Configurer le routage inter-VLAN avec les commutateurs Catalyst

Introduction

Ce document décrit comment configurer le routage inter-VLAN avec les commutateurs de la gamme Cisco Catalyst.

Conditions préalables

Exigences

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

• Connaissance de la procédure de création des VLAN

  Pour plus d'informations, référez-vous à Créer des VLAN Ethernet sur des commutateurs Catalyst.

• Connaissance de la création de liaisons agrégées

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Catalyst 3850 qui exécute le logiciel Cisco IOS® XE Version 16.12.7

• Catalyst 4500 qui exécute le logiciel Cisco IOS® version 03.09.00E

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Produits connexes

Cette configuration peut également être utilisée avec les versions de matériel et de logiciel suivantes :

• Tout commutateur Catalyst 3000/9000 et ultérieur

• Tout modèle de commutateur Catalyst, utilisé comme commutateur de couche d’accès

Informations générales

Ce document fournit un exemple de configuration pour le routage inter-VLAN avec un commutateur de la gamme Catalyst 3850 dans un scénario de réseau typique. Le document utilise deux commutateurs de la gamme Catalyst 4500 comme commutateurs de couche 2 (L2) qui se connectent directement au Catalyst 3850. La configuration du Catalyst 3850 dispose également d’une route par défaut pour tout le trafic qui va sur Internet lorsque le tronçon suivant pointe vers un routeur Cisco. Vous pouvez remplacer la passerelle Internet par un pare-feu ou un autre modèle de routeur.

Remarque : la configuration du routeur de passerelle Internet n'est pas pertinente. Par conséquent, ce document ne couvre pas la configuration.

Dans un réseau commuté, les VLAN séparent les périphériques dans différents domaines de collision et sous-réseaux de couche 3 (L3). Les périphériques d'un VLAN peuvent communiquer entre eux sans devoir recourir au routage. Les périphériques situés dans des VLAN distincts nécessitent un périphérique de routage pour communiquer entre eux.

Les commutateurs de couche 2 uniquement nécessitent un périphérique de routage de couche 3 pour assurer la communication entre les VLAN. Le périphérique est soit externe au commutateur soit à l'intérieur d'un autre module sur le même châssis. Un nouveau type de commutateur incorpore des fonctions de routage au sein du commutateur. Par exemple, le 3850. Le commutateur reçoit un paquet, détermine que le paquet appartient à un autre VLAN et envoie le paquet au port approprié sur le VLAN de destination.

Une conception réseau typique segmente le réseau en fonction du groupe ou de la fonction auxquels le périphérique appartient. Par exemple, le VLAN Ingénierie contient uniquement des périphériques associés au service d'ingénierie, et le VLAN Finances contient uniquement des périphériques associés au service des finances. Si vous activez le routage, les périphériques de chaque VLAN peuvent communiquer entre eux sans que tous les périphériques aient besoin de se trouver dans le même domaine de diffusion. Une telle conception de VLAN présente également un avantage supplémentaire. La conception permet à l'administrateur de restreindre les communications entre les VLAN grâce à l'utilisation des listes d'accès. Par exemple, vous pouvez utiliser des listes d'accès pour empêcher le VLAN d'ingénierie d'accéder aux périphériques du VLAN finance.

Référez-vous à ce document qui explique comment configurer le routage inter-VLAN sur un commutateur de la gamme Catalyst 3550 pour plus d'informations, Comment configurer le routage inter-VLAN sur des commutateurs de couche 3 .

Configurer

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque : utilisez les outils d'assistance Cisco pour obtenir plus d'informations sur les commandes utilisées ici. Seuls les utilisateurs Cisco enregistrés ont accès à des outils tels que celui-ci et à d'autres informations internes.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

Dans ce schéma, un petit exemple de réseau avec le Catalyst 3850 fournit un routage inter-VLAN entre les différents segments. Le commutateur Catalyst 3850 peut faire office de périphérique de couche 2 en désactivant le routage IP. Afin de faire fonctionner le commutateur comme un périphérique de couche 3 et de fournir le routage inter-VLAN, assurez-vous que le routage ip est activé globalement.

Il s’agit des trois VLAN définis par l’utilisateur :

• VLAN 2 - VLAN utilisateur

• VLAN 3 - Server-VLAN

• VLAN 10 - Mgmt-VLAN

La configuration de passerelle par défaut sur chaque serveur et chaque périphérique hôte doit être l'IP de l'interface VLAN qui correspond au commutateur 3850. Par exemple, pour les serveurs, la passerelle par défaut est 10.1.3.1. Les commutateurs de couche d’accès, qui sont les Catalyst 4500, sont agrégés au commutateur Catalyst 3850.

