16 de mayo de 2009

Configurando un switch multilayer

Hace unas semanas revisamos la configuración básica de un switch LAN capa 2, un Catalyst 2960. Dado que surgieron algunas consultas referidas a la configuración de switches multilayer o switches capa 3, vamos ahora a ver los aspectos básicos de la configuración de este tipo de dispositivos.
Para esto, una vez más, tomaremos como base una topología simple que nos servirá de ejemplo:
En nuestro ejemplo:
  • Se han configurado w VLANs (VLAN 2 y 3) en un switch capa 2 (Catalyst 2960).
  • Cada VLAN ha sido mapeada a una subred diferente: VLAN 2 a la 172.16.2.0/24, VLAN 3 a la 172.16.3.0/24.
  • Nuestro switch capa 2 se conecta al switch multicapa utilizando un enlace troncal IEEE 802.1Q a través del cual se transportan todas las VLANs.
  • El switch multilayer, a su vez, está conectado el router de borde utilizando un enlace capa 3 que corresponde a la subred 172.16.1.0/24.
Veamos ahora los aspectos específicamente referidos a capa 3 en el switch Catalyst 3560. He insertado en forma de comentario resaltado en rojo diferentes notas respecto de esta configuración:

version 12.2
!
! Activa el enrutamiento IP
ip routing
!
! Creación y configuración de VLAN
! Esto no aparece en el archivo de configuración
vlan 2
name VENTAS
vlan 3
name ADMIN
!
!
! Configuración del enlace troncal
interface FastEthernet0/2
description puerto troncal
switchport trunk encapsulation dot1q
switchport mode trunk
!
! Definición de la interfaz capa 3
interface FastEthernet0/24
description conexion Cat3560 -- Cisco28xx
no switchport
ip address 172.16.1.10 255.255.255.0
no shutdown
!
! Creación de una SVI para la VLAN 2
interface Vlan2
description Gateway de la VLAN 2
ip address 172.16.2.1 255.255.255.0
no shutdown
!
! Creación de una SVI para la VLAN 3
interface Vlan3
description Gateway de la VLAN 3
ip address 172.16.3.1 255.255.255.0
no shutdown
!
! Configuración del protocolo de enrutamiento
no ip classless
router rip

version 2
network 172.16.0.0
!
!
end

Algunas notas:
  • Los switches capa 3 no operan por defecto en capa de red, por lo que es necesario, en primer lugar, activar el enrutamiento IP. Si no lo hace, el switch Catalist no le permitirá configurar una IP en las interfaces físicas.
  • Los puertos del switch operan por defecto como puertos de capa 2, por lo tanto es necesario deshabilitarlos para el switching de capa 2 utilizando el comando "no switchport".
  • Para genera en el switch un puerto capa 3 que será el default gateway de una VLAN es preciso crear una interfaz virtual para cada VLAN (SVI), utilizando el comando "interface vlan".
Enlaces relacionados:
¿Tenés alguna información o comentario para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta

93 comentarios:

  1. Creo que en la configuracion del puerto troncal primero va el comando:
    switchport trunk encapsulation dot1q
    y luego:
    switchport mode trunk
    No permite hacerlo al reves:
    Command rejected: An interface whose trunk encapsulation is "Auto" can not be configured to "trunk" mode.

    Saludos

    ResponderBorrar
  2. Correcto.
    También hay que tener presente que el comando encapsulation sólo es requerido en plataformas que soportan encapsulación IEEE 802.1Q e ISL. En plataformas que soportan sólo una encapsulación el comando no es requerido.

    ResponderBorrar
  3. Una pregunta, cuál es la diferencia principal entre un Router y un Switch L3? que soporta un Router que no es soportado por un Switch L3?


    Saludos

    ResponderBorrar
  4. Amigo.
    Ante todo, tanto el switch layer 3 como el router son dispositivos de capa 3, por lo que tienen la posibilidad de tomar decisiones de reenvío de paquetes en base a la información del encabezado del mismo.
    Sin embargo son dispositivos diferentes.
    El switch multilayer o layer 3, es un dispositivo cuyo hardware está constituido por circuitos ASICs y que por lo tanto tiene muy alta performance, pero menor flexibilidad en la configuración de servicios.
    Típicamente es un dispositivo concebido para operar en el entorno LAN, mientras que el router, por su flexibilidad y mayores opciones de manejo de memoria y bufferización de tráfico, es típicamente un dispositivo para administrar el acceso a la red WAN, donde las simetrías de ancho de banda son muy importantes.

    ResponderBorrar
    Respuestas
    1. hola, tienes idea si se puede hacer enrutamiento entre vlan con un catalyst 4503-E? es un swtich de capa 3

      Borrar
  5. Muchisimas Gracias....muy útil la explicación para entender la diferencia entre el Router y el Switch L3.


    Saludos

    ResponderBorrar
  6. Buenos días, tengo una duda referente al ejemplo que has expuesto. Si un pc de la VLAN 2 quiere comunicarse con un PC de la VLAN 3 entiendo que es el swtich multicapa el que se encarga de hacer el routing, pero mi duda es la siguiente: cuando recibe el SW L3 el paquete dirigido para la vlan 3, como sabé este que lo tiene q volver a enviar el puerto Trunk? tiene conocimiento de ambas redes VLAN?

    Gracias y enhorabuena por el blog

    ResponderBorrar
  7. Amigo.
    Ante todo es un switch, que opera primero por capa 2. Si la dirección MAC de destino de la trama es una MAC de la misma VLAN, entonces se reenvía la trama en función de la tabla de direcciones MAC a nivel de capa 2.
    Si el paquete está dirigido a una dirección IP de otra subred, entonces la dirección MAC de destino será la del default gateway, que en este caso es la interfaz VLAN correspondiente. En consecuencia el paquete se enruta a nivel de capa 3 hacia la subred de destino.
    Espero que a pesar de lo breve resulte claro.

    ResponderBorrar
  8. Muchas gracias por la informacion.

    Una duda...En el mismo ejemplo que das y al momento de activar el layer 3 en el switch, automaticamente esas vlan se veran entre si??..si se llegasen a ver, como se puede hacer para que no se vean pero manteniendo el layer 3??

    ResponderBorrar
  9. Cuando se activa una interfaz capa 3 de cualquier tipo (física o virtual), automáticamente Cisco IOS crea una entrada en la tabla de enrutamiento asociando la dirección de red de la dirección IP configurada a esa interfaz física como directamente conectada. En consecuencia, sin necesidad de protocolo de enrutamiento o ruta estática las directamente conectadas pueden rutearse entre sí.
    Si no se quiere rutear entre las directamente conectadas será necesario implementar algún tipo de filtrado de tráfico entre esas interfaces para limitar esta posibilidad.

