Configurar o roteamento entre VLANs com switches Catalyst

Introdução

Este documento descreve como configurar o roteamento entre VLANs com switches Cisco Catalyst Series.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

• Conhecimento de como criar VLANs

  Para obter mais informações, consulte Criar VLANs Ethernet em Switches Catalyst.

• Conhecimento de como criar links de tronco

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Catalyst 3850 com Cisco IOS® XE Software Release 16.12.7

• Catalyst 4500 com Cisco IOS® Software Release 03.09.00E

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Produtos Relacionados

Esta configuração também pode ser utilizada com estas versões de hardware e software:

• Qualquer switch Catalyst 3k/9k e posterior

• Qualquer modelo de switch Catalyst, usado como switch de camada de acesso

Informações de Apoio

Este documento fornece uma configuração de exemplo para o roteamento entre VLANs com um switch da série Catalyst 3850 em um cenário de rede típico. O documento usa dois switches da série Catalyst 4500 como switches da Camada 2 (L2) que se conectam diretamente ao Catalyst 3850. A configuração do Catalyst 3850 também tem uma rota padrão para todo o tráfego que vai para a Internet quando o próximo salto aponta para um roteador Cisco. Você pode substituir o Gateway de Internet por um firewall ou outro modelo de roteador.

Observação: a configuração do roteador do gateway de Internet não é relevante, portanto, este documento não aborda a configuração.

Em uma rede comutada, os VLANs separam os dispositivos em domínios de colisão diferentes e em sub-redes de camada 3 (L3). Os dispositivos de uma VLAN podem se comunicar entre si, sem a necessidade de roteamento. Os dispositivos em VLANs separadas exigem um dispositivo de roteamento para se comunicarem entre si.

Os switches somente L2 exigem um dispositivo de roteamento L3 para fornecer comunicação entre VLANs. O dispositivo é externo ao switch ou está em outro módulo no mesmo chassi. Uma nova geração de switches incorpora o recurso de roteamento dentro do switch. Um exemplo é o 3850. O switch recebe um pacote, determina que o pacote pertence a outra VLAN e envia o pacote para a porta apropriada na VLAN de destino.

Um projeto de rede comum segmenta a rede com base no grupo ou na função a que o dispositivo pertence. Por exemplo, a VLAN de engenharia tem apenas dispositivos relacionados ao departamento de engenharia e a VLAN de finanças tem apenas dispositivos relacionados a finanças. Se você ativar o roteamento, os dispositivos em cada VLAN podem se comunicar entre si, sem a necessidade de que todos os dispositivos estejam no mesmo domínio de broadcast. Esse projeto de VLAN também tem um benefício adicional. O projeto permite que o administrador restrinja a comunicação entre as VLANs por meio do uso de listas de acesso. Por exemplo, você pode usar listas de acesso para restringir o acesso da VLAN de engenharia aos dispositivos na VLAN de finanças.

Consulte este documento que demonstra como configurar o roteamento entre VLANs em um switch da série Catalyst 3550 para obter mais informações, Como Configurar o Roteamento entre VLANs em Switches de Camada 3.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Observação: use as ferramentas de suporte da Cisco para encontrar mais informações sobre os comandos usados aqui. Somente usuários registrados da Cisco têm acesso a ferramentas como essa e outras informações internas.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

Neste diagrama, um pequeno exemplo de rede com o Catalyst 3850 fornece roteamento entre VLANs entre os vários segmentos. O switch Catalyst 3850 pode atuar como um dispositivo L2 com a desativação do roteamento IP. Para fazer com que o switch funcione como um dispositivo L3 e forneça roteamento entre VLANs, certifique-se de que o roteamento ip esteja ativado globalmente.

Estas são as três VLANs definidas pelo usuário:

• VLAN 2 — VLAN de usuário

• VLAN 3 — Servidor-VLAN

• VLAN 10 — VLAN de gerenciamento

A configuração do gateway padrão em cada servidor e dispositivo de host deve ser o endereço IP da interface de VLAN correspondente ao 3850. Por exemplo, para servidores, o gateway padrão é 10.1.3.1. Os switches da camada de acesso, que são o Catalyst 4500, estão em tronco com o switch Catalyst 3850.

A rota padrão para o Catalyst 3850 aponta para o roteador Cisco e isso é usado para rotear o tráfego destinado à Internet. Portanto, o tráfego para o qual o 3850 não tem uma rota na tabela de roteamento é encaminhado ao Roteador Cisco para processo adicional.

