Inter-VLAN-routing configureren met Catalyst Switches

Inleiding

Dit document beschrijft hoe u Inter-VLAN-routing kunt configureren met switches uit de Cisco Catalyst-serie.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• U weet hoe u VLAN’s kunt maken

• Kennis van het maken van Trunk-koppelingen

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Catalyst 3850 waarin Cisco IOS® XE-softwarerelease 16.12.7 wordt uitgevoerd

• Catalyst 4500 Series met Cisco IOS®-softwarerelease 30.09.00E

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Verwante producten

Deze configuratie kan ook worden gebruikt in combinatie met deze hardware- en softwareversies:

• Any Catalyst 3k/9k-switch en hoger

• Om het even welk model van de Catalyst switch, dat als switch van de toegangslaag wordt gebruikt

Achtergrondinformatie

Door routing tussen VLAN’s te implementeren, kunnen organisaties de voordelen van VLAN-segmentatie behouden terwijl ze nog steeds de nodige communicatie tussen verschillende delen van het netwerk toestaan. Dit is met name nuttig in complexe netwerkomgevingen waar verschillende afdelingen of services veilig en efficiënt moeten communiceren. Een voorbeeldconfiguratie voor routing tussen VLAN’s is ingesteld op een switch uit de Catalyst 3850-serie, met een paar Catalyst 4500-Series switches die fungeren als Layer 2 (L2)-switches die rechtstreeks verbinding maken met Catalyst 3850. De Catalyst 3850 switch heeft een standaardroute voor al het verkeer dat voor internet is bestemd. De volgende hop is een router van Cisco, maar dit kan ook om het even welke gateway van Internet, zoals een firewall zijn.

In een LAN verdelen VLAN’s apparaten in verschillende botsingsdomeinen en Layer 3 (L3)-subnetten. Apparaten binnen hetzelfde VLAN kunnen direct communiceren zonder routing te vereisen. De communicatie tussen apparaten in verschillende VLAN’s vereist echter een routeringsapparaat.

Layer 2 (L2)-switches hebben een L3-routingapparaat nodig om de communicatie tussen VLAN’s te vergemakkelijken. Dit routeapparaat kan extern zijn aan de switch of in een andere module binnen hetzelfde chassis zijn geïntegreerd. De moderne switches, zoals Catalyst 3K/9K, nemen direct routermogelijkheden binnen de switch op. Deze switches kunnen een pakket ontvangen, identificeren dat het tot een ander VLAN behoort, en het doorsturen naar de juiste poort op de bestemming VLAN.

Een typisch LAN-ontwerp segmenteert het netwerk op basis van de groep of functie van de apparaten. De engineering VLAN bevat bijvoorbeeld alleen apparaten die betrekking hebben op de engineeringafdeling, terwijl de finance VLAN alleen financieel gerelateerde apparaten bevat. Door routing in te schakelen, kunnen apparaten in verschillende VLAN’s communiceren zonder in hetzelfde uitzendingsdomein te zijn. Dit VLAN-ontwerp biedt ook een extra voordeel: beheerders kunnen toegangslijsten gebruiken om communicatie tussen VLAN’s te beperken. Zo kunnen toegangslijsten worden gebruikt om te voorkomen dat apparaten in de engineering VLAN toegang krijgen tot apparaten in het financierings-VLAN.

Configureren

Deze sectie verschaft de informatie die nodig is om Inter-VLAN-routing te configureren zoals beschreven in dit document.

Opmerking: gebruik de Cisco Support Tools om meer informatie te vinden over de opdrachten die hier worden gebruikt. Alleen geregistreerde Cisco-gebruikers hebben toegang tot tools als deze en andere interne informatie.

Netwerkdiagram

In dit diagram biedt Catalyst 3850 switch de routingfunctie tussen de verschillende VLAN’s. De Catalyst 3850 switch kan fungeren als een L2-apparaat met de uitschakeling van IP-routing. Zorg ervoor dat IP-routing wereldwijd is ingeschakeld om de switch als een L3-apparaat te laten functioneren en routing tussen VLAN’s te bieden.

