# Configuración de VLANS en switch

Vamos a ver que formas hay  de hacerlo pero primero de todo, **¿qué es una vlan?**

> Una VLAN es una red lógica independiente que se crea dentro de una misma red física, normalmente usando switches gestionables. Aunque todos los equipos estén conectados al mismo switch (y cables), una VLAN hace que se comporten como si estuvieran en redes distintas y separadas.

* VLAN significa **Virtual LAN** (Red de Área Local Virtual).
* Es una forma de dividir una red física en varias redes lógicas, separando el tráfico de unos dispositivos del de otros.
* Funciona en la **capa 2 del modelo OSI (capa de enlace)**, normalmente usando el estándar IEEE 802.1Q, que etiqueta las tramas con un identificador de VLAN (VLAN ID).
* Los dispositivos de una misma VLAN pueden comunicarse directamente entre sí, pero no con otras VLAN salvo que haya un router o un switch capa 3 que haga inter‑VLAN routing.

<figure><img src="https://539580950-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FiKvwltOme7zTxep3LVyW%2Fuploads%2FM2Y5w1JpK2OQtG2W6nGO%2Fimage.png?alt=media&#x26;token=e7f88935-3244-4657-a99f-89f34a586383" alt=""><figcaption></figcaption></figure>

#### Para qué se usan las VLAN <a href="#para-qu-se-usan-las-vlan" id="para-qu-se-usan-las-vlan"></a>

Las VLAN se usan principalmente para:

* **Segmentar la red y organizarla mejor**: permiten dividir una red grande en segmentos lógicos (por departamento, tipo de servicio, planta del edificio, etc.).
* **Mejorar la seguridad**: al separar el tráfico, evitas que equipos de una VLAN vean o accedan fácilmente a recursos de otra; puedes limitar qué VLAN puede hablar con cuál mediante reglas en el router o firewall.
* **Reducir dominio de broadcast y mejorar rendimiento**: cada VLAN es su propio dominio de difusión, con lo que se reduce el tráfico innecesario y se mejora la eficiencia de la red.
* **Aumentar la flexibilidad**: puedes agrupar usuarios que están físicamente en sitios distintos dentro de la misma VLAN, simplemente configurando puertos del switch, sin cambiar el cableado.
* **Separar tipos de tráfico**: por ejemplo, VLAN de datos de usuarios, VLAN de voz (VoIP), VLAN de gestión para administrar equipos de red, VLAN de invitados para visitantes, etc.

#### Tipos habituales de VLAN y usos típicos <a href="#tipos-habituales-de-vlan-y-usos-tpicos" id="tipos-habituales-de-vlan-y-usos-tpicos"></a>

* [x] **VLAN de datos**: para PCs y tráfico normal de usuarios; ayuda a organizar por departamentos o servicios.
* [x] **VLAN de voz**: para teléfonos IP; permite priorizar voz y garantizar calidad de llamadas.​
* [x] **VLAN de gestión**: para acceder a la configuración de switches, routers, APs, etc., separada del tráfico de usuarios.
* [x] **VLAN de invitados**: para visitantes, móviles o dispositivos poco confiables, aislados del resto de la red interna.
* [x] **VLAN nativa**: usada en enlaces troncales para el tráfico no etiquetado; debe configurarse con cuidado para evitar problemas de seguridad.

Puedes ver más en detalle estos temas[ en otra página](https://apuntes-alex.gitbook.io/apuntes-sistemas-y-redes/redes/introduccion-a-las-redes/segmentacion-de-red-y-vlans).

Vamos a ver tres prácticas con dificultad incrementada:

1. [Configuración de VLANS](#id-1-preparar-el-escenario-en-packet-tracer)
2. [VLAN routing con interfaces físicas dedicadas](#id-1-preparar-el-escenario-en-packet-tracer-1)
3. [Router-on-a-stick](#id-1-preparar-el-escenario-en-packet-tracer-1)
4. [Switch de capa 3](#practica-configuracion-de-switch-de-capa-3-e-inter-vlan-routing)

***

## PRÁCTICA - VLANs  <a href="#id-1-preparar-el-escenario-en-packet-tracer" id="id-1-preparar-el-escenario-en-packet-tracer"></a>

Vamos a empezar con un ejemplo sencillo donde un solo switch va a tener diferentes puntos de acceso para diferentes VLANs y un router con un enlace troncal todo ello conectado de forma estática y manual.