    ResponderBorrar
  10. Hola, porque el pc1 de la VLAN 1, no puede comunicarse con el pc6 de una VLAN 2, es una pregunta de mi clase de redes. Agradezco su ayuda.

    ResponderBorrar
  11. Eida
    Estás referenciando una pregunta de un ejercicio que desconozco.
    Pero supongo que si ambas terminales están en diferentes VLANs, y no hay ruteo entre ambas VLANs, esa es la causa por la que no pueden comunicarse.
    Si las terminales están en diferentes VLANs, están en diferentes redes.

    ResponderBorrar
  12. Buenos dias, mi caso es el siguiente tengo un switch configurado con una vlan1 ip 10.1.0.56 y estoy tratando de configurar otra vlan2 ip 10.1.6.100 y me arroja un error de 10.1.0.0 overlaps with Vlan1 como podria usted a ayudarme a resolver este problema. no entiendo que ip debo colocar o que comando aplicar para que ambas vlan se puedan ver.

    Gracias

    ResponderBorrar
  13. Estimado William.
    Por lo que describís, el error es un error de diseño de subredes. Debés tener ambas interfaces con máscara de subred 255.255.0.0, y consecuentemente ambas IP son de la misma subred.
    VLANs diferentes (en este caso) requieren subredes diferentes. Probá utilizando una máscara 255.255.255.0 y debe aceptar esas IPs.

    ResponderBorrar
  14. Buen dia

    Quisiera Saber como configuro un switch nivel 3 para hacer una conexion entre 3 switch nivel 2 y a su vez estos poseen 3 vlans cada uno y solo quiero que se vean las vlans con el mismo id, pero aun no consigo configurarlo, se que se hace con el modo trunk pero no se los comandos...

    Agradezco su colaboración

    JD

    ResponderBorrar
  15. JD.
    Para el objetivo lo que necesitás no es un switch layer 3, sino simplemente trabajar en capa 2. De ese modo las VLANs no se comunican entre sí.
    Una referencia para esta configuración la podés encontrar en http://librosnetworking.blogspot.com/2009/04/configurando-un-switch-catalyst-2960.html

    ResponderBorrar
  16. Hola Oscar. Se puede tener vlans con diferente MAC? Me explico, tengo un cisco 871 y he configurado varias vlans pero todas tienen la misma MAC (me refiero a las interfaces virtuales), eso me crea problemas en una topologia. Es decir MAC Vlan1 = MAC Vlan10 = MAC Vlan20

    ResponderBorrar
  17. De hecho, al crear cada SVI IOS le asigna una dirección MAC diferente de un pool que tiene reservado el switch.
    Tu inconveniente es que el Cisco 871 no es un switch multilayer, sino un router con un switchport incorporado. Este switchport es un switch capa 2 con prestaciones limitadas. En consecuencia, las VLANs que estás creando sos puertos capa 2, no SVI.

    ResponderBorrar
  18. Buenos dias,
    Lo felicito por su blog.
    Tengo un problema con un 3560 al cual le cree 3 vlans y coloque un servidor dhcp en la vlan 1 (default) el problema es que los equipos en las otras vlans estan tomando direcciones ip del servidor dhcp de la vlan 1 y desde otras vlans del switch puedo hacer ping al server dhcp.

    Anexo el codigo a ver si por favor me puede ayuda, gracias.

    e-maiL . jlopez@voipsistemas.com

    Operating System Version: 12.2
    Cisco 3560G




    sh run
    Building configuration...

    Current configuration : 2231 bytes
    !
    version 12.2
    no service pad
    service timestamps debug uptime
    service timestamps log uptime
    no service password-encryption
    !
    hostname Switch
    !
    !
    no aaa new-model
    system mtu routing 1500
    ip subnet-zero
    !
    !
    !
    !
    no file verify auto
    spanning-tree mode pvst
    spanning-tree extend system-id
    !
    !
    interface GigabitEthernet0/1
    switchport access vlan 100
    !
    interface GigabitEthernet0/2
    switchport access vlan 100
    !
    interface GigabitEthernet0/3
    switchport access vlan 100
    !
    interface GigabitEthernet0/4
    switchport access vlan 100
    !
    interface GigabitEthernet0/5
    switchport access vlan 100
    !
    interface GigabitEthernet0/6
    switchport access vlan 100
    !
    interface GigabitEthernet0/7
    switchport access vlan 200
    !
    interface GigabitEthernet0/8
    switchport access vlan 200
    !
    interface GigabitEthernet0/9
    switchport access vlan 300
    !
    interface GigabitEthernet0/10
    switchport access vlan 300
    !
    interface GigabitEthernet0/11
    switchport access vlan 300
    !
    interface GigabitEthernet0/12
    switchport access vlan 300
    !
    interface GigabitEthernet0/13
    switchport access vlan 300
    !
    interface GigabitEthernet0/14
    switchport access vlan 300
    !
    interface GigabitEthernet0/15
    switchport access vlan 300
    !
    interface GigabitEthernet0/16
    switchport access vlan 300
    !
    interface GigabitEthernet0/17
    switchport access vlan 300
    !
    interface GigabitEthernet0/18
    switchport access vlan 300
    !
    interface GigabitEthernet0/19
    switchport access vlan 300
    !
    interface GigabitEthernet0/20
    switchport access vlan 300
    !
    interface GigabitEthernet0/21
    switchport access vlan 300
    !
    interface GigabitEthernet0/22
    switchport access vlan 300
    !
    interface GigabitEthernet0/23
    switchport access vlan 300
    !
    interface GigabitEthernet0/24
    switchport access vlan 300
    !
    interface GigabitEthernet0/25
    switchport access vlan 300
    !
    interface GigabitEthernet0/26
    switchport access vlan 300
    !
    interface GigabitEthernet0/27
    switchport access vlan 300
    !
    interface GigabitEthernet0/28
    switchport access vlan 300
    !
    interface Vlan1
    no ip address
    shutdown
    !
    interface Vlan100
    no ip address
    !
    interface Vlan200
    no ip address
    !
    interface Vlan300
    no ip address
    !
    ip classless
    ip http server
    !
    !
    control-plane
    !
    !
    line con 0
    line vty 5 15
    !
    end

    ResponderBorrar
  19. José
    En la configuración que pasaste no hay una definición de servicio de DHCP.
    Pero, por otra parte, hasta donde se ve este switch está trabajando como layer 2, por lo que entonces todos sus puertos están en una única subred. De ahí que asigne a todos los clientes direcciones de un único pool de direcciones IP.

