Configurazione del routing inter VLAN sui dispositivi Catalyst switch

Introduzione

In questo documento viene spiegato come configurare il routing inter VLAN sui dispositivi Cisco Catalyst switch.

Prerequisiti

Requisiti

Prima di provare questa configurazione, accertarsi di soddisfare i seguenti requisiti:

• Informazioni su come creare le VLAN

  Per ulteriori informazioni, consultare il documento Creazione di VLAN Ethernet sui dispositivi Catalyst Switch.

• Informazioni su come creare i collegamenti trunk

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

• Catalyst 3850 con Cisco IOS® XE Software Release 16.12.7

• Catalyst 4500 con software Cisco IOS® versione 03.09.00E

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Convenzioni

Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.

Prodotti correlati

La configurazione illustrata in questo documento può essere utilizzata nelle seguenti versioni hardware e software:

• Qualsiasi dispositivo Catalyst 3k/9k Switch o versioni successive

• Qualsiasi modello di Catalyst Switch, utilizzato come switch del layer di accesso

Premesse

In questo documento viene fornita una configurazione di esempio del routing tra VLAN con dispositivi Catalyst serie 3850 Switch in uno scenario di rete tipico. Per la stesura del documento, sono stati usati due dispositivi Catalyst serie 4500 Switch di layer 2 (L2) che si connettono direttamente a un dispositivo Catalyst 3850. La configurazione del dispositivo Catalyst 3850 prevede anche una route predefinita per tutto il traffico diretto a Internet quando l'hop successivo punta a un router Cisco. È possibile sostituire il gateway Internet con un firewall o altri modelli router.

Nota: la configurazione del gateway predefinito non viene trattata in quanto non rilevante in questo documento.

In una rete commutata, le VLAN separano i dispositivi in domini diversi di collisione e subnet di layer 3 (L3). I dispositivi di una stessa VLAN possono comunicare tra loro senza dover essere indirizzati. I dispositivi di VLAN distinte richiedono un dispositivo di routing per comunicare tra loro.

Gli switch solo L2 richiedono un dispositivo di routing L3 per comunicare tra le VLAN. Il dispositivo può essere esterno allo switch o all'interno di un altro modulo sullo stesso chassis. Negli switch di nuova generazione le funzionalità di routing sono integrate nel dispositivo stesso, ad esempio nei modelli 3850. Lo switch riceve un pacchetto, stabilisce che appartiene a un'altra VLAN e invia il pacchetto alla porta appropriata sulla VLAN di destinazione.

In una configurazione tipica la rete viene segmentata in base al gruppo o alla funzione a cui appartiene il dispositivo. Ad esempio, la VLAN tecnica include solo dispositivi che riguardano il reparto tecnico, mentre la VLAN finanziaria ha solo dispositivi che riguardano il reparto finanziario. Se si abilita il routing, i dispositivi di ciascuna VLAN possono comunicare tra loro senza che tutti i dispositivi debbano trovarsi nello stesso dominio di broadcast. Una configurazione VLAN di questo tipo offre un ulteriore vantaggio. La progettazione permette all'amministratore di limitare la comunicazione tra le VLAN con l'uso degli elenchi di accesso. Ad esempio, è possibile utilizzare gli elenchi di accesso per impedire alla VLAN tecnica di accedere ai dispositivi della VLAN finanziaria.

Per ulteriori informazioni su come configurare il routing tra VLAN sugli switch Catalyst serie 3550, fare riferimento a questo documento che illustra come configurare il routing tra VLAN sugli switch di layer 3.

Configurazione

In questa sezione vengono presentate le informazioni necessarie per configurare le funzionalità descritte più avanti nel documento.

Nota: utilizzare gli strumenti di supporto Cisco per trovare ulteriori informazioni sui comandi menzionati in questo documento. Solo gli utenti Cisco registrati possono accedere a questo tipo di strumenti e ad altre informazioni interne.

Esempio di rete

Il documento usa la seguente configurazione di rete:

Nel diagramma di esempio, una piccola rete con dispositivi Catalyst 3850 permette la comunicazione tra i vari segmenti delle VLAN. Il dispositivo Catalyst 3850 Switch può agire come dispositivo L2 disabilitando il routing IP. Per fare in modo che lo switch funzioni come un dispositivo L3 e fornisca il routing tra VLAN, accertarsi che il comando ip routing sia abilitato a livello globale.

Queste sono le tre VLAN definite dall'utente:

• VLAN 2: VLAN dell'utente

• VLAN 3: VLAN del server

• VLAN 10: VLAN di gestione

Per configurare il gateway predefinito su ciascun server e dispositivo host, l'indirizzo IP dell'interfaccia della VLAN deve corrispondere sul dispositivo 3850. Ad esempio, per i server, il gateway predefinito è 10.1.3.1. Gli switch del layer di accesso, ossia i dispositivi Catalyst 4500, sono collegati in trunk al dispositivo Catalyst 3850 Switch.

