Configuration du routage inter-VLAN avec les commutateurs Catalyst

Introduction

Ce document décrit comment configurer le routage inter-VLAN avec les commutateurs de la gamme Cisco Catalyst.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Connaissance de la procédure de création des VLAN

• Connaissance de la création de liaisons agrégées

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Catalyst 3850 qui exécute le logiciel Cisco IOS® XE Version 16.12.7

• Catalyst 4500 qui exécute le logiciel Cisco IOS® version 03.09.00E

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Produits connexes

Cette configuration peut également être utilisée avec les versions de matériel et de logiciel suivantes :

• Tout commutateur Catalyst 3000/9000 et ultérieur

• Tout modèle de commutateur Catalyst, utilisé comme commutateur de couche d’accès

Informations générales

En mettant en oeuvre le routage inter-VLAN, les entreprises peuvent conserver les avantages de la segmentation VLAN tout en permettant la communication nécessaire entre les différentes parties du réseau. Cela est particulièrement utile dans les environnements réseau complexes où différents services ou services doivent interagir efficacement et en toute sécurité. Un exemple de configuration pour le routage inter-VLAN est configuré sur un commutateur de la gamme Catalyst 3850, avec une paire de commutateurs de la gamme Catalyst 4500 agissant comme des commutateurs de couche 2 (L2) qui se connectent directement au Catalyst 3850. Le commutateur Catalyst 3850 a une route par défaut pour tout le trafic destiné à Internet. Le tronçon suivant est un routeur Cisco, mais il peut également s'agir d'une passerelle Internet, telle qu'un pare-feu.

Dans un réseau local, les réseaux locaux virtuels divisent les périphériques en domaines de collision distincts et en sous-réseaux de couche 3 (L3). Les périphériques du même VLAN peuvent communiquer directement sans nécessiter de routage. Cependant, la communication entre les périphériques de différents VLAN nécessite un périphérique de routage.

Les commutateurs de couche 2 (L2) ont besoin d’un périphérique de routage de couche 3 pour faciliter la communication entre les VLAN. Ce périphérique de routage peut être externe au commutateur ou intégré dans un autre module du même châssis. Les commutateurs modernes, tels que Catalyst 3K/9K, intègrent des fonctionnalités de routage directement au sein du commutateur. Ces commutateurs peuvent recevoir un paquet, identifier qu'il appartient à un autre VLAN et le transférer au port approprié sur le VLAN de destination.

Une conception LAN classique segmente le réseau en fonction du groupe ou de la fonction des périphériques. Par exemple, le VLAN Ingénierie contient uniquement des périphériques liés au service Ingénierie, tandis que le VLAN Finances ne contient que des périphériques liés aux finances. L’activation du routage permet aux périphériques de différents VLAN de communiquer sans se trouver dans le même domaine de diffusion. Cette conception de VLAN offre également un avantage supplémentaire : les administrateurs peuvent utiliser des listes d’accès pour restreindre la communication entre les VLAN. Par exemple, les listes d'accès peuvent être utilisées pour empêcher les périphériques du VLAN ingénierie d'accéder aux périphériques du VLAN finance.

Configurer

Cette section fournit les informations nécessaires pour configurer le routage inter-VLAN comme décrit dans ce document.

Remarque : utilisez les outils d'assistance Cisco pour obtenir plus d'informations sur les commandes utilisées ici. Seuls les utilisateurs Cisco enregistrés ont accès à des outils tels que celui-ci et à d'autres informations internes.

Diagramme du réseau

Dans ce schéma, le commutateur Catalyst 3850 fournit la fonction de routage inter-VLAN entre les différents VLAN. Le commutateur Catalyst 3850 peut faire office de périphérique de couche 2 en désactivant le routage IP. Afin de faire fonctionner le commutateur comme un périphérique de couche 3 et de fournir le routage inter-VLAN, assurez-vous que le routage ip est activé globalement.

