Hola Leonarda,

Claro que estoy haciendo interVlan para lograr la conectividad como digo en la pregunta "Tengo un laboratorio con un layer 3 y un layer 2, tengo varias Vlans, Vlan 10 managent, Vlan 20 pinters, Vlan 30 servers, Vlan 40 users, en el layer3 tengo las siguientes SVI interface Vlan 10 (10.133.1.0 255.255.255.0) Vlan 20 (10.133.2.0 255.255.255.0) la Vlan 30 (10.133.3.0  255.255.255.0) y Vlan 40 (10.133.4.0 255.255.252.0)" 

Pero no estoy de acuerdo de que tenga que hacer routing o poner rutas, porque no tengo que salir de mi LAN, recuerda que tengo un layer3 al que tengo conectado un switch layer2 "esta coneción en modo trunk para que funcione" y luego tengo conectados diferentes equipos en diferentes bocas del switch, que las tengo configuradas en la vlan correspondiente.

Lo que quiero saber es como en este laboratorio simple, que ACLs tengo que poner en el layer 3 para que los equipos de la vlan 40 puedan llegar, o hacer ping a los ordenadores que tienen configurado la boca del switch en la vlan 30, es decir que ACLs creeis que tendria que usar.

Muchas gracias 

Hola Alberto.

Pregunta...?

Si tienes tu Switch capa 3 con las SVI y este es el equipo que esta haciendo el Intervlan, no tienes comunicación entre las diferentes VLANs? Yo supondría que sí.

De cualquier modo déjanos probar.

Hola Daniel, logicamente si me meto en el Layer3 y hago un ping a las SVI llego sin problemas, pero si yo estoy en el switch layer 2 que tengo conectado al Layer3 y configuro una de las bocas por ejemplo,

Fa0/3 -->switchport mode access -->switchport access vlan 30 y conecto un equipo con una ip del rango vlan 30 y luego configuro por ejemplo otra boca del switch layer 2 por ejemplo

Fa0/4 -->switchport mode access -->switchport access vlan 40 y conecto un equipo con una ip del rango vlan 40

Yo quiero poner ACLs para que desde el equipo de la vlan 30 pueda llegar al equipo de la vlan 40 y viceversa, esto solo lo puedes conseguir con ACLs porque cada una de estas bocas del switch layer 2 tienen configurada una vlan diferente

Alberto, si tienes un switch capa 2 conectado a tu switch capa 3 supongo que el uplink entre ambos switches es un trunk, en consecuencia, no tendrías ningún problema en lograr comunicación entre equipos terminales que se encuentren conectados en cualquier interfaz del swicth capa 2 bien sea con acceso a vlan 30 o vlan 40. el default-gateway de tu switch capa 2 esta bien configurado?.

Sino estoy entendiendo bien la pregunta anexa un diagrama para poder ayudarte porque tal como lo explicas si tienes el intervlan no necesitas obligatoriamente una ACL para permitir el trafico. 

Si estas en tu equipo que esta en la vlan 30 puedes hacer ping a la dirección IP de la SVI 30? 40? etc.

saludos

Hola de nuevo Leonardo,

Te voy respondiendo a tus preguntas en rojo:

si tienes un switch capa 2 conectado a tu switch capa 3 supongo que el uplink entre ambos switches es un trunk, en consecuencia, no tendrías ningún problema en lograr comunicación entre equipos terminales que se encuentren conectados en cualquier interfaz del swicth capa 2 bien sea con acceso a vlan 30 o vlan 40. el default-gateway de tu switch capa 2 esta bien configurado?.

Correcto entre el switch layer 2 y layer 3 tengo un trunk mode en el uplink, también tengo puesto bien el default garteway en el layer2, lo que creo que no entiendes, es que si tengo alguna boca de switch layer 2 configurado como switchport access a una vlan solo, por ejemplo a la vlan 30 entonces cualquier equipo conectado a esa boca con el direccionamiento de esa vlan correspondiente, no tiene porque llegar a el direccionamiento de otra vlan al no ser que ponga ACLs en el layer 3 para que permita esto, porque si no que sentido tendría el poner las vlan, el sentido es segmentar la LAN con diferentes rangos, lo que si que puedo que a lo mejor es lo que quieres decir, es poder llegar a cualquier vlan desde el layer 3 porque aqui si tengo las interfaces SVI configuradas.

Te envio un esquema y porque no me deja subir el archivo de packet tracert 

Un saludo

Hola Alberto, no es exactamente como lo dices, los Vlan son segmentaciones lógicas y se utilizan para realizar diferenciación de trafico. No es correcto decir que si un PC está conectado en la Vlan 30 con direccionamiento IP del segmento asignado a esa Vlan no pueda tener acceso a otros segmentos de direcciones IP de otras SVI a menos que se permita el acceso a través de una ACL.

Según tu diagrama, si el InterVlan routing está configurado correctamente y los segmentos de red declarados en el protocolo de enrutamiento,  por defecto, hay comunicación entre cada uno de ellos. Ahora bien, si deseas denegar el trafico desde PC0 a PC1 o PC1 a PC2, etc., si puedes utilizar una ACL como mecanismo de control de trafico.

