Hola Alberto.

Finalmente lo pude probar y pude hacer que se comunicaran dos computadoras en diferente VLANs. Como te han comentado anteriormente no fueron necesarias las ACLs, te anexo los ejemplos de configuraciones esperando te sirva y sea el escenario que buscas:

Switch CAPA 3

interface vlan 10

ip address 192.168.10.1 255.255.255.0

!

vlan 10

!

interface vlan 20

ip address 192.168.20.1 255.255.255.0

!

vlan 20

!

Interface GigabitEthernet 0/1 <------Puerto de Conexion con el Router Capa 2

switchport trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowe vlan 10,20

Switch CAPA 2

Interface GigabitEthernet 0/1 <------Puerto de Conexion con el Router Capa 23

switchport mode trunk

!

vlan 10

!

Vlan 20

!

Interface FastEthernet 0/1

switchport mode access

switchport access vlan 10

spanning-tree portfast

!

Interface FastEthernet 0/2

switchport mode access

switchport access vlan 20

spanning-tree portfast

!

Computadoras

PC1 192.168.10.3

PC2 192.168.20.3

Configuracion Adicional en Switch Capa 3

ip dhcp exclude-address  192.168.10.1

ip dhcp exclude-address  192.168.20.1

!

ip dhcp pool LAN

network 192.168.10.0 255.255.255.0

default-router 192.168.10.1

!

p dhcp pool LAN2

network 192.168.20.0 255.255.255.0

default-router 192.168.20.1

!

Por favor recuerda que es importante configurar el siguiente comando en configuracion global:

ip routing

Como prueba envie un ping desde la computadora con la direccion 192.168.10.3 a la computadora con direccion 192.168.20.3

Creo que esto es lo que necesitabas y en verdad espero te ayude.

**Por favor si la informacion fue util marca esta respuesta como correcta**

**Tu reconocimiento nos alienta a seguir participando en los foros **

Hola Daniel,

Creo que estoy en casi todo de acuerdo contigo, pero no entiendo que quieres decir con esto   -->"Por favor recuerda que es importante configurar el siguiente comando en configuracion global: ip routing"

A que te refieres con esto de ip routing, a poner rutas en el layer 3 o el layer 2, yo creo que no serían necesarias rutas porque tenemos el intervlan ¿no?, no acabo de entenderte en este paso, me podría poner un ejemplo de esto, o en este mismo ejemplo que has puesto que esta claro, donde y que pondrías con el ip routing

Según tu, dependiendo entiendo de este ip routing que comentas, puedes hacer que unas vlans lleguen a otras ¿? y para ti desde el layer 2, todas los pc en las diferentes vlan pueden llegar a cualquier vlan y segun dices que lo unico que habría que hacer es poner ACLs, para que no se llegue de una vlan a otra, perdona pero o yo estoy muy confundido, que puede ser probable aunque no creo, pero no veo esto

Ademas como compruebas que puedes llegar desde una vlan por ejemplo vlan30 a la Vlan40, entiendo que pones un pc en la boca fastethetnet correspondiente del layer 2 con una ip del rango oportuno, suponiendo que esta boca esta configurada la vlan 30 el pc tendrá por ejemplo la ip 10.133.3.10 con gateway 10.133.3.1 y si tenemos otra boca fastethernet del layer 2 configurado para la vlan 40 con una ip correspondiente en este rango, por ejemplo 10.133.4.12 con gateway 10.133.4.1, entonces tu me dices que si haces un ping desde el pc 10.133.3.10 al pc de la otra vlan 40 con ip 10.133.4.12 dices que tu ping responde sin problemas, yo he probado esto y no lo consigo, me dices que haces exactamente para que este ping responda sin tener que usar ACLs en el layer 3.

Muchas gracias de antemano

Hola Alberto te explico tus dudas.

"A que te refieres con esto de ip routing, a poner rutas en el layer 3 o el layer 2, yo creo que no serían necesarias rutas porque tenemos el intervlan ¿no?, no acabo de entenderte en este paso, me podría poner un ejemplo de esto, o en este mismo ejemplo que has puesto que esta claro, donde y que pondrías con el ip routing"

R= No te pido que agregues rutas en el switch capa 3, el comando es un comando que se ejecuta en el entorno de configuracion global y se escribe tal cual ip routing este comando habilita las funciones de routing del switch incluyendo las funciones de intervlan.