Configuraties

De volgende drie VLAN’s zijn gedefinieerd voor deze installatie:

• VLAN 2 — Gebruiker-VLAN

• VLAN 3 — Server-VLAN

• VLAN 10 — Mgmt-VLAN

Op elke server en elk hostapparaat moet de standaardgateway zijn geconfigureerd voor het overeenkomstige IP-adres van de VLAN-interface op Catalyst 3850. De standaardgateway voor servers is bijvoorbeeld 10.1.3.1. De switches van de toegangslaag, die Catalyst 4500 zijn, worden aangesloten op Catalyst 3850 via trunkkoppelingen.

Voor internetverkeer heeft Catalyst 3850 een standaardroute die naar een Cisco-router wijst, die fungeert als de internetgateway. Bijgevolg wordt om het even welk verkeer waarvoor Catalyst 3850 geen route in zijn routeringstabel heeft doorgestuurd naar de Cisco-router voor verdere verwerking.

Aanbevelingen

• Zorg ervoor dat het native VLAN voor een 802.1Q-trunk hetzelfde is op beide uiteinden van de trunklink. Als de native VLAN’s verschillen, kan verkeer op de native VLAN’s niet correct worden verzonden, wat mogelijk connectiviteitsproblemen in uw netwerk veroorzaakt.
• Scheid het beheer VLAN van de andere VLAN’s, zoals wordt geïllustreerd in dit diagram. Deze scheiding zorgt ervoor dat om het even welke uitzending of pakketonweer in de gebruiker of de server VLAN geen beheer van de switch beïnvloeden.
• Gebruik VLAN 1 niet voor beheer. Alle poorten op Catalyst switches blijven standaard op VLAN 1, en alle niet-geconfigureerde poorten worden in VLAN 1 geplaatst. Het gebruik van VLAN 1 voor beheer kan mogelijke problemen veroorzaken.
• Gebruik een Layer 3 (gerouteerde) poort om verbinding te maken met de standaardgatewaypoort. In dit voorbeeld kan een Cisco-router worden vervangen door een firewall die verbinding maakt met de internetgateway-router.
• In dit voorbeeld wordt een statische standaardroute op Catalyst 3850 naar de Cisco-router geconfigureerd om het internet te bereiken. Deze instelling is ideaal als er maar één route naar het internet is. Zorg ervoor dat u statische routes, bij voorkeur samengevat, op de gateway-router configureert voor subnetten die bereikbaar zijn via Catalyst 3850. Deze stap is belangrijk omdat deze configuratie geen routingprotocollen gebruikt.
• Als u twee L3-switches in uw netwerk hebt, kunt u de switches op de toegangslaag verbinden met beide 3850 switches en HSRP (Hot Standby Router Protocol) tussen deze modules uitvoeren om netwerkredundantie te bieden.
• Als er extra bandbreedte nodig is voor de uplinkpoorten, kunt u EtherChannel configureren, die ook linkredundantie biedt in het geval van een koppelingsfout.

De lopende configuraties van de switches die in de topologie worden gebruikt worden hieronder getoond:

Opmerking: de configuratie van de internetgatewayrouter is niet relevant, zodat deze niet wordt behandeld in dit document.

• Catalyst 3850 

• Catalyst 4500-A switch 

• Catalyst 4500-B switch 

SW_3850#show running-config
Building configuration...

Current configuration : 11543 bytes
!
! Last configuration change at 12:16:54 UTC Tue Nov 15 2022
!
version 16.12
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service internal
service call-home
no platform punt-keepalive disable-kernel-core
!
hostname SW_3850
!  
!--- IP routing enabled for Inter-VLAN routing.  

ip routing
!
!
no ip domain lookup
!
!
login on-success log
!
!        
!
vtp mode off 
! 
!--- Output suppressed.  

!--- Configure IEEE 802.1q trunks. 
!--- Issue the switchport mode trunk command to force the switch port to trunk mode. 