    ResponderBorrar
  20. Hola,

    estoy teniendo un problema y la vd he probado varias cosas despues de leer y no he podido resolver. Tenem conectado un switch 2960 a un puerto de modem para tener conexión a internet desde los equipos de practica. Desafortunadamente, el administrador del modem me comenta que no puede entrar a la config del modem porque mi switch tiene configurado un servidor dhcp y tiene conflicto con el del modem. Le he buscado y nomas no, con el comando sh dhcp server obtengo este resultado:
    Switch#sh dhcp server
    DHCP server: ANY (255.255.255.255)
    Leases: 1
    Offers: 1 Requests: 1 Acks: 1 Naks: 0
    Declines: 0 Releases: 3 Bad: 0
    DNS0: 192.168.1.254, DNS1: 0.0.0.0
    Subnet: 255.255.255.0 DNS Domain: gateway.2wire.net



    y en el switch tengo esta configuración:


    Building configuration...

    Current configuration : 2358 bytes
    !
    version 12.2
    no service pad
    service timestamps debug uptime
    service timestamps log uptime
    no service password-encryption
    !
    hostname Switch
    !
    !
    no aaa new-model
    system mtu routing 1500
    ip subnet-zero
    !
    !
    !
    !
    no file verify auto
    !
    spanning-tree mode rapid-pvst
    spanning-tree extend system-id
    vlan internal allocation policy ascending
    !
    interface FastEthernet0/1
    switchport mode access
    spanning-tree portfast
    !
    interface FastEthernet0/2
    switchport mode access
    spanning-tree portfast
    !
    interface FastEthernet0/3
    switchport mode access
    spanning-tree portfast
    !
    interface FastEthernet0/4
    switchport mode access
    spanning-tree portfast
    !
    interface FastEthernet0/5
    switchport mode access
    spanning-tree portfast
    !
    interface FastEthernet0/6
    switchport mode access
    spanning-tree portfast
    !
    interface FastEthernet0/7
    switchport mode access
    spanning-tree portfast
    !
    interface FastEthernet0/8
    switchport mode access
    spanning-tree portfast
    !
    interface FastEthernet0/9
    switchport mode access
    spanning-tree portfast
    !
    interface FastEthernet0/10
    switchport mode access
    spanning-tree portfast
    !
    interface FastEthernet0/11
    switchport mode access
    spanning-tree portfast
    !
    interface FastEthernet0/12
    switchport mode access
    spanning-tree portfast
    !
    interface FastEthernet0/13
    switchport mode access
    spanning-tree portfast
    !
    interface FastEthernet0/14
    switchport mode access
    spanning-tree portfast
    !
    interface FastEthernet0/15
    switchport mode access
    spanning-tree portfast
    !
    interface FastEthernet0/16
    switchport mode access
    spanning-tree portfast
    !
    interface FastEthernet0/17
    switchport mode access
    spanning-tree portfast
    !
    interface FastEthernet0/18
    switchport mode access
    spanning-tree portfast
    !
    interface FastEthernet0/19
    switchport mode access
    spanning-tree portfast
    !
    interface FastEthernet0/20
    switchport mode access
    spanning-tree portfast
    !
    interface FastEthernet0/21
    switchport mode access
    spanning-tree portfast
    !
    interface FastEthernet0/22
    switchport mode access
    spanning-tree portfast
    !
    interface FastEthernet0/23
    switchport mode access
    spanning-tree portfast
    !
    interface FastEthernet0/24
    !
    interface GigabitEthernet0/1
    !
    interface GigabitEthernet0/2
    !
    interface Vlan1
    no ip address
    no ip route-cache
    !
    ip http server
    !
    control-plane
    !
    !
    line con 0
    logging synchronous
    line vty 0 4
    login
    line vty 5 15
    login
    !
    end


    Espero pueda ayudarme y mil disculpas por la longitud del mensaje

    saludos,

    ResponderBorrar
  21. En primer lugar, el 2960 es un switch L2, y está configurado como tal. Ni tan siquiera tiene configurada una IP para managemente. Allí no hay ningún servidor DHCP.
    En segundo lugar, no entiendo el planteo. ¿De qué módem se trata? ¿de qué equipos de equipos de práctica?
    Si se trata de un ISP, y es el módem (ADSL o cablemódem) del ISP, no puede haber conflictos de IP ya que él debe acceder desde la red WAN y por lo tanto lo hace con la IP que el ISP administra. No tiene nada que ver con el direccionamiento IP de la LAN.

    ResponderBorrar
  22. Buen día,

    El día de ayer envie un comentario respecto a un problema entre un modem y un switch 2960, omiti detalles que son importantes para darme a entender, me explico mejor: tenemos un laboratorio de estudiantes para practicas cisco. Para poder tener el servicio de internet en este laboratorio pequeño, estamos conectados con un switch 2960 a un puerto de un modem ADSL(telmex).

    El administrador del modem cuando quiere conectarse a la interfase administrativa del mismo con la dirección 192.168.1.254 se desactiva el servicio de internet para todos los equipos conectados al modem. Al modem le tiene dejado activado el servidor DHCP y es quien sirve direcciones a todos los que nos conectamos al mismo.

    Estando conectado el switch al modem y entrar a la configuracion el modem, desactiva la red. Si desconecto el cable que conecta con switch entra a la configuracion del modem sin problema. Aclaro no existe problema con la red mientras no se intente entrar a la configuración del modem :-(

    Espero haber sido clara, gracias por contestar mi primer comentario

    Noemi :-)

    ResponderBorrar
  23. Noemí.
    Lo que relatás parece apuntar más a un problema del módem que de la configuración de la red.
    Por lo que entiendo, pierden acceso a Internet en el momento en que se accede a la administración del módem ADSL. Esto no debiera ser así. Lo primero que haría es revisar la operación del módem.

    ResponderBorrar
  24. Hola,


    ya se resolvió el problema con el modem ADSL, y si era el modem, muchas gracias por todo,

    saludos,

    Noemi

    ResponderBorrar
  25. Me gustaría pues agregar a aquella persona que preguntó al diferencia entre Router y Switch de capa 3 que el router maneja protocolos de enrutamiento Igp como egp, y el Switch de capa 3 solo he observado Rip que ya sabemos que no es el más recomendable ....Es sólo mi opinión

    ResponderBorrar
  26. Los switches capa 3 pueden implementar múltiples protocolos de ruteo: rutas estáticas, RIP, RIPv2, EIGRP, OSPF. Si hay que tener presente que no todas los switches multilayer del mercado implementan todos los protocolos. En el peor de los casos hay algunos que sólo soportan enrutamiento estático.
    Los switches Catalyst soportan todos los protocolos.

