Solucionado: SG500 en modo router, un gateway y diferentes VLANs

John Martin · ‎06-13-2019

Buenas,

Tengo una duda y no la pillo.

Tengo una sg50o en modo router ( Layer 3 ) y por lo que entiendo, tiene las funciones de un router ademas de la funcion pricipal de switch.

Aqui teneis la configuracion del sg500.

CLI v1.0
set system mode router queues-mode 4 

vlan database
vlan 30,40,50,70,80,100
exit
ip dhcp server

ip dhcp pool network DHCP_LAN70
address low 192.168.70.20 high 192.168.70.240 255.255.255.0
default-router 192.168.70.254
dns-server 192.168.70.254
exit

ip dhcp pool network DHCP_LAN80
address low 192.168.80.20 high 192.168.80.240 255.255.255.0
default-router 192.168.80.254
dns-server 192.168.80.254
exit

bonjour interface range vlan 1
ip ssh server

snmp-server server
snmp-server engineID local 80000009030c68039d9037
snmp-server community public rw view Default          
clock timezone " " +2

ip name-server  192.168.1.1
ip domain timeout 2
ip domain retry 1
ip telnet server
!
interface vlan 1
 ip address 192.168.1.254 255.255.255.0
 no ip address dhcp
!
interface vlan 30
 name Control
 ip address 192.168.30.254 255.255.255.0
!
interface vlan 40
 name Camaras
 ip address 192.168.40.254 255.255.255.0
!
interface vlan 50
 name Datos                                           
 ip address 192.168.50.254 255.255.255.0
!
interface vlan 70
 name LAN70
 ip address 192.168.70.254 255.255.255.0
!
interface vlan 80
 name LAN80
 ip address 192.168.80.254 255.255.255.0
!
interface vlan 100
 name Cisco-Voice
!

ip default-gateway 192.168.1.10

Aqui van mis dudas....

1.- Si esta en modo router, es necesario el comando "ip default-gateway 192.168.1.10". la direccion IP 192.168.1.10 es nuestra salida para navegar por internet.

2.- tengo dos VLANs, la 70 y 80, las cuales tienen un DHCP. Quiero que estas dos VLANs salgan a internet pero no lo consigo. Por definicion, la VLAN1 no ve la VLAN70, pero entiendo que el switch al estar en modo router, si no resuelve internamente, este peticion deberia salir por el default gateway, ¿¿es asi???

3.- Aun estando configurado el switch en modo router, es necesario definirle la ruta a la VLAN70 para que salga a internet???

Por ejemplo

ip route 192.168.70.0 255.255.255.0 192.168.1.10

¿ esto seria correcto ? Si añado esto a la configuracion, podria navegar por internet desde la VLAN70 ???

Un saludo y gracias de ante mano.

Julio E. Moisa · ‎06-13-2019

Buenos dias,

Un gusto saludarte y a continuacion, las respuestas a tus consultas:

1.- Si esta en modo router, es necesario el comando "ip default-gateway 192.168.1.10". la direccion IP 192.168.1.10 es nuestra salida para navegar por internet.

El comando ip default-gateway, es utilizado para poder llegar a administrar los switches de manera remota, de esta manera permite comunicación con diferentes segmentos de red desde la perspectiva del switch (no de las VLANs de usuarios). este comando debe contener una direccion IP del mismo segmento de red de la vlan de administracion del switch, no es utilizada para brindar Internet a ninguna VLAN de usuarios. El comando puede coexistir aunque el switch este siendo utilizado bajo funciones de capa 3.

2.- tengo dos VLANs, la 70 y 80, las cuales tienen un DHCP. Quiero que estas dos VLANs salgan a internet pero no lo consigo. Por definicion, la VLAN1 no ve la VLAN70, pero entiendo que el switch al estar en modo router, si no resuelve internamente, este peticion deberia salir por el default gateway, ¿¿es asi???