Dicas práticas

• Certifique-se de que o VLAN nativo para um tronco 802.1q é o mesmo nas duas extremidades no enlace do tronco. Se uma VLAN nativa em uma extremidade do tronco for diferente da VLAN nativa na outra extremidade, o tráfego de VLANs nativas em ambos os lados não poderá ser transmitido corretamente no tronco. Essa falha em transmitir corretamente pode implicar em alguns problemas de conectividade em sua rede.

• Separe a VLAN de gerenciamento da VLAN do usuário ou do servidor, como neste diagrama. A VLAN de gerenciamento é diferente da VLAN do usuário ou do servidor. Com essa separação, qualquer congestionamento de broadcast/pacote que ocorra na VLAN do usuário ou do servidor não afeta o gerenciamento dos switches.

• Não use a VLAN 1 para gerenciamento. Todas as portas nos switches Catalyst assumem como padrão a VLAN 1, e todos os dispositivos que se conectam a portas que não estão configuradas estão na VLAN 1. O uso da VLAN 1 para gerenciamento pode causar problemas potenciais para o gerenciamento de switches.

• Use uma porta de camada 3 (roteada) para se conectar à porta do gateway padrão. Neste exemplo, você pode facilmente substituir um roteador Cisco por um firewall que se conecte ao roteador de gateway da Internet.

• Este exemplo configura uma rota padrão estática no 3850 em direção ao Roteador Cisco para acessar a Internet. Essa configuração será melhor se houver apenas uma rota para a Internet. Certifique-se de configurar rotas estáticas, de preferência resumidas, no roteador do gateway para sub-redes que possam ser acessadas pelo Catalyst 3850. Essa etapa é muito importante porque essa configuração não usa protocolos de roteamento.

• Se você tiver dois switches Catalyst 3850 em sua rede, poderá conectar duplamente os switches da camada de acesso aos switches 3850 e executar o Hot Standby Router Protocol (HSRP) entre os switches para fornecer redundância na rede.

• Se precisar de largura de banda adicional para as portas de uplink, você poderá configurar EtherChannels. O EtherChannel também fornece redundância de link no caso de uma falha de link.

Configurações

Este documento utiliza as seguintes configurações:

• Catalyst 3850 

• Catalyst 4500-A 

• Catalyst 4500-B 

SW_3850#show running-config
Building configuration...

Current configuration : 11543 bytes
!
! Last configuration change at 12:16:54 UTC Tue Nov 15 2022
!
version 16.12
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service internal
service call-home
no platform punt-keepalive disable-kernel-core
!
hostname SW_3850
!  
!--- IP routing enabled for Inter VLAN routing.  

ip routing
!
!
no ip domain lookup
!
!
login on-success log
!
!        
!
vtp mode off 
! 
!--- Output suppressed.  

!--- Configure IEEE 802.1q trunks. 
!--- Issue the switchport mode trunk command to force the switch port to trunk mode. 
!--- Note: The default trunking mode is dynamic auto. If you establish a trunk link 
!--- with the default trunking mode, the trunk does not appear 
!--- in the configuration, even though a trunk has been established on 
!--- the interface. Use the show interfaces trunk command to verify the 
!--- establishment of the trunk. 

!
interface GigabitEthernet1/0/1
 shutdown
!
interface GigabitEthernet1/0/2
 shutdown
!         
interface GigabitEthernet1/0/3 description To_Switch-B switchport mode trunk
!
interface GigabitEthernet1/0/4
 no switchport no ip address shutdown   
! 
interface GigabitEthernet1/0/5 
 description To_Switch-A 
 switchport mode trunk 
! 
interface GigabitEthernet1/0/6 
no switchport 
no ip address
shutdown  
!
interface Vlan1
 no ip address
 shutdown
!

!--- This SVI (Switch Virtual Interface) is the default gateway for Users.
! 
interface Vlan2
 description User-SVI
 ip address 10.1.2.1 255.255.255.0
!

!--- This SVI is the default gateway for Servers.
!
interface Vlan3
 description Server-SVI
 ip address 10.1.3.1 255.255.255.0
!

!--- This SVI is the default gateway for other L2 switches management interface.  
! 
interface Vlan10
 description Management-SVI
 ip address 10.1.10.1 255.255.255.0 
!  