    ResponderBorrar
  27. Hola: Tengo algo parecido al ejemplo que ilustran aquí, el caso es que quiero establecer una conexión utilizando cable modem. Tengo un switch capa 3 conectado a un router este a su vez conectado a un modem y ya este conectado a internet...
    Por favor, podría decirme cómo puedo hacer para configurar los dispositivos...

    ???

    ResponderBorrar
  28. Amigo.
    Lo que proponés es un poco más complejo y delicado que un simple post en el blog. Sugiero que te pongas en contacto con alguien que pueda revisar tu topología y requerimientos, y en consecuencia pueda formular la configuración que necesitás.

    ResponderBorrar
  29. amigos, buenas.
    tengo una red compuesta por lo siguiente :
    sw 3750 en server colgando de estos 3 sw 2960 y 1 3750 client este asu vez tiene 3 sw 2960, tienen configuradas vlan que se ven entre si. el primer 3750 esta enrutando las vlan. mi problema es el siguiente se me corta la comunicacion con el con el segundo 3750 y los que estan colgando de ese sw dejan de verce entre vlan. que se puede hacer para solucionarlo

    By Jorge

    ResponderBorrar
  30. Jorge.
    Si todo se enruta en el primer sw 3750 que mencionas, y pierdes comunicación con ese switch, obviamente las vlans dejarán de rutear entre sí ya que es en ese equipo en el que se realiza el ruteo.
    Lo que hay que revisar es el motivo por el cual pierdes comunicación con ese dispositivo y ver si es posible otro diseño, que no sea el de poner tantos swtiches en cascada.

    ResponderBorrar
  31. Una duda como puedo conocer que dirección IP tengo en un puerto de capa 2 si el switch catalyst es multilayer (4500 cisco)

    ResponderBorrar
  32. Los puertos capa 2 no utilizan direcciones IP (la dirección es capa 3 y el puerto no opera en ese nivel).
    Las direcciones IP se asignan a SVIs o puertos ruteados. Para ver su direccionamiento hay varios comandos. Podés utilizar show ip interfaces brief

    ResponderBorrar
  33. Hola Oscar,

    Estoy intentando simular una red parecida a tu ejemplo con el packey tracer donde tengo un switch 2960 con dos vlan 2 y 3 ambas con la misma direccionamiento IP. Unido a este switch tenemos un router 1841 con los subinterface configurados.

    Puedo hacer lo que quiero? La teoria dice que si ya que tengo dos vlan distintas con el tag marcado siempre que el destino fue hacia fuera deberia funcionar, no.

    ResponderBorrar
  34. La configuración que se muestra en el post es para un switch capa 3. Los Catalyst 2960 son switches capa 2, la dirección IP que le asignás a las interfaces VLAN tienen sólo propósitos de management, no pueden operar como gateways de una subred. En tu caso el que ruteará entre vlans es el router 1841. En el ejemplo que está arriba, el que rutea entre vlans es el switch capa 3.

    ResponderBorrar
  35. Excelente blog muchisimas gracias por haberte tomado el trabajo de hacerlo, personalmente me ha sido de mucha ayuda. Gracias de nuevo

    Gonzalo

    ResponderBorrar
  36. Buenas, necesito una ayudita para hacer link aggregation, tengo un WS-C2960-48PST-L de capa 2 y un WS-C3560E-24TD-S de capa 3, quiero hacer link aggregation con los dos enlaces de giga del de capa 2. Me podrias decir los pasos para hacerlo? he probado varias cosas que he visto por ahi y no puedo se caen los puertos o algo pasa.

    Desde ya gracias.

    Gonzalo

    ResponderBorrar
  37. Gonzalo.
    Te sugiero revises esta sección de la Configuration Guide del Catalyst: http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_25_see/configuration/guide/swethchl.html

    ResponderBorrar
  38. Oscar buenos dias te molesto con una pregunta tengo una configuracion similar, con una pequena diferencia es un 3750 conectado a un router 3845 pero el puerto que conecta a ambos se encuentra trabajando en modo switching y pertese a la vlan 1 que tiene definida una svi con una ip ejemplo 10.1.1.2 y la interface del router la 10.1.1.1, funsiona todo bien, mi duda es si esto puede llegar a traer algun impacto a nivel de performance? porque segun entiendo y revisando mis apuntes deveria hacerlo como desis vos pero tengo que tocar cosas en produccion muchas gracias

    ResponderBorrar
  39. No debe tener impacto en la performance.
    Es sólo una cuestión de diseño. Ese enlace está operando en capa 2, por eso el puerto está en modo switchport, y la IP de la interfaz VLAN 1 sólo la utiliza para acceso de management seguramente. No es mandatorio que deba estar en modo de ruteo.

    ResponderBorrar
  40. Oscar son cuatro sitios conectados por un enlase de 90 mb de fibra un asa en cadas sitio aramando vpns site to site de tras un 3845 detras un 3750 y varios 2960 5 vlans aprox por cada sitio esa es la arquitectura el 3750 tiene habilitado el ruteo para rutear entre vlans y manejo los permisos con acls y el gateway del 3750 es el 3845 que esta conectado como te explique anteriormente te cuento todo esto por si por ahi se te ocurre porque no estoy teniendo la performance adecuada uso OSFP para el enrutamiento

    ResponderBorrar
  41. Malber
    El análisis de una implementación completa en búsqueda de mejorar la performance, supera los objetivos de un comentario en un blog. Es un tema que requiere un análisis y estudio atentos para esa implementación específica.

    ResponderBorrar
  42. Hola tengo un switch cisco 4503 en el cual tengo configuradas dos vlan la vlan 41 con una direccion ip 10.10.41.1 y la vlan 43 con una direccion ip 10.10.43.1 el problema es que no puedo ver trafico entre vlans, si pongo dos pcs en la vlan 41 si se ven entre si, pero si las pongo una en la 41 y otra en la 43 no logran verse, se supone q mi switch en capa 3 pero no logro hacer que tengan trafico entre las dos vlan, si tengo una lap conectada a un nodo de la vlan 41 por ejemplo y le quiero mandar ping a la ip de la vlan 43 que seria la 10.10.43.1 no llego ejecute el comando ip routing para que trabaje en capa 3 pero ni asi, quiero trafico en un solo switch no entiendo por que no seven entre si, agradecere mucho una ayuda pls

    ResponderBorrar
  43. Estimado Jorge.
    Los motivos por los cuales esos 2 nodos pueden ser múltiples. Doy por descartado que estás operando con un módulo que soporta enrutamiento IP y que las terminales que están utilizando no tienen ningún firewall que impide responder el ping.
    Pero habría que comenzar por verificar la tabla de enrutamiento y si hay algún filtrado de tráfico activado en algún punto.

