas es otro termino y tiene su complejidad, es mas que todo utilizado para aislar hosts, por ejemplo no quieres que un hosts de un segmento de red especifico no sea alcanzado por otro host que se encuentra en ese mismo segmento de red.

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

jcarlinsantos · ‎12-19-2019

Muchas gracias Julio.
entiendo lo siguiente:
En los switchs de distribucion configuro las vlan:

vlan 20
interface vlan 20
name datos
no shutdown
exit

vlan 200
interface vlan 200
name servidores
no shutdown
exit

vlan 201
interface vlan 201
name servidores
no shutdown
exit
...
.Esto en todos los switch a los que están conectados los Pcs

A continuación asigno los puertos de cada switch a su vlan correspondiente en modo access.
Configuro los puertos de enlace entre switch de modo trunk en todas las vlan.

En el switch al que están conectados los demas switch y el router hago la siguiente configuración:

vlan 20
interface vlan 20
name datos
ip address 172.16.20.254
no shutdown
exit

vlan 200
interface vlan 200
name servidores
ip address 172.16.200.254
no shutdown
exit

vlan 201
interface vlan 201
name servidores
ip address 172.16.201.254
no shutdown
exit
.....

Actualmente en los puestos tengo configurada la puerta de enlace 172.16.0.254, que es la dirección del router. Entiendo que ahora tengo que cambiar la puerta por la ip de cada vlan configurada en el swich.

Me falta saber como configurar en el switch para que esas ip me den salida a internet, lo que tu me marcas como "crear una ruta por defecto 0.0.0.0/0 apuntando al router. "

Un saludo.

Hilda Arteaga · ‎12-18-2019

Hola @Julio E. Moisa y @luis_cordova gracias por su asistencia para resolver la duda de @jcarlinsantos