!--- This route statement allows the 3850 to send Internet traffic to the Cisco router. 

ip route 0.0.0.0 0.0.0.0 10.1.1.2 
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server  
! 
! 
! 
line con 0 
line vty 5 15 
! 
end

Observação: neste exemplo, o VLAN Trunk Protocol (VTP) foi definido como desativado em todos os switches. Esse switch usa os próximos comandos para definir o VTP como desligado e para criar as três VLANs que o usuário definiu a partir do modo de configuração global:

SW_3850(config)#vtp mode off
Setting device to VTP Off mode for VLANS.
SW_3850(config)#vlan 2
SW_3850(config-vlan)#name User_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 3
SW_3850(config-vlan)#name Server_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 10
SW_3850(config-vlan)#name Mgmt_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#end

Switch-A#show running-config
Building configuration...

Current configuration : 15360 bytes
!
! Last configuration change at 01:06:17 UTC Wed Nov 16 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
service compress-config
!
hostname Switch-A
!  
no ip domain-lookup
no ip dhcp snooping information option
!
!
login block-for 60 attempts 3 within 60
login delay 1
login quiet-mode access-class testblock
login on-failure log
login on-success log
vtp mode off
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!    
! 
vlan 3 name Server-VLAN ! vlan 10 name Mgmt-VLAN
!

!--- Output suppressed

!
interface GigabitEthernet1/1
 shutdown
!
interface GigabitEthernet1/2
 shutdown
!
interface GigabitEthernet1/3 switchport mode trunk
!  

!--- Configure Server (Host-A) to be the on the access VLAN 3.   

!
interface TenGigabitEthernet3/1 switchport access vlan 3 switchport mode access
!
interface TenGigabitEthernet3/2
 shutdown
!
interface TenGigabitEthernet3/3
!
interface TenGigabitEthernet3/4
!  

!--- Output suppressed. 
!--- IP address on VLAN 10 manages this switch.  

!
interface Vlan1
 no ip address
!
interface Vlan10 ip address 10.1.10.2 255.255.255.0
!
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local
!  

!--- Configure the default gateway so that the switch is reachable from other !--- VLANs/subnets. The gateway points to the VLAN 10 interface on the 3850.

ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
! 
!
line con 0
 stopbits 1
line vty 0 4
 logging synchronous
 transport input all
line vty 5 15
 logging synchronous
 transport input all
!  
end

Switch-B#show running-config 
Building configuration...

Current configuration : 6841 bytes
!
! Last configuration change at 10:44:33 UTC Tue Nov 15 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service compress-config
!
hostname Switch-B
!
boot-start-marker
boot system bootflash:cat4500es8-universal.SPA.03.11.06.E.152-7.E6.bin
boot-end-marker
!
!
vrf definition mgmtVrf
 !
 address-family ipv4
 exit-address-family
 !        
 address-family ipv6
 exit-address-family
!
!
no aaa new-model
hw-module module 7 mode 1
!
!
!
!
!
!
!
!
!
vtp mode off 
!
! spanning-tree mode pvst spanning-tree extend system-id !  
vlan 2 
name User-VLAN 
! 
vlan 10 name 
Mgmt-VLAN 
!
!
interface GigabitEthernet1/1 switchport mode trunk
!
interface GigabitEthernet1/2
!
interface GigabitEthernet1/3
 shutdown
!
interface GigabitEthernet1/4
 shutdown
!

!--- Output suppressed.
!--- Configure User (Host-B) in VLAN 2.

! interface GigabitEthernet8/5 switchport access vlan 2 switchport mode access !
 
!--- Configure the management IP address in VLAN 10. 
!
interface Vlan1
 no ip address
!
interface Vlan10 ip address 10.1.10.3 255.255.255.0
!  

!--- Define the default route so that the switch is reachable. 
! 
ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
!   
!
line con 0
 stopbits 1
line vty 0 4
 login
 transport input none
!
!
end

Verificar

Esta seção fornece informações que você pode usar para confirmar se sua configuração funciona adequadamente.

Observação: a ferramenta Cisco CLI Analyzer pode ajudar a solucionar problemas e verificar a integridade geral do software suportado pela Cisco com este cliente SSH inteligente que usa ferramentas e conhecimento TAC integrados.

Observação: para obter detalhes sobre comandos CLI, consulte os Guias de Referência de Comandos para uma plataforma de switching específica.  

Observação: somente usuários registrados da Cisco têm acesso a ferramentas como essa e outras informações internas.