La route par défaut du Catalyst 3850 pointe vers le routeur Cisco, et elle est utilisée pour acheminer le trafic destiné à Internet. Par conséquent, le trafic pour lequel le routeur 3850 ne possède pas de route dans la table de routage est transféré au routeur Cisco pour un processus supplémentaire.

Conseils pratiques

• Assurez-vous que le VLAN natif pour une liaison 802.1Q est identique aux deux extrémités de la liaison agrégée. Si le VLAN natif à l'une des extrémités est différent du VLAN natif de l'autre extrémité, le trafic des VLAN natifs des deux côtés ne peut pas être transmis correctement sur la liaison. Si la transmission ne s'effectue pas correctement, cela peut indiquer des problèmes de connectivité dans votre réseau.

• Séparez le VLAN de gestion du VLAN utilisateur ou du VLAN serveur, comme dans ce schéma. Le VLAN de gestion est différent du VLAN utilisateur ou serveur. Avec cette séparation, toute tempête de diffusion/paquets sur le VLAN utilisateur ou serveur n'affecte pas la gestion des commutateurs.

• N'utilisez pas VLAN 1 pour la gestion. Tous les ports des commutateurs Catalyst utilisent par défaut le VLAN 1, et tous les périphériques qui se connectent aux ports qui ne sont pas configurés se trouvent dans le VLAN 1. L’utilisation du VLAN 1 pour la gestion peut entraîner des problèmes potentiels pour la gestion des commutateurs.

• Utilisez un port de couche 3 (routé) pour se connecter au port de la passerelle par défaut. Dans cet exemple, vous pouvez facilement remplacer un routeur Cisco par un pare-feu qui se connecte au routeur de passerelle Internet.

• Cet exemple configure une route statique par défaut sur le routeur 3850 vers le routeur Cisco pour atteindre Internet. Cette configuration est la plus appropriée s'il n'existe qu'une seule route vers Internet. Assurez-vous de configurer des routes statiques, de préférence récapitulées, sur le routeur de passerelle pour les sous-réseaux accessibles par le Catalyst 3850. Cette étape est très importante car cette configuration n'utilise pas de protocole de routage.

• Si votre réseau comporte deux commutateurs Catalyst 3850, vous pouvez connecter les commutateurs de couche d'accès aux commutateurs 3850, puis exécuter le protocole HSRP (Hot Standby Router Protocol) entre les commutateurs pour assurer la redondance du réseau.

• Si vous avez besoin de bande passante supplémentaire pour les ports de liaison ascendante, vous pouvez configurer des EtherChannels. L'EtherChannel fournit également une redondance de liaison en cas de défaillance d'une liaison.

Configurations

Ce document utilise les configurations suivantes :

• Catalyst 3850 

• Catalyst 4500-A 

• Catalyst 4500-B 

SW_3850#show running-config
Building configuration...

Current configuration : 11543 bytes
!
! Last configuration change at 12:16:54 UTC Tue Nov 15 2022
!
version 16.12
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service internal
service call-home
no platform punt-keepalive disable-kernel-core
!
hostname SW_3850
!  
!--- IP routing enabled for Inter VLAN routing.  

ip routing
!
!
no ip domain lookup
!
!
login on-success log
!
!        
!
vtp mode off 
! 
!--- Output suppressed.  

!--- Configure IEEE 802.1q trunks. 
!--- Issue the switchport mode trunk command to force the switch port to trunk mode. 
!--- Note: The default trunking mode is dynamic auto. If you establish a trunk link 
!--- with the default trunking mode, the trunk does not appear 
!--- in the configuration, even though a trunk has been established on 
!--- the interface. Use the show interfaces trunk command to verify the 
!--- establishment of the trunk. 

!
interface GigabitEthernet1/0/1
 shutdown
!
interface GigabitEthernet1/0/2
 shutdown
!         
interface GigabitEthernet1/0/3 description To_Switch-B switchport mode trunk
!
interface GigabitEthernet1/0/4
 no switchport no ip address shutdown   
! 
interface GigabitEthernet1/0/5 
 description To_Switch-A 
 switchport mode trunk 
! 
interface GigabitEthernet1/0/6 
no switchport 
no ip address
shutdown  
!
interface Vlan1
 no ip address
 shutdown
!

!--- This SVI (Switch Virtual Interface) is the default gateway for Users.
! 
interface Vlan2
 description User-SVI
 ip address 10.1.2.1 255.255.255.0
!

!--- This SVI is the default gateway for Servers.
!
interface Vlan3
 description Server-SVI
 ip address 10.1.3.1 255.255.255.0
!

!--- This SVI is the default gateway for other L2 switches management interface.  
! 
interface Vlan10
 description Management-SVI
 ip address 10.1.10.1 255.255.255.0 
!  