No. La configuracion del switch es totalmente ajeno al servicio de Internet, para brindar acceso a Internet tu debes tener un firewall o un router (en algunos casos un switch multicapa robusto: Catalyst 6500, 6800 o 9K) para configurar un NAT, donde se traduciran los segmentos de las redes LAN a una o varias direcciones publicas.

3.- Aun estando configurado el switch en modo router, es necesario definirle la ruta a la VLAN70 para que salga a internet???

Por ejemplo

ip route 192.168.70.0 255.255.255.0 192.168.1.10

¿ esto seria correcto ? Si añado esto a la configuracion, podria navegar por internet desde la VLAN70 ???

No. Como en la pregunta anterior, el switch no puede brindar acceso a Internet, el acceso a Internet se controla a traves de un router, firewall o switch multi capa robusto. Donde en ese dispositivo se configura una NAT (incluyendo el tipo conocido como PAT), donde en una lista de acceso incluyes los segmentos de red que tendran acceso a Internet, adicional a eso debes tener configurado rutas por defecto apuntando al siguiente salto que seria tu proveedor de servicios. Adicional configurar direcciones de DNS en tus computadoras.

Con relacion a la consulta si el switch funciona como router, la definicion mas precisa, es que el tipo de switch permite capacidade de enrutamiento, esto permite que las VLANs puedan comunicarse entre sin necesidad de otro equipo capa 3, estos modelos por defecto traen esa capacidad, en otros tipos de switches, se habilita a traves del comando: ip routing. Adicional, este switch no tiene capacidades para ejecutar NAT.

Espero esto sea de ayuda.

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Ver la solución en mensaje original publicado

Julio E. Moisa · ‎06-13-2019

Buenos dias,

Un gusto saludarte y a continuacion, las respuestas a tus consultas:

1.- Si esta en modo router, es necesario el comando "ip default-gateway 192.168.1.10". la direccion IP 192.168.1.10 es nuestra salida para navegar por internet.

El comando ip default-gateway, es utilizado para poder llegar a administrar los switches de manera remota, de esta manera permite comunicación con diferentes segmentos de red desde la perspectiva del switch (no de las VLANs de usuarios). este comando debe contener una direccion IP del mismo segmento de red de la vlan de administracion del switch, no es utilizada para brindar Internet a ninguna VLAN de usuarios. El comando puede coexistir aunque el switch este siendo utilizado bajo funciones de capa 3.

2.- tengo dos VLANs, la 70 y 80, las cuales tienen un DHCP. Quiero que estas dos VLANs salgan a internet pero no lo consigo. Por definicion, la VLAN1 no ve la VLAN70, pero entiendo que el switch al estar en modo router, si no resuelve internamente, este peticion deberia salir por el default gateway, ¿¿es asi???

No. La configuracion del switch es totalmente ajeno al servicio de Internet, para brindar acceso a Internet tu debes tener un firewall o un router (en algunos casos un switch multicapa robusto: Catalyst 6500, 6800 o 9K) para configurar un NAT, donde se traduciran los segmentos de las redes LAN a una o varias direcciones publicas.

3.- Aun estando configurado el switch en modo router, es necesario definirle la ruta a la VLAN70 para que salga a internet???

Por ejemplo

ip route 192.168.70.0 255.255.255.0 192.168.1.10

¿ esto seria correcto ? Si añado esto a la configuracion, podria navegar por internet desde la VLAN70 ???

No. Como en la pregunta anterior, el switch no puede brindar acceso a Internet, el acceso a Internet se controla a traves de un router, firewall o switch multi capa robusto. Donde en ese dispositivo se configura una NAT (incluyendo el tipo conocido como PAT), donde en una lista de acceso incluyes los segmentos de red que tendran acceso a Internet, adicional a eso debes tener configurado rutas por defecto apuntando al siguiente salto que seria tu proveedor de servicios. Adicional configurar direcciones de DNS en tus computadoras.

Con relacion a la consulta si el switch funciona como router, la definicion mas precisa, es que el tipo de switch permite capacidade de enrutamiento, esto permite que las VLANs puedan comunicarse entre sin necesidad de otro equipo capa 3, estos modelos por defecto traen esa capacidad, en otros tipos de switches, se habilita a traves del comando: ip routing. Adicional, este switch no tiene capacidades para ejecutar NAT.

Espero esto sea de ayuda.

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

John Martin · ‎06-13-2019

No se como agradecertelo pero muchas gracias por tu ayuda.

Ahora ya me ha quedado claro el tema.

Muchisimas gracias.

John Martin · ‎06-13-2019

Buenas otra vez,

Que router robusto me puedes aconsejar para colocar y gestionar mi problema??

Un saludo.

luis_cordova · ‎06-13-2019

Hola @John Martin ,

Los router y los firewall vienen con la función NAT, necesaria para poder salir a internet.

En el caso de los switch L3, solo algunos tienen esta función.

En su respuesta a tu consulta 2, @Julio E. Moisa te menciona algunos modelos de switch L3 robustos.

Saludos

Julio E. Moisa · ‎06-13-2019

Siempre un gusto poder apoyarte :-)

Con relacion a la consulta sobre un switch robusto, aqui depende mucho de tu infraestructura, el tipo de trafico que haras fluir a traves del equipo y de costo. Por lo general son equipos muy muy buenos con muchas capacidades y asi su precio. Por lo general son modulares, te recomiendo ver los modelos: Catalyst 9400, 9500, 9600 y 9800.

No conozco tu infraestructura pero podrias utilizar en lugar de un switch robusto, un router, puede ser cualquier router, un SMB o uno de la serie ISR. o un Firewall 5506-X.

En los routers y firewalls revisa el tipo de licenciamiento que necesites.

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

luis_cordova · ‎06-13-2019

Hola @John Martin ,

Solo quiero añadir algunas cosas a la excelente respuesta de @Julio E. Moisa :

1.- Si esta en modo router, es necesario el comando "ip default-gateway 192.168.1.10".

R: Todo equipo que quiera comunicarse fuera de su red necesita 3 parámetros:

-Direccion IP

-Máscara de red

-Gateway

En un switch L2, los dos primeros parámetros los ingresas en la configuración de la interfaz vlan de administración(interface vlan 1, por ejemplo).

El gateway lo configuras mediante el comando que mencionas(ip default-gateway).

Ese comando solo tiene esa función.

En un switch que tiene habilitada la función de L3, este comando, en mi opinión, deja de tener funcionalidad, pues el switch deja de necesitar un gateway, al ser el mismo gateway de las vlan conectadas a el.

2.- entiendo que el switch al estar en modo router, si no resuelve internamente, este peticion deberia salir por el default gateway, ¿¿es asi???

R: No, pues, para que el switch L3 busque redes que no pueda resolver necesitará una ruta por defecto:

ip route 0.0.0.0 0.0.0.0 192.168.1.10 <— donde 192.168.1.10 es la ip del equipo que te da la salida a internet (router, firewall).

Saludos

John Martin · ‎06-13-2019

Buenas,

Gracias otra vez.
Tengo 8 equipos SG500 en stack nativo por fibra.
Esta en Layer 3.

Creo que me conviene un RV320. Los dos puertos WAN me vendran muy bien, ya que en un futuro se quiero meter una segunda linea de fibra.

Gracias a todos otra vez.

Julio E. Moisa · ‎06-13-2019

Hola John,

Perfecto, si ese modelo SMB te puede funcionar bien, considera el trafico que estaras pasando a traves, la cantidad de usuario, para elegir el router mas adecuado.

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

John Martin · ‎06-14-2019

Buenas,

Julio, no se como decirtelo pero eres la primera persona que gasta unos minutos de su tiempo para darme una respuesta en condiciones.

Muchas gracias por tu ayuda.

Julio E. Moisa · ‎06-14-2019

Muchas gracias John,

Cualquier consulta adicional, me mantengo a tus ordenes.

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<