    ResponderBorrar
  44. Gracias por responder Oscar, he revisado la tabla de enrutamiento y no veo ningun problema la unaca regla q podria pegarle es la general y es la siguiente.

    ip route 0.0.0.0 0.0.0.0 10.10.41.2

    el 10.10.41.2 es un equipo de seguridad Firewall pero no lo tengo conectado, es decir ahorita el switch 4503 esta ahislado no tengo nada conectado a el, lo unico q tengo es un cascadeo a un cisco 3750 de 48ps con un link agration configurado en trunk, pero es lo unico no creo que la configuracion de LACP le este pegando, ACL tampoco tengo configuradas, simplemente es el switch 4503 con un link agregation en trunk en el puerto 2/3 con el puerto 3/2 hacia el cisco 3750G y la mitad de mis puertos restantes estan en la vlan 41 y la otra en la vllan 43.

    algo que no se si podria estar afectando es que a la hora de consultar el detalle del link agregation, me muestra algo de que esta trabajando en capa 2, pero aun asi eso afectaria solo en la comunicacion hacia el 3750 no en el mimo 4503 esto es lo que me aparece en el detalle del LACP

    Group: 1
    ----------
    Group state = L2
    Ports: 2 Maxports = 8
    Port-channels: 1 Max Port-channels = 1
    Protocol: LACP
    Minimum Links: 0


    el group state esta en capa 2 eso afectara?

    ResponderBorrar
  45. Jorge.
    Si el LA opera contra el 3750, y las 2 VLANs están en el 4503, no tiene peso en esto.
    Sin embargo, si no tienes rutas más específicas en tu tabla de ruteo, y tu ruta por defecto envía hacia un dispositivo que no está conectado, ese podría ser el motivo del problema. Pero igualmente, hay que tener una visión completa del dispositivo y su configuración para saber qué es lo que está pasando. No es un post público el mejor lugar para revisar esos elementos.

    ResponderBorrar
  46. Todas las configuracion que tienes aca, se realizan el switch capa 3? Incluyendo la creación de la vlans y todo?.. Gracias de antemano.. :)

    ResponderBorrar
  47. La configuración que detalla el post corresponde a un switch layer 3, pero no necesariamente todo switch layer 3 debe tener esa configuración.
    Eso depende esencialmente del diseño de la red.
    La configuración de VLANs es común a la de cualquier switch layer 2.

    ResponderBorrar
  48. Buen día. tengo un switch catalyst 3560 y dos enlaces de 6 megas con cablemodem 2wire, es posible hacer esta configuración con la salvedad de configurar dos puertos como interfas de capa 3 para que una vlan (vlan 2)salga por un enlace y la otra vlan (vlan3) salga por el otro enlace y que los dispositivos de las dos vlans se puedan ver entre si?.Lo que me gustaria hacer es dividir mi red y hacer que la mitad salgan por un cablemodem y la otra por el otro cablemodem y todas los dispositivos se vean entre si. Gracias

    ResponderBorrar
  49. Alec.
    No se si termino de entender el diseño, pero creo que se puede solucionar creando 4 VLANS: una sería tu VLAN 2, y tendría que rutearse hacia la VLAN 4 (por ejemplo) a la que conectamos un cable módem; otra la VLAN 3, que se debe rutear hacia la VLAN 5 (otro ejemplo). Y luego solo bloquear el tráfico de la VLAN 2 para que no salga por la VLAN 5 y el de la VLAN 3 para que no salga por la VLAN 4.
    Con eso creo que sería suficiente, según lo que entiendo.

    ResponderBorrar
  50. Hola
    Tengo un switch cisco capa 3 en mi red configurado con 3 vlans, como configuro para tener salida a internet, no tengo router
    gracias por su apoyo

    ResponderBorrar
  51. Estimado.
    Eso dependerá de tu red y de la conexión a Internet que tienes y el modo en que el ISP te está entregando el servicio.
    No hay una receta universal para aplicar a cualquier red.
    En principio, las 3 VLANs deberían estar terminando en sus respectivas SVIs, el acceso a Internet podría estar terminando en un puerto ruteado, y a nivel de enrutamiento solucionarlo con una ruta por defecto.
    Pero repito, esto dependerá de tu red y el servicio que estás recibiendo.

    ResponderBorrar
  52. Es usted un gran ejemplo para las personas que queremos salir adelante y especial cuando de redes se trata.
    ¿Como hizo para llegar hasta este nivel?. ¿tiene algun ejemplo de vida?
    muchas gracias!!.

    ResponderBorrar
  53. Max.
    No hay ningún secreto ni tampoco herramienta especial. Simplemente estudiar cada tema hasta comprenderlo, experimentarlo hasta lograr que funcione como es necesario.
    Si se trabaja con esfuerzo y tenacidad puedes aprender lo que sea necesario.

    ResponderBorrar
  54. Buenos dias Oscar,
    Tengo algunas dudas que no he podido resolver para terminar de configurar un switch sge2010. Resulta que el servicio de internet me lo entregan con varias direcciones IP. Necesito crear varias vlan en el switch (layer3) y dar salida a internet a algunas vlans.
    Actualmente tengo el switch operando en layer2, en él tengo conectado un gateway que hace el servicio NAT, es decir lo tengo conectado al router de mi proveedor.

    Lo que tengo es:
    router proveedor:
    ip: 200.195.22.178-200.195.22.190
    gateway: 200.195.22.177

    router(gateway)
    configurado una ip estatica del proveedor.
    ip: 192.168.2.1

    switch(layer2)
    ip:192.168.2.254
    gateway:192.168.2.1

    Lo que deseo es:
    router proveedor:
    ip: 200.195.22.178-200.195.22.190
    gateway: 200.195.22.177

    router(gateway)
    configurado una ip estatica del proveedor.
    ip: 192.168.2.1

    switch(layer3)
    vlan10 192.168.10.*
    mask: 255.255.255.0

    vlan20 192.168.20.*
    mask: 255.255.255.0

    que solo la vlan 10 salga a internet

    Gracias por tu ayuda.

    ResponderBorrar
    Respuestas
    1. José Luis.
      El SGE2010 es un switch de la linea Small Business. Por lo tanto tiene un conjunto de features limitados (por ejemplo, solo soporta enrutamiento estático) y la posibilidad de configuración por interfaz gráfica, no CLI.
      Por este motivo, lo que describo en estos posts no es aplicable en el 100% a tu caso. Es IOS, pero tiene limitaciones.
      Ya sabés lo que querés hacer (crear VLANs, asignar puertos, definir SVI, activar enrutamiento) sólo que tienes que hacerlo utilizando la GUI y adaptándote a las limitaciones que impone la plataforma con la que estás trabajando.