!--- This route statement allows the 3850 to send Internet traffic to the Cisco router. 

ip route 0.0.0.0 0.0.0.0 10.1.1.2 
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server  
! 
! 
! 
line con 0 
line vty 5 15 
! 
end

Remarque : dans cet exemple, le protocole VTP (VLAN Trunk Protocol) a été désactivé sur tous les commutateurs. Ce commutateur utilise les commandes suivantes pour désactiver le protocole VTP et créer les trois VLAN que l’utilisateur a définis en mode de configuration globale :

SW_3850(config)#vtp mode off
Setting device to VTP Off mode for VLANS.
SW_3850(config)#vlan 2
SW_3850(config-vlan)#name User_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 3
SW_3850(config-vlan)#name Server_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 10
SW_3850(config-vlan)#name Mgmt_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#end

Switch-A#show running-config
Building configuration...

Current configuration : 15360 bytes
!
! Last configuration change at 01:06:17 UTC Wed Nov 16 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
service compress-config
!
hostname Switch-A
!  
no ip domain-lookup
no ip dhcp snooping information option
!
!
login block-for 60 attempts 3 within 60
login delay 1
login quiet-mode access-class testblock
login on-failure log
login on-success log
vtp mode off
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!    
! 
vlan 3 name Server-VLAN ! vlan 10 name Mgmt-VLAN
!

!--- Output suppressed

!
interface GigabitEthernet1/1
 shutdown
!
interface GigabitEthernet1/2
 shutdown
!
interface GigabitEthernet1/3 switchport mode trunk
!  

!--- Configure Server (Host-A) to be the on the access VLAN 3.   

!
interface TenGigabitEthernet3/1 switchport access vlan 3 switchport mode access
!
interface TenGigabitEthernet3/2
 shutdown
!
interface TenGigabitEthernet3/3
!
interface TenGigabitEthernet3/4
!  

!--- Output suppressed. 
!--- IP address on VLAN 10 manages this switch.  

!
interface Vlan1
 no ip address
!
interface Vlan10 ip address 10.1.10.2 255.255.255.0
!
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local
!  

!--- Configure the default gateway so that the switch is reachable from other !--- VLANs/subnets. The gateway points to the VLAN 10 interface on the 3850.

ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
! 
!
line con 0
 stopbits 1
line vty 0 4
 logging synchronous
 transport input all
line vty 5 15
 logging synchronous
 transport input all
!  
end

Switch-B#show running-config 
Building configuration...

Current configuration : 6841 bytes
!
! Last configuration change at 10:44:33 UTC Tue Nov 15 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service compress-config
!
hostname Switch-B
!
boot-start-marker
boot system bootflash:cat4500es8-universal.SPA.03.11.06.E.152-7.E6.bin
boot-end-marker
!
!
vrf definition mgmtVrf
 !
 address-family ipv4
 exit-address-family
 !        
 address-family ipv6
 exit-address-family
!
!
no aaa new-model
hw-module module 7 mode 1
!
!
!
!
!
!
!
!
!
vtp mode off 
!
! spanning-tree mode pvst spanning-tree extend system-id !  
vlan 2 
name User-VLAN 
! 
vlan 10 name 
Mgmt-VLAN 
!
!
interface GigabitEthernet1/1 switchport mode trunk
!
interface GigabitEthernet1/2
!
interface GigabitEthernet1/3
 shutdown
!
interface GigabitEthernet1/4
 shutdown
!

!--- Output suppressed.
!--- Configure User (Host-B) in VLAN 2.

! interface GigabitEthernet8/5 switchport access vlan 2 switchport mode access !
 
!--- Configure the management IP address in VLAN 10. 
!
interface Vlan1
 no ip address
!
interface Vlan10 ip address 10.1.10.3 255.255.255.0
!  

!--- Define the default route so that the switch is reachable. 
! 
ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
!   
!
line con 0
 stopbits 1
line vty 0 4
 login
 transport input none
!
!
end

Vérifier

Cette section fournit des informations qui vous permettront de vérifier que votre configuration fonctionne correctement.

Remarque : l'outil Cisco CLI Analyzer peut vous aider à dépanner et à vérifier l'état général de votre logiciel pris en charge par Cisco grâce à ce client SSH intelligent qui utilise les connaissances et les outils intégrés du centre d'assistance technique.

Remarque : pour plus d'informations sur les commandes CLI, reportez-vous aux guides de référence des commandes de chaque plate-forme de commutation.  

Remarque : seuls les utilisateurs Cisco enregistrés ont accès à des outils tels que celui-ci et à d'autres informations internes.