Catalyst 3850

• show vtp status

SW_3850#show vtp status      
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : bc67.1c5d.3800
Configuration last modified by 10.0.0.10 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 8
Configuration Revision            : 0
MD5 digest                        : 0x7E 0xC3 0x8D 0x91 0xC8 0x53 0x42 0x14 
                                    0x79 0xA2 0xDF 0xE9 0xC0 0x06 0x1D 0x7D

• show interfaces trunk 

SW_3850#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan  
Gi1/0/3 on 802.1q trunking 1 Gi1/0/5 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/0/3 1-4094 Gi1/0/5 1-4094

Port        Vlans allowed and active in management domain
Gi1/0/3 1-3,10 Gi1/0/5 1-3,10 
Port        Vlans in spanning tree forwarding state and not pruned
Gi1/0/3     1-3,10
Gi1/0/5     1,3,10

• show ip route 

SW_3850#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
       n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       H - NHRP, G - NHRP registered, g - NHRP registration summary
       o - ODR, P - periodic downloaded static route, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is 10.100.100.2 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via 10.100.100.2
      10.0.0.0/8 is variably subnetted, 8 subnets, 2 masks
C        10.1.2.0/24 is directly connected, Vlan2
L        10.1.2.1/32 is directly connected, Vlan2
C        10.1.3.0/24 is directly connected, Vlan3
L        10.1.3.1/32 is directly connected, Vlan3
C        10.1.10.0/24 is directly connected, Vlan10
L        10.1.10.1/32 is directly connected, Vlan10
C        10.100.100.0/24 is directly connected, GigabitEthernet1/0/2
L        10.100.100.1/32 is directly connected, GigabitEthernet1/0/2

Catalyst 4500-A

• show vtp status

Switch-A#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 2
VTP Domain Name                 : cisco.com
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6400.f13e.dc40
Configuration last modified by 10.1.10.2 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 32
Configuration Revision            : 0
MD5 digest                        : 0x0B 0x61 0x4F 0x9B 0xCD 0x1B 0x37 0x55 
                                    0xAB 0x0C 0xC1 0x4B 0xF8 0xDE 0x33 0xB3 

• show interfaces trunk 

Switch-A#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/3 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/3 1-4094

Port        Vlans allowed and active in management domain
Gi1/3 1,3,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/3       1,3,10

Catalyst 4500-B

• show vtp status

Switch-B#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6c20.5606.3540
Configuration last modified by 10.1.10.3 at 11-15-22 10:42:29

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 7
Configuration Revision            : 0
MD5 digest                        : 0xEC 0xB4 0x8D 0x46 0x94 0x95 0xE0 0x8F 
                                    0xEE 0x1E 0xC7 0x9F 0x26 0x88 0x49 0x9F 

• show interfaces trunk

Switch-B#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/1 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/1 1-4094

Port        Vlans allowed and active in management domain
Gi1/1 1-2,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/1       1-2,10

Troubleshooting

Use esta seção para resolver problemas de configuração.

Procedimento de solução de problemas

Siga estas instruções:

1. Se você não conseguir fazer ping nos dispositivos da mesma VLAN, verifique a atribuição de VLAN das portas de origem e destino para garantir que a origem e o destino estejam na mesma VLAN.

   Para verificar a atribuição de VLAN, execute o comando show interface status para o Cisco IOS Software.

   Se a origem e o destino não estiverem no mesmo switch, verifique se você configurou os troncos corretamente. Para verificar a configuração, execute o comando show interfaces trunk.

2. Além disso, verifique se a VLAN nativa corresponde em ambos os lados do link de tronco. Verifique se a máscara de sub-rede corresponde entre os dispositivos de origem e de destino.

3. Se você não conseguir fazer ping nos dispositivos de VLANs diferentes, faça ping no respectivo gateway padrão. (Consulte a Etapa 1.)

   Além disso, verifique se o gateway padrão do dispositivo aponta para o endereço IP da interface de VLAN correto. Certifique-se de que a máscara de sub-rede corresponda.

4. Se você não conseguir entrar na Internet, verifique se a rota padrão no 3850 aponta para o endereço IP correto e se o endereço de sub-rede corresponde ao roteador de gateway da Internet.

   Para verificar, execute o comando show ip interface interface-id. Verifique se o roteador do gateway de Internet tem rotas para a Internet e as redes internas.

Informações Relacionadas

• Criar VLANs Ethernet nos switches Catalyst
• Suporte técnico e downloads da Cisco