配置VLAN间路由使用Catalyst 3750系列交换机
简介
本文档提供使用在典型网络环境中运行 EMI 软件的两台组成堆叠的 Catalyst 3750 系列交换机的 Inter-Vlan Routing 配置示例。本文档使用一台 Catalyst 2950 系列交换机和一台 Catalyst 2948G 交换机作为第二层 (L2) 配线间交换机,连接到 Catalyst 3750 堆叠。此外,还针对发往 Internet 的所有下一跳指向 Cisco 7200VXR 路由器(可替换为防火墙或其他路由器)的数据流为 Catalyst 3750 堆叠配置默认路由。在单个3750上配置VLAN间的路由与在Catalyst 3550系列交换机上配置该功能相同。有关在单个 Catalyst 3750 系列交换机上配置 Inter-Vlan Routing 的信息,请参阅使用 Catalyst 3550 系列交换机配置 Inter-Vlan Routing。
开始使用前
规则
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
先决条件
尝试此配置之前,请确保满足下列前提条件:
-
具备创建 VLAN 的相关知识;有关详细信息,请参阅在 Catalyst 交换机上创建以太网 VLAN
-
具备创建 VLAN 中继的相关知识;有关详细信息,请参阅配置 VLAN 中的配置 VLAN 中继 部分。
使用的组件
本文档中的信息基于以下软件和硬件版本。
-
组成堆叠的两台运行 12.1(14)EA1 EMI 软件版本的 Catalyst 3750G-24T 交换机
-
运行 12.1(12c)EA1 EI 软件版本的 Catalyst 2950G-48
-
运行 6.3(10) 软件版本的 Catalyst 2948G
注意:Cisco 7200VXR的配置不相关,因此,本文档未显示。
本文档中的信息都是基于特定实验室环境中的设备创建的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您是在真实网络上操作,请确保您在使用任何命令前已经了解其潜在影响。
背景理论
在交换网络中,VLAN 将设备分入不同的冲突域和第三层 (L3) 子网内。VLAN 内的设备无需路由即可相互通信。相反,不同 VLAN 中的设备需要路由设备才能相互通信。
仅包含第二层的交换机需要有第三层路由设备(要么在交换机外部,要么在同一机箱的另一个模块中)。随着新型交换机的出现(例如,3550和3750),交换机内部也包含路由功能。交换机收到一个信息包,确定它是否属于另一个VLAN,并且将信息包发送到另一个VLAN的相应端口。
典型的网络设计根据设备所属的组或功能分割网络。例如,工程部门的 VLAN 只有与工程部门相关的设备,而财务部门的 VLAN 只有与财务部门相关的设备。如果启用路由,每个 VLAN 中的设备都能相互通信,而不需要所有设备位于同一广播域中。这样的 VLAN 设计还有其他优势,它使管理员能够使用访问列表限制 VLAN 间的通信。在我们的示例中,可以(使用访问列表)限制工程部门 VLAN 访问财务部门 VLAN 的设备。
3750 堆叠上的 IP 路由
在 Catalyst 3750 交换机堆叠上,主交换机上运行的软件决定了整个堆叠的功能。如果主交换机运行的是 EMI 镜像,整个堆叠将支持全套支持的路由协议(如开放最短路径优先 (OSPF)、增强的内部网关路由选择协议 (EIGRP) 等),即使其他堆叠成员只运行 SMI 镜像也是如此。然而,在不同堆栈成员上运行相同软件是可行的。如果堆栈主设备发生故障,如果其他成员运行与原来主设备的EMI镜像相对的SMI镜像,您会丢失扩展的路由功能。
对于网络,堆栈Catalyst 3750交换机就如同一台路由器,无论路由对等体连接到哪一台堆栈交换机,都不会对它产生影响。路由器将建立与 3750 路由器堆叠的单一相邻关系。
堆叠主交换机执行以下任务:
-
初始化和配置路由协议
-
生成路由协议消息
-
处理收到的路由协议消息
-
生成分布式 Cisco 快速转发 (DCEF) 数据库并将其分配给不同的堆叠成员
-
使用主交换机的 MAC 地址作为路由数据包的源 MAC
-
需要进程交换的数据包由主交换机的 CPU 进行处理
堆叠成员执行以下任务:
-
它们充当路由备用交换机,并在堆栈主设备发生故障时取而代之。
-
硬件中 dCEF 数据库中的路由编程
当主设备发生故障时,堆栈成员(除短暂中断以外)继续在硬件中转发信息包,没有协议运行。
在主交换机发生故障并选择新的主交换机后,新选择的主交换机将开始使用自己的 MAC 地址发送无故 ARP,以便将网络中的设备更新为新的 MAC 地址,该地址将用于重写路由数据包。
有关 3750 交换机堆叠行为和配置的详细信息,请参阅管理交换机堆叠文档。
相关产品
此配置也可用于下列硬件和软件版本。
-
运行 EMI 软件或 SMI 版本 12.1(14)EA1 和更高版本的任何 Catalyst 3750 交换机。
-
作为接入层交换机的任何 Catalyst 2900XL/3500XL/2950/3550 或 Catalyst OS 交换机。
配置
本部分提供有关如何配置本文档所述功能的信息。
注:要查找有关本文档中使用的命令的其他信息,请使用命令查找工具(仅注册客户)。
网络图
本文档使用下图所示的网络设置。
上述图表显示,配有Catalyst 3750堆栈的小型示例网络提供不同分段之间的VLAN间路由。
下面是用户定义的三个 VLAN:
-
VLAN 2 - 用户 VLAN
-
VLAN 3 - 服务器 VLAN
-
VLAN 10 - 管理 VLAN
每个服务器和主机设备上配置的默认网关应当是 3750 堆叠上的对应 VLAN 接口 IP 地址。例如,对于服务器,默认网关为10.1.3.1。Catalyst 2950中继到顶部Catalyst 3750交换机(堆叠主机),Catalyst 2848G中继到底部Catalyst 3750交换机(堆叠成员)。
堆叠的默认路由指向 Cisco 7200VXR 路由器。堆栈3750使用此默认路由来路由流向互联网的数据流。因此,在 3750 中没有路由表条目的数据流将发送到 7200VXR 进行处理。
实用提示
-
在此图中,管理 VLAN 与用户 VLAN 或服务器 VLAN 是独立的。此 VLAN 与用户 VLAN 或服务器 VLAN 不同。在用户 VLAN 或服务器 VLAN 中,采取这种措施可防止交换机管理受到广播/数据包风暴的潜在影响。
-
VLAN 1 不用于管理。Catalyst交换机中的所有端口都默认为VLAN 1,并且连接到未配置端口的所有设备都将位于VLAN 1中。这可能会导致交换机管理的潜在问题,如上所述。
-