Catalyst 3850

• show vtp status

SW_3850#show vtp status      
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : bc67.1c5d.3800
Configuration last modified by 10.0.0.10 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 8
Configuration Revision            : 0
MD5 digest                        : 0x7E 0xC3 0x8D 0x91 0xC8 0x53 0x42 0x14 
                                    0x79 0xA2 0xDF 0xE9 0xC0 0x06 0x1D 0x7D

• show interfaces trunk 

SW_3850#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan  
Gi1/0/3 on 802.1q trunking 1 Gi1/0/5 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/0/3 1-4094 Gi1/0/5 1-4094

Port        Vlans allowed and active in management domain
Gi1/0/3 1-3,10 Gi1/0/5 1-3,10 
Port        Vlans in spanning tree forwarding state and not pruned
Gi1/0/3     1-3,10
Gi1/0/5     1,3,10

• show ip route 

SW_3850#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
       n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       H - NHRP, G - NHRP registered, g - NHRP registration summary
       o - ODR, P - periodic downloaded static route, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is 10.100.100.2 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via 10.100.100.2
      10.0.0.0/8 is variably subnetted, 8 subnets, 2 masks
C        10.1.2.0/24 is directly connected, Vlan2
L        10.1.2.1/32 is directly connected, Vlan2
C        10.1.3.0/24 is directly connected, Vlan3
L        10.1.3.1/32 is directly connected, Vlan3
C        10.1.10.0/24 is directly connected, Vlan10
L        10.1.10.1/32 is directly connected, Vlan10
C        10.100.100.0/24 is directly connected, GigabitEthernet1/0/2
L        10.100.100.1/32 is directly connected, GigabitEthernet1/0/2

Catalyst 4500-A

• show vtp status

Switch-A#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 2
VTP Domain Name                 : cisco.com
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6400.f13e.dc40
Configuration last modified by 10.1.10.2 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 32
Configuration Revision            : 0
MD5 digest                        : 0x0B 0x61 0x4F 0x9B 0xCD 0x1B 0x37 0x55 
                                    0xAB 0x0C 0xC1 0x4B 0xF8 0xDE 0x33 0xB3 

• show interfaces trunk 

Switch-A#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/3 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/3 1-4094

Port        Vlans allowed and active in management domain
Gi1/3 1,3,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/3       1,3,10

Catalyst 4500-B

• show vtp status

Switch-B#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6c20.5606.3540
Configuration last modified by 10.1.10.3 at 11-15-22 10:42:29

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 7
Configuration Revision            : 0
MD5 digest                        : 0xEC 0xB4 0x8D 0x46 0x94 0x95 0xE0 0x8F 
                                    0xEE 0x1E 0xC7 0x9F 0x26 0x88 0x49 0x9F 

• show interfaces trunk

Switch-B#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/1 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/1 1-4094

Port        Vlans allowed and active in management domain
Gi1/1 1-2,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/1       1-2,10

Dépannage

Utilisez cette section pour dépanner votre configuration.

Procédure de dépannage

Suivez ces instructions :

1. Si vous ne pouvez pas envoyer une commande ping aux périphériques d'un même VLAN, vérifiez l'attribution de VLAN des ports source et de destination pour vous assurer que la source et la destination se trouvent dans le même VLAN.

   Afin de vérifier l'affectation de VLAN, émettez la commande show interface status pour le logiciel Cisco IOS.

   Si la source et la destination ne se trouvent pas dans le même commutateur, assurez-vous que vous avez correctement configuré les agrégations. Afin de vérifier la configuration, émettez la commande show interfaces trunk.

2. Vérifiez également que le VLAN natif correspond de chaque côté de la liaison agrégée. Assurez-vous que le masque de sous-réseau correspond entre les périphériques source et de destination.

3. Si vous ne pouvez pas envoyer de commande ping aux périphériques des différents VLAN, assurez-vous que vous pouvez envoyer une commande ping à leur passerelle par défaut respective. (Reportez-vous à l'étape 1.)

   En outre, assurez-vous que la passerelle par défaut du périphérique pointe vers l'adresse IP de l'interface de VLAN appropriée. Assurez-vous que le masque de sous-réseau correspond.

4. Si vous ne pouvez pas atteindre Internet, assurez-vous que la route par défaut définie sur le commutateur 3850 pointe vers l'adresse IP correcte, et que l'adresse de sous-réseau correspond au routeur de passerelle Internet.

   Afin de vérifier, émettez la commande show ip interface interface-id. Assurez-vous que des routes vers Internet et les réseaux internes sont définies sur le routeur de passerelle Internet.

Informations connexes

• Créer des VLAN Ethernet sur les commutateurs Catalyst
• Assistance technique de Cisco et téléchargements