Página 1 de 1

Roteamento entre Vlans SW L3

Enviado: 17 Set 2009, 10:47
por william_TI
E ai pessoal, estou precisando de uma ajuda, meus conhecimento em Switch L3 são leigos!!

Atualmente não tenho Vlan na minha rede e todos os roteadores são administrados pela Telefonica e compramos um Switch L3 Cisco 3750 para colocarmos no Core da rede e em cada site também e com isso vamos criar as Vlans, separados por serviços, exemplo: Relógio de Ponto, Servidores, Cameras, Switches e CPs.

Eu fiz um teste fazendo as rotas estáticas, porém não funcionou, existe algo mais que eu deva configurar?

Temos 5000 mil funcionários dividos em 8 sites, cada site terá um L3.

Configurei o Switch para fazer o roteamento entre as Vlans, os outros Sites e a Internet, o primeiro Switch será instalado na nossa saída para Internet, no qual já temos um Firewall IPTable e depois vamos migrar para um Cisco ASA.

Enviado: 19 Set 2009, 04:14
por ronaldobf
Não entendi bem onde você configurou rotas estáticas.

No switch multilayer, por padrão ele já vem habilitado para routing, mas para garantir, habilite com o comando "ip routing" no modo de configuração global.

Primeiro, configure o VTP domain e crie as VLANs necessárias. Tome cuidado para não sobreescrever VLANs existentes. Aconselho deixar o VTP no moto transparent.

Intervlan ocorre automaticamente para VLANs residentes neste switch. Crie uma interface vlan para cada vlan. Por exemplo, vlan 10

int vlan 10
ip address 10.10.10.1 255.255.255.0
description SERVER FARM
no shutdown

int vlan 20
ip address 10.20.20.1 255.255.255.0
description RELOGIO PONTO
no shutdown

Quando se cria interfaces vlan, faça o teste, sem adicionar qualquer rota estática. Veja que ele faz roteamento intervlan, pois as mesmas estão diretamente conectadas através deste switch.

Atrele interfaces para essas vlans (funcionando como layer 2):

int gig0/8
desc RELOGIO PONTO 1
switchport mode access
switchport access vlan 20
no shut

O default gateway dos devices conectados a estas interfaces devem ter o default gateway do IP da interface VLAN, deste caso, oda VLAN 20 - 10.20.20.1

Se for usar redundância, como HSRP, aí deve-se usar o IP virtual (mas acho que não é seu caso, pois você tem apenas um switch).


Pode-se usar range de interfaces... por exemplo, se você vai configurar as interfaces gigabit 0/8 a 0/12 para pertenceream a VLAN 20, faça o seguinte:

int range gig0/8 - 12
switchport mode access
switchport access vlan 20
no shut


Para interfaces "trunk", isto é, interfaces que permitam tráfego de múltiplas vlans (layer 2), faça o seguinte:

int gig0/18
desc TO_SWITCH_BLABLABLA
switchport mode trunk
switchport trunk encap dot1q
switchport trunk nonegotiate

nonnegotiate - não negocia trunk. Só vai funcionar com 802.1q (dot1q)

Por padrão, todas as vlans são permitidas no trunk. Por segurança, é aconselhável que use a feature "allowed vlan" para que seja parmitido apenas as vlans que você realmente utiliza.
Por exemplo, imagine que você quer que seja permitido apenas as vlans 10 e 20 no trunk. Faça o seguinte:

switchport trunk allowed vlan remove 2-1000
switchport trunk allowed vlan add 10, 20

switchport trunk allowed vlan remove 2-1000 Remove todas as VLANS que não as padrão. VLAN padrão são a VLAN 1 e VLAN 1000 a 1004. Estas continuam sendo permitidas.

switchport trunk allowed vlan add 10, 20 adiconar as vlans 10 e 20. Qualquer outra vlan, que não as padrão, não será permitida. Se você adicionar a VLAN 30, por exemplo, ela nao será permitida neste trunk a não ser que você adicione-a com o comando allowed vlan add 30.


Para interfaces, as quais se conectam a outros equipamentos L3 (que fazem roteamento), deve-se tornar essas interfaces para trabalharem na camada 3, usando o comando "no switchport". Exemplo:

int gig0/1
desc ROUTER_TELEFONICA
no switchport
ip add 10.0.0.1 255.255.255.252
no shut

Para voltar a interface para layer 2, use o comando "switchport" na configuração da interface.

depois de tudo configurado, é só divulgar as rotas. Aconselho você a utilizar rotas estáticas apenas se sua rede for pequena. Se possível, para
o firewall, utilize NAT.

NÃO USE VLAN 1. Deixe-a administratively down

Abraços,

Enviado: 21 Set 2009, 10:26
por william_TI
Ronaldo,

Pela sua resposta, eu percebi que teve coisa que deixei de configurar!
Vou ter que criar um Gmud aqui para fazer os testes novamente.

Valeu pela ajuda!

E no momento, não vamos utilizar redundância HSRP!

Enviado: 13 Mar 2010, 01:38
por almirf
quando cascatear os dois switches eu configuro o comando abaixo na porta de qual switch cascateado ? nos dois ?

switchport trunk allowed vlan add 10, 20

abs
Almir

ronaldobf escreveu:Não entendi bem onde você configurou rotas estáticas.

