Catalyst 스위치를 사용하여 VLAN 간 라우팅 설정

소개

이 문서에서는 Cisco Catalyst 시리즈 스위치를 사용하여 VLAN 간 라우팅을 설정하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

이 컨피그레이션을 시도하기 전에 다음 요구 사항을 충족해야 합니다.

• VLAN 생성 방법에 대한 지식

  자세한 내용은 Catalyst 스위치에 이더넷 VLAN 생성을 참조하십시오.

• 트렁크 링크 생성 방법에 대한 지식

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• Cisco IOS® XE Software 릴리스 16.12.7을 실행하는 Catalyst 3850

• Cisco IOS® Software 릴리스 03.09.00E를 실행하는 Catalyst 4500

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.

관련 제품

이 컨피그레이션은 다음과 같은 하드웨어 및 소프트웨어 버전에서도 사용할 수 있습니다.

• 모든 Catalyst 3k/9k 스위치 이상

• 액세스 레이어 스위치로 사용되는 모든 Catalyst 스위치 모델

배경 정보

이 문서에서는 일반적인 네트워크 시나리오에서 Catalyst 3850 Series 스위치와의 VLAN 간 라우팅에 대한 샘플 컨피그레이션을 제공합니다. 이 문서에서는 두 개의 Catalyst 4500 Series 스위치를 Catalyst 3850에 직접 연결되는 레이어 2(L2) 스위치로 사용합니다. Catalyst 3850 구성에는 다음 홉이 Cisco 라우터를 가리킬 때 인터넷으로 이동하는 모든 트래픽에 대한 기본 경로도 있습니다. 인터넷 게이트웨이를 방화벽 또는 기타 라우터 모델로 대체할 수 있습니다.

참고: Internet Gateway 라우터의 컨피그레이션은 관련이 없으므로 이 문서에서는 컨피그레이션을 다루지 않습니다.

스위치드 네트워크에서 VLAN은 디바이스를 서로 다른 충돌 도메인과 L3(Layer 3) 서브넷으로 분리합니다. VLAN 내의 디바이스는 라우팅 없이도 서로 통신할 수 있습니다. 별도의 VLAN에 있는 디바이스는 서로 통신하려면 라우팅 디바이스가 필요합니다.

L2 전용 스위치는 VLAN 간 통신을 제공하기 위해 L3 라우팅 디바이스가 필요합니다. 디바이스는 스위치 외부에 있거나 동일한 섀시의 다른 모듈에 있습니다. 새로운 종류의 스위치는 스위치 내에 라우팅 기능을 통합합니다. 예를 들면 3850이 있습니다. 스위치는 패킷을 수신하고 패킷이 다른 VLAN에 속하는지 확인한 다음 대상 VLAN의 해당 포트로 패킷을 전송합니다.

일반적인 네트워크 설계는 디바이스가 속한 그룹 또는 기능에 따라 네트워크를 세분화합니다. 예를 들어, 엔지니어링 VLAN에는 엔지니어링 부서와 관련된 디바이스만 있고, 재무 VLAN에는 금융과 관련된 디바이스만 있습니다. 라우팅을 활성화하면 모든 디바이스가 동일한 브로드캐스트 도메인에 있지 않아도 각 VLAN의 디바이스가 서로 통신할 수 있습니다. 이러한 VLAN 설계에는 추가적인 이점도 있습니다. 관리자는 이 설계를 통해 액세스 목록을 사용하여 VLAN 간의 통신을 제한할 수 있습니다. 예를 들어, 액세스 목록을 사용하여 엔지니어링 VLAN이 재무 VLAN의 디바이스에 액세스하는 것을 제한할 수 있습니다.

자세한 내용은 Catalyst 3550 Series 스위치에서 VLAN 간 라우팅을 구성하는 방법을 설명하는 이 문서를 참조하십시오. 레이어 3 스위치에서 VLAN 간 라우팅을 구성하는 방법.

구성

이 섹션에는 이 문서에서 설명하는 기능을 구성하기 위한 정보가 표시됩니다.