Configurations

Les trois VLAN suivants ont été définis pour cette configuration :

• VLAN 2 - VLAN utilisateur

• VLAN 3 - Server-VLAN

• VLAN 10 - Mgmt-VLAN

La passerelle par défaut de chaque serveur et périphérique hôte doit être configurée sur l'adresse IP de l'interface VLAN correspondante sur le Catalyst 3850. Par exemple, la passerelle par défaut pour les serveurs est 10.1.3.1. Les commutateurs de couche d’accès, qui sont les Catalyst 4500, sont connectés au Catalyst 3850 via des liaisons agrégées.

Pour le trafic Internet, le Catalyst 3850 a une route par défaut pointant vers un routeur Cisco, qui agit comme la passerelle Internet. Par conséquent, tout trafic pour lequel le Catalyst 3850 n'a pas de route dans sa table de routage est transféré au routeur Cisco pour un traitement ultérieur.

Recommandations

• Assurez-vous que le VLAN natif pour une agrégation 802.1Q est le même aux deux extrémités de la liaison agrégée. Si les VLAN natifs diffèrent, le trafic sur les VLAN natifs ne peut pas être transmis correctement, ce qui peut entraîner des problèmes de connectivité sur votre réseau.
• Séparez le VLAN de gestion des autres VLAN, comme illustré dans ce schéma. Cette séparation garantit que toute tempête de diffusion ou de paquets dans le VLAN utilisateur ou serveur n'affecte pas la gestion du commutateur.
• N'utilisez pas VLAN 1 pour la gestion. Tous les ports des commutateurs Catalyst sont définis par défaut sur le VLAN 1, et tous les ports non configurés sont placés dans le VLAN 1. L’utilisation du VLAN 1 pour la gestion peut entraîner des problèmes potentiels.
• Utilisez un port de couche 3 (routé) pour se connecter au port de la passerelle par défaut. Dans cet exemple, un routeur Cisco peut être remplacé par un pare-feu qui se connecte au routeur de passerelle Internet.
• Cet exemple configure une route statique par défaut sur le Catalyst 3850 vers le routeur Cisco pour atteindre Internet. Cette configuration est idéale s'il n'existe qu'une seule route vers Internet. Assurez-vous de configurer des routes statiques, de préférence récapitulées, sur le routeur de passerelle pour les sous-réseaux accessibles par le Catalyst 3850. Cette étape est importante car cette configuration n’utilise pas de protocoles de routage.
• Si votre réseau comporte deux commutateurs de couche 3, vous pouvez connecter les commutateurs de couche d'accès aux deux commutateurs 3850 et exécuter le protocole HSRP (Hot Standby Router Protocol) entre eux pour assurer la redondance du réseau.
• Si une bande passante supplémentaire est nécessaire pour les ports de liaison ascendante, vous pouvez configurer des EtherChannels, qui fournissent également une redondance de liaison en cas de défaillance d'une liaison.

Les configurations en cours des commutateurs utilisés dans la topologie sont présentées ci-dessous :

Remarque : la configuration du routeur de passerelle Internet n'est pas pertinente et n'est donc pas traitée dans ce document.

• Catalyst 3850 

• Catalyst 4500-A 

• Catalyst 4500-B 

SW_3850#show running-config
Building configuration...

Current configuration : 11543 bytes
!
! Last configuration change at 12:16:54 UTC Tue Nov 15 2022
!
version 16.12
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service internal
service call-home
no platform punt-keepalive disable-kernel-core
!
hostname SW_3850
!  
!--- IP routing enabled for Inter-VLAN routing.  

ip routing
!
!
no ip domain lookup
!
!
login on-success log
!
!        
!
vtp mode off 
! 
!--- Output suppressed.  

!--- Configure IEEE 802.1q trunks. 
!--- Issue the switchport mode trunk command to force the switch port to trunk mode. 

