Configuración del routing ente VLAN con switches Catalyst

Introducción

En este documento se describe cómo configurar el routing entre VLAN con los switches Cisco Catalyst.

Prerequisites

Requirements

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

• Conocimiento de cómo crear VLAN

  Para obtener más información, consulte Creación de VLAN Ethernet en Switches Catalyst.

• Conocimiento de cómo crear enlaces troncales

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Catalyst 3850 que ejecuta la versión 16.12.7 del software Cisco IOS® XE

• Catalyst 4500 que ejecuta Cisco IOS® Software Release 03.09.00E

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Productos Relacionados

Esta configuración también se puede utilizar con las siguientes versiones de hardware y software:

• Cualquier switch Catalyst 3k/9k y posterior

• Cualquier modelo de switch Catalyst, utilizado como switch de capa de acceso

Antecedentes

Este documento proporciona una configuración de ejemplo para el ruteo Inter VLAN con un switch Catalyst de la serie 3850 en un escenario de red típico. El documento utiliza dos switches Catalyst de la serie 4500 como switches de Capa 2 (L2) que se conectan directamente al Catalyst 3850. La configuración de Catalyst 3850 también tiene una ruta predeterminada para todo el tráfico que va a Internet cuando el salto siguiente apunta a un router de Cisco. Puede sustituir la puerta de enlace de Internet por un firewall u otro modelo de router.

Nota: La configuración del router de la puerta de enlace de Internet no es relevante, por lo que este documento no trata la configuración.

En una red conmutada, las VLAN separan a los dispositivos en diferentes dominios de colisión y subredes de Capa 3 (L3). Los dispositivos dentro de una VLAN pueden comunicarse entre sí sin la necesidad de ruteo. Los dispositivos en VLAN separadas requieren un dispositivo de ruteo para comunicarse entre sí.

Los switches solo L2 requieren un dispositivo de ruteo L3 para proporcionar comunicación entre las VLAN. El dispositivo es externo al switch o se encuentra en otro módulo en el mismo chasis. Una nueva generación de switches incorpora la capacidad de ruteo dentro del switch. Un ejemplo es el 3850. El switch recibe un paquete, determina que el paquete pertenece a otra VLAN y envía el paquete al puerto apropiado en la VLAN de destino.

Un diseño de red típico divide la red en segmentos según el grupo o la función a la que pertenece el dispositivo. Por ejemplo, las VLAN de ingeniería solo tienen dispositivos que se relacionan con el departamento de ingeniería y las VLAN de finanzas solo tienen dispositivos que se relacionan con las finanzas. Si usted habilita el ruteo, los dispositivos en cada VLAN pueden comunicarse entre sí sin la necesidad de que todos los dispositivos estén en el mismo dominio de broadcast. Dicho diseño de VLAN también tiene un beneficio adicional. El diseño permite que el administrador restrinja la comunicación entre las VLAN con el uso de listas de acceso. Por ejemplo, puede utilizar listas de acceso para restringir el acceso de la VLAN de ingeniería a los dispositivos de la VLAN financiera.

Consulte este documento que demuestra cómo configurar el ruteo Inter VLAN en un Catalyst 3550 Series Switch para obtener más información, Cómo Configurar el Ruteo Inter VLAN en Switches de Capa 3 .

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice las Herramientas de soporte de Cisco para obtener más información sobre los comandos que se utilizan aquí. Solo los usuarios registrados de Cisco tienen acceso a herramientas como esta y otra información interna.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

En este diagrama, una pequeña red de muestra con el Catalyst 3850 proporciona ruteo Inter VLAN entre los diversos segmentos. El switch Catalyst 3850 puede actuar como un dispositivo L2 con la inhabilitación del IP Routing. Para hacer que el switch funcione como un dispositivo L3 y proporcionar ruteo Inter VLAN, asegúrese de que el ruteo ip esté habilitado globalmente.

Estas son las tres VLAN definidas por el usuario:

• VLAN 2: VLAN de usuario

• VLAN 3: servidor-VLAN

• VLAN 10: gestión de VLAN

La configuración del gateway predeterminado en cada dispositivo host y servidor debe ser la dirección IP de interfaz de VLAN que corresponda en el 3850. Por ejemplo, en el caso de los servidores, el gateway predeterminado es 10.1.3.1. Los switches de capa de acceso, que son Catalyst 4500, se conectan troncalmente al switch Catalyst 3850.