참고: Cisco 지원 툴을 사용하여 여기에서 사용된 명령에 대한 자세한 정보를 확인하십시오. 등록된 Cisco 사용자만 이러한 툴 및 기타 내부 정보에 액세스할 수 있습니다.

네트워크 다이어그램

이 문서에서는 이 네트워크 설정을 사용합니다.

이 다이어그램에서 Catalyst 3850의 소형 샘플 네트워크는 다양한 세그먼트 간의 VLAN 간 라우팅을 제공합니다. Catalyst 3850 스위치는 IP 라우팅이 비활성화되면 L2 디바이스 역할을 할 수 있습니다. 스위치가 L3 디바이스로 작동하고 VLAN 간 라우팅을 제공하려면 ip 라우팅이 전역적으로 활성화되어야 합니다.

사용자가 정의한 3개의 VLAN입니다.

• VLAN 2 — 사용자-VLAN

• VLAN 3 — 서버-VLAN

• VLAN 10 — 관리-VLAN

각 서버 및 호스트 디바이스의 기본 게이트웨이 컨피그레이션은 3850에 해당하는 VLAN 인터페이스 IP 주소여야 합니다. 예를 들어 Servers(서버)의 경우 기본 게이트웨이는 10.1.3.1입니다. 액세스 레이어 스위치인 Catalyst 4500은 Catalyst 3850 스위치에 트렁크됩니다.

Catalyst 3850의 기본 경로는 Cisco 라우터를 가리키며, 이는 인터넷으로 향하는 트래픽을 라우팅하는 데 사용됩니다. 따라서 3850에 라우팅 테이블에 경로가 없는 트래픽은 추가 프로세스를 위해 Cisco 라우터로 전달됩니다.

실용적인 팁

• 802.1Q 트렁크의 기본 VLAN이 트렁크 링크의 양쪽 끝에서 동일한지 확인합니다. 트렁크의 한 쪽 끝에 있는 네이티브 VLAN과 다른 쪽 끝에 있는 네이티브 VLAN이 다를 경우 양쪽 네이티브 VLAN의 트래픽을 트렁크에서 올바르게 전송할 수 없습니다. 이러한 올바른 전송 실패는 네트워크의 일부 연결 문제를 의미할 수 있습니다.

• 이 다이어그램에서와 같이 관리 VLAN을 사용자 또는 서버 VLAN과 분리합니다. 관리 VLAN은 사용자 또는 서버 VLAN과 다릅니다. 이렇게 분리하면 사용자 또는 서버 VLAN에서 발생하는 브로드캐스트/패킷 스톰은 스위치 관리에 영향을 주지 않습니다.

• 관리에 VLAN 1을 사용하지 마십시오. Catalyst 스위치의 모든 포트는 기본적으로 VLAN 1로 설정되며, 구성되지 않은 포트에 연결하는 모든 디바이스는 VLAN 1에 있습니다. 관리에 VLAN 1을 사용하면 스위치 관리에 문제가 발생할 수 있습니다.

• 레이어 3(라우팅된) 포트를 사용하여 기본 게이트웨이 포트에 연결합니다. 이 예에서는 Cisco 라우터를 인터넷 게이트웨이 라우터에 연결되는 방화벽으로 쉽게 교체할 수 있습니다.

• 이 예에서는 인터넷에 연결하기 위해 3850에서 Cisco 라우터로 향하는 고정 기본 경로를 구성합니다. 인터넷에 대한 경로가 하나뿐인 경우 이 설정이 가장 적합합니다. Catalyst 3850에서 연결할 수 있는 서브넷을 위해 게이트웨이 라우터에 고정 경로(요약하는 것이 좋음)를 구성해야 합니다. 이 컨피그레이션에서는 라우팅 프로토콜을 사용하지 않으므로 이 단계가 매우 중요합니다.