La route predefinita del dispositivo Catalyst 3850 punta al router Cisco e viene utilizzata per indirizzare il traffico destinato a Internet. Pertanto, il traffico per cui lo switch 3850 non ha un percorso nella tabella di routing viene inoltrato al router Cisco per un'ulteriore elaborazione.

Consigli pratici

• Accertarsi che le VLAN native di un trunk 802.1Q siano configurate allo stesso modo sui due lati del collegamento. Se la VLAN nativa su un lato del trunk è diversa dalla VLAN nativa sull'altro lato, il traffico tra le VLAN native non può essere trasmesso correttamente sul trunk. La mancata corretta trasmissione può comportare alcuni problemi di connettività della rete.

• Separare la VLAN di gestione dalla VLAN dell'utente o del server, come mostrato nel diagramma. La VLAN di gestione è diversa dalla VLAN dell'utente o del server. Con questa separazione, qualsiasi tempesta broadcast o di pacchetti che si verifica nella VLAN dell'utente o del server non influisce sulla gestione degli switch.

• Non utilizzare la VLAN 1 per la gestione. Tutte le porte dei dispositivi Catalyst Switch sono sulla VLAN 1 per impostazione predefinita e tutti i dispositivi che si connettono a porte non configurate si trovano nella VLAN 1. L'uso della VLAN 1 per la gestione può causare potenziali problemi di gestione degli switch.

• Utilizzare una porta di layer 3 (indirizzata) per connettersi alla porta del gateway predefinito. In questo esempio, è possibile sostituire con facilità un router Cisco con un firewall che si connette al gateway Internet.

• Nell'esempio viene configurata una route statica predefinita sul dispositivo 3850 al router Cisco per raggiungere Internet. Questa configurazione è ottimale se è presente una sola route a Internet. Accertarsi di configurare le route statiche, preferibilmente di riepilogo, sul gateway per le subnet che possono essere raggiunte dal dispositivo Catalyst 3850. Questo passaggio è molto importante perché questa configurazione non utilizza protocolli di routing.

• Se nella rete sono presenti due dispositivi Catalyst 3850 Switch, è possibile connettere gli switch del layer di accesso ai dispositivi 3850 ed eseguire il protocollo Hot Standby Router Protocol (HSRP) tra gli switch per fornire la ridondanza nella rete.

• Se è necessaria una larghezza di banda aggiuntiva per le porte di uplink, è possibile configurare EtherChannel. EtherChannel fornisce anche la ridondanza del collegamento in caso di errore.

Configurazioni

In questo documento vengono usate le seguenti configurazioni:

• Catalyst 3850 

• Catalyst 4500-A 

• Catalyst 4500-B 

SW_3850#show running-config
Building configuration...

Current configuration : 11543 bytes
!
! Last configuration change at 12:16:54 UTC Tue Nov 15 2022
!
version 16.12
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service internal
service call-home
no platform punt-keepalive disable-kernel-core
!
hostname SW_3850
!  
!--- IP routing enabled for Inter VLAN routing.  

ip routing
!
!
no ip domain lookup
!
!
login on-success log
!
!        
!
vtp mode off 
! 
!--- Output suppressed.  

!--- Configure IEEE 802.1q trunks. 
!--- Issue the switchport mode trunk command to force the switch port to trunk mode. 
!--- Note: The default trunking mode is dynamic auto. If you establish a trunk link 
!--- with the default trunking mode, the trunk does not appear 
!--- in the configuration, even though a trunk has been established on 
!--- the interface. Use the show interfaces trunk command to verify the 
!--- establishment of the trunk. 

!
interface GigabitEthernet1/0/1
 shutdown
!
interface GigabitEthernet1/0/2
 shutdown
!         
interface GigabitEthernet1/0/3 description To_Switch-B switchport mode trunk
!
interface GigabitEthernet1/0/4
 no switchport no ip address shutdown   
! 
interface GigabitEthernet1/0/5 
 description To_Switch-A 
 switchport mode trunk 
! 
interface GigabitEthernet1/0/6 
no switchport 
no ip address
shutdown  
!
interface Vlan1
 no ip address
 shutdown
!

!--- This SVI (Switch Virtual Interface) is the default gateway for Users.
! 
interface Vlan2
 description User-SVI
 ip address 10.1.2.1 255.255.255.0
!

!--- This SVI is the default gateway for Servers.
!
interface Vlan3
 description Server-SVI
 ip address 10.1.3.1 255.255.255.0
!