<figure><img src="https://539580950-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FiKvwltOme7zTxep3LVyW%2Fuploads%2F2BxQVmZ4FpKbARRaN2YZ%2Fimage.png?alt=media&#x26;token=1ab030ee-5b42-4f7c-80e6-5431a55a2a0c" alt=""><figcaption></figcaption></figure>

La distribución de VLANs será ls siguiente:

| VLAN        | Nombre       | Subred         | Puertos   |
| ----------- | ------------ | -------------- | --------- |
| **VLAN 10** | Directivos   | 192.168.5.0/24 | Fa0/2-6   |
| **VLAN 11** | Jefes        | 192.168.6.0/24 | Fa0/7-12  |
| **VLAN 12** | Trabajadores | 192.168.7.0/24 | Fa0/13-18 |
| **VLAN 13** | Clientes     | 192.168.8.0/24 | Fa0/19-24 |

Cuyas conexiones Principales son:

* **Switch Puerto Fa0/1**: Trunk hacia el Router (permite paso de todas las VLANs)
* **Router Fa0/0**: Conectado al puerto Fa0/1 del Switch en modo trunk
* **VLAN 1**: Se mantiene para gestión, no se segmenta

Vamos con los pasos:

### Paso 1: Crear VLAN 10 (Directivos) y asignar puertos

```
(config)# vlan 10
(config-vlan)# name directivos
(config-vlan)# exit
```

**Explicación:**

* `vlan 10`: Crea la VLAN con ID 10
* `name directivos`: Asigna un nombre descriptivo
* `exit`: Vuelve al modo configuración

Seguimos asignando puertos de acceso:

```
(config)# interface range fa0/2 - 6
(config-if-range)# switchport mode access
(config-if-range)# switchport access vlan 10
(config-if-range)# no shutdown
(config-if-range)# exit
```

**Explicación:**

* `interface range fa0/2 - 6`: Selecciona puertos del 2 al 6
* `switchport mode access`: Pone los puertos en modo access (no trunk)
* `switchport access vlan 10`: Asigna estos puertos a la VLAN 10
* `no shutdown`: Activa los puertos
* `exit`: Vuelve al modo configuración

### Paso 2: Crear VLAN 11 (Jefes de Sección) y asignar puertos

```
(config)# vlan 11
(config-vlan)# name jefeseccion
(config-vlan)# exit

(config)# interface range fa0/7 - 12
(config-if-range)# switchport mode access
(config-if-range)# switchport access vlan 11
(config-if-range)# no shutdown
(config-if-range)# exit
```

### Paso 3: Crear VLAN 12 (Trabajadores) y asignar puertos

```
(config)# vlan 12
(config-vlan)# name trabajadores
(config-vlan)# exit

(config)# interface range fa0/13 - 18
(config-if-range)# switchport mode access
(config-if-range)# switchport access vlan 12
(config-if-range)# no shutdown
(config-if-range)# exit
```

### Paso 4: Crear VLAN 13 (Clientes) y asinar puertos

```
(config)# vlan 13
(config-vlan)# name clientes
(config-vlan)# exit

(config)# interface range fa0/19 - 24
(config-if-range)# switchport mode access
(config-if-range)# switchport access vlan 13
(config-if-range)# no shutdown
(config-if-range)# exit
```

### Paso 5: Configurar Puerto Trunk (Fa0/1) y verificar configuración

```
(config)# interface fa0/1
(config-if)# switchport mode trunk
(config-if)# switchport trunk encapsulation dot1q
(config-if)# exit
```

**Explicación:**

* `switchport mode trunk`: Pone el puerto en modo trunk (permite múltiples VLANs)
* `switchport trunk encapsulation dot1q`: Usa el protocolo 802.1Q para etiquetar VLANs

Finalmente guardamos la configuración completa con:

```
(config)# do write
(config)# exit
```

**Explicación:**

* `do write`: Guarda la configuración en la memoria (equivalente a `copy running-config startup-config`)

Para verificar la información podemos usar:

```
# show vlan brief
# show interfaces trunk
# show running-config | include vlan
```

### Paso 6: Configuración de interfaz y subinterfaces del router

Lo primero es activar la interfaz física de este:

```
> enable
# configure terminal
(config)# interface fa0/0
(config-if)# no shutdown
(config-if)# exit
```

Y ahora toca ir una por una con las subinterfaces:

* [x] Crear Subinterfaz para VLAN 10

```
(config)# interface fa0/0.10
(config-subif)# encapsulation dot1Q 10
(config-subif)# ip address 192.168.5.1 255.255.255.0
(config-subif)# no shutdown
(config-subif)# exit
```

**Explicación:**

* `interface fa0/0.10`: Crea una subinterfaz virtual para VLAN 10

* `encapsulation dot1Q 10`: Especifica etiquetado 802.1Q con ID 10

* `ip address 192.168.5.1 255.255.255.0`: Asigna IP del router (puerta de enlace para VLAN 10)

* `no shutdown`: Activa la subinterfaz

* [x] Crear Subinterfaz para VLAN 11

```
(config)# interface fa0/0.11
(config-subif)# encapsulation dot1Q 11
(config-subif)# ip address 192.168.6.1 255.255.255.0
(config-subif)# no shutdown
(config-subif)# exit
```