!
interface GigabitEthernet1/0/1
 shutdown
!
interface GigabitEthernet1/0/2
 shutdown
!         
interface GigabitEthernet1/0/3 description To_Switch-B switchport mode trunk
!
interface GigabitEthernet1/0/4
 no switchport no ip address shutdown   
! 
interface GigabitEthernet1/0/5 
 description To_Switch-A 
 switchport mode trunk 
! 
interface GigabitEthernet1/0/6 
no switchport 
no ip address
shutdown  
!
interface Vlan1
 no ip address
 shutdown
!

!--- This Switch Virtual Interface (SVI) is the default gateway for Users.
! 
interface Vlan2
 description User-SVI
 ip address 10.1.2.1 255.255.255.0
!

!--- This SVI is the default gateway for Servers VLAN.
!
interface Vlan3
 description Server-SVI
 ip address 10.1.3.1 255.255.255.0
!

!--- This SVI is the default gateway for other L2 switches management interface.  
! 
interface Vlan10
 description Management-SVI
 ip address 10.1.10.1 255.255.255.0 
!  

!--- This route statement allows the 3850 to send Internet traffic to the Cisco router. 

ip route 0.0.0.0 0.0.0.0 10.1.1.2 
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server  
! 
! 
! 
line con 0 
line vty 5 15 
! 
end

Remarque : dans cet exemple, le protocole VTP (VLAN Trunk Protocol) a été désactivé sur tous les commutateurs, à l'aide de la commande vtp mode off.

SW_3850(config)#vtp mode off
Setting device to VTP Off mode for VLANS.
SW_3850(config)#vlan 2
SW_3850(config-vlan)#name User_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 3
SW_3850(config-vlan)#name Server_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 10
SW_3850(config-vlan)#name Mgmt_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#end

Switch-A#show running-config
Building configuration...

Current configuration : 15360 bytes
!
! Last configuration change at 01:06:17 UTC Wed Nov 16 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
service compress-config
!
hostname Switch-A
!  
no ip domain-lookup
no ip dhcp snooping information option
!
!
login block-for 60 attempts 3 within 60
login delay 1
login quiet-mode access-class testblock
login on-failure log
login on-success log
vtp mode off
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!    
! 
vlan 3 name Server-VLAN ! vlan 10 name Mgmt-VLAN
!

!--- Output suppressed

!
interface GigabitEthernet1/1
 shutdown
!
interface GigabitEthernet1/2
 shutdown
!
interface GigabitEthernet1/3 switchport mode trunk
!  

!--- Configure Server (Host-A) to be the on the access VLAN 3.   

!
interface TenGigabitEthernet3/1 switchport access vlan 3 switchport mode access
!
interface TenGigabitEthernet3/2
 shutdown
!
interface TenGigabitEthernet3/3
!
interface TenGigabitEthernet3/4
!  

!--- Output suppressed. 
!--- IP address on VLAN 10 manages this switch.  

!
interface Vlan1
 no ip address
!
interface Vlan10 ip address 10.1.10.2 255.255.255.0
!
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local
!  

!--- Configure the default gateway so that the switch is reachable from other !--- VLANs/subnets. The gateway points to the VLAN 10 interface on the 3850.

ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
! 
!
line con 0
 stopbits 1
line vty 0 4
 logging synchronous
 transport input all
line vty 5 15
 logging synchronous
 transport input all
!  
end

Switch-B#show running-config 
Building configuration...

Current configuration : 6841 bytes
!
! Last configuration change at 10:44:33 UTC Tue Nov 15 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service compress-config
!
hostname Switch-B
!
boot-start-marker
boot system bootflash:cat4500es8-universal.SPA.03.11.06.E.152-7.E6.bin
boot-end-marker
!
!
vrf definition mgmtVrf
 !
 address-family ipv4
 exit-address-family
 !        
 address-family ipv6
 exit-address-family
!
!
no aaa new-model
hw-module module 7 mode 1
!
!
!
!
!
!
!
!
!
vtp mode off 
!
! spanning-tree mode pvst spanning-tree extend system-id !  
vlan 2 
name User-VLAN 
! 
vlan 10 name 
Mgmt-VLAN 
!
!
interface GigabitEthernet1/1 switchport mode trunk
!
interface GigabitEthernet1/2
!
interface GigabitEthernet1/3
 shutdown
!
interface GigabitEthernet1/4
 shutdown
!