!
interface GigabitEthernet1/0/1
 shutdown
!
interface GigabitEthernet1/0/2
 shutdown
!         
interface GigabitEthernet1/0/3 description To_Switch-B switchport mode trunk
!
interface GigabitEthernet1/0/4
 no switchport no ip address shutdown   
! 
interface GigabitEthernet1/0/5 
 description To_Switch-A 
 switchport mode trunk 
! 
interface GigabitEthernet1/0/6 
no switchport 
no ip address
shutdown  
!
interface Vlan1
 no ip address
 shutdown
!

!--- This Switch Virtual Interface (SVI) is the default gateway for Users.
! 
interface Vlan2
 description User-SVI
 ip address 10.1.2.1 255.255.255.0
!

!--- This SVI is the default gateway for Servers VLAN.
!
interface Vlan3
 description Server-SVI
 ip address 10.1.3.1 255.255.255.0
!

!--- This SVI is the default gateway for other L2 switches management interface.  
! 
interface Vlan10
 description Management-SVI
 ip address 10.1.10.1 255.255.255.0 
!  

!--- This route statement allows the 3850 to send Internet traffic to the Cisco router. 

ip route 0.0.0.0 0.0.0.0 10.1.1.2 
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server  
! 
! 
! 
line con 0 
line vty 5 15 
! 
end

Opmerking: in dit voorbeeld is VLAN Trunk Protocol (VTP) op alle switches uitgeschakeld met behulp van de vtp mode off commando.

SW_3850(config)#vtp mode off
Setting device to VTP Off mode for VLANS.
SW_3850(config)#vlan 2
SW_3850(config-vlan)#name User_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 3
SW_3850(config-vlan)#name Server_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 10
SW_3850(config-vlan)#name Mgmt_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#end

Switch-A#show running-config
Building configuration...

Current configuration : 15360 bytes
!
! Last configuration change at 01:06:17 UTC Wed Nov 16 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
service compress-config
!
hostname Switch-A
!  
no ip domain-lookup
no ip dhcp snooping information option
!
!
login block-for 60 attempts 3 within 60
login delay 1
login quiet-mode access-class testblock
login on-failure log
login on-success log
vtp mode off
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!    
! 
vlan 3 name Server-VLAN ! vlan 10 name Mgmt-VLAN
!

!--- Output suppressed

!
interface GigabitEthernet1/1
 shutdown
!
interface GigabitEthernet1/2
 shutdown
!
interface GigabitEthernet1/3 switchport mode trunk
!  

!--- Configure Server (Host-A) to be the on the access VLAN 3.   

!
interface TenGigabitEthernet3/1 switchport access vlan 3 switchport mode access
!
interface TenGigabitEthernet3/2
 shutdown
!
interface TenGigabitEthernet3/3
!
interface TenGigabitEthernet3/4
!  

!--- Output suppressed. 
!--- IP address on VLAN 10 manages this switch.  

!
interface Vlan1
 no ip address
!
interface Vlan10 ip address 10.1.10.2 255.255.255.0
!
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local
!  

!--- Configure the default gateway so that the switch is reachable from other !--- VLANs/subnets. The gateway points to the VLAN 10 interface on the 3850.

ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
! 
!
line con 0
 stopbits 1
line vty 0 4
 logging synchronous
 transport input all
line vty 5 15
 logging synchronous
 transport input all
!  
end

Switch-B#show running-config 
Building configuration...

Current configuration : 6841 bytes
!
! Last configuration change at 10:44:33 UTC Tue Nov 15 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service compress-config
!
hostname Switch-B
!
boot-start-marker
boot system bootflash:cat4500es8-universal.SPA.03.11.06.E.152-7.E6.bin
boot-end-marker
!
!
vrf definition mgmtVrf
 !
 address-family ipv4
 exit-address-family
 !        
 address-family ipv6
 exit-address-family
!
!
no aaa new-model
hw-module module 7 mode 1
!
!
!
!
!
!
!
!
!
vtp mode off 
!
! spanning-tree mode pvst spanning-tree extend system-id !  
vlan 2 
name User-VLAN 
! 
vlan 10 name 
Mgmt-VLAN 
!
!
interface GigabitEthernet1/1 switchport mode trunk
!
interface GigabitEthernet1/2
!
interface GigabitEthernet1/3
 shutdown
!
interface GigabitEthernet1/4
 shutdown
!

