Catalyst 스위치로 VLAN 간 라우팅 구성

소개

이 문서에서는 Cisco Catalyst 시리즈 스위치를 사용하여 VLAN 간 라우팅을 구성하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• VLAN 생성 방법에 대한 지식

• 트렁크 링크 생성 방법에 대한 지식

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• Cisco IOS® XE Software 릴리스 16.12.7을 실행하는 Catalyst 3850

• Cisco IOS® Software 릴리스 03.09.00E를 실행하는 Catalyst 4500

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.

관련 제품

이 컨피그레이션은 다음과 같은 하드웨어 및 소프트웨어 버전에서도 사용할 수 있습니다.

• 모든 Catalyst 3k/9k 스위치 이상

• 액세스 레이어 스위치로 사용되는 모든 Catalyst 스위치 모델

배경 정보

VLAN 간 라우팅을 구현함으로써 조직은 VLAN 세그멘테이션의 이점을 유지하면서 네트워크의 서로 다른 부분 간에 필요한 통신을 계속 허용할 수 있습니다. 이는 서로 다른 부서나 서비스가 안전하고 효율적으로 상호 작용해야 하는 복잡한 네트워크 환경에서 특히 유용합니다. Catalyst 3850 시리즈 스위치에서 Inter-VLAN 라우팅의 샘플 컨피그레이션이 설정되며, Catalyst 4500 시리즈 스위치 한 쌍은 Catalyst 3850에 직접 연결되는 레이어 2(L2) 스위치로 작동합니다. Catalyst 3850 스위치에는 인터넷으로 향하는 모든 트래픽에 대한 기본 경로가 있습니다. 다음 홉은 Cisco 라우터이지만 방화벽과 같은 모든 인터넷 게이트웨이가 될 수도 있습니다.

LAN에서 VLAN은 디바이스를 서로 다른 충돌 도메인과 레이어 3(L3) 서브넷으로 나눕니다. 동일한 VLAN 내의 디바이스는 라우팅 없이 직접 통신할 수 있습니다. 그러나 서로 다른 VLAN에 있는 디바이스 간의 통신에서는 라우팅 디바이스가 필요합니다.

레이어 2(L2) 스위치에는 VLAN 간 통신을 원활하게 하기 위해 L3 라우팅 장치가 필요합니다. 이 라우팅 장치는 스위치 외부에 있거나 동일한 섀시 내의 다른 모듈에 통합될 수 있습니다. Catalyst 3K/9K와 같은 최신 스위치는 스위치 내에 라우팅 기능을 직접 통합합니다. 이러한 스위치는 패킷을 수신하고 다른 VLAN에 속하는지 식별하여 대상 VLAN의 해당 포트에 전달할 수 있습니다.

일반적인 LAN 설계에서는 디바이스의 그룹 또는 기능에 따라 네트워크를 세그멘테이션합니다. 예를 들어, 엔지니어링 VLAN에는 엔지니어링 부서와 관련된 디바이스만 포함된 반면, 재무 VLAN에는 재무 관련 디바이스만 포함됩니다. 라우팅을 활성화하면 서로 다른 VLAN의 디바이스가 동일한 브로드캐스트 도메인에 있지 않고 통신할 수 있습니다. 이 VLAN 설계는 또한 추가적인 이점을 제공합니다. 관리자는 액세스 목록을 사용하여 VLAN 간의 통신을 제한할 수 있습니다. 예를 들어, 액세스 목록을 사용하여 엔지니어링 VLAN의 디바이스가 재무 VLAN의 디바이스에 액세스하지 못하도록 할 수 있습니다.

구성

이 섹션에서는 이 문서에 설명된 대로 VLAN 간 라우팅을 구성하는 데 필요한 정보를 제공합니다.

참고: Cisco 지원 툴을 사용하여 여기에서 사용된 명령에 대한 자세한 정보를 확인하십시오. 등록된 Cisco 사용자만 이러한 툴 및 기타 내부 정보에 액세스할 수 있습니다.

