cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión

3560 filtra el contenido de el pero no de hosts.

Que tal,

Tengo un problemita con un sw L3 3560 por que no me esta filtrando el trafico como segun yo lo configure, a este sw le he conectado un enlace de internet (RJ45) y en los demas puertos hay host. El enlace me entrega una IP publica y el resto tiene una VLAN. esta es parte de mi configuracion:

Todo parece en orden desde el switch pero no desde las PC conectadas a el.

PREGUNTA: ¿Por que no podré salir a internet desde mi PC conectada a este switch?

Current configuration : 5382 bytes

!

version 12.2

no service pad

service timestamps debug datetime msec

service timestamps log datetime msec

service password-encryption

!

hostname Discriminator

!

boot-start-marker

boot-end-marker

!

!

no aaa new-model

system mtu routing 1500

vtp domain dex

vtp mode transparent

ip routing

!        

crypto pki trustpoint HTTPS_SS_CERT_KEYPAIR

enrollment selfsigned

serial-number

revocation-check none

rsakeypair HTTPS_SS_CERT_KEYPAIR

!

!

spanning-tree mode pvst

spanning-tree extend system-id

!

vlan internal allocation policy ascending

!

vlan 15

name Vlan15

!

!

!

interface FastEthernet0/1

switchport access vlan 15

!

!muchas interfaces

!

interface FastEthernet0/47

switchport access vlan 15

!

interface FastEthernet0/48

description salida a Internet

no switchport

ip address "IP_PUBLICA_2" 255.255.255.240

!

!mas interfaces

!

interface Vlan1

no ip address

!

interface Vlan15

ip address 172.16.15.252 255.255.255.0

!

no ip classless

ip route 0.0.0.0 0.0.0.0 "IP_PUBLICA_1"

ip route 172.16.0.0 255.255.0.0 172.16.15.254

ip http server

ip http secure-server

!

snmp-server community public RO

!

end

Discriminator#ping 172.16.15.252

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.15.252, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/8 ms

Discriminator#ping 172.16.15.254

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.15.254, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/9 ms

Discriminator#ping 172.16.6.254

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.6.254, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 26/38/67 ms

Discriminator#ping cisco.com

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 72.163.4.161, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 33/33/34 ms

Etiquetas (3)
5 RESPUESTAS
Cisco Employee

3560 filtra el contenido de el pero no de hosts.

Hola Alberto:

   La red que tienes en tu Vlan 15 es conocida como una red privada o no ruteable. Tu switch puede llegar a Internet porque tiene una IP que pertenece a una red pública, pero tu PC no. De hecho si tratas de mandar un PING a www.cisco.com desde la Vlan 15 en el switch tampoco funcionaría:

ping ip 72.163.4.161 source vlan 15

   Necesitas o bien asignarle IP's públicas a tu vlan 15 o utilizar NAT. Desafortunadamente el 3560 no soporta NAT, entonces requieres de otro equipo que sí lo soporte, un router o un firewall por ejemplo.

Saludos,

Rick.

3560 filtra el contenido de el pero no de hosts.

Hola, muchas gracias por tu respuesta.

Me queda duda si entonces el switch no puede hacer la discriminacion de trafico? es que tengo en otra locacion con una topologia similar pero con otro ISP: el 3560 ve a donde va el paquete y lo manda por la interface definida y el proximo salto decide que hacer con el.

Este es el output de lo que me comentas:

Discriminator#ping 172.16.15.252 source fa 0/48 (de la int con la IP publica a la int de la vlan 15)

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.15.252, timeout is 2 seconds:

Packet sent with a source address of 38.65.134.45

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/8 ms

Discriminator#ping 38.65.134.45 source vlan 15

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 38.65.134.45, timeout is 2 seconds:

Packet sent with a source address of 172.16.15.252

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

Discriminator#

Saludos

AL

Cisco Employee

3560 filtra el contenido de el pero no de hosts.

Hola:

   No estoy muy seguro de a qué te refieres con la discriminación de tráfico. La configuración de tu switch es muy sencilla, tienes dos interfaces: una virtual (VLAN 15) con direccionamiento privado y una física (F0/48) con direccionamiento público. En cuestión de ruteo, el switch conoce que la red 172.16.0.0/16 está a través de la VLAN15 y cualquier otra cosa está a través de su default gateway público. Cualquier tráfico que llegue al switch buscando una dirección pública, digamos la 4.2.2.2, el switch la recibe y la manda a su gateway público. El gateway  se encargará de hacerlo llegar a su destino. Sin embargo, según lo entiendo en tu descripción inicial, este gateway es ya directamente el proveedor de servicio. El proveedor de servicio estaría recibiendo tráfico hacia la IP pública desde una IP privada, entonces se necesitan dos cosas para que la comunicación sea correcta:

1. El gateway del proveedor necesita una ruta de regreso hacia la red privada 172.16.X.X de tu vlan 15.

2. El proveedor tendría que traducir tu IP privada 172.16.X.X a una IP ruteable en Internet. Por reglas de Internet, ningún tráfico que pertenezca a las redes privadas puede ser mandado hacia la red pública.

   Por lo general los proveedores no hacen este tipo de traducción, casi siempre te entregan una IP pública y es labor del cliente final asegurarse que el tráfico vaya traducido hacia Internet con la IP pública.

Saludos.

3560 filtra el contenido de el pero no de hosts.

Que tal Ricardo, es que el escenario es que tengo 2 enlaces WAN, un internet y un mpls conectados a una LAN. El ISP del mpls me entrega un router 2911 pero el del Internet un modem donde llega un RJ45.

Por discriminacion me refiero a que si un host conectado a ese switch trata de encontrar una ip que sea distinta a la 172.16.x.x lo mande por la interface fa 0/48 (que tiene ip publica) y si trata de buscar una con ip 172.16.x.x lo mande por el enlace mpls. Y es que ya lo hice en packet tracer y si tienes razon, aunque el switch haga la discriminacion, necesito un router que le diga a Internet que llega ahi que la red 172.16.x.x esta conectada a el.

Esto es lo que me aparece si me conecto via telnet por internet al switch:

Discriminator#ping 172.16.15.252

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.15.252, timeout is 2 seconds:

....U

Success rate is 0 percent (0/5)

Discriminator#ping 38.65.134.45

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 38.65.134.45, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/9 ms

Discriminator#ping 38.65.134.46

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 38.65.134.46, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 8/8/9 ms

Discriminator#

Internet no puede alcanzar mi LAN. Si pusiera un Router tendria que hacer NAT, cierto?

Saludos

AL

Cisco Employee

3560 filtra el contenido de el pero no de hosts.

Es correcto AL. Para que Internet pueda alcanzar tu LAN necesitas hacer un tipo de NAT para que el tráfico de tu LAN parezca venir de la red pública del proveedor en lugar de provenir de una red privada.

Saludos.

332
Visitas
5
ÚTIL
5
Respuestas