* [x] Crear Subinterfaz para VLAN 12

```
(config)# interface fa0/0.12
(config-subif)# encapsulation dot1Q 12
(config-subif)# ip address 192.168.7.1 255.255.255.0
(config-subif)# no shutdown
(config-subif)# exit
```

* [x] Crear Subinterfaz para VLAN 13

```
(config)# interface fa0/0.13
(config-subif)# encapsulation dot1Q 13
(config-subif)# ip address 192.168.8.1 255.255.255.0
(config-subif)# no shutdown
(config-subif)# exit
```

De nuevo, guardamos la configuración y verificamos esta:

```
(config)# do write
(config)# exit
# show ip interface brief
# show running-config | include encapsulation
# show interfaces
```

***

### Paso 7. CONFIGURACIÓN DE LOS PCs <a href="#id-5-configuracin-de-los-pcs" id="id-5-configuracin-de-los-pcs"></a>

**Ubicación:** Desktop > IP Configuration

**Pasos:**

1. Haz clic derecho en PC0
2. Selecciona "Desktop" → "IP Configuration"
3. Selecciona "Static"
4. Ingresa los valores de arriba

**PC0 (VLAN 10 - Directivos)**

| Parámetro       | Valor              |
| --------------- | ------------------ |
| IPv4 Address    | 192.168.5.2        |
| Subnet Mask     | 255.255.255.0      |
| Default Gateway | 192.168.5.1        |
| DNS Server      | (opcional) 8.8.8.8 |

&#x20;**PC1 (VLAN 11 - Jefes)**

| Parámetro       | Valor         |
| --------------- | ------------- |
| IPv4 Address    | 192.168.6.2   |
| Subnet Mask     | 255.255.255.0 |
| Default Gateway | 192.168.6.1   |

**PC2 (VLAN 12 - Trabajadores)**

| Parámetro       | Valor         |
| --------------- | ------------- |
| IPv4 Address    | 192.168.7.2   |
| Subnet Mask     | 255.255.255.0 |
| Default Gateway | 192.168.7.1   |

**PC3 (VLAN 13 - Clientes)**

| Parámetro       | Valor         |
| --------------- | ------------- |
| IPv4 Address    | 192.168.8.2   |
| Subnet Mask     | 255.255.255.0 |
| Default Gateway | 192.168.8.1   |

***

### Paso 8. VERIFICACIÓN Y PRUEBAS <a href="#id-6-verificacin-y-pruebas" id="id-6-verificacin-y-pruebas"></a>

#### VERIFICACIÓN EN EL SWITCH

```
# Ver resumen de VLANs
Switch# show vlan brief

# Debe mostrar:
# VLAN Name                             Status    Ports
# ---- -------------------------------- --------- ---...
# 1    default                          active    Fa0/1
# 10   directivos                       active    Fa0/2, Fa0/3, Fa0/4, Fa0/5, Fa0/6
# 11   jefeseccion                      active    Fa0/7, Fa0/8, Fa0/9, Fa0/10, Fa0/11, Fa0/12
# 12   trabajadores                     active    Fa0/13, Fa0/14, Fa0/15, Fa0/16, Fa0/17, Fa0/18
# 13   clientes                         active    Fa0/19, Fa0/20, Fa0/21, Fa0/22, Fa0/23, Fa0/24

# Ver puertos trunk
Switch# show interfaces trunk

# Debe mostrar:
# Port        Mode             Encapsulation  Status        Native vlan
# Fa0/1       on               802.1q         trunking      1
```

#### VERIFICACIÓN EN EL ROUTER

```
# Ver interfaces e IPs
Router# show ip interface brief

# Debe mostrar:
# Interface              IP-Address      OK? Method Status       Protocol
# FastEthernet0/0        unassigned      YES manual up             up
# FastEthernet0/0.10     192.168.5.1     YES manual up             up
# FastEthernet0/0.11     192.168.6.1     YES manual up             up
# FastEthernet0/0.12     192.168.7.1     YES manual up             up
# FastEthernet0/0.13     192.168.8.1     YES manual up             up

# Ver configuración de encapsulación
Router# show running-config | include encapsulation
# encapsulation dot1Q 10
# encapsulation dot1Q 11
# encapsulation dot1Q 12
# encapsulation dot1Q 13
```

Con esto ya puedes realizar las pruebas de conectividad con ping.

***

## PRÁCTICA - VLAN routing con interfaces físicas dedicadas <a href="#id-1-preparar-el-escenario-en-packet-tracer" id="id-1-preparar-el-escenario-en-packet-tracer"></a>

Te propongo una práctica sencilla con 1 router y 2 switches, donde **cada VLAN** cuelga de una interfaz física distinta del router (sin subinterfaces), y tendrás 3 VLANs en total.