네트워크 다이어그램

이 다이어그램에서 Catalyst 3850 스위치는 서로 다른 VLAN 간에 VLAN 간 라우팅 기능을 제공합니다. Catalyst 3850 스위치는 IP 라우팅이 비활성화되면 L2 디바이스 역할을 할 수 있습니다. 스위치가 L3 디바이스로 작동하고 VLAN 간 라우팅을 제공하려면 ip 라우팅이 전역적으로 활성화되어야 합니다.

설정

다음 3개의 VLAN이 이 설정에 대해 정의되었습니다.

• VLAN 2 — 사용자-VLAN

• VLAN 3 — 서버-VLAN

• VLAN 10 — 관리-VLAN

각 서버 및 호스트 디바이스에는 Catalyst 3850의 해당 VLAN 인터페이스 IP 주소에 대한 기본 게이트웨이가 구성되어 있어야 합니다. 예를 들어 서버의 기본 게이트웨이는 10.1.3.1입니다. Catalyst 4500인 액세스 레이어 스위치는 트렁크 링크를 통해 Catalyst 3850에 연결됩니다.

인터넷 트래픽의 경우 Catalyst 3850에는 인터넷 게이트웨이 역할을 하는 Cisco 라우터를 가리키는 기본 경로가 있습니다. 따라서 Catalyst 3850의 라우팅 테이블에 경로가 없는 트래픽은 추가 처리를 위해 Cisco 라우터로 전달됩니다.

권장 사항

• 802.1Q 트렁크의 기본 VLAN이 트렁크 링크의 양쪽 끝에서 동일한지 확인합니다. 네이티브 VLAN이 다를 경우 네이티브 VLAN의 트래픽을 올바르게 전송할 수 없으므로 네트워크에 연결 문제가 발생할 수 있습니다.
• 이 다이어그램에 나와 있는 것처럼 관리 VLAN을 다른 VLAN과 분리합니다. 이렇게 분리하면 사용자 또는 서버 VLAN의 브로드캐스트 또는 패킷 스톰이 스위치 관리에 영향을 주지 않습니다.
• 관리에 VLAN 1을 사용하지 마십시오. Catalyst 스위치의 모든 포트는 기본적으로 VLAN 1로 설정되며, 구성되지 않은 모든 포트는 VLAN 1에 배치됩니다. 관리에 VLAN 1을 사용하면 잠재적인 문제가 발생할 수 있습니다.
• 레이어 3(라우팅된) 포트를 사용하여 기본 게이트웨이 포트에 연결합니다. 이 예에서 Cisco 라우터는 인터넷 게이트웨이 라우터에 연결되는 방화벽으로 대체될 수 있습니다.
• 이 예에서는 인터넷에 연결하기 위해 Catalyst 3850에서 Cisco 라우터로 향하는 고정 기본 경로를 구성합니다. 이 설정은 인터넷에 대한 경로가 하나뿐인 경우에 이상적입니다. Catalyst 3850에서 연결할 수 있는 서브넷을 위해 게이트웨이 라우터에 고정 경로(요약하는 것이 좋음)를 구성해야 합니다. 이 컨피그레이션에서는 라우팅 프로토콜을 사용하지 않으므로 이 단계가 중요합니다.
• 네트워크에 L3 스위치가 2개 있는 경우, 액세스 레이어 스위치를 두 3850 스위치에 연결하고 그 사이에서 HSRP(Hot Standby Router Protocol)를 실행하여 네트워크 이중화를 제공할 수 있습니다.
• 업링크 포트에 추가 대역폭이 필요한 경우 EtherChannel을 구성할 수 있으며, 이는 링크 장애 시 링크 이중화도 제공합니다.

토폴로지에 사용된 스위치의 실행 중인 컨피그레이션은 다음과 같습니다.

참고: 인터넷 게이트웨이 라우터의 구성은 관련이 없으므로 이 문서에서는 다루지 않습니다.

• Catalyst 3850 

• Catalyst 4500-A 

• Catalyst 4500-B 

SW_3850#show running-config
Building configuration...

Current configuration : 11543 bytes
!
! Last configuration change at 12:16:54 UTC Tue Nov 15 2022
!
version 16.12
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service internal
service call-home
no platform punt-keepalive disable-kernel-core
!
hostname SW_3850
!  
!--- IP routing enabled for Inter-VLAN routing.  

ip routing
!
!
no ip domain lookup
!
!
login on-success log
!
!        
!
vtp mode off 
! 
!--- Output suppressed.  