!--- Output suppressed.
!--- Configure User (Host-B) in VLAN 2.

! interface GigabitEthernet8/5 switchport access vlan 2 switchport mode access !
 
!--- Configure the management IP address in VLAN 10. 
!
interface Vlan1
 no ip address
!
interface Vlan10 ip address 10.1.10.3 255.255.255.0
!  

!--- Define the default route so that the switch is reachable. 
! 
ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
!   
!
line con 0
 stopbits 1
line vty 0 4
 login
 transport input none
!
!
end

Verifiëren

Vervolgens vindt u een lijst met essentiële opdrachten die kunnen worden gebruikt om de status van de apparaten te controleren en om te bevestigen dat uw configuratie correct werkt:

toon vtp status - Dit bevel toont de status van het Trunking Protocol van VLAN (VTP) op de switch. Het biedt informatie over de VTP versie, domeinnaam, mode (server, client of transparant) en het aantal bestaande VLAN’s. Dit is handig om de VTP-configuratie te verifiëren en consistente VLAN-informatie over het netwerk te waarborgen.

toon interfaces trunk - Dit commando toont de status van trunkpoorten op de switch. Het verstrekt details over welke interfaces als trunks, het inkapselingstype (bijvoorbeeld 802.1Q) worden gevormd, en VLANs die op elke trunk worden toegestaan. Dit is essentieel voor het oplossen van problemen met de VLAN-connectiviteit en het waarborgen van de juiste trunkconfiguratie.

IP-route tonen - met deze opdracht wordt de IP-routeringstabel van de switch weergegeven. Het maakt een lijst van alle bekende routes, inclusief direct verbonden netwerken, statische routes en routes die geleerd zijn via dynamische routeringsprotocollen. Dit is van cruciaal belang om de routingpaden te controleren en ervoor te zorgen dat de switch alle benodigde netwerken kan bereiken.

toon ip cef - Deze opdracht toont de CEF-uitvoer (Cisco Express Forwarding). Het biedt informatie over de CEF-vermeldingen, inclusief de volgende-hop-adressen en de bijbehorende interfaces. Dit is handig voor het oplossen van problemen bij het doorsturen van problemen en voor een efficiënte pakketverwerking.

Opmerking: de Cisco CLI Analyzer Tool kan probleemoplossing ondersteunen en de algehele status van uw door Cisco ondersteunde software controleren met deze slimme SSH-client die geïntegreerde TAC-tools en kennis gebruikt.

Opmerking: voor meer informatie over CLI-opdrachten, raadpleegt u de opdrachtreferentiehandleidingen voor een specifiek switchingplatform.  

Opmerking: alleen geregistreerde Cisco-gebruikers hebben toegang tot tools als deze en andere interne informatie.

Catalyst 3850

SW_3850#show vtp status      
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : bc67.1c5d.3800
Configuration last modified by 10.0.0.10 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 8
Configuration Revision            : 0
MD5 digest                        : 0x7E 0xC3 0x8D 0x91 0xC8 0x53 0x42 0x14 
                                    0x79 0xA2 0xDF 0xE9 0xC0 0x06 0x1D 0x7D

SW_3850#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan  
Gi1/0/3 on 802.1q trunking 1 Gi1/0/5 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/0/3 1-4094 Gi1/0/5 1-4094

Port        Vlans allowed and active in management domain
Gi1/0/3 1-3,10 Gi1/0/5 1-3,10 
Port        Vlans in spanning tree forwarding state and not pruned
Gi1/0/3     1-3,10
Gi1/0/5     1,3,10