### Topología y direccionamiento <a href="#topologa-y-direccionamiento" id="topologa-y-direccionamiento"></a>

Dispositivos:

* Router: R1
* Switch de acceso: SW1
* Switch de distribución (opcional, si quieres practicar troncales): SW2

VLANs y redes:

* VLAN 10 – Red 192.168.10.0/24 – PCs de Departamento A
* VLAN 20 – Red 192.168.20.0/24 – PCs de Departamento B
* VLAN 30 – Red 192.168.30.0/24 – PCs de Departamento C

Enlaces físicos (ejemplo):

* R1 G0/0 → SW1 F0/1 (VLAN 10)
* R1 G0/1 → SW1 F0/2 (VLAN 20)
* R1 G0/2 → SW1 F0/3 (VLAN 30)
* SW1 F0/24 ↔ SW2 F0/24 (trunk para extender VLANs entre switches)

La idea es que en SW1 esos puertos hacia el router sean puertos de acceso en VLAN distinta, y cada interfaz física del router tiene la IP gateway de esa VLAN. Los ordenadores se conectarán al SW2 por puertos:

Fa0/0 - 0/7 - vlan 10

Fa0/8 - 0/15 - vlan 20

Fa0/16 - 0/23 - vlan 30

### Paso 1: Configurar VLANs en los switches <a href="#paso-1-configurar-vlans-en-los-switches" id="paso-1-configurar-vlans-en-los-switches"></a>

En SW1 (y lo mismo en SW2 si lo usas):

```
enable
configure terminal
vlan 10
 name VLAN10_DEPA
vlan 20
 name VLAN20_DEPB
vlan 30
 name VLAN30_DEPC
exit
```

### Paso 2: Asignar puertos de acceso a las VLAN <a href="#paso-2-asignar-puertos-de-acceso-a-las-vlan" id="paso-2-asignar-puertos-de-acceso-a-las-vlan"></a>

Ejemplo en SW1 (ajusta puertos según dónde pongas los PCs):

```
configure terminal
! Puerto hacia router para VLAN 10
interface fastethernet0/1
 switchport mode access
 switchport access vlan 10
 no shutdown

! Puerto hacia router para VLAN 20
interface fastethernet0/2
 switchport mode access
 switchport access vlan 20
 no shutdown

! Puerto hacia router para VLAN 30
interface fastethernet0/3
 switchport mode access
 switchport access vlan 30
 no shutdown

! Puertos para PCs
interface fastethernet0/4
 switchport mode access
 switchport access vlan 10
 no shutdown

interface fastethernet0/5
 switchport mode access
 switchport access vlan 20
 no shutdown

interface fastethernet0/6
 switchport mode access
 switchport access vlan 30
 no shutdown
end
```

Si usas SW2, allí solo necesitas puertos de acceso para más PCs en las mismas VLANs, y el enlace F0/24 como trunk.

### Paso 3: Enlace troncal entre SW1 y SW2 (opcional pero recomendable) <a href="#paso-3-enlace-troncal-entre-sw1-y-sw2-opcional-per" id="paso-3-enlace-troncal-entre-sw1-y-sw2-opcional-per"></a>

En SW1:

```
configure terminal
interface fastethernet0/24
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30
 no shutdown
end
```

En SW2:

```
configure terminal
vlan 10
vlan 20
vlan 30
exit

interface fastethernet0/24
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30
 no shutdown
end
```

### Paso 4: Configuración del router (una interfaz por VLAN) <a href="#paso-4-configuracin-del-router-una-interfaz-por-vl" id="paso-4-configuracin-del-router-una-interfaz-por-vl"></a>

En R1:

```
enable
configure terminal

! VLAN 10 – Departamento A
interface gigabitethernet0/0
 ip address 192.168.10.1 255.255.255.0
 no shutdown

! VLAN 20 – Departamento B
interface gigabitethernet0/1
 ip address 192.168.20.1 255.255.255.0
 no shutdown

! VLAN 30 – Departamento C
interface gigabitethernet0/2
 ip address 192.168.30.1 255.255.255.0
 no shutdown

end
```

No hay subinterfaces ni `encapsulation dot1q` porque cada interfaz física del router se conecta a un puerto acceso de una VLAN distinta.

### Paso 5: Configurar IPs en los PCs <a href="#paso-5-configurar-ips-en-los-pcs" id="paso-5-configurar-ips-en-los-pcs"></a>

Ejemplos:

* PC VLAN 10 (conectado a F0/4 o en SW2 acceso VLAN 10):
  * IP: 192.168.10.10
  * Mask: 255.255.255.0
  * Gateway: 192.168.10.1
* PC VLAN 20:
  * IP: 192.168.20.10
  * Gateway: 192.168.20.1
* PC VLAN 30:
  * IP: 192.168.30.10
  * Gateway: 192.168.30.1

***

### Paso 6: Pruebas sugeridas <a href="#paso-6-pruebas-sugeridas" id="paso-6-pruebas-sugeridas"></a>

1. PING entre PCs de la misma VLAN (no pasa por el router).
2. PING entre VLANs (por ejemplo, de 192.168.10.10 a 192.168.20.10).
3. `show vlan brief` en SW1 y SW2 para verificar puertos y VLANs.
4. `show ip interface brief` en R1 para comprobar que las tres interfaces están up.