Según tu, dependiendo entiendo de este ip routing que comentas, puedes hacer que unas vlans lleguen a otras ¿? y para ti desde el layer 2, todas los pc en las diferentes vlan pueden llegar a cualquier vlan y segun dices que lo unico que habría que hacer es poner ACLs, para que no se llegue de una vlan a otra, perdona pero o yo estoy muy confundido, que puede ser probable aunque no creo, pero no veo esto

R= Es correcto solo necesitas las ACLs para evitar que se comuniquen entre ellas, (obvio aplica si fuese lo que deseas)

"Ademas como compruebas que puedes llegar desde una vlan por ejemplo vlan30 a la Vlan40, entiendo que pones un pc en la boca fastethetnet correspondiente del layer 2 con una ip del rango oportuno, suponiendo que esta boca esta configurada la vlan 30 el pc tendrá por ejemplo la ip 10.133.3.10 con gateway 10.133.3.1 y si tenemos otra boca fastethernet del layer 2 configurado para la vlan 40 con una ip correspondiente en este rango, por ejemplo 10.133.4.12 con gateway 10.133.4.1, entonces tu me dices que si haces un ping desde el pc 10.133.3.10 al pc de la otra vlan 40 con ip 10.133.4.12 dices que tu ping responde sin problemas, yo he probado esto y no lo consigo, me dices que haces exactamente para que este ping responda sin tener que usar ACLs en el layer 3".

R= Te anexo la ventana de la prueba y el laboratorio.

Si gustas te puedo compartir el laboratorio, no lo puedo subir aqui, pero te puedo crear un link en dropbox

Tal ves solo te hace falta el comando que te menciono para que todo funcione. 

**Por favor si la informacion fue util marca esta respuesta como correcta**

**Tu reconocimiento nos alienta a seguir participando en los foros **

Hola Daniel,

Si no te importa comparte conmigo el laboratorio, en el que entiendo que tienes los pc configurados en cada vlan y que se puede llegar a ellos con el ping, no te acabo de entender porque entonces si tenemos en una oficina, muchas vlans entre ellas a lo mejor una de administración, entonces todos desde cualquier otra vlan podrían llegar, en mi caso es al revés si pongo distintas vlans configuradas en cada boca de switch layer 2, solo puedo llegar a equipos de la misma vlan y esto tiene todo el sentido, lo que no tiene sentido es que puedas llegar a cualquier vlan desde un pc que tiene configurada la conexión al layer2 por ejemplo a la vlan 40, en esto perdona me pero no te acabo de entender.

Un saludo y muchas gracias 

Que modelo es tu Switch Capa 3 en la oficina?

Ya configuraste el comando: ip routing?

Te anexo en link de descarga, lo tuve que subir dropbox, por que el foro no me permite hacerlo.

https://www.dropbox.com/s/y051k2glp6y8ymk/Prueba%20de%20Vlans-Alberto.pkt?dl=0

Solo dale un momento a las PCs a que tomen direccionamiento corresponiente, el Switch de capa 3 funge como servidor dhcp.

Revisalo y cualquier duda nos comentas.

**Por favor si la informacion fue util marca esta respuesta como correcta**

**Tu reconocimiento nos alienta a seguir participando en los foros **

En la oficina tengo un switch layer 3 cisco 4050 creo recordar, todavia no he probado lo de "ip routing" lo probaré mañana primero en el laboratorio de packet tracert que tengo montado, pero tengo mis dudas que esto me arregle lo que quiero exactamente ya te contaré

Muchas gracias

Hola Daniel,

Perdona pero el switch Layer 3 de la oficina es un cisco 4503 E y no el que te dije en el correo anterior.

Otra cosa he intentado ver el pkt que me pusiste en dropbox, pero desgraciadamente no he podido porque mi versión de Packet tracert es la 6.0.0.0045 y me dice que no puede abrir este archivo que has puesto, con lo que no lo he podido ver.

Un saludo y muchas gracias

Hola Daniel,

He pensado que si yo no puedo ver tu pkt a lo mejor tu si, te dejo una configuración sin ACLs para ver si ves alguna cosa mal, y para que veas que no puedo llegar desde los PCs de una Vlan a la otra.

https://www.dropbox.com/sh/thkyj9ybntd1r1y/AAAL0RA5hvvoWXvQZU4xUDzua?dl=0

Un saludo y gracias

Ok.