• 네트워크에 2개의 Catalyst 3850 스위치가 있는 경우 액세스 레이어 스위치를 3850 스위치에 이중으로 연결한 다음 스위치 간에 HSRP(Hot Standby Router Protocol)를 실행하여 네트워크에서 이중화를 제공할 수 있습니다.

• 업링크 포트에 추가 대역폭이 필요한 경우 EtherChannel을 구성할 수 있습니다. EtherChannel은 링크 장애 시 링크 이중화도 제공합니다.

설정

이 문서에서는 다음 설정을 사용합니다.

• Catalyst 3850 

• Catalyst 4500-A 

• Catalyst 4500-B 

SW_3850#show running-config
Building configuration...

Current configuration : 11543 bytes
!
! Last configuration change at 12:16:54 UTC Tue Nov 15 2022
!
version 16.12
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service internal
service call-home
no platform punt-keepalive disable-kernel-core
!
hostname SW_3850
!  
!--- IP routing enabled for Inter VLAN routing.  

ip routing
!
!
no ip domain lookup
!
!
login on-success log
!
!        
!
vtp mode off 
! 
!--- Output suppressed.  

!--- Configure IEEE 802.1q trunks. 
!--- Issue the switchport mode trunk command to force the switch port to trunk mode. 
!--- Note: The default trunking mode is dynamic auto. If you establish a trunk link 
!--- with the default trunking mode, the trunk does not appear 
!--- in the configuration, even though a trunk has been established on 
!--- the interface. Use the show interfaces trunk command to verify the 
!--- establishment of the trunk. 

!
interface GigabitEthernet1/0/1
 shutdown
!
interface GigabitEthernet1/0/2
 shutdown
!         
interface GigabitEthernet1/0/3 description To_Switch-B switchport mode trunk
!
interface GigabitEthernet1/0/4
 no switchport no ip address shutdown   
! 
interface GigabitEthernet1/0/5 
 description To_Switch-A 
 switchport mode trunk 
! 
interface GigabitEthernet1/0/6 
no switchport 
no ip address
shutdown  
!
interface Vlan1
 no ip address
 shutdown
!

!--- This SVI (Switch Virtual Interface) is the default gateway for Users.
! 
interface Vlan2
 description User-SVI
 ip address 10.1.2.1 255.255.255.0
!

!--- This SVI is the default gateway for Servers.
!
interface Vlan3
 description Server-SVI
 ip address 10.1.3.1 255.255.255.0
!

!--- This SVI is the default gateway for other L2 switches management interface.  
! 
interface Vlan10
 description Management-SVI
 ip address 10.1.10.1 255.255.255.0 
!  

!--- This route statement allows the 3850 to send Internet traffic to the Cisco router. 

ip route 0.0.0.0 0.0.0.0 10.1.1.2 
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server  
! 
! 
! 
line con 0 
line vty 5 15 
! 
end

참고: 이 예에서는 모든 스위치에서 VTP(VLAN Trunk Protocol)가 off로 설정되었습니다. 이 스위치는 다음 명령을 사용하여 VTP를 off로 설정하고 사용자가 전역 컨피그레이션 모드에서 정의한 3개의 VLAN을 생성합니다.

SW_3850(config)#vtp mode off
Setting device to VTP Off mode for VLANS.
SW_3850(config)#vlan 2
SW_3850(config-vlan)#name User_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 3
SW_3850(config-vlan)#name Server_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 10
SW_3850(config-vlan)#name Mgmt_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#end

Switch-A#show running-config
Building configuration...

Current configuration : 15360 bytes
!
! Last configuration change at 01:06:17 UTC Wed Nov 16 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
service compress-config
!
hostname Switch-A
!  
no ip domain-lookup
no ip dhcp snooping information option
!
!
login block-for 60 attempts 3 within 60
login delay 1
login quiet-mode access-class testblock
login on-failure log
login on-success log
vtp mode off
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!    
! 
vlan 3 name Server-VLAN ! vlan 10 name Mgmt-VLAN
!

!--- Output suppressed

!
interface GigabitEthernet1/1
 shutdown
!
interface GigabitEthernet1/2
 shutdown
!
interface GigabitEthernet1/3 switchport mode trunk
!  