使用第三层 (L3)(路由)端口连接到默认网关端口。在此图中,可以将 Cisco 7200VXR 路由器轻松替换为连接到 Internet 网关路由器的防火墙。
-
Catalyst 3750 堆叠与 Internet 网关路由器之间没有运行路由协议,而是在 3750 上配置了静态默认路由。如果只有一个通往 Internet 的路由,则首选此设置。确保在网关路由器 (7200VXR) 上为 Catalyst 3750 可达到的子网配置静态路由(最好是汇总路由)。由于未使用路由协议,所以此步骤非常重要。
-
如果需要额外的带宽供上行链路端口使用,可以配置 EtherChannel。出现链路故障时,配置 EtherChannel 还可提供链路冗余。
配置
本文档使用如下所示的配置。
如下所示,尽管两台 Catalyst 3750 交换机堆叠在一起,但它们的配置就好像只有一台交换机。两台交换机都有 24 个 10/100/1000 接口,对于第一台交换机,它们在配置中显示为千兆以太网 1/0/1 至千兆以太网 1/0/24,对于第二台交换机,它们在配置中显示为千兆以太网 2/0/1 至千兆以太网 2/0/24。因此查看此配置,此配置看起来就好象配有两个模块的每台交换机具有24个端口。
将这种方法应用于3、4、5,堆栈中的交换机看起来相似,但对于添加到堆栈的每台交换机,它在配置中的显示与一个模块添加到交换机相同。
| Cat3750 (Cisco Catalyst 3750G-24T) |
|---|
C3750G-24T#show run Building configuration... Current configuration : 2744 bytes ! version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname C3750G-24T ! ! ip subnet-zero ip routing ! no ip domain-lookup ! spanning-tree mode pvst no spanning-tree optimize bpdu transmission spanning-tree extend system-id ! ! ! interface GigabitEthernet1/0/1 description To 2950 switchport trunk encapsulation dot1q ! !--- Dot1q trunking (with negotiation) is configured on the L2 switch. !--- If DTP is not supported on the far switch, issue the !--- switchport mode trunk command !--- to force the switch port to trunk mode. !--- Note: The default trunking mode is dynamic auto. If a trunk link !--- is established using default trunking mode, it does not appear !--- in the configuration even though a trunk has been established on !--- the interface. Use the show interfaces trunk command to verify the !--- trunk has been established. ! interface GigabitEthernet1/0/2 ! !--- Output suppressed. ! interface GigabitEthernet1/0/5 description to SERVER_1 !--- Configure the server port to be in the server VLAN (VLAN 3). switchport access vlan 3 !--- Configure the port to be an access port to !--- prevent trunk negotiation delays. switchport mode access !--- Configure port-fast for initial STP delay. !--- Refer to Using PortFast and Other Commands to Fix Workstation !--- Startup Connectivity Delays for more information. spanning-tree portfast ! interface GigabitEthernet1/0/6 ! !--- Output suppressed. ! interface GigabitEthernet1/0/10 description To Internet_Router !--- Port connected to router is converted into a routed (L3) port. no switchport !--- IP address is configured on this port. ip address 200.1.1.1 255.255.255.252 ! interface GigabitEthernet1/0/21 ! !--- Output suppressed. ! interface GigabitEthernet1/0/22 ! interface GigabitEthernet1/0/23 ! interface GigabitEthernet1/0/24 ! interface GigabitEthernet2/0/1 description To 2948G switchport trunk encapsulation dot1q ! !--- Output suppressed. ! interface GigabitEthernet2/0/23 ! interface GigabitEthernet2/0/24 ! interface Vlan1 no ip address shutdown ! interface Vlan2 description USER_VLAN !--- This IP address would be the default gateway for users. ip address 10.1.2.1 255.255.255.0 ! interface Vlan3 description SERVER_VLAN !