Significado del conmutador ip default-gateway L2
On noviembre 18, 2020 by admin Qué significa el comando ip default-gateway
en un conmutador Cisco L2 ? Leí algo al respecto en Internet, pero estaba escrito que le permite hacer Telnet al conmutador. Estoy un poco confundido. Cuando quiero hacer Telnet al conmutador, configuro la dirección IP de la interfaz VLAN 1 y funciona.
Comentarios
- Gran explicación, Ron. Gracias tommy
Responder
tl; dr
La administración del conmutador no puede enviar nada a una red de capa 3 diferente sin una puerta de enlace predeterminada. Telnet es un protocolo bidireccional, y el conmutador, sin la puerta de enlace predeterminada, no podría responder al host que intenta establecer la sesión Telnet.
Explicación larga:
La puerta de enlace predeterminada en un conmutador tiene la misma función que cualquier puerta de enlace configurada en una PC host. Sin una puerta de enlace predeterminada, la dirección de administración del conmutador (en la VLAN 1 en su caso, pero podría estar en cualquier VLAN configurada en el conmutador) no puede enviar tráfico desde su red a otra red.
Cuando un host ( incluida la gestión del conmutador), desea enviar un paquete a otro host, necesita resolver la dirección de capa 3 (IP, etc.) a la dirección de capa 2 del otro host (MAC, etc.) para poder construir una trama de capa 2.
El host (incluida la administración del conmutador) envía una solicitud ARP (Protocolo de resolución de direcciones) a través de una transmisión para realizar la resolución. Las transmisiones no cruzan los límites de la capa 3 (enrutadores). El host (incluida la administración del conmutador) puede saber si la dirección de capa 3 de destino está fuera de su red porque tiene su propia dirección de capa 3, la dirección de capa 3 de destino y la máscara de red de su red. Si el destino es en una red de capa 3 diferente, el host (incluida la administración del conmutador) enviará la trama a la dirección de capa 2 de la puerta de enlace.
IPv6 lo hace básicamente lo mismo, pero IPv6 no tiene difusiones, por lo que utiliza un grupo de multidifusión especial basado en los últimos 24 bits de la dirección IPv6. Esto no interrumpe a todos los hosts de la LAN y, con toda probabilidad, solo afectará al host para el que desea resolver la dirección de capa 2. La multidifusión tampoco cruza los límites de la capa 3, a menos que un enrutador está configurada para enrutar multidifusión (desactivada de forma predeterminada).
Respuesta
La respuesta corta aquí es que la puerta de enlace predeterminada es la local enrutador que lleva tráfico a otras redes. Es la forma predeterminada de salir de su red.
Recuerde, los enrutadores conectan redes y los conmutadores crean redes. Si se encuentra en otra red (que no sea Vlan1), debe enrutar el tráfico. Por ejemplo, su LAN doméstica (xxxx) y su red ISP (yyyy) tienen un enrutador para conectarlos (comúnmente llamado módem de cable).
Respuesta
Cuando quiero hacer Telnet al conmutador, configuro la dirección IP de la interfaz VLAN 1 y funciona.
También me sorprendió saber que, aunque no configuré una puerta de enlace predeterminada (usando el comando ip default-gateway
) en mi Catalyst 2960 L2 Cambiar. Podría hacer ping / telnet no solo desde un host en la misma subred, sino también desde hosts en subredes remotas .
Los hosts envían paquetes a su puerta de enlace predeterminada cuando La dirección IP de destino del paquete está en una subred diferente , y si no se ha configurado una puerta de enlace predeterminada, simplemente no pueden comunicarse fuera de su subred local. Entonces, la pregunta es ¿cómo es que la interfaz VLAN 1 del Switch es capaz de enviar datos al enrutador / puerta de enlace local si no se ha configurado con tal?
Bueno, resulta que aunque el La interfaz VLAN 1 del switch no conoce la dirección IP de su puerta de enlace predeterminada, emite una transmisión ARP para conocer la dirección MAC del host de destino del paquete (tal como lo haría si la dirección IP de destino del paquete estuviera en la misma subred) y una vez que la interfaz LAN del enrutador recibe el mensaje de transmisión ARP, intenta hacer coincidir la dirección IP de destino con cualquiera de sus rutas , si se encuentra una coincidencia (lo que significa que el enrutador sabe cómo llegar a la subred donde reside la dirección IP de destino in), luego responde con la dirección MAC de la interfaz en la que se recibió el mensaje ARP .
Aquí hay un diagrama que explica todo el proceso:
Tenga en cuenta que sin una puerta de enlace predeterminada configurada, el conmutador debe emitir una transmisión ARP para cada nueva dirección IP no local con la que desee comunicarse, lo que significa que el conmutador La tabla ARP mostrará una entrada para cada dirección IP no local que apunte a la misma dirección MAC (la dirección MAC de la interfaz del enrutador local). Por otro lado, si configura el conmutador con una puerta de enlace predeterminada, la El conmutador necesita emitir solo una transmisión ARP para conocer la dirección MAC de su puerta de enlace predeterminada configurada.
Actualización: como lo señaló @RonMaupin, los enrutadores solo responderán a las solicitudes ARP para direcciones IP no locales si proxy arp está habilitado en la interfaz de la puerta de enlace
Comentarios
- Estás que describe el ARP proxy, que está deshabilitado por personas con conocimiento porque representa un gran riesgo de seguridad. Solo lo habilita bajo circunstancias específicas y controladas cuando nada más servirá.
- Veo, gracias por la aclaración, ¿está el proxy ARP deshabilitado de forma predeterminada en los conmutadores L2?
- Proxy ARP está habilitado o deshabilitado en su enrutador. El enrutador responderá ARP para dispositivos en otras redes. Esto abre un agujero de seguridad que a menudo es inaceptable para muchas empresas. Si está desactivado, su conmutador nunca recibirá una respuesta ARP. ARP se transmite y, como transmisión, no ‘ t cruza un enrutador a una red diferente. El proxy ARP permitirá que el enrutador responda en lugar de un dispositivo en la otra red.
- Entendido, última pregunta, ¿por qué la interfaz de administración del ‘ intenta para resolver la dirección IP no local en primer lugar? Quiero decir, ¿por qué envía una transmisión ARP con la dirección IP no local como objetivo? Los hosts AFAIK solo deben usar ARP para encontrar la dirección física de una dirección IP en la misma red.
- Eso depende del sistema operativo. He visto ese comportamiento, pero no hay una forma general de decir que cualquier dispositivo funcionará o no de esa manera.
Deja una respuesta