!--- Output suppressed.
!--- Configure User (Host-B) in VLAN 2.

! interface GigabitEthernet8/5 switchport access vlan 2 switchport mode access !
 
!--- Configure the management IP address in VLAN 10. 
!
interface Vlan1
 no ip address
!
interface Vlan10 ip address 10.1.10.3 255.255.255.0
!  

!--- Define the default route so that the switch is reachable. 
! 
ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
!   
!
line con 0
 stopbits 1
line vty 0 4
 login
 transport input none
!
!
end

Vérifier

Vous trouverez ensuite une liste des commandes essentielles qui peuvent être utilisées pour vérifier l'état des périphériques et pour confirmer que votre configuration fonctionne correctement :

show vtp status - Cette commande affiche l'état du protocole VTP (VLAN Trunking Protocol) sur le commutateur. Il fournit des informations sur la version VTP, le nom de domaine, le mode (serveur, client ou transparent) et le nombre de VLAN existants. Cela est utile pour vérifier la configuration VTP et assurer la cohérence des informations VLAN sur le réseau.

show interfaces trunk - Cette commande affiche l'état des ports trunk sur le commutateur. Elle fournit des détails sur les interfaces configurées en tant qu’agrégations, le type d’encapsulation (par exemple 802.1Q) et les VLAN autorisés sur chaque agrégation. Ceci est essentiel pour le dépannage des problèmes de connectivité VLAN et pour garantir une configuration d’agrégation correcte.

show ip route - Cette commande affiche la table de routage IP du commutateur. Elle répertorie toutes les routes connues, y compris les réseaux connectés directement, les routes statiques et les routes apprises via des protocoles de routage dynamique. Cela est essentiel pour vérifier les chemins de routage et s’assurer que le commutateur peut atteindre tous les réseaux nécessaires.

show ip cef - Cette commande affiche le résultat de Cisco Express Forwarding (CEF). Il fournit des informations sur les entrées CEF, y compris les adresses de tronçon suivant et les interfaces associées. Cela est utile pour résoudre les problèmes de transfert et assurer un traitement efficace des paquets.

Remarque : l'outil Cisco CLI Analyzer peut vous aider à dépanner et à vérifier l'état général de votre logiciel pris en charge par Cisco grâce à ce client SSH intelligent qui utilise les connaissances et les outils intégrés du centre d'assistance technique.

Remarque : pour plus d'informations sur les commandes CLI, reportez-vous aux guides de référence des commandes de chaque plate-forme de commutation.  

Remarque : seuls les utilisateurs Cisco enregistrés ont accès à des outils tels que celui-ci et à d'autres informations internes.

Catalyst 3850

SW_3850#show vtp status      
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : bc67.1c5d.3800
Configuration last modified by 10.0.0.10 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 8
Configuration Revision            : 0
MD5 digest                        : 0x7E 0xC3 0x8D 0x91 0xC8 0x53 0x42 0x14 
                                    0x79 0xA2 0xDF 0xE9 0xC0 0x06 0x1D 0x7D

SW_3850#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan  
Gi1/0/3 on 802.1q trunking 1 Gi1/0/5 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/0/3 1-4094 Gi1/0/5 1-4094

Port        Vlans allowed and active in management domain
Gi1/0/3 1-3,10 Gi1/0/5 1-3,10 
Port        Vlans in spanning tree forwarding state and not pruned
Gi1/0/3     1-3,10
Gi1/0/5     1,3,10