!--- Configure Server (Host-A) to be the on the access VLAN 3.   

!
interface TenGigabitEthernet3/1 switchport access vlan 3 switchport mode access
!
interface TenGigabitEthernet3/2
 shutdown
!
interface TenGigabitEthernet3/3
!
interface TenGigabitEthernet3/4
!  

!--- Output suppressed. 
!--- IP address on VLAN 10 manages this switch.  

!
interface Vlan1
 no ip address
!
interface Vlan10 ip address 10.1.10.2 255.255.255.0
!
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local
!  

!--- Configure the default gateway so that the switch is reachable from other !--- VLANs/subnets. The gateway points to the VLAN 10 interface on the 3850.

ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
! 
!
line con 0
 stopbits 1
line vty 0 4
 logging synchronous
 transport input all
line vty 5 15
 logging synchronous
 transport input all
!  
end

Switch-B#show running-config 
Building configuration...

Current configuration : 6841 bytes
!
! Last configuration change at 10:44:33 UTC Tue Nov 15 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service compress-config
!
hostname Switch-B
!
boot-start-marker
boot system bootflash:cat4500es8-universal.SPA.03.11.06.E.152-7.E6.bin
boot-end-marker
!
!
vrf definition mgmtVrf
 !
 address-family ipv4
 exit-address-family
 !        
 address-family ipv6
 exit-address-family
!
!
no aaa new-model
hw-module module 7 mode 1
!
!
!
!
!
!
!
!
!
vtp mode off 
!
! spanning-tree mode pvst spanning-tree extend system-id !  
vlan 2 
name User-VLAN 
! 
vlan 10 name 
Mgmt-VLAN 
!
!
interface GigabitEthernet1/1 switchport mode trunk
!
interface GigabitEthernet1/2
!
interface GigabitEthernet1/3
 shutdown
!
interface GigabitEthernet1/4
 shutdown
!

!--- Output suppressed.
!--- Configure User (Host-B) in VLAN 2.

! interface GigabitEthernet8/5 switchport access vlan 2 switchport mode access !
 
!--- Configure the management IP address in VLAN 10. 
!
interface Vlan1
 no ip address
!
interface Vlan10 ip address 10.1.10.3 255.255.255.0
!  

!--- Define the default route so that the switch is reachable. 
! 
ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
!   
!
line con 0
 stopbits 1
line vty 0 4
 login
 transport input none
!
!
end

다음을 확인합니다.

이 섹션에서는 컨피그레이션이 제대로 작동하는지 확인하는 데 사용할 수 있는 정보를 제공합니다.

참고: Cisco CLI Analyzer 툴을 사용하면 통합 TAC 툴 및 지식을 사용하는 이 스마트 SSH 클라이언트를 통해 Cisco 지원 소프트웨어의 전반적인 상태를 점검하고 문제를 해결할 수 있습니다.

참고: CLI 명령에 대한 자세한 내용은 특정 스위칭 플랫폼의 Command Reference Guide를 참조하십시오.  

참고: 등록된 Cisco 사용자만 이러한 툴 및 기타 내부 정보에 액세스할 수 있습니다.

Catalyst 3850

• vtp 상태 표시

SW_3850#show vtp status      
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : bc67.1c5d.3800
Configuration last modified by 10.0.0.10 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 8
Configuration Revision            : 0
MD5 digest                        : 0x7E 0xC3 0x8D 0x91 0xC8 0x53 0x42 0x14 
                                    0x79 0xA2 0xDF 0xE9 0xC0 0x06 0x1D 0x7D

• show interfaces trunk 

SW_3850#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan  
Gi1/0/3 on 802.1q trunking 1 Gi1/0/5 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/0/3 1-4094 Gi1/0/5 1-4094

Port        Vlans allowed and active in management domain
Gi1/0/3 1-3,10 Gi1/0/5 1-3,10 
Port        Vlans in spanning tree forwarding state and not pruned
Gi1/0/3     1-3,10
Gi1/0/5     1,3,10