      Borrar
    2. Perdón... olvidé este enlace.
      La reference guide de ese equipo: http://www.cisco.com/en/US/docs/switches/lan/csbms/sge2000/reference/guide/sge_refguide.pdf

      Borrar
  55. Estimado Oscar,

    Primero te saludo y te deseo éxitos en tus funciones diarias, te comento que tengo un Switch SGE2000 el cual creo que es muy similar al amigo "JLuis Cruz O", pero tengo un problema, según tengo entendido este tipo de switch es L2 y L3 ya que entré por medio del Telnet y en la opcion de "MODE" me permite activarle el "L3", ahora tengo un problema, con este switch trabaja bien, si me permite crear VLAN y cosas como esta, pero yo quiero poner en varias VLAN un IP estática, y crear un regla de routing para cada una de estas ip, por ejemplo:

    VLAN 22: ip 192.168.40.1 mask 255.255.255.252

    ya configuré para que estas VLAN estén dentro de un puerto en modo trunk, lo mismo que quiero por ejemplo que a esta de ruteo estática para que otra ip pueda salir por la anterior y por ende la tenga como gateway, por ejemplo:

    ip route 186.12.30.104 255.255.255.248 192.168.40.2

    La verdad no puedo llegar a la parte del "ip route" ya que como te indiqué antes el "Switch SGE2000" se cuelga y pierdo acceso a el, no me da respusta de ping y peor acceder por a la configuración gráfica, al momento quiero que funcione el asignado de la ip para de ahí poder avanzar con el resto de configuraciones.

    En cuanto a la configuración de la Interfaz para hacer trunk noto que ud ponen "switchport trunk encapsulation dot1q" desde la consola, pero desde la configuración gráfica no noto est aparte, supongo que esto es para que pueda trabajar bien el modo trunk o que función cumple, lo que quiero es colocar varias VLAN en una Interfaz del mismo switch y estas puedan pasar tranquilamente.

    ResponderBorrar
    Respuestas
    1. Estimado.
      El dispositivo sobre el que estás trabajando no es un Catalyst basado en IOS, por lo que no aplica lo que encuentras en este post.
      La Guía de Configuración correspondiente, lo puedes descargar de este enlace: http://www.cisco.com/en/US/docs/switches/lan/csbms/sge2000/reference/guide/sge_refguide.pdf
      Por este motivo, es muy probable que sea difícil o imposible encontrar correspondencias exactas entre lo descripto aquí y el menú o la GUI del dispositivo en el que estás trabajando.

      Borrar
  56. Segun yo, con ipv6 es los mismo en lo switches que lo soporten...

    ResponderBorrar
    Respuestas
    1. Parcialmente.
      En el caso de switches Catalyst hay que realizar tareas adicionales para habilitar los registros IPv6 en las tablas TCAM.

      Borrar
  57. Gracias, me salvo la parte de habilitar el trunk en el 3560, ya que no pense q fuese diferent esa parte a la de otros switches.

    ResponderBorrar
  58. Buenas,

    Podrías explicar que tablas utilizan los switches de nivel 3 para enrutar o switchear el tráfico? Por favor diferencia los Cisco de otras tecnologias. Tengo entendido que cisco utiliza otras tablas diferentes que Riverstone por ejemplo.

    Gracias

    ResponderBorrar
    Respuestas
    1. Los switches capa 3, de acuerdo a su configuración, conmutan el tráfico a nivel de capa 2 o capa 3 según corresponda.
      Cuando conmutan en capa 2, utilizan la tabla de direcciones MAC como cualquier switch LAN.
      Cuando conmutan en capa 3, utilizan la tabla de enrutamiento IP, como lo haría un router.
      Esto ocurre en cualquier switch multilayer, sin importar el fabricante. En el caso particular de los switches Cisco, cuando están operando en modo ip cef, utilizan la tabla FIB para tomar las decisiones de reenvía de modo más rápido, cuando es posible.
      Espero que sea claro.

      Borrar
  59. Hola Oscar,

    Si en un switch de capa 3 habilito un puerto para que opere en dicho capa (no switchport) es suficiente para que enrute? En todos lo ejemplos que ví siempre estàn conectados a un router. Gracias.

    ResponderBorrar
    Respuestas
    1. Correcto.
      Se trata de un puerto enrutado, con lo que se comporta como puerto de un router. Si revisas topologías seguramente encontrarás alguna en la que veas 2 switches layer 3 conectados entre sí por puertos ruteados.

      Borrar
  60. Hola oscar.

    tengo algunas dudas acerca de STP, como hago para que un puerto conectado a un PC no participe en STP, tambien si este puerto recibe una BPDU la interfaz se deshabilite.
    Otro punto que me gustaría me ayudarás es como dejar un puerto conectado a otro switch en estado bloqueado.

    De antemano te agradezco por tu ayuda.

    Saludos desde Costa Rica.

    ResponderBorrar
    Respuestas
    1. Jarvi.
      Lo que estás buscando es que el puerto de acceso participe de STP (porque quieres que si recibe un BPDU el puerto se bloquee), pero que cambie su comportamiento para que cuando levanta lo haga en estado de forwarding. Para esto debés utilizar la opción portfast.
      Y si quieres que un puerto esté conectado a otro switch, pero no esté operativo, pues simplemente lo pones en shutdown; si no es así, de eso se ocupa STP.

      Borrar
  61. Oscar un gusto saludarte te Andrés y tengo una duda, tengo un switch core 4510 y 2 switches 2960 cada uno de ellos estan conectados al core con su respectivo cable de red y esos links estan configurados en modo TRNUNK para mandar a llamar a las vlans, pero suponiendo tengo el switch A y B, en el switch B creo un segmento de red que es la vlan 190 y su ip es 192.168.190.x 255.255.255.0 ... pero si quisiera que del switch A llegara a conocer esa vlan 190 que rutas deberia crear en el core ???? Claro esta que esa vlan 190 no esta creada en el Core porque lo que no quiero es que atraviese el switch core.

    atte
    Andrés

    ResponderBorrar
    Respuestas
    1. Andrés.
      Es difícil de comprender cómo esperas que el tráfico de la VLAN 190 llegue del switch A al B sin atravesar el Core, siendo que ambos están conectados únicamente al Core.
      Para hacer eso lo que debieras es conectar directamente A y B, pero no es recomendable desde la perspectiva de STP.

      Borrar
  62. HOLA!!

    Felicitaciones por el contenido tan resumido en esta web, bueno tengo una duda respecto al switch catalyst 3560 en packet tracer no se tienen la opción del ip default-gateway para motivos administrativos del switch.