--- This IP address would be the default gateway for servers. ip address 10.1.3.1 255.255.255.0 ! interface Vlan10 description MANAGEMENT_VLAN !--- This IP address would be the default gateway for other L2 switches ip address 10.1.10.1 255.255.255.0 ! ip classless !--- This route statement will allow the 3550 to send Internet traffic to !--- its default router (in this case, 7200VXR Fe 0/0 interface). ip route 0.0.0.0 0.0.0.0 200.1.1.2 ip http server ! ! line con 0 exec-timeout 0 0 line vty 0 4 exec-timeout 0 0 login line vty 5 15 login ! end C3750G-24T# |
注意:由于3750已配置为VLAN中继协议(VTP)服务器,因此交换机不显示VTP配置。这是标准行为。在此交换机中,使用以下命令在全局配置模式下创建具有三个用户定义 VLAN 的 VTP 服务器。
C3750G-24T(config)#vtp domain cisco C3750G-24T(config)#vtp mode server C3750G-24T(config)#vlan 2 C3750G-24T(config-vlan)#name USER_VLAN C3750G-24T(config-vlan)#exit C3750G-24T(config)#vlan 3 C3750G-24T(config-vlan)#name SERVER_VLAN C3750G-24T(config-vlan)#exit C3750G-24T(config)#vlan 10 C3750G-24T(config-vlan)#name MANAGEMENT
| Cat2950(Cisco Catalyst 2950G-48 交换机) |
|---|
Cat2950#show running-config Building configuration... Current configuration : 2883 bytes ! version 12.1 no service single-slot-reload-enable no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Cat2950 ! ! ip subnet-zero ! spanning-tree extend system-id ! ! interface FastEthernet0/1 no ip address ! !--- Output suppressed. interface FastEthernet0/16 no ip address ! interface FastEthernet0/17 description SERVER_2 switchport access vlan 3 switchport mode access no ip address spanning-tree portfast ! !--- Output suppressed. ! interface FastEthernet0/33 description HOST_1 !--- Host_1 is configured to be the user VLAN (VLAN 2). switchport access vlan 2 switchport mode access no ip address spanning-tree portfast ! !--- Output suppressed. interface GigabitEthernet0/1 switchport trunk encapsulation dot1q no ip address ! interface GigabitEthernet0/2 no ip address ! interface Vlan1 no ip address no ip route-cache shutdown ! interface Vlan10 description MANAGEMENT !--- IP address used to manage this switch. ip address 10.1.10.2 255.255.255.0 no ip route-cache ! !--- Default gateway is configured so that the switch is reachable !--- from other VLANs/sub-nets. Gateway points to VLAN 10 interface !--- on the 3750. ip default-gateway 10.1.10.1 ip http server ! ! line con 0 line vty 5 15 ! end |
注意:由于Catalyst 2950已配置为VTP客户端,因此交换机不显示VTP配置。这是标准行为。2950 从 VTP 服务器 (3750) 获取 VLAN 信息。 在此交换机上使用以下命令,在全局配置模式下使其成为 VTP 域 cisco 中的 VTP 客户端。
Cat2950(config)#vtp domain cisco Cat2950(config)#vtp mode client
| Cat2948G(Cisco Catalyst 2948G 交换机) |
|---|