!--- Configure IEEE 802.1q trunks. 
!--- Issue the switchport mode trunk command to force the switch port to trunk mode. 

!
interface GigabitEthernet1/0/1
 shutdown
!
interface GigabitEthernet1/0/2
 shutdown
!         
interface GigabitEthernet1/0/3 description To_Switch-B switchport mode trunk
!
interface GigabitEthernet1/0/4
 no switchport no ip address shutdown   
! 
interface GigabitEthernet1/0/5 
 description To_Switch-A 
 switchport mode trunk 
! 
interface GigabitEthernet1/0/6 
no switchport 
no ip address
shutdown  
!
interface Vlan1
 no ip address
 shutdown
!

!--- This Switch Virtual Interface (SVI) is the default gateway for Users.
! 
interface Vlan2
 description User-SVI
 ip address 10.1.2.1 255.255.255.0
!

!--- This SVI is the default gateway for Servers VLAN.
!
interface Vlan3
 description Server-SVI
 ip address 10.1.3.1 255.255.255.0
!

!--- This SVI is the default gateway for other L2 switches management interface.  
! 
interface Vlan10
 description Management-SVI
 ip address 10.1.10.1 255.255.255.0 
!  

!--- This route statement allows the 3850 to send Internet traffic to the Cisco router. 

ip route 0.0.0.0 0.0.0.0 10.1.1.2 
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server  
! 
! 
! 
line con 0 
line vty 5 15 
! 
end

참고: 이 예에서는 모든 스위치에서 VTP(VLAN Trunk Protocol)가 off로 설정되었으며, vtp mode off 명령을 사용합니다.

SW_3850(config)#vtp mode off
Setting device to VTP Off mode for VLANS.
SW_3850(config)#vlan 2
SW_3850(config-vlan)#name User_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 3
SW_3850(config-vlan)#name Server_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 10
SW_3850(config-vlan)#name Mgmt_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#end

Switch-A#show running-config
Building configuration...

Current configuration : 15360 bytes
!
! Last configuration change at 01:06:17 UTC Wed Nov 16 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
service compress-config
!
hostname Switch-A
!  
no ip domain-lookup
no ip dhcp snooping information option
!
!
login block-for 60 attempts 3 within 60
login delay 1
login quiet-mode access-class testblock
login on-failure log
login on-success log
vtp mode off
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!    
! 
vlan 3 name Server-VLAN ! vlan 10 name Mgmt-VLAN
!

!--- Output suppressed

!
interface GigabitEthernet1/1
 shutdown
!
interface GigabitEthernet1/2
 shutdown
!
interface GigabitEthernet1/3 switchport mode trunk
!  

!--- Configure Server (Host-A) to be the on the access VLAN 3.   

!
interface TenGigabitEthernet3/1 switchport access vlan 3 switchport mode access
!
interface TenGigabitEthernet3/2
 shutdown
!
interface TenGigabitEthernet3/3
!
interface TenGigabitEthernet3/4
!  

!--- Output suppressed. 
!--- IP address on VLAN 10 manages this switch.  

!
interface Vlan1
 no ip address
!
interface Vlan10 ip address 10.1.10.2 255.255.255.0
!
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local
!  

!--- Configure the default gateway so that the switch is reachable from other !--- VLANs/subnets. The gateway points to the VLAN 10 interface on the 3850.

ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
! 
!
line con 0
 stopbits 1
line vty 0 4
 logging synchronous
 transport input all
line vty 5 15
 logging synchronous
 transport input all
!  
end

Switch-B#show running-config 
Building configuration...

Current configuration : 6841 bytes
!
! Last configuration change at 10:44:33 UTC Tue Nov 15 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service compress-config
!
hostname Switch-B
!
boot-start-marker
boot system bootflash:cat4500es8-universal.SPA.03.11.06.E.152-7.E6.bin
boot-end-marker
!
!
vrf definition mgmtVrf
 !
 address-family ipv4
 exit-address-family
 !        
 address-family ipv6
 exit-address-family
!
!
no aaa new-model
hw-module module 7 mode 1
!
!
!
!
!
!
!
!
!
vtp mode off 
!
! spanning-tree mode pvst spanning-tree extend system-id !  
vlan 2 
name User-VLAN 
! 
vlan 10 name 
Mgmt-VLAN 
!
!
interface GigabitEthernet1/1 switchport mode trunk
!
interface GigabitEthernet1/2
!
interface GigabitEthernet1/3
 shutdown
!
interface GigabitEthernet1/4
 shutdown
!