SW_3850#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
       n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       H - NHRP, G - NHRP registered, g - NHRP registration summary
       o - ODR, P - periodic downloaded static route, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is 10.100.100.2 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via 10.100.100.2
      10.0.0.0/8 is variably subnetted, 8 subnets, 2 masks
C        10.1.2.0/24 is directly connected, Vlan2
L        10.1.2.1/32 is directly connected, Vlan2
C        10.1.3.0/24 is directly connected, Vlan3
L        10.1.3.1/32 is directly connected, Vlan3
C        10.1.10.0/24 is directly connected, Vlan10
L        10.1.10.1/32 is directly connected, Vlan10
C        10.100.100.0/24 is directly connected, GigabitEthernet1/0/2
L        10.100.100.1/32 is directly connected, GigabitEthernet1/0/2

Catalyst 4500-A

Switch-A#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 2
VTP Domain Name                 : cisco.com
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6400.f13e.dc40
Configuration last modified by 10.1.10.2 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 32
Configuration Revision            : 0
MD5 digest                        : 0x0B 0x61 0x4F 0x9B 0xCD 0x1B 0x37 0x55 
                                    0xAB 0x0C 0xC1 0x4B 0xF8 0xDE 0x33 0xB3 

Switch-A#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/3 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/3 1-4094

Port        Vlans allowed and active in management domain
Gi1/3 1,3,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/3       1,3,10

Catalyst 4500-B

Switch-B#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6c20.5606.3540
Configuration last modified by 10.1.10.3 at 11-15-22 10:42:29

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 7
Configuration Revision            : 0
MD5 digest                        : 0xEC 0xB4 0x8D 0x46 0x94 0x95 0xE0 0x8F 
                                    0xEE 0x1E 0xC7 0x9F 0x26 0x88 0x49 0x9F 

Switch-B#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/1 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/1 1-4094

Port        Vlans allowed and active in management domain
Gi1/1 1-2,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/1       1-2,10

Dépannage

1. Problèmes de requêtes ping dans le même VLAN

• Si vous ne pouvez pas envoyer de requête ping aux périphériques du même VLAN, vérifiez l'affectation VLAN des ports source et de destination pour vous assurer qu'ils se trouvent dans le même VLAN.
• Pour vérifier l'affectation de VLAN, utilisez la commande show interface status.
• Utilisez la commande show mac address-table pour vérifier que le commutateur L2 apprend l'adresse MAC de chaque périphérique dans le VLAN approprié. 

2. Problèmes de requêtes ping sur différents commutateurs

• Si la source et la destination se trouvent sur des commutateurs différents, assurez-vous que les agrégations sont configurées correctement. Utilisez la commande show interfaces trunk pour vérifier la configuration.
• Vérifiez que le VLAN natif correspond des deux côtés de la liaison agrégée et que le masque de sous-réseau correspond entre les périphériques source et de destination.

3. Problèmes de requêtes ping entre différents VLAN

• Si vous ne pouvez pas envoyer de requête ping aux périphériques de différents VLAN, assurez-vous que vous pouvez envoyer une requête ping à la passerelle par défaut correspondante (voir l'étape 1).
• Vérifiez que la passerelle par défaut du périphérique pointe vers l'adresse IP de l'interface VLAN correcte et que le masque de sous-réseau correspond.

4. Problèmes de connectivité Internet

• Si vous ne parvenez pas à accéder à Internet, assurez-vous que la route par défaut sur le Catalyst 3850 pointe vers l'adresse IP correcte et que l'adresse de sous-réseau correspond au routeur de passerelle Internet.
• Assurez-vous que le commutateur L3 (3850 dans ce scénario) peut envoyer une requête ping à la passerelle Internet.
• Pour vérifier, utilisez la commande show ip cef <prefix> pour identifier si elle pointe vers la bonne interface.
• Assurez-vous que le routeur de passerelle Internet dispose de routes vers Internet et les réseaux internes.

Informations connexes

• Configurer le routage inter VLAN au moyen d’un routeur externe
• Créer des VLAN Ethernet sur les commutateurs Catalyst
• Assistance technique de Cisco et téléchargements