La ruta predeterminada para el Catalyst 3850 apunta al router de Cisco y se utiliza para rutear el tráfico destinado a Internet. Por lo tanto, el tráfico para el cual el 3850 no tiene una ruta en la tabla de ruteo se reenvía al router de Cisco para un proceso adicional.

Consejos Prácticos

• Asegúrese de que la VLAN nativa para un trunk 802.1Q sea la misma en ambos extremos del link trunk. Si la VLAN nativa en un extremo del trunk es diferente a la VLAN nativa del otro extremo, el tráfico de las VLAN nativas en ambos lados no se podrá transmitir correctamente en el trunk. Esta falla de transmisión correcta puede implicar algunos problemas de conectividad en su red.

• Separe la VLAN de administración de la VLAN de usuario o de servidor, como se muestra en este diagrama. La VLAN de administración es diferente a la VLAN de usuario o de servidor. Con esta separación, cualquier interrupción de los paquetes/de broadcast que ocurra en la VLAN de usuario o de servidor no afectará a la administración de los switches.

• No utilice la VLAN 1 para la administración. Todos los puertos de los switches Catalyst tienen VLAN 1 predeterminada y los dispositivos que se conectan a los puertos que no están configurados están en VLAN 1. El uso de VLAN 1 para la administración puede causar problemas potenciales para la administración de switches.

• Utilice un puerto (ruteado) de capa 3 para conectar al puerto de gateway predeterminado. En este ejemplo, puede reemplazar fácilmente un router de Cisco por un firewall que se conecte al router de gateway de Internet.

• Este ejemplo configura una ruta estática predeterminada en el 3850 hacia el router de Cisco para alcanzar Internet. Esta configuración es la mejor opción si hay solamente una ruta a Internet. Asegúrese de configurar rutas estáticas, preferiblemente resumidas, en el router de gateway para las subredes a las que puede llegar el Catalyst 3850. Este paso es muy importante porque esta configuración no utiliza protocolos de ruteo.

• Si tiene dos switches Catalyst 3850 en la red, puede conectar dos switches de capa de acceso a los switches 3850 y, a continuación, ejecutar el protocolo de router con espera en caliente (HSRP) entre los switches para proporcionar redundancia en la red.

• Si necesita ancho de banda adicional para los puertos de enlace ascendente, puede configurar EtherChannels. El EtherChannel también proporciona redundancia de link en el caso de una falla de link.

Configuraciones

En este documento, se utilizan estas configuraciones:

• Catalyst 3850 

• Catalyst 4500-A 

• Catalyst 4500-B 

SW_3850#show running-config
Building configuration...

Current configuration : 11543 bytes
!
! Last configuration change at 12:16:54 UTC Tue Nov 15 2022
!
version 16.12
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service internal
service call-home
no platform punt-keepalive disable-kernel-core
!
hostname SW_3850
!  
!--- IP routing enabled for Inter VLAN routing.  

ip routing
!
!
no ip domain lookup
!
!
login on-success log
!
!        
!
vtp mode off 
! 
!--- Output suppressed.  

!--- Configure IEEE 802.1q trunks. 
!--- Issue the switchport mode trunk command to force the switch port to trunk mode. 
!--- Note: The default trunking mode is dynamic auto. If you establish a trunk link 
!--- with the default trunking mode, the trunk does not appear 
!--- in the configuration, even though a trunk has been established on 
!--- the interface. Use the show interfaces trunk command to verify the 
!--- establishment of the trunk. 

!
interface GigabitEthernet1/0/1
 shutdown
!
interface GigabitEthernet1/0/2
 shutdown
!         
interface GigabitEthernet1/0/3 description To_Switch-B switchport mode trunk
!
interface GigabitEthernet1/0/4
 no switchport no ip address shutdown   
! 
interface GigabitEthernet1/0/5 
 description To_Switch-A 
 switchport mode trunk 
! 
interface GigabitEthernet1/0/6 
no switchport 
no ip address
shutdown  
!
interface Vlan1
 no ip address
 shutdown
!

!--- This SVI (Switch Virtual Interface) is the default gateway for Users.
! 
interface Vlan2
 description User-SVI
 ip address 10.1.2.1 255.255.255.0
!

!--- This SVI is the default gateway for Servers.
!
interface Vlan3
 description Server-SVI
 ip address 10.1.3.1 255.255.255.0
!

!--- This SVI is the default gateway for other L2 switches management interface.  
! 
interface Vlan10
 description Management-SVI
 ip address 10.1.10.1 255.255.255.0 
!  