    ¿existe alguna opción para ello?

    Saludos
    Rouge

    ResponderBorrar
    Respuestas
    1. Tratándose de un 3560, es un switch layer 3, por lo que se puede utilizar una ruta por defecto.

      Borrar
  63. Hola Oscar, un placer saludarte te expongo una tema:
    Tengo un switch capa 3 sg300 small business de 28 ptos, lo quiero usar como router y ahi se encuentran dos puertos gigabit el uno quiero usarlo como entrada de la wan y el otro como salida a la LAn, los comandos de configuracion para habilitar la cpa 3 en ese equipo son los mismos? por decir en el G1 IP ROUTING y luego configurar como si fuera un router cisco con todos los comandos de ley.

    Saludos

    ResponderBorrar
    Respuestas
    1. Danilo.
      Los switches de la línea small business no son switches IOS, por lo que la configuración desarrollada en este post no es aplicable en ese caso.
      Deberás referirte al manual de ese switch.
      Saludos.

      Borrar
  64. Hola buen Día

    Solo una pregunta ustedes saben donde puedo encontrar todos los comandos para configurar un switch multilayer???

    Saludos...

    ResponderBorrar
    Respuestas
    1. Estimado.
      No existen comandos genéricos de switches multilayer.
      Necesitás una guía de comandos, que corresponderá a la marca y modelo del switch, y versión del sistema operativo que esté utilizando.

      Borrar
  65. Hola oscar, felicitacines por tus blog, ayudan mucho. Te esxplico cual es mi iconveniente:

    Tengo sw 3560X, en ese SW tengo configurado en la interface G0/1 una ip publica. Tengo 3 vlan, en cada vlan esta activado el DHCP. Cada computadora que esta en cada vlan seven entre ellas, osea que cada vlan se ven entre ellas.
    El problema q tengo es que ninguna vlan sale a internet.

    Las purebas que he hecho para ver cual es el problema y que todavia no lo encuentro, son:
    1. Desde cada vlan hagon ping a los GW de cada vlan, y todo me da correcto.
    2. Desde una PC puede hacer ping a otra PC de otra VLAN y todo me da correcto.
    3. Desde una pc que esta en una VlanX, puedo hacdr ping a la ip publica que esta configurado en la intrface G0/1.
    4. Dentro de la consola del SW puedo hacer ping hacia el GW del router del proveedor de internet y por ende puedo hacer ping hacia el mundo como por ejemplo agmail, y todo perfecto por ahi.
    5. desde una pc trato de hacer ping hacia internet o hacia el GW del router de mi proveedor de internet y no puedo.

    Le he activado al SW el IP ROUTING y le he creado la ruta 0.0.0.0 0.0.0.0 18x.19x.18x.121 que seria el GW del router de mi proveerdor de internet y la ruta 172.17.11.xxx 255.255.255.0 18x.19x.18x.121 que seria un segmento de mi VALNX y NO PSALGO A INTERNET DESDE ESA VALNX.

    No se cual es seria ahi el problema, si me pudieras ayudar te lo agradeceria mucho.
    Saludos

    ResponderBorrar
    Respuestas
    1. Rubens.
      Un comentario en un post no es el mejor entorno para verificar diagnosticar un problema con una red en particular.
      Sin embargo, de mirar rápidamente tus referencias creo que se desprenden 2 cosas:
      Estás enrutanto tu red interna (172.17.x.x) hacia el ISP.
      No estás considerando NAT, lo que sería necesario si estás utilizando direccionamiento privado en tu LAN.

      Borrar
    2. Buenas tardes mi problema es el siguiente tengo 2 switches catalyst 2960s uno de ellos configurados para hacer ruteo, tengo actualmente la vlan1 que es por defecto y la vlan2 creada por mi, la vlan 1 tiene ip asignado 172.10.0.1 y vlan 2 tiene el ip 172.20.0.1... Tengo los puertos trunk bien configurados mas sin embargo cuando quiero dar ping de un equipo de mi vlan 2 hacia otro en vlan 1 no hay comunicacion. En cada uno de mis equipos tengo configurados en mi puerta de enlace los ip anteriormente mencionados. Me puedan ayudar ?????????????

      Borrar
    3. Carlos.
      No todos los Catalyst 2960 soportan enrutamiento IP. La mayoría de ellos son switches layer 2.
      Para poder darte una respuesta, deberíamos revisar cuidadosamente el número de parte de tu switch, la versión de IOS que está corriendo, y la configuración.

      Borrar
  66. Estimado Oscar Gerometta

    Podría explicar o brindar alguna información referente a lo siguiente:
    Tengo un servidor conectado a mi switch 3560, y tengo otro servidor que deseo conectarlo a este mismo switch pero con alta disponibilidad, de tal manera que solo funcione mi primer servidor, pero al momento que pierde conexion con el switch, automaticamente se activen los otros puertos mi switch conectado a mi otro servidor.
    La pregunta en realidad, es que configuración tendría que realizar en mi switch para realizar esta funcion.

    Muchas gracias por tu apoyo.
    Atte.
    Augusto

    ResponderBorrar
    Respuestas
    1. Augusto.
      El primer paso en tu planteo es ver cómo funciona el esquema de alta disponibilidad de tus servidores, o del servicio que estás implementando.

      Borrar
  67. Hola oscar muy buen blog escribo a ver si me pueden ayudar con el problema que tengo, tengo 3 switch tp-link capa 2 en los cuales tengo creadas vlan y una troncal que va a un switch cisco 3560 donde tengo creada una interfas vlan por cada vlan que sirven como puerta de enlace, en una de las vlan tengo los servidores los cuales se ven desde todas las vlan sin problemas y navegan a internet el problema lo tengo cuando intento navegar a internet desde otra vlan que no sea la de los servidores no me lo permite pero si me deja hacer ping a ip de la wan como por ejemplo los dns de google y tengo puesto los mismos dns de la vlan de servidores en todas adicional a cada interfas vlan le agregue el ip helper-address donde pongo la ip de el servidor dns de antemano gracias por la ayuda quye me puedan prestar

    ResponderBorrar
    Respuestas
    1. ¿Por qué suponer que el problema está en el switch multilayer?
      La descripción del problema hace pensar más en algún filtrado de tráfico implementado en algún punto de la red.
      Debieras considerar la red en su integridad al momento de diagnosticas y verificar específicamente en qué punto tu navegación está siendo denegada.

      Borrar
  68. Buenas tardes.