SW_3850#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
       n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       H - NHRP, G - NHRP registered, g - NHRP registration summary
       o - ODR, P - periodic downloaded static route, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is 10.100.100.2 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via 10.100.100.2
      10.0.0.0/8 is variably subnetted, 8 subnets, 2 masks
C        10.1.2.0/24 is directly connected, Vlan2
L        10.1.2.1/32 is directly connected, Vlan2
C        10.1.3.0/24 is directly connected, Vlan3
L        10.1.3.1/32 is directly connected, Vlan3
C        10.1.10.0/24 is directly connected, Vlan10
L        10.1.10.1/32 is directly connected, Vlan10
C        10.100.100.0/24 is directly connected, GigabitEthernet1/0/2
L        10.100.100.1/32 is directly connected, GigabitEthernet1/0/2

Catalyst 4500-A switch

Switch-A#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 2
VTP Domain Name                 : cisco.com
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6400.f13e.dc40
Configuration last modified by 10.1.10.2 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 32
Configuration Revision            : 0
MD5 digest                        : 0x0B 0x61 0x4F 0x9B 0xCD 0x1B 0x37 0x55 
                                    0xAB 0x0C 0xC1 0x4B 0xF8 0xDE 0x33 0xB3 

Switch-A#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/3 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/3 1-4094

Port        Vlans allowed and active in management domain
Gi1/3 1,3,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/3       1,3,10

Catalyst 4500-B switch

Switch-B#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6c20.5606.3540
Configuration last modified by 10.1.10.3 at 11-15-22 10:42:29

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 7
Configuration Revision            : 0
MD5 digest                        : 0xEC 0xB4 0x8D 0x46 0x94 0x95 0xE0 0x8F 
                                    0xEE 0x1E 0xC7 0x9F 0x26 0x88 0x49 0x9F 

Switch-B#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/1 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/1 1-4094

Port        Vlans allowed and active in management domain
Gi1/1 1-2,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/1       1-2,10

Problemen oplossen

1. Ping problemen binnen hetzelfde VLAN

• Als u geen apparaten binnen hetzelfde VLAN kunt pingen, controleert u de VLAN-toewijzing van de bron- en doelpoorten om er zeker van te zijn dat ze in hetzelfde VLAN zijn.
• Om de taak van VLAN te controleren, gebruik het bevel van de showinterfacestatus.
• Gebruik de opdracht show mac address-table om te verifiëren dat de L2-switch het MAC-adres van elk apparaat in het juiste VLAN leert. 

2. Problemen tussen verschillende Switches plaatsen

• Als de bron en de bestemming op verschillende switches zijn, zorg ervoor dat de trunks behoorlijk worden gevormd. Gebruik het bevel van de showinterfaces om de configuratie te verifiëren.
• Controleer of het native VLAN aan beide zijden van de trunklink aanpast en of het subnetmasker overeenkomt met de bron- en doelapparaten.

3. Problemen tussen verschillende VLAN’s pingen

• Als u geen apparaten in verschillende VLAN’s kunt pingen, zorg er dan voor dat u de betreffende standaardgateway kunt pingen (zie Stap 1).
• Controleer dat de standaardgateway van het apparaat naar het juiste IP-adres van de VLAN-interface wijst en dat het subnetmasker overeenkomt.

4. Problemen met internetconnectiviteit

• Als u niet tot internet kunt komen, moet u ervoor zorgen dat de standaardroute op Catalyst 3850 naar het juiste IP-adres wijst en dat het subnetadres overeenkomt met de internetgatewayrouter.
• Zorg ervoor dat de L3 switch (3850 in dit scenario) de Internet Gateway kan pingen.
• Om te controleren, gebruik de show ip cef <prefix>opdracht om te identificeren als het naar de juiste interface wijst.
• Zorg ervoor dat de router Internet Gateway routes heeft naar zowel het internet als de interne netwerken.

Gerelateerde informatie

• Inter VLAN Routing configureren met behulp van een externe router
• Ethernet-VLAN’s maken op Catalyst-switches
• Cisco Technical Support en downloads