• ip 경로 표시 

SW_3850#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
       n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       H - NHRP, G - NHRP registered, g - NHRP registration summary
       o - ODR, P - periodic downloaded static route, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is 10.100.100.2 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via 10.100.100.2
      10.0.0.0/8 is variably subnetted, 8 subnets, 2 masks
C        10.1.2.0/24 is directly connected, Vlan2
L        10.1.2.1/32 is directly connected, Vlan2
C        10.1.3.0/24 is directly connected, Vlan3
L        10.1.3.1/32 is directly connected, Vlan3
C        10.1.10.0/24 is directly connected, Vlan10
L        10.1.10.1/32 is directly connected, Vlan10
C        10.100.100.0/24 is directly connected, GigabitEthernet1/0/2
L        10.100.100.1/32 is directly connected, GigabitEthernet1/0/2

Catalyst 4500-A

• vtp 상태 표시

Switch-A#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 2
VTP Domain Name                 : cisco.com
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6400.f13e.dc40
Configuration last modified by 10.1.10.2 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 32
Configuration Revision            : 0
MD5 digest                        : 0x0B 0x61 0x4F 0x9B 0xCD 0x1B 0x37 0x55 
                                    0xAB 0x0C 0xC1 0x4B 0xF8 0xDE 0x33 0xB3 

• show interfaces trunk 

Switch-A#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/3 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/3 1-4094

Port        Vlans allowed and active in management domain
Gi1/3 1,3,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/3       1,3,10

Catalyst 4500-B

• vtp 상태 표시

Switch-B#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6c20.5606.3540
Configuration last modified by 10.1.10.3 at 11-15-22 10:42:29

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 7
Configuration Revision            : 0
MD5 digest                        : 0xEC 0xB4 0x8D 0x46 0x94 0x95 0xE0 0x8F 
                                    0xEE 0x1E 0xC7 0x9F 0x26 0x88 0x49 0x9F 

• show interfaces trunk

Switch-B#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/1 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/1 1-4094

Port        Vlans allowed and active in management domain
Gi1/1 1-2,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/1       1-2,10

문제 해결

이 섹션에서는 컨피그레이션 문제를 해결합니다.

문제 해결 절차

다음 지침을 따르십시오.

1. 동일한 VLAN 내에서 디바이스를 ping할 수 없는 경우 소스 및 대상 포트의 VLAN 할당을 확인하여 소스와 대상이 동일한 VLAN에 있는지 확인합니다.

   VLAN 할당을 확인하려면 Cisco IOS Software에 대해 show interface status 명령을 실행합니다.

   소스와 대상이 동일한 스위치에 있지 않은 경우 트렁크를 제대로 구성했는지 확인합니다. 컨피그레이션을 확인하려면 show interfaces trunk 명령을 실행합니다.

2. 또한 트렁크 링크의 양쪽에서 네이티브 VLAN이 일치하는지 확인합니다. 서브넷 마스크가 소스 디바이스와 대상 디바이스 간에 일치하는지 확인합니다.

3. 다른 VLAN의 디바이스를 ping할 수 없는 경우, 해당 기본 게이트웨이를 ping할 수 있는지 확인합니다. (1단계 참조)

   또한 디바이스의 기본 게이트웨이가 올바른 VLAN 인터페이스 IP 주소를 가리키는지 확인합니다. 서브넷 마스크가 일치하는지 확인합니다.

4. 인터넷에 연결할 수 없는 경우 3850의 기본 경로가 올바른 IP 주소를 가리키고 서브넷 주소가 인터넷 게이트웨이 라우터와 일치하는지 확인하십시오.

   확인하려면 show ip interface interface-id 명령을 실행합니다. 인터넷 게이트웨이 라우터에 인터넷 및 내부 네트워크에 대한 경로가 있는지 확인합니다.

관련 정보

• Catalyst 스위치에서 이더넷 VLAN 생성
• Cisco 기술 지원 및 다운로드