    Actualmente me encuentro realizando practicas en las configuraciones de switch cisco. Tengo un Switch Catalyst 4503-E el cual esta funcionando con otros switch 3Com en modo troncal para que puedan entenderse. Dado que hace poco adquirimos los nuevos swtich Cisco 2960, no hayo como configurar las interfaces GigaEthernet para que que tengan comunicación Catalyst 4503-E y Switch 2960 (previo a esto, los Switch 2960 ya tiene configurada sus VLAN correspondiente de voz y data). viendo la configuración de los otros puertos GigaEthernet tengo otros equipos y lo único que veo diferente es el Queueing strategy: class based queuing en el puerto donde tengo el 3Com y en el otro puerto GigaEhternet esta en FIFO

    Alguna sugerencia? - Gracias.

    Tomas

    ResponderBorrar
    Respuestas
    1. Tomás.
      Una respuesta adecuada supone tener mayor información sobre la topología y configuración de esa red.
      La configuración de los puertos depende en realidad del diseño. Eso es lo que habría que analizar.
      Los Cat 2960 son típicamente switches LAN (aunque algunos soportan también capa 3), por lo que la forma típica de configuración de los puertos que comunican ente switches es como troncales, si es que tienes múltiples VLANs que transportar.

      Borrar
  69. buenas tardes tengo una cuestion lo que sucede es que tengo una red en donde la unica salida a internet es mediante una vlan 6 y tengo 4 laboratorios de computo, la idea es crear vlans para cada laboratorio, pero nose si existe un metodo para darle acceso a internet a cada uno

    ResponderBorrar
    Respuestas
    1. Eduardo.
      En principio, si, es posible dar acceso a Internet como lo planteas. Pero la solución no es un "método" (al menos yo no lo denominaría así), sino diseñar la solución correcta. Lo que presenta este post te puede servir de referencia.

      Borrar
  70. Buenos días,
    Creo que necesito implementar un escenario similar al expuesto y quería hacer una consulta para ver si pueden ayudarme.
    Actualmente trabajo con una red compuesta por 12 switches CISCO Catalyst 2960 con diferentes VLAN creadas y su tráfico administrado por un firewall Sonicwall NSA 3600.
    Me encuentro con que el tráfico entre diferentes VLAN's al transferir ficheros no es muy efectivo (unos 30 MB/s), mientras que en la misma VLAN se alcanzan velocidades de hasta 140 MB/s (hablo siempre de conexiones a 1Gbps).
    Supongo que el cuello de botella es el firewall y me planteo si no será necesario implementar un switch de capa 3, pero tengo dudas sobre cómo se administraría el tráfico entre las diferentes VLAN's, ya que actualmente aplico en el mismo reglas para denegar o permitir el tráfico de determinados puertos hacia internet o entre las propias VLAN's.
    ¿Sabrían orientarme un poco sobre cómo podría mejorar el rendimiento en el enrutamiento entre VLAN's?

    Muchas gracias.

    ResponderBorrar
    Respuestas
    1. La opción de mejor performance para el tráfico entre VLANs es el switch multilayer, siempre que hablamos de un switch de nivel enterprise con buena capacidad de forwardeo.
      Si se trata de un switch de gama media o alta debiera incluir mecanismos para filtrado de tráfico tales como ACLs de capa 2, 3 y 4, por puertos (PACL) o por VLAN (VACL) y QoS, lo que permite implementar políticas de tráfico allí mismo.

      Borrar
  71. Muchísimas gracias Óscar,
    Por un lado, me gusta lo que contestas, porque significa que, adquiriendo un switch de capa 3, mantendríamos la configuración actual y ganaríamos rendimiento.

    Sin embargo, me preocupa el hecho de tener dos dispositivos diferentes para administrar cosas similares.
    Es decir: entiendo que debería mantener el firewall con las limitaciones de acceso a internet para los usuarios y aplicar en el switch de capa 3 sólo las reglas para limitar el tráfico entre VLANs.

    En este sentido, me gustaría saber qué soluciones se aplican en escenarios como el mío, en el que se necesita un rendimiento aceptable para el tráfico entre VLAN's (pongo como ejemplo que servidores se encuentren en una VLAN y equipos de usuario en otra u otras) y, a la vez, una gestión avanzada del tráfico, para lo que entiendo que está mejor preparado un firewall ¿no es así?

    Supongo que también cabrá la posiblidad de instalar un firewall de mejores características, aunque siempre dará mejor rendimiento un switch.
    Por otra parte, creo que el modelo con el que contamos (Sonicwall NSA 3600), no tiene malas características, y no sé si quizá hay algo que no estemos haciendo bien para que suframos un problema como este.

    Si alguien puede aportar algo, se lo agradeceré muchísimo.

    Un saludo.

    ResponderBorrar
    Respuestas
    1. Eduardo.
      No se trata de tener dispositivos diferentes para cosas similares, sino de dispositivos diferentes para implementar políticas de seguridad diferentes. Esto es incluso una buena práctica de seguridad ya que diversifica las capas de protección que tiene la red y previene que si un atacante puede penetrar una barrera no pueda penetrar la siguiente. Lo que llamamos protección por capas.
      Esto en es realidad más un tema de seguridad que de switching, pero si lo que te interesa es mejorar la performance, la solución a aplicar es esta: llevar el ruteo entre VLANs a un switch capa 3 y dejar la aplicación de políticas de acceso a Internet en un firewall. No sólo porque el switch es más eficiente en cuanto al forwardeo, sino también porque la capacidad de procesamiento y forwardeo de los dispositivos es limitada y también afecta a la performance de las comunicaciones.
      No es una buena práctica, en una red corporativa, concentrar toda la operación en un único dispositivo, aunque sin dudas que a veces es necesario.
      Que un equipo pueda cubrir todas las funciones no significa que deba hacerlo, o que esa sea la mejor opción en un caso concreto.

      Borrar
    2. Hola Óscar,
      En primer lugar, muchísimas gracias por tu respuesta y, en segundo, disculpas por no contestar antes. Tenía marcada la opción para recibir la notificación pero, por alguna razón, no me llegó, y pensé que este tema había quedado olvidado.

      Entiendo lo que indicas, y tiene sentido.
      Es verdad que hace la administración un poco más tediosa, pero es verdad que ofrecerá un mejor rendimiento y es mas avanzada.

      Como avance sobre mi caso concreto, añado que durante este último mes se hizo una actualización de firmware del firewall y el rendimiento del tráfico intervlan ha mejorado notablemente, por lo que puede que los problemas que detecté eran provocados por ello y nuestra infraestructura puede "sobrevivir" con la tecnología con la que contamos, aunque obviamente no sea lo más recomendable.

      Muchísimas gracias de nuevo.
      Saludos.

      Borrar

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.