!--- Output suppressed.
!--- Configure User (Host-B) in VLAN 2.

! interface GigabitEthernet8/5 switchport access vlan 2 switchport mode access !
 
!--- Configure the management IP address in VLAN 10. 
!
interface Vlan1
 no ip address
!
interface Vlan10 ip address 10.1.10.3 255.255.255.0
!  

!--- Define the default route so that the switch is reachable. 
! 
ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
!   
!
line con 0
 stopbits 1
line vty 0 4
 login
 transport input none
!
!
end

다음을 확인합니다.

다음으로, 디바이스의 상태를 확인하고 컨피그레이션이 제대로 작동하는지 확인하는 데 사용할 수 있는 필수 명령 목록을 찾을 수 있습니다.

show vtp status - 이 명령은 스위치에 있는 VTP(VLAN Trunking Protocol)의 상태를 표시합니다. VTP 버전, 도메인 이름, 모드(서버, 클라이언트 또는 투명) 및 기존 VLAN 수에 대한 정보를 제공합니다. 이는 VTP 컨피그레이션을 확인하고 네트워크 전체에서 VLAN 정보가 일관되게 유지되도록 하는 데 유용합니다.

show interfaces trunk - 이 명령은 스위치에 있는 트렁크 포트의 상태를 표시합니다. 트렁크로 구성된 인터페이스, 캡슐화 유형(예: 802.1Q), 각 트렁크에서 허용되는 VLAN에 대한 세부 정보를 제공합니다. 이는 VLAN 연결 문제를 해결하고 적절한 트렁크 구성을 보장하는 데 필수적입니다.

show ip route - 이 명령은 스위치의 IP 라우팅 테이블을 표시합니다. 직접 연결된 네트워크, 고정 경로, 동적 라우팅 프로토콜을 통해 학습된 경로 등 알려진 모든 경로를 나열합니다. 이는 라우팅 경로를 확인하고 스위치가 필요한 모든 네트워크에 도달할 수 있도록 하는 데 매우 중요합니다.

show ip cef - 이 명령은 CEF(Cisco Express Forwarding) 출력을 표시합니다. 다음 홉 주소 및 관련 인터페이스를 포함하여 CEF 항목에 대한 정보를 제공합니다. 이는 포워딩 문제를 해결하고 효율적인 패킷 처리를 보장하는 데 유용합니다.

참고: Cisco CLI Analyzer 툴을 사용하면 통합 TAC 툴 및 지식을 사용하는 이 스마트 SSH 클라이언트를 통해 Cisco 지원 소프트웨어의 전반적인 상태를 점검하고 문제를 해결할 수 있습니다.

참고: CLI 명령에 대한 자세한 내용은 특정 스위칭 플랫폼의 Command Reference Guide를 참조하십시오.  

참고: 등록된 Cisco 사용자만 이러한 툴 및 기타 내부 정보에 액세스할 수 있습니다.

Catalyst 3850

SW_3850#show vtp status      
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : bc67.1c5d.3800
Configuration last modified by 10.0.0.10 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 8
Configuration Revision            : 0
MD5 digest                        : 0x7E 0xC3 0x8D 0x91 0xC8 0x53 0x42 0x14 
                                    0x79 0xA2 0xDF 0xE9 0xC0 0x06 0x1D 0x7D

SW_3850#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan  
Gi1/0/3 on 802.1q trunking 1 Gi1/0/5 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/0/3 1-4094 Gi1/0/5 1-4094

Port        Vlans allowed and active in management domain
Gi1/0/3 1-3,10 Gi1/0/5 1-3,10 
Port        Vlans in spanning tree forwarding state and not pruned
Gi1/0/3     1-3,10
Gi1/0/5     1,3,10