## PRÁCTICA - **VLANs en Router-on-a-stick** <a href="#id-1-preparar-el-escenario-en-packet-tracer" id="id-1-preparar-el-escenario-en-packet-tracer"></a>

Vamos a partir del siguiente ejemplo para poder realizar la práctica:

* VLAN 10 - Ventas
* VLAN 20 - Administración

Necesitamos una separación real y lógica entre ambas redes por temas de seguridad y segmentación. Tenemos un solo router conectado por una vlan nativa 1 y dos vlans separadas por switches.

Tendremos tres enlaces troncales, los dos al switch-troncal cada uno asignado a una vlan respectivamente y luego el enlace con el router.

El router proporcionará red a todos los PCs mediante DHCP

<figure><img src="https://539580950-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FiKvwltOme7zTxep3LVyW%2Fuploads%2FLVijMKy8ymJr7E3F6BUX%2Fimage.png?alt=media&#x26;token=693ec59b-c29f-4955-b92c-424baa4bb4f2" alt=""><figcaption></figcaption></figure>

| Nombre         | VLAN                   | Puertos                                                                          |
| -------------- | ---------------------- | -------------------------------------------------------------------------------- |
| SW0            | VLAN 10 - Ventas       | Todos                                                                            |
| SW1            | VLAN 20 Administración | Todos                                                                            |
| Switch troncal | VLAN 1                 | <p>Puerto Fa0/1 - VLAN 10<br>Puerto Fa0/2 - VLAN 20<br>Puerto Gi0/1 - VLAN 1</p> |

### Paso 1. Crear VLANs en el switch <a href="#id-2-crear-vlans-en-el-switch" id="id-2-crear-vlans-en-el-switch"></a>

Desde la CLI de los tres switches vamos a crear ambas vlans siguiendo los mismos pasos:

```
> enable
# configure terminal
(config)# vlan 10
(config-vlan)# name Ventas
(config-vlan)# exit
(config)# vlan 20
(config-vlan)# name Administracion
```

Comando clave: `vlan <id>` y `name <texto>` para nombrarla.

Verificación:

```
# show vlan brief
```

Ahí verás las VLAN 10 y 20 creadas.

***

### Paso 2. Configuración de trunk <a href="#id-3-asignar-puertos-como-access-a-una-vlan" id="id-3-asignar-puertos-como-access-a-una-vlan"></a>

Toca configurar el switch central para que admita SOLO una VLAN por puerto y switch, para ello vamos por cada interfaz:

```
! Trunk SOLO VLAN 10 hacia SW0
interface fa0/1
switchport trunk encapsulation dot1q !Solo para switches que no sean 2960/2960S/3560
switchport mode trunk
switchport trunk allowed vlan 10
no shutdown

! Trunk SOLO VLAN 20 hacia SW1
interface fa0/2
switchport trunk encapsulation dot1q !Solo para switches que no sean 2960/2960S/3560
switchport mode trunk
switchport trunk allowed vlan 20
no shutdown

! Trunk completo a router (todas VLANs)
interface gi0/1
switchport trunk encapsulation dot1q !Solo para switches que no sean 2960/2960S/3560
switchport mode trunk
switchport trunk allowed vlan 1,10,20
switchport trunk native vlan 1  ! VLAN1 sin tag
no shutdown
end
```

Ahora para verificar que Fa0/1 solo admite VLAN10 y Fa0/2 solo admite VLAN20 podemos:

```
show interfaces trunk  
```

Debería aparecer esto:

```
Switch#show interface trunk
Port        Mode         Encapsulation  Status        Native vlan
Fa0/1       on           802.1q         trunking      1
Fa0/2       on           802.1q         trunking      1

Port        Vlans allowed on trunk
Fa0/1       10
Fa0/2       20

Port        Vlans allowed and active in management domain
Fa0/1       10
Fa0/2       20

Port        Vlans in spanning tree forwarding state and not pruned
Fa0/1       10
Fa0/2       20
```

***

### Paso 3. Asignar puertos como access a una VLAN <a href="#id-3-asignar-puertos-como-access-a-una-vlan" id="id-3-asignar-puertos-como-access-a-una-vlan"></a>

Un puerto access pertenece solo a una VLAN y se usa normalmente para PCs o dispositiovs finales, en nuestro caso los puertos access serán los de los dos switches separados (0 y 1).