!--- This SVI is the default gateway for other L2 switches management interface.  
! 
interface Vlan10
 description Management-SVI
 ip address 10.1.10.1 255.255.255.0 
!  

!--- This route statement allows the 3850 to send Internet traffic to the Cisco router. 

ip route 0.0.0.0 0.0.0.0 10.1.1.2 
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server  
! 
! 
! 
line con 0 
line vty 5 15 
! 
end

Nota: nell'esempio, il protocollo VLAN Trunk Protocol (VTP) è stato impostato su off su tutti gli switch. Questo switch usa i comandi successivi per disattivare il protocollo VTP e creare le tre VLAN definite dall'utente in modalità di configurazione globale:

SW_3850(config)#vtp mode off
Setting device to VTP Off mode for VLANS.
SW_3850(config)#vlan 2
SW_3850(config-vlan)#name User_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 3
SW_3850(config-vlan)#name Server_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 10
SW_3850(config-vlan)#name Mgmt_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#end

Switch-A#show running-config
Building configuration...

Current configuration : 15360 bytes
!
! Last configuration change at 01:06:17 UTC Wed Nov 16 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
service compress-config
!
hostname Switch-A
!  
no ip domain-lookup
no ip dhcp snooping information option
!
!
login block-for 60 attempts 3 within 60
login delay 1
login quiet-mode access-class testblock
login on-failure log
login on-success log
vtp mode off
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!    
! 
vlan 3 name Server-VLAN ! vlan 10 name Mgmt-VLAN
!

!--- Output suppressed

!
interface GigabitEthernet1/1
 shutdown
!
interface GigabitEthernet1/2
 shutdown
!
interface GigabitEthernet1/3 switchport mode trunk
!  

!--- Configure Server (Host-A) to be the on the access VLAN 3.   

!
interface TenGigabitEthernet3/1 switchport access vlan 3 switchport mode access
!
interface TenGigabitEthernet3/2
 shutdown
!
interface TenGigabitEthernet3/3
!
interface TenGigabitEthernet3/4
!  

!--- Output suppressed. 
!--- IP address on VLAN 10 manages this switch.  

!
interface Vlan1
 no ip address
!
interface Vlan10 ip address 10.1.10.2 255.255.255.0
!
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local
!  

!--- Configure the default gateway so that the switch is reachable from other !--- VLANs/subnets. The gateway points to the VLAN 10 interface on the 3850.

ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
! 
!
line con 0
 stopbits 1
line vty 0 4
 logging synchronous
 transport input all
line vty 5 15
 logging synchronous
 transport input all
!  
end

Switch-B#show running-config 
Building configuration...

Current configuration : 6841 bytes
!
! Last configuration change at 10:44:33 UTC Tue Nov 15 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service compress-config
!
hostname Switch-B
!
boot-start-marker
boot system bootflash:cat4500es8-universal.SPA.03.11.06.E.152-7.E6.bin
boot-end-marker
!
!
vrf definition mgmtVrf
 !
 address-family ipv4
 exit-address-family
 !        
 address-family ipv6
 exit-address-family
!
!
no aaa new-model
hw-module module 7 mode 1
!
!
!
!
!
!
!
!
!
vtp mode off 
!
! spanning-tree mode pvst spanning-tree extend system-id !  
vlan 2 
name User-VLAN 
! 
vlan 10 name 
Mgmt-VLAN 
!
!
interface GigabitEthernet1/1 switchport mode trunk
!
interface GigabitEthernet1/2
!
interface GigabitEthernet1/3
 shutdown
!
interface GigabitEthernet1/4
 shutdown
!

!--- Output suppressed.
!--- Configure User (Host-B) in VLAN 2.

! interface GigabitEthernet8/5 switchport access vlan 2 switchport mode access !
 
!--- Configure the management IP address in VLAN 10. 
!
interface Vlan1
 no ip address
!
interface Vlan10 ip address 10.1.10.3 255.255.255.0
!  

!--- Define the default route so that the switch is reachable. 
! 
ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
!   
!
line con 0
 stopbits 1
line vty 0 4
 login
 transport input none
!
!
end

Verifica

In questa sezione viene spiegato come verificare che la configurazione funzioni correttamente.

Nota: lo strumento di analisi Cisco CLI Analyzer può aiutare a risolvere i problemi e controllare l'integrità generale del software supportato da Cisco con il client SSH smart usando le informazioni e gli strumenti integrati del centro TAC.

Nota: per i dettagli sui comandi della CLI, consultare la piattaforma dello switch in uso nelle Guide di riferimento ai comandi.  

Nota: solo gli utenti Cisco registrati possono accedere a questo tipo di strumenti e ad altre informazioni interne.