!--- This route statement allows the 3850 to send Internet traffic to the Cisco router. 

ip route 0.0.0.0 0.0.0.0 10.1.1.2 
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server  
! 
! 
! 
line con 0 
line vty 5 15 
! 
end

Nota: Para este ejemplo, el VLAN Trunk Protocol (VTP) se configuró en off en todos los switches. Este switch utiliza los siguientes comandos para configurar VTP como desactivado y para crear las tres VLAN que el usuario definió desde el modo de configuración global:

SW_3850(config)#vtp mode off
Setting device to VTP Off mode for VLANS.
SW_3850(config)#vlan 2
SW_3850(config-vlan)#name User_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 3
SW_3850(config-vlan)#name Server_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 10
SW_3850(config-vlan)#name Mgmt_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#end

Switch-A#show running-config
Building configuration...

Current configuration : 15360 bytes
!
! Last configuration change at 01:06:17 UTC Wed Nov 16 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
service compress-config
!
hostname Switch-A
!  
no ip domain-lookup
no ip dhcp snooping information option
!
!
login block-for 60 attempts 3 within 60
login delay 1
login quiet-mode access-class testblock
login on-failure log
login on-success log
vtp mode off
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!    
! 
vlan 3 name Server-VLAN ! vlan 10 name Mgmt-VLAN
!

!--- Output suppressed

!
interface GigabitEthernet1/1
 shutdown
!
interface GigabitEthernet1/2
 shutdown
!
interface GigabitEthernet1/3 switchport mode trunk
!  

!--- Configure Server (Host-A) to be the on the access VLAN 3.   

!
interface TenGigabitEthernet3/1 switchport access vlan 3 switchport mode access
!
interface TenGigabitEthernet3/2
 shutdown
!
interface TenGigabitEthernet3/3
!
interface TenGigabitEthernet3/4
!  

!--- Output suppressed. 
!--- IP address on VLAN 10 manages this switch.  

!
interface Vlan1
 no ip address
!
interface Vlan10 ip address 10.1.10.2 255.255.255.0
!
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local
!  

!--- Configure the default gateway so that the switch is reachable from other !--- VLANs/subnets. The gateway points to the VLAN 10 interface on the 3850.

ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
! 
!
line con 0
 stopbits 1
line vty 0 4
 logging synchronous
 transport input all
line vty 5 15
 logging synchronous
 transport input all
!  
end

Switch-B#show running-config 
Building configuration...

Current configuration : 6841 bytes
!
! Last configuration change at 10:44:33 UTC Tue Nov 15 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service compress-config
!
hostname Switch-B
!
boot-start-marker
boot system bootflash:cat4500es8-universal.SPA.03.11.06.E.152-7.E6.bin
boot-end-marker
!
!
vrf definition mgmtVrf
 !
 address-family ipv4
 exit-address-family
 !        
 address-family ipv6
 exit-address-family
!
!
no aaa new-model
hw-module module 7 mode 1
!
!
!
!
!
!
!
!
!
vtp mode off 
!
! spanning-tree mode pvst spanning-tree extend system-id !  
vlan 2 
name User-VLAN 
! 
vlan 10 name 
Mgmt-VLAN 
!
!
interface GigabitEthernet1/1 switchport mode trunk
!
interface GigabitEthernet1/2
!
interface GigabitEthernet1/3
 shutdown
!
interface GigabitEthernet1/4
 shutdown
!

!--- Output suppressed.
!--- Configure User (Host-B) in VLAN 2.

! interface GigabitEthernet8/5 switchport access vlan 2 switchport mode access !
 
!--- Configure the management IP address in VLAN 10. 
!
interface Vlan1
 no ip address
!
interface Vlan10 ip address 10.1.10.3 255.255.255.0
!  

!--- Define the default route so that the switch is reachable. 
! 
ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
!   
!
line con 0
 stopbits 1
line vty 0 4
 login
 transport input none
!
!
end

Verificación

En esta sección encontrará información que puede utilizar para comprobar que su configuración funcione correctamente.

Nota: La herramienta Cisco CLI Analyzer puede ayudar a solucionar problemas y comprobar el estado general de su software compatible con Cisco con este cliente SSH inteligente que utiliza herramientas y conocimientos integrados del TAC.

Nota: Para obtener detalles sobre los comandos CLI, vea las Guías de Referencia de Comandos para plataformas de switching específicas.  

Nota: solo los usuarios registrados de Cisco tienen acceso a herramientas como esta y otra información interna.