Para el SW0 (Solo VLAN10):

```
interface range fa0/2 - 24  ! Todos los puertos PCs → access VLAN10
switchport mode access
switchport access vlan 10
no shutdown

! Trunk de vuelta al troncal → SOLO VLAN10
interface fa0/1
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 10
no shutdown
end
```

Y hacemos lo mismo con SW1 (VLAN 20):

```
interface range fa0/1 , fa0/3 - 24  ! Todos los puertos PCs → access VLAN20
switchport mode access
switchport access vlan 20
no shutdown

! Trunk de vuelta al troncal → SOLO VLAN20
interface fa0/2
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 20
no shutdown
end
```

Puedes comprobarlo en cualquier de los switches con los siguientes comandos:

```
show running-config
show vlan id 10
show vlan id 20
show vlan brief  ! Solo VLAN10 activa
```

{% hint style="info" %}
&#x20;**Configurar SVI (Interface VLAN) para hacer ping entre VLANs (opcional)**

En un switch capa 2 puro necesitas un router (router‑on‑a‑stick) para inter‑VLAN routing. Muchos labs en Packet Tracer usan un switch capa 3 o router, pero para administración del switch puedes crear una interface VLAN:

```
# configure terminal
(config)# interface vlan 1
(config-if)# ip address 10.1.1.101 255.255.255.0
(config-if)# no shutdown
(config-if)# end
```

Esto sirve para gestionar el switch (Telnet/SSH), no para que las VLANs se enruten entre sí sin un router.
{% endhint %}

***

### Paso 4. Configuración de red del router

Para facilitarnos la vida vamos a configurar dos subredes por DHCP en el router que sirvan a una u otra VLANs, vamos con la siguiente configuración:

<table data-full-width="true"><thead><tr><th>Puerto</th><th width="142">Nombre</th><th>IP red</th><th>Gateway</th><th>Pool DHCP</th></tr></thead><tbody><tr><td>Gi0/0/0.10</td><td>VLAN 10 - Ventas</td><td>192.168.10.0/24</td><td>192.168.10.1</td><td>192.168.10.10 - 192.168.10.254</td></tr><tr><td>Gi0/0/0.20</td><td>VLAN 20 - Administración</td><td>192.168.20.0/24</td><td>192.168.20.1</td><td>192.168.20.10 - 192.168.20.254</td></tr></tbody></table>

Primero hay que entender que cada VLAN viaja por el mismo puerto encapsulada dentro de la VLAN nativa por lo que tenemos que hacer subpuertos lógicos para poder trabajar en el mismo. Vamos con los pasos en el Router:

**1. Excluir IPs reservadas (gateways, etc.):**

```
configure terminal
ip dhcp excluded-address 192.168.10.1 192.168.10.10  ! Excluye .1-.10 en VLAN10
ip dhcp excluded-address 192.168.20.1 192.168.20.10  ! Excluye .1-.10 en VLAN20
exit
```

**2. Pool DHCP para VLAN 10 (Ventas):**

```
ip dhcp pool VLAN10
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 8.8.8.8 8.8.4.4  ! Opcional
exit
```

**3. Pool DHCP para VLAN 20 (Administración):**

```
ip dhcp pool VLAN20
network 192.168.20.0 255.255.255.0
default-router 192.168.20.1
dns-server 8.8.8.8 8.8.4.4  ! Opcional
exit
```

**4. Subinterfaces para routing (router-on-a-stick):**

```
interface gigabitethernet0/0/0.10  ! Subint VLAN10
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
no shutdown
exit

interface gigabitethernet0/0/0.20  ! Subint VLAN20
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0
no shutdown
exit

interface gigabitethernet0/0/0  ! Puerto físico al trunk Gi0/1 del switch
no shutdown
end
```

**5. VLAN nativa 1:**

Esta  parte es opcional solamente lo necesitariamos en estos casos:

1. Gestión remota del router (Telnet/SSH desde PCs)
2. DHCP para VLAN1 (equipos legacy sin VLAN tag)
3. PCs conectados directamente al router en VLAN1
4. Switch management SVI que use VLAN1 como gateway

```
interface gigabitethernet0/0/0.1
encapsulation dot1Q 1 native
ip address 192.168.1.1 255.255.255.0
no shutdown
```

Ahora para verificar, en Router:

```
show ip dhcp binding  ! IPs asignadas
show ip dhcp pool     ! Estadísticas pools
show ip interface brief  ! Subinterfaces UP
```

## PRÁCTICA - Configuración de Switch de capa 3 e Inter-VLAN Routing

Extraído del siguiente documento:

{% file src="<https://539580950-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FiKvwltOme7zTxep3LVyW%2Fuploads%2FigUYGWDWLLLcYml5cLQM%2F4.3.8-packet-tracer---configure-layer-3-switching-and-inter-vlan-routing_es-XL.pdf?alt=media&token=dcc7a1a2-4713-47bc-b31c-bf050d6d4881>" %}

Trabajaremos en un switch multicapa de capa 3 (MLS), como el Cisco Catalyst 3560, es capaz de realizar switching de capa 2 y routing de capa 3. Una de las ventajas de usar un switch multicapa es esta funcionalidad doble.&#x20;

Un beneficio para las empresas pequeñas/medianas es la capacidad de comprar un solo switch multicapa en lugar de dispositivos de red separados para switching y routing. Las capacidades de un switch multicapa incluyen la capacidad de hacer routing de una red VLAN a otra usando varias interfaces virtuales en modo switch (SVI), así como la capacidad de convertir un puerto de switch de capa 2 en una interfaz de capa 3.

**Dispositivos principales:**

* MLS (Switch multicapa capa 3, ej: 3560)
* S1, S2, S3 (Switches capa 2)
* PC0 (VLAN 10), PC1 (VLAN 20), PC2 (VLAN 30)
* PC3 (VLAN 10), PC4 (VLAN 20), PC5 (VLAN 30)

**Tabla de direcciones IPv4:**

<table><thead><tr><th width="123.4000244140625">Dispositivo</th><th width="194.20001220703125">Interfaz</th><th width="282.5999755859375">IP</th><th>Máscara (/24)</th></tr></thead><tbody><tr><td>MLS</td><td>VLAN 10 - Staff</td><td>192.168.10.254</td><td>/24</td></tr><tr><td>MLS</td><td>VLAN 20 - Student</td><td>192.168.20.254</td><td>/24</td></tr><tr><td>MLS</td><td>VLAN 30 - Faculty</td><td>192.168.30.254</td><td>/24</td></tr><tr><td>MLS</td><td>VLAN 99</td><td>192.168.99.254</td><td>/24</td></tr><tr><td>MLS</td><td>G0/2</td><td>209.165.200.225</td><td>/30</td></tr><tr><td>PC0</td><td>NIC</td><td>192.168.10.1</td><td>/24</td></tr><tr><td>PC1</td><td>NIC</td><td>192.168.20.1</td><td>/24</td></tr><tr><td>PC2</td><td>NIC</td><td>192.168.30.1</td><td>/24</td></tr><tr><td>PC3</td><td>NIC</td><td>192.168.10.224</td><td>/24</td></tr><tr><td>PC4</td><td>NIC</td><td>192.168.20.224</td><td>/24</td></tr><tr><td>PC5</td><td>NIC</td><td>192.168.30.2</td><td>/24</td></tr><tr><td>S1</td><td>VLAN 99</td><td>192.168.99.1</td><td>/24</td></tr><tr><td>S2</td><td>VLAN 99</td><td>192.168.99.2</td><td>/24</td></tr><tr><td>S3</td><td>VLAN 99</td><td>192.168.99.3</td><td>/24</td></tr></tbody></table>

**El mapa es el siguiente:**

\
​

**Objetivos**
\
Parte 1. Configurar el switching de capa 3
\
Parte 2. Configurar el routing entre redes VLAN
\
Parte 3: configurar el enrutamiento IPv6 entre VLAN

***

### Parte 1: Configurar puerto capa 3 en MLS <a href="#parte-1-configurar-puerto-capa-3-en-mls" id="parte-1-configurar-puerto-capa-3-en-mls"></a>

**Paso 1.1:** Abre la CLI de MLS y configura G0/2 como puerto de **ruta** (no switchport):

```
MLS> enable
MLS# configure terminal
MLS(config)# interface g0/2
MLS(config-if)# no switchport
MLS(config-if)# ip address 209.165.200.225 255.255.255.252
MLS(config-if)# no shutdown
MLS(config-if)# exit
```

**Paso 1.2:** Verifica conectividad ping a la nube (209.165.200.226):

```
MLS# ping 209.165.200.226
```

Debe responder con 5 !!!!!! (éxito 100%).​

***

### Parte 2: Configurar VLANs y SVIs en MLS <a href="#parte-2-configurar-vlans-y-svis-en-mls" id="parte-2-configurar-vlans-y-svis-en-mls"></a>

La configuración del trunk difiere ligeramente en un switch de capa 3. En el switch de capa 3, la interfaz de enlace troncal debe encapsularse con el protocolo dot1q, sin embargo, no es necesario especificar los números de VLAN tal como es cuando se trabaja con un router y subinterfaces.