Catalyst 3850

• show vtp status

SW_3850#show vtp status      
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : bc67.1c5d.3800
Configuration last modified by 10.0.0.10 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 8
Configuration Revision            : 0
MD5 digest                        : 0x7E 0xC3 0x8D 0x91 0xC8 0x53 0x42 0x14 
                                    0x79 0xA2 0xDF 0xE9 0xC0 0x06 0x1D 0x7D

• show interfaces trunk 

SW_3850#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan  
Gi1/0/3 on 802.1q trunking 1 Gi1/0/5 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/0/3 1-4094 Gi1/0/5 1-4094

Port        Vlans allowed and active in management domain
Gi1/0/3 1-3,10 Gi1/0/5 1-3,10 
Port        Vlans in spanning tree forwarding state and not pruned
Gi1/0/3     1-3,10
Gi1/0/5     1,3,10

• show ip route 

SW_3850#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
       n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       H - NHRP, G - NHRP registered, g - NHRP registration summary
       o - ODR, P - periodic downloaded static route, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is 10.100.100.2 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via 10.100.100.2
      10.0.0.0/8 is variably subnetted, 8 subnets, 2 masks
C        10.1.2.0/24 is directly connected, Vlan2
L        10.1.2.1/32 is directly connected, Vlan2
C        10.1.3.0/24 is directly connected, Vlan3
L        10.1.3.1/32 is directly connected, Vlan3
C        10.1.10.0/24 is directly connected, Vlan10
L        10.1.10.1/32 is directly connected, Vlan10
C        10.100.100.0/24 is directly connected, GigabitEthernet1/0/2
L        10.100.100.1/32 is directly connected, GigabitEthernet1/0/2

Catalyst 4500-A

• show vtp status

Switch-A#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 2
VTP Domain Name                 : cisco.com
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6400.f13e.dc40
Configuration last modified by 10.1.10.2 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 32
Configuration Revision            : 0
MD5 digest                        : 0x0B 0x61 0x4F 0x9B 0xCD 0x1B 0x37 0x55 
                                    0xAB 0x0C 0xC1 0x4B 0xF8 0xDE 0x33 0xB3 

• show interfaces trunk 

Switch-A#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/3 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/3 1-4094

Port        Vlans allowed and active in management domain
Gi1/3 1,3,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/3       1,3,10

Catalyst 4500-B

• show vtp status

Switch-B#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6c20.5606.3540
Configuration last modified by 10.1.10.3 at 11-15-22 10:42:29

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 7
Configuration Revision            : 0
MD5 digest                        : 0xEC 0xB4 0x8D 0x46 0x94 0x95 0xE0 0x8F 
                                    0xEE 0x1E 0xC7 0x9F 0x26 0x88 0x49 0x9F 

• show interfaces trunk

Switch-B#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/1 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/1 1-4094

Port        Vlans allowed and active in management domain
Gi1/1 1-2,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/1       1-2,10

Risoluzione dei problemi

Consultare questa sezione per risolvere i problemi di configurazione.

Procedura di risoluzione dei problemi

Attenersi alle seguenti istruzioni:

1. Se non è possibile eseguire il ping dei dispositivi all'interno della stessa VLAN, controllare l'assegnazione delle porte di origine e di destinazione per accertarsi che risiedano nella stessa VLAN.

   Per controllare l'assegnazione delle VLAN, immettere il comando show interface status per Cisco IOS Software.

   Se l'origine e la destinazione non si trovano nello stesso switch, accertarsi di aver configurato correttamente i trunk. Per controllare la configurazione, immettere il comando show interfaces trunk.

2. Inoltre, verificare che le VLAN native sui due lati del collegamento trunk siano configurate allo stesso modo. Verificare che le subnet mask sui dispositivi di origine e di destinazione siano configurate con gli stessi parametri.

3. Se non è possibile eseguire il ping tra dispositivi appartenenti a VLAN diverse, accertarsi di poter eseguire il ping del rispettivo gateway predefinito. (Vedere il passaggio 1.)

   Inoltre, verificare che il gateway predefinito del dispositivo punti all'indirizzo IP dell'interfaccia VLAN corretto. Accertarsi che le subnet mask corrispondano.

4. Se non è possibile accedere a Internet, accertarsi che la route predefinita sul dispositivo 3850 punti all'indirizzo IP corretto e che l'indirizzo di subnet corrisponda al gateway Internet.

   Per eseguire il controllo, immettere il comando  show ip interface interface-id. Accertarsi che il gateway Internet disponga di route indirizzate a Internet e alle reti interne.

Informazioni correlate

• Creazione di VLAN Ethernet sugli switch Catalyst
• Supporto tecnico Cisco e download