Catalyst 3850

• show vtp status

SW_3850#show vtp status      
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : bc67.1c5d.3800
Configuration last modified by 10.0.0.10 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 8
Configuration Revision            : 0
MD5 digest                        : 0x7E 0xC3 0x8D 0x91 0xC8 0x53 0x42 0x14 
                                    0x79 0xA2 0xDF 0xE9 0xC0 0x06 0x1D 0x7D

• show interfaces trunk 

SW_3850#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan  
Gi1/0/3 on 802.1q trunking 1 Gi1/0/5 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/0/3 1-4094 Gi1/0/5 1-4094

Port        Vlans allowed and active in management domain
Gi1/0/3 1-3,10 Gi1/0/5 1-3,10 
Port        Vlans in spanning tree forwarding state and not pruned
Gi1/0/3     1-3,10
Gi1/0/5     1,3,10

• show ip route 

SW_3850#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
       n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       H - NHRP, G - NHRP registered, g - NHRP registration summary
       o - ODR, P - periodic downloaded static route, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is 10.100.100.2 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via 10.100.100.2
      10.0.0.0/8 is variably subnetted, 8 subnets, 2 masks
C        10.1.2.0/24 is directly connected, Vlan2
L        10.1.2.1/32 is directly connected, Vlan2
C        10.1.3.0/24 is directly connected, Vlan3
L        10.1.3.1/32 is directly connected, Vlan3
C        10.1.10.0/24 is directly connected, Vlan10
L        10.1.10.1/32 is directly connected, Vlan10
C        10.100.100.0/24 is directly connected, GigabitEthernet1/0/2
L        10.100.100.1/32 is directly connected, GigabitEthernet1/0/2

Catalyst 4500-A

• show vtp status

Switch-A#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 2
VTP Domain Name                 : cisco.com
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6400.f13e.dc40
Configuration last modified by 10.1.10.2 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 32
Configuration Revision            : 0
MD5 digest                        : 0x0B 0x61 0x4F 0x9B 0xCD 0x1B 0x37 0x55 
                                    0xAB 0x0C 0xC1 0x4B 0xF8 0xDE 0x33 0xB3 

• show interfaces trunk 

Switch-A#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/3 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/3 1-4094

Port        Vlans allowed and active in management domain
Gi1/3 1,3,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/3       1,3,10

Catalyst 4500-B

• show vtp status

Switch-B#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6c20.5606.3540
Configuration last modified by 10.1.10.3 at 11-15-22 10:42:29

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 7
Configuration Revision            : 0
MD5 digest                        : 0xEC 0xB4 0x8D 0x46 0x94 0x95 0xE0 0x8F 
                                    0xEE 0x1E 0xC7 0x9F 0x26 0x88 0x49 0x9F 

• show interfaces trunk

Switch-B#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/1 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/1 1-4094

Port        Vlans allowed and active in management domain
Gi1/1 1-2,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/1       1-2,10

Troubleshoot

Use esta sección para resolver problemas de configuración.

Procedimiento de resolución de problemas

Siga estas instrucciones:

1. Si usted no puede hacer ping con los dispositivos dentro de la misma VLAN, verifique la asignación de VLAN de los puertos de origen y de destino para asegurarse de que el origen y el destino estén en la misma VLAN.

   Para verificar la asignación de VLAN, ejecute el comando show interface status para Cisco IOS Software.

   Si el origen y el destino no están en el mismo switch, asegúrese de haber configurado los troncos correctamente. Para verificar la configuración, ejecute el comando show interfaces trunk.

2. Además, verifique que la VLAN nativa coincida en ambos lados del link trunk. Asegúrese de que la máscara de subred coincida entre los dispositivos de origen y de destino.

3. Si usted no puede hacer ping con los dispositivos en diferentes VLAN, asegúrese de poder hacer ping con el respectivo gateway predeterminado. (Consulte el paso 1.)

   También, asegúrese de que el gateway predeterminado del dispositivo apunte a la dirección IP de interfaz de VLAN correcta. Asegúrese de que la máscara de subred coincide.

4. Si usted no puede conectarse a Internet, asegúrese de que la ruta predeterminada en el 3850 apunte a la dirección IP correcta y que la dirección de subred coincida con el router de gateway de Internet.

   Para verificar, ejecute el comando show ip interface interface-id. Asegúrese de que el router de gateway de Internet tenga rutas a Internet y a las redes internas.

Información Relacionada

• Crear de varias Ethernet VLAN en Catalyst Switches
• Soporte técnico y descargas de Cisco