SW_3850#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
       n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       H - NHRP, G - NHRP registered, g - NHRP registration summary
       o - ODR, P - periodic downloaded static route, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is 10.100.100.2 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via 10.100.100.2
      10.0.0.0/8 is variably subnetted, 8 subnets, 2 masks
C        10.1.2.0/24 is directly connected, Vlan2
L        10.1.2.1/32 is directly connected, Vlan2
C        10.1.3.0/24 is directly connected, Vlan3
L        10.1.3.1/32 is directly connected, Vlan3
C        10.1.10.0/24 is directly connected, Vlan10
L        10.1.10.1/32 is directly connected, Vlan10
C        10.100.100.0/24 is directly connected, GigabitEthernet1/0/2
L        10.100.100.1/32 is directly connected, GigabitEthernet1/0/2

Catalyst 4500-A

Switch-A#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 2
VTP Domain Name                 : cisco.com
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6400.f13e.dc40
Configuration last modified by 10.1.10.2 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 32
Configuration Revision            : 0
MD5 digest                        : 0x0B 0x61 0x4F 0x9B 0xCD 0x1B 0x37 0x55 
                                    0xAB 0x0C 0xC1 0x4B 0xF8 0xDE 0x33 0xB3 

Switch-A#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/3 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/3 1-4094

Port        Vlans allowed and active in management domain
Gi1/3 1,3,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/3       1,3,10

Catalyst 4500-B

Switch-B#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6c20.5606.3540
Configuration last modified by 10.1.10.3 at 11-15-22 10:42:29

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 7
Configuration Revision            : 0
MD5 digest                        : 0xEC 0xB4 0x8D 0x46 0x94 0x95 0xE0 0x8F 
                                    0xEE 0x1E 0xC7 0x9F 0x26 0x88 0x49 0x9F 

Switch-B#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/1 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/1 1-4094

Port        Vlans allowed and active in management domain
Gi1/1 1-2,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/1       1-2,10

문제 해결

1. 동일한 VLAN 내에서 문제 Ping

• 동일한 VLAN 내에서 디바이스를 ping할 수 없는 경우 소스 및 대상 포트의 VLAN 할당을 확인하여 디바이스가 동일한 VLAN에 있는지 확인합니다.
• VLAN 할당을 확인하려면 show interface status 명령을 사용합니다.
• L2 스위치가 적절한 VLAN에 있는 각 디바이스의 MAC 주소를 학습하는지 확인하려면 show mac address-table 명령을 사용합니다. 

2. 서로 다른 스위치에서 문제를 ping합니다.

• 소스와 대상이 서로 다른 스위치에 있는 경우 트렁크가 제대로 구성되었는지 확인합니다. 컨피그레이션을 확인하려면 show interfaces trunk 명령을 사용합니다.
• 네이티브 VLAN이 트렁크 링크의 양쪽에서 일치하는지, 서브넷 마스크가 소스 디바이스와 대상 디바이스 간에 일치하는지 확인합니다.

3. 서로 다른 VLAN 간의 Ping 문제

• 다른 VLAN의 디바이스를 ping할 수 없는 경우, 각각의 기본 게이트웨이를 ping할 수 있는지 확인합니다(1단계 참조).
• 디바이스의 기본 게이트웨이가 올바른 VLAN 인터페이스 IP 주소를 가리키고 서브넷 마스크가 일치하는지 확인합니다.

4. 인터넷 연결 문제

• 인터넷에 연결할 수 없는 경우 Catalyst 3850의 기본 경로가 올바른 IP 주소를 가리키고 서브넷 주소가 인터넷 게이트웨이 라우터와 일치하는지 확인합니다.
• L3 스위치(이 시나리오에서는 3850)가 인터넷 게이트웨이에 ping할 수 있는지 확인합니다.
• 확인하려면 show ip cef <prefix> 명령을 사용하여 올바른 인터페이스를 가리키는지 확인합니다.
• 인터넷 게이트웨이 라우터에 인터넷과 내부 네트워크 모두에 대한 경로가 있는지 확인합니다.

관련 정보

• 외부 라우터를 사용하여 VLAN 간 라우팅 설정
• Catalyst 스위치에서 이더넷 VLAN 생성
• Cisco 기술 지원 및 다운로드