No switch multilayer, por padrão ele já vem habilitado para routing, mas para garantir, habilite com o comando "ip routing" no modo de configuração global.

Primeiro, configure o VTP domain e crie as VLANs necessárias. Tome cuidado para não sobreescrever VLANs existentes. Aconselho deixar o VTP no moto transparent.

Intervlan ocorre automaticamente para VLANs residentes neste switch. Crie uma interface vlan para cada vlan. Por exemplo, vlan 10

int vlan 10
ip address 10.10.10.1 255.255.255.0
description SERVER FARM
no shutdown

int vlan 20
ip address 10.20.20.1 255.255.255.0
description RELOGIO PONTO
no shutdown

Quando se cria interfaces vlan, faça o teste, sem adicionar qualquer rota estática. Veja que ele faz roteamento intervlan, pois as mesmas estão diretamente conectadas através deste switch.

Atrele interfaces para essas vlans (funcionando como layer 2):

int gig0/8
desc RELOGIO PONTO 1
switchport mode access
switchport access vlan 20
no shut

O default gateway dos devices conectados a estas interfaces devem ter o default gateway do IP da interface VLAN, deste caso, oda VLAN 20 - 10.20.20.1

Se for usar redundância, como HSRP, aí deve-se usar o IP virtual (mas acho que não é seu caso, pois você tem apenas um switch).


Pode-se usar range de interfaces... por exemplo, se você vai configurar as interfaces gigabit 0/8 a 0/12 para pertenceream a VLAN 20, faça o seguinte:

int range gig0/8 - 12
switchport mode access
switchport access vlan 20
no shut


Para interfaces "trunk", isto é, interfaces que permitam tráfego de múltiplas vlans (layer 2), faça o seguinte:

int gig0/18
desc TO_SWITCH_BLABLABLA
switchport mode trunk
switchport trunk encap dot1q
switchport trunk nonegotiate

nonnegotiate - não negocia trunk. Só vai funcionar com 802.1q (dot1q)

Por padrão, todas as vlans são permitidas no trunk. Por segurança, é aconselhável que use a feature "allowed vlan" para que seja parmitido apenas as vlans que você realmente utiliza.
Por exemplo, imagine que você quer que seja permitido apenas as vlans 10 e 20 no trunk. Faça o seguinte:

switchport trunk allowed vlan remove 2-1000
switchport trunk allowed vlan add 10, 20

switchport trunk allowed vlan remove 2-1000 Remove todas as VLANS que não as padrão. VLAN padrão são a VLAN 1 e VLAN 1000 a 1004. Estas continuam sendo permitidas.

switchport trunk allowed vlan add 10, 20 adiconar as vlans 10 e 20. Qualquer outra vlan, que não as padrão, não será permitida. Se você adicionar a VLAN 30, por exemplo, ela nao será permitida neste trunk a não ser que você adicione-a com o comando allowed vlan add 30.


Para interfaces, as quais se conectam a outros equipamentos L3 (que fazem roteamento), deve-se tornar essas interfaces para trabalharem na camada 3, usando o comando "no switchport". Exemplo:

int gig0/1
desc ROUTER_TELEFONICA
no switchport
ip add 10.0.0.1 255.255.255.252
no shut

Para voltar a interface para layer 2, use o comando "switchport" na configuração da interface.

depois de tudo configurado, é só divulgar as rotas. Aconselho você a utilizar rotas estáticas apenas se sua rede for pequena. Se possível, para
o firewall, utilize NAT.

NÃO USE VLAN 1. Deixe-a administratively down

Abraços,

Enviado: 13 Mar 2010, 06:35
por ronaldobf
Por questões de design, sim!

Regards,

Enviado: 13 Mar 2010, 07:06
por jennersouza
Srs,

Uma dúvida, se possível, me ajudem. Eu tenho um equipamento que utiliza o protocolo UXP. Instalei ele em uma rede com VLAN, porém só consigo utilizar ele, se o Host e os terminais estiverem na mesma VLAN. se instalar em Vlan's diferente não consigo utilizar. Tem algum tipo de liberação que preciso fazer?

Enviado: 29 Mar 2010, 20:23
por almirf
mas so pondo o "switchport trunk allowed vlan removed 3-1000" no sw1 ja impede de vlans acima da 2 de chegar ao sw2 ne ?

o eskema é router > sw1 > sw2
ronaldobf escreveu:Por questões de design, sim!

Regards,

VLAN

Enviado: 29 Mar 2010, 21:34
por jennersouza
rapaz.. o esquema é : core -> sw servers -> sw 1

OU seja.... Placa servidor ligada no SW CPD, que por sua vez esta ligado ao sw core, que por sua vez inteliga os outros sw com suas respectivas vlans

Enviado: 30 Mar 2010, 05:11
por ronaldobf
Se no switch 1 você possui 2 vlans (vlan 10 e 20, por exemplo), você deve fazer o vlan map para que o trunk entre o switch ore/distribution e o switch access permitam as respectivas vlans.

Você tem que permitir que as vlans cheguem até onde está o device responsável pelo roteamento (que fará intervlan).