**Paso 2.1:** Crea las VLANs en MLS:

```
MLS(config)# vlan 10
MLS(config-vlan)# name Staff
MLS(config-vlan)# exit
MLS(config)# vlan 20
MLS(config-vlan)# name Student
MLS(config-vlan)# exit
MLS(config)# vlan 30
MLS(config-vlan)# name Faculty
MLS(config-vlan)# exit
MLS(config)# vlan 99
MLS(config-vlan)# exit
```

**Paso 2.2:** Configura las SVIs (interfaces VLAN) con IPs:

```
MLS(config)# interface vlan 10
MLS(config-if)# ip address 192.168.10.254 255.255.255.0
MLS(config-if)# no shutdown
MLS(config-if)# exit

MLS(config)# interface vlan 20
MLS(config-if)# ip address 192.168.20.254 255.255.255.0
MLS(config-if)# no shutdown
MLS(config-if)# exit

MLS(config)# interface vlan 30
MLS(config-if)# ip address 192.168.30.254 255.255.255.0
MLS(config-if)# no shutdown
MLS(config-if)# exit

MLS(config)# interface vlan 99
MLS(config-if)# ip address 192.168.99.254 255.255.255.0
MLS(config-if)# no shutdown
MLS(config-if)# exit
```

***

### Parte 3: Configurar troncales <a href="#parte-3-configurar-troncales" id="parte-3-configurar-troncales"></a>

**Paso 3.1:** En MLS, configura G0/1 como troncal:

```
MLS(config)# interface g0/1
MLS(config-if)# switchport trunk encapsulation dot1q
MLS(config-if)# switchport mode trunk
MLS(config-if)# switchport trunk native vlan 99
MLS(config-if)# no shutdown
MLS(config-if)# exit
```

**Paso 3.2:** En S1, configura G0/1 como troncal (igual para otros switches si aplica):

```
S1(config)# interface g0/1
S1(config-if)# switchport trunk encapsulation dot1q
S1(config-if)# switchport mode trunk
S1(config-if)# switchport trunk native vlan 99
S1(config-if)# no shutdown
```

***

### Parte 4: Activar routing capa 3 en MLS <a href="#parte-4-activar-routing-capa-3-en-mls" id="parte-4-activar-routing-capa-3-en-mls"></a>

**Paso 4.1:** Verifica rutas antes (deben estar vacías):

```
MLS# show ip route
```

No hay rutas conectadas aún.​

**Paso 4.2:** Activa routing global:

```
MLS# configure terminal
MLS(config)# ip routing
MLS(config)# end
```

**Paso 4.3:** Verifica rutas después:

```
MLS# show ip route
```

Debe mostrar las 4 VLANs como "C" (connected).​

***

### Parte 5: Configurar PCs y switches gestionados <a href="#parte-5-configurar-pcs-y-switches-gestionados" id="parte-5-configurar-pcs-y-switches-gestionados"></a>

**Paso 5.1:** Configura IPs en PCs (Desktop > IP Configuration):

* PC0: 192.168.10.1/24, Gateway 192.168.10.254
* PC1: 192.168.20.1/24, Gateway 192.168.20.254
* PC2: 192.168.30.1/24, Gateway 192.168.30.254
* PC3: 192.168.10.224/24, Gateway 192.168.10.254
* PC4: 192.168.20.224/24, Gateway 192.168.20.254
* PC5: 192.168.30.2/24, Gateway 192.168.30.254\
  ​

**Paso 5.2:** En S1, S2, S3: Crea VLAN 99 y configura SVI:

```
S1(config)# vlan 99
S1(config-vlan)# exit
S1(config)# interface vlan 99
S1(config-if)# ip address 192.168.99.1 255.255.255.0
S1(config-if)# no shutdown
S1(config-if)# exit
```

(Igual para S2: 192.168.99.2, S3: 192.168.99.3). Gateway por defecto: `ip default-gateway 192.168.99.254`​

***

### Parte 6: Verificaciones finales <a href="#parte-6-verificaciones-finales" id="parte-6-verificaciones-finales"></a>

**Paso 6.1:** Pings intra‑VLAN:

* PC0 → PC3 (VLAN 10)
* PC1 → PC4 (VLAN 20)
* PC2 → PC5 (VLAN 30)
* S1 → S2 (VLAN 99)\
  ​

**Paso 6.2:** Pings inter‑VLAN (prueba el routing):

* PC0 → PC1 (VLAN 10 → 20)
* PC1 → PC2 (VLAN 20 → 30)
* PC2 → PC0 (VLAN 30 → 10)\
  ​

**Paso 6.3:** Ping a la nube desde cualquier PC:

```
Desde PC0: ping 209.165.200.226
```

**Comandos útiles de verificación:**

```
MLS# show ip route
MLS# show vlan brief
MLS# show interfaces trunk
MLS# show ip interface brief
```

¡Listo! Esta práctica demuestra **switching capa 3** con SVIs y `ip routing`, sin necesidad de router externo.​

Si quieres avanzar más mírate:

* Spanning tree protocol
*