Cat2948G> (enable) show config !--- This command shows non-default configurations only. !--- Use the show config all command to show both !--- default and non-default configurations. ........... .................. .. begin ! # ***** NON-DEFAULT CONFIGURATION ***** ! ! #time: Fri Jun 30 1995, 05:04:47 ! #version 6.3(10) ! ! #system web interface version(s) ! #test ! #system set system name Cat2948G ! #frame distribution method set port channel all distribution mac both ! #vtp !--- VTP domain is configured to be that same as the 3550 (VTP server). set vtp domain cisco !--- VTP mode is chosen as client for this switch. set vtp mode client ! #ip !--- The management IP address is configured in VLAN 10. set interface sc0 10 10.1.10.3/255.255.255.0 10.1.10.255 set interface sl0 down set interface me1 down !--- The default route is defined so that the switch is reachable. set ip route 0.0.0.0/0.0.0.0 10.1.10.1 ! #set boot command set boot config-register 0x2 set boot system flash bootflash:cat4000.6-3-10.bin ! #module 1 : 0-port Switching Supervisor ! #module 2 : 50-port 10/100/1000 Ethernet !--- Host_2 and SERVER_3 ports are configured in respective VLANs. set vlan 2 2/2 set vlan 3 2/23 set port name 2/2 To HOST_2 set port name 2/23 to SERVER_3 !--- Trunk is configured to 3750 with dot1q encapsulation. set trunk 2/49 desirable dot1q 1-1005 end |
验证
本部分所提供的信息可用于确认您的配置是否正常工作。
命令输出解释程序工具(仅限注册用户)支持某些 show 命令,使用此工具可以查看对 show 命令输出的分析。
Catalyst 3750
-
show switch - show switch 命令显示堆叠的组成部分,以及哪个堆叠成员是主交换机。
C3750G-24T#show switch Current Switch# Role Mac Address Priority State -------------------------------------------------------- *1 Master 000c.30ae.6280 15 Ready 2 Slave 000c.30ae.2a80 1 Ready -
show vtp status
C3750G-24T#show vtp status VTP Version : 2 Configuration Revision : 3 Maximum VLANs supported locally : 1005 Number of existing VLANs : 8 VTP Operating Mode : Server VTP Domain Name : cisco VTP Pruning Mode : Disabled VTP V2 Mode : Disabled VTP Traps Generation : Disabled MD5 digest : 0xA2 0xF4 0x9D 0xE9 0xE9 0x1A 0xE3 0x77 Configuration last modified by 200.1.1.1 at 3-1-93 03:15:42 Local updater ID is 10.1.2.1 on interface Vl2 (lowest numbered VLAN interface found) C3750G-24T#
-
show interfaces trunk
C3750G-24T#show interfaces trunk Port Mode Encapsulation Status Native vlan Gi1/0/1 desirable 802.1q trunking 1 Gi2/0/1 desirable 802.1q trunking 1 Port Vlans allowed on trunk Gi1/0/1 1-4094 Gi2/0/1 1-4094 Port Vlans allowed and active in management domain Gi1/0/1 1-3,10 Gi2/0/1 1-3,10 Port Vlans in spanning tree forwarding state and not pruned Gi1/0/1 1-3,10 Gi2/0/1 1-3,10
-
show ip route
C3750G-24T#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 200.1.1.2 to network 0.0.0.0 200.1.1.0/30 is subnetted, 1 subnets C 200.1.1.0 is directly connected, GigabitEthernet1/0/10 10.0.0.0/24 is subnetted, 3 subnets C 10.1.10.0 is directly connected, Vlan10 C 10.1.3.0 is directly connected, Vlan3 C 10.1.2.0 is directly connected, Vlan2 S* 0.0.0.0/0 [1/0] via 200.1.1.2
Catalyst 2950
-
show vtp status
Cat2950#show vtp status VTP Version : 2 Configuration Revision : 3 Maximum VLANs supported locally : 250 Number of existing VLANs : 8 VTP Operating Mode : Client VTP Domain Name : cisco VTP Pruning Mode : