VLAN internet ACL sg350 (no nat)

raultorresroa · ‎11-04-2019

tengo un Switch sg350-28 sin poe y tengo en los puertos

GE1 - administracion del equipo - 192.168.100.254.

GE24 - VLAN 19 - 192.168.19.254

GE26 - VLAN 10 - 192.168.10.254 (Router con acceso a internet).

Aqui mi pregunta es: ¿Como hacerle para que toda la VLAN 19 (192.168.19.0) tenga salida a internet siendo que el router que da acceso a internet esta en otra VLAN?

Julio E. Moisa · ‎11-04-2019

Hola

Es de conocer tu escenario, ya que desconozco donde esta configurado el gateway de la VLAN 19, si esta en el switch, lo que debes haces es:

- Un punto a punto (capa 3, usa una red /30) entre el switch y el router.

- Crear una ruta por defecto en el switch apuntando como siguiente salto el router (IP del segmento /30, creado previamente)

- En el router dentro de la ACL del router incluir la red de la VLAN 19

- En el router crear una ruta para que la VLAN 19 sea conocida a traves del punto a punto tomando como siguiente salto la IP (del segmento /30) del switch.

Eso deberia de poder permitirte la navegacion para la VLAN 19 y hacer lo mismo para otras VLANs.

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

raultorresroa · ‎11-04-2019

this is my config file.

I need that my VLAN19 have internet access.

the internet access it is on the VLAN10

Julio E. Moisa · ‎11-04-2019

Hola

debes rediseñar tu red, que tipo de router utilizas?

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

raultorresroa · ‎11-04-2019

Ok, en el puerto 26 (GE26) esta conectado mi router ( modem de telmex ) con dirección de gateway 192.168.10.254 el cual tiene en mi switch (sg350) la direccion ip 192.168.10.253 con VLAN 10

En mi puerto 24 (GE24) esta conectada mi computadora con dirección 192.168.19.101 cuyo gateway es 192.168.19.254 y su VLAN es la 19.

Necesito que mi comoutadora tenga internet

Julio E. Moisa · ‎11-04-2019

Hola

A menos que tengas administracion del router (Telmex) podras hacer NAT para la vlan 19, de lo contrario debes colocar un dispositivo capa 3 (router, firewall) que permita hacer NAT, entre el router Telmex y el Switch, y en ese router hacer un NAT para permitir que tus redes tengan internet.

Router Telmex -------- Router (nat) ------- SG350.

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

raultorresroa · ‎11-04-2019

El switch se puede poner en cualquier puerto como capa 3

Julio E. Moisa · ‎11-04-2019

Si, solo debes ejecutar el comando: no switchport, bajo el puerto. Por defecto los SG350 ya traen habilitado el ip routing.

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

raultorresroa · ‎11-05-2019

En que puerto??? Donde llega el internet??? O donde está la VLAN???

luis_cordova · ‎11-05-2019

Hola @raultorresroa

el comando no switchport se ingresa en la configuracion del puerto del switch, en este caso, el puerto del switch que conecta con el router.

Ese comando deshabilita las funciones de capa 2 del puerto y lo deja como "puerto enrutado", similar a un puerto de router.

Saludos

Julio E. Moisa · ‎11-05-2019

Bajo el puerto fisico donde se conecta el router, pero ojo, en tu esquema actual el segmento de red de la vlan 10 lo esta brindando el router Telmex, por eso es mejor colocar un router entre el router de telmex y el switch. Y esa red que te brinda Telmex utilizar en el otro router para hacer NAT.

ROUTER TELMEX

Brinda el segmento 192.168.10.0/24

ROUTER INTERMEDIARIO

interface g0/0

description TO-ROUTER-TELMEX

ip nat outside

ip address 192.168.10.254 255.255.255.0 <---- usas una IP del segmento del router Telmex

no shut

interface g0/1

description TO-SWITCH

no shut

interface g0/0.19

encapsulation dot1q 19

ip address 192.168.19.254 255.255.255.0 <----- el gateway de tu VLAN 19

ip nat inside

no shutdown

ip route 0.0.0.0 0.0.0.0 192.168.10.1 name INTERNET

ip access-list standard MI-RED-INTERNA

permit 192.168.19.0 0.0.0.255

ip nat inside souce list MI-RED-INTERNA interface g0/0 overload

*** Dentro de la ACL puedes incluir otras redes a las cuales quieras permitir acceso a Internet **

SWITCH

vlan 19

interface g1/26

switchport mode trunk

no shutdown

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

luis_cordova · ‎11-04-2019

Hola @raultorresroa

Suponiendo que tu switch tiene esto:

interface vlan 19

ip address 192.168.19.254 255.255.255.0

interface vlan 10

ip address 192.168.10.254 255.255.255.0

Entonces

Switch

ip routing

ip route 0.0.0.0 0.0.0.0 <ip del siguiente salto (subinterface .10 del router)>

GE26 <- dejar en modo troncal

Hablitar un protocolo de enrutamiento y declarar las redes conectadas

Router

Incluir en los parámetros del NAT la red de la vlan 19

Habilitar un protocolo de enrutamiento (esto es para que el router tenga una ruta hacia la red de la vlan 19). Si habilitas un protocolo, entonces puedes propagar la ruta por defecto del router, haciendo innecesaria la ruta por defecto configurada en el switch.

Suponiendo que la interface del router que conecta con el switch es la g0/0

interface g0/0

no shutdown

inetrface g0/0.10

encapsulation dot1q 10

ip address <ip de la vlan 10> 255.255.255.0

Saludos