Dale una mirada a este enlace espero te sea útil.

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/25ew/configuration/guide/conf/vlans.html

Hola Leonardo,

Entonces según tu teoría si yo tengo unas vlans como la vlan user y vlan server, estoy de acuerdo contigo que si no configuro en ninguna boca Fastethernet del layer 2 ninguna vlan, entonces todos los equipos conectados al layer 2 pueden llegar a todas las Vlans que existan, pero si tu le dices a una boca en concreto del layer2 que se configure como solo para la vlan servers por ejemplo, con la correspondiente configuración switchport mode access y luego switchport access vlan 30, esto significa que desde esta boca del layer 2 solo puedes acceder al rango de Ip de la vlan 30

Y es aqui cuando para acceder a la vlan 40 por ejemplo desde la vlan 30 cuando tengo que usar las ACLs que demando para el layer 3

Muchas gracias 

Hola Alberto, no es mi teoria es la manera como esto funciona. En capa 2 si dos PC estan dentro de dominios de broadcast diferentes (vlan server y vlan user) para que exista comunicacion entre ellos debe haber intervlan routing (capa 3) de lo contrario no se podran comunicar.

Saludos

Hola Leonardo,

Perdona no quería ofenderte al decirte segun tu teoría, te pido disculpas.

Pero perdona que discrepe contigo, pero estoy de acuerdo con lo que dices de;

"En capa 2 si dos PC están dentro de dominios de broadcast diferentes (vlan server y vlan user) para que exista comunicación entre ellos debe haber intervlan routing (capa 3)"

Esto es verdad, pero esto es a nivel de layer 3 donde se ponen las interfaces SVI para las distitntas interfaces de vlan 30 y vlan 40 y desde aqui si puedo llegar a cualquiera, pero otra cosa es en el layer 2 y te invito a que intentes reproducirlo en un laboratorio con packet tracer si puedes y podrás ver que si haces lo que te comentaba, por ejemplo poner el fastethernet 0/3 por ejemplo en la vlan 30 y el fastethernet 0/4 en la vlan 40 y pones un pc en cada una de estas bocas, con un ip de cada vlan correspondiente, puedes comprobar que si haces un ping desde un pc de la vlan 30 al pc de la vlan 40, puedes ver que no llegas, aunque el intervlan este configurado en el layer 3.

Esto tiene sentido porque como dices bien cada vlan tiene un dominio de broadcast diferentes y no puedes llegar de una a otra al no ser que se usen ACLs en el layer 3

Un saludo

Hola, 

Puedes poner la configuración de los equipos?

Si tienes las SVI en el mismo switch no necesitas ACLs para que se alcancen entre las redes.

Saludos.

Es claro que hace falta un poco de repaso en la teoria de switching.Lo que dicen los demas sobre el intervlan es cierto. Solo hay comunicacion entre las vlan a nivel de capa 3 pues son redes diferentes, no puedes pretender comunicar host entre diferentes vlan a traves de las direcciones mac, eso no tiene sustento tecnologico.

Hola creo que no has entendido mi pregunta, creo que tengo claro la teoría de switching y se que las intervlan se comunican a nivel capa 3, pero esta claro que si tengo un computer en una vlan por ejemplo en la vlan 20 y otro computer en la vlan 30, claro esta estos equipos tienen un direccionamiento diferente, y si hago un ping desde uno al otro llego sin problemas, es decir lo que se podría querer es que no se llegue a alguna vlan y en este caso usaría ACLs para prohibir esto y esto ya lo he comprobado y me funcionar.

Otra cosa es lo que pregunto, que es por ejemplo si yo tengo una Vlan 10 Magnagement es decir para los switches routers etc, a mi me gustaría que nadie de otras vlan pudiesen llegar a esta Vlan de administración, cosa que lo consigo con una ACL, solo me gustaría que pudiesen llegar un par de equipos de la red a la Vlan10 Management, entonces lo he comprobado con una ACL en la que he dado solo acceso a una IPs y me funciona bien, pero el problema es que esta ip son dinámicas y además estos equipos deben poder conectarse tanto cuando estén conectados a la Lan por cable o por wifi o cuando estén en casa y se conecten por VPN, entonces esto de las IPs no me funciona y lo que se me ocurre para poder salvar todas estas alternativas es configurar un ACL por la MAC de los equipos que doy permiso para llegar a la VLAN 10 o Management de esa forma da lo mismo que el equipo se conecte por cable, por wifi o por VPN

Y esto es lo que pregunto como hacerlo.

Espero que lo hayas entendido, si tienes alguna duda no dudes en decirmelo, muchas gracias

Un saludo

Saludos Alberto, espero esto te ayude a aclarar mejor tus dudas:

"...VLANs divide broadcast domains in a LAN environment. Whenever hosts in one VLAN need to communicate with hosts in another VLAN, the traffic must be routed between them. This is known as inter-VLAN routing. On Catalyst switches it is accomplished by creating Layer 3 interfaces (Switch virtual interfaces (SVI) )...."

http://www.cisco.com/c/en/us/support/docs/lan-switching/inter-vlan-routing/41860-howto-L3-intervlanrouting.html