Lo reviso y te comento

Ya revise el laboratorio y te comento lo siguiente:

1.- En el Switch de capa 2 

• La PC4 tiene la dirección IP 10.133.3.20

Puerto de conexión Fa0/6

Asignado  a la VLAN 40 (Debería de estar asignado a la VLAN 30)

En la configuración de tu Switch capa 3 la interface VLAN 40 tiene la dirección 10.133.4.1

• La PC3 tiene la dirección IP 10.133.4.20

Puerto de conexión Fa0/5
Asignado  a la VLAN 30 (Debería de estar asignado a la VLAN 40)
En la configuración de tu Switch capa 3 la interface VLAN 40 tiene la dirección 10.133.4.1

•La PC1 y la PC0 se encuentra bien configurada al igual que los puertos y asignación de VLANs

Borré la lista de acceso que tienes configurada ya que no la tienes aplicada en ninguna interface y no realiza ninguna acción.

Como prueba envié un ping desde la PC1 (10.133.3.10) a la PC0 (10.133.4.10) y respondió el ping sin problema.

**Por favor si la informacion fue util marca esta respuesta como correcta**

**Tu reconocimiento nos alienta a seguir participando en los foros **

Hola Daniel, 

te cuento, lo que dices sobre esto:

Puerto de conexión Fa0/6

Asignado  a la VLAN 40 (Debería de estar asignado a la VLAN 30)

En la configuración de tu Switch capa 3 la interface VLAN 40 tiene la dirección 10.133.4.1

• La PC3 tiene la dirección IP 10.133.4.20

Puerto de conexión Fa0/5
Asignado  a la VLAN 30 (Debería de estar asignado a la VLAN 40)
En la configuración de tu Switch capa 3 la interface VLAN 40 tiene la dirección 10.133.4.1

Ya lo se, fueron pruebas que fui haciendo porque como no podía llegar desde el pc1 al pc0 y viceversa, se me ocurrió que a lo mejor los PCs deberían tener otra tarjeta de red con la configuración de la otra vlan y como eso no se puede hacer en el packet tracert hice eso que comentas.

¿has cambiado algo de configuración, (además de quitar las acls que ya sabía que sobraban, pero como no las tenía aplicadas las dejé) para poder hacer ping desde el Pc0 al pc01 ¿te ha funcionado este ping? ¿actualmente has dejado la nueva configuración en la carpeta de dropbox?, es que hasta mañana no podré comprobarlo porque estoy fuera

Un saludo y muchas gracias

Hola Alberto.

Pues no he cambiado nada, la lista de acceso sobra por que no esta haciendo nada, pero incluso si la dejas y mandas un ping desde la PC1  a la PC0 va a contestar.

Solo asigna de forma correcta los puertos a cada PC (PC4 &PC3) a su clan correspondiente basado en sus direccionamientos y deberá de funcionar.

**Por favor si la informacion fue util marca esta respuesta como correcta**

**Tu reconocimiento nos alienta a seguir participando en los foros **

Hola Daniel,

Pues no entiendo nada, es decir no se porque no me deja desde cada pc en su correspondiente vlan 30 y 40 y su correspondiente gateway, poder llegar por ping y llegar desde un pc de la vlan 30 a un pc de la vlan 40, a lo mejor es cosa del packet tracert ¿? no lo entiendo, yo pensaba que si tiene un pc con un gateway de la vlan30 no podría llegar a un pc con un gateway de la vlan 40 y que a lo mejor necesitabas poner otra tarjeta de red con la ip de la otra vlan a la que quieres llegar, no se

Un saludo y gracias

Tampoco sé si lo estés probando bien.

Recuerda, con la configuración que tienes actualmente solo puedes llegar desde la PC0 a la PC1.

Las otras computadoras (PC3&PC4) están mal configuradas ya que la asignación de VLANs es errónea.

Haz la prueba de nuevo, desde tu PC0 envía un ping a la PC1 y seguro te contestará

**Por favor si la informacion fue util marca esta respuesta como correcta**

**Tu reconocimiento nos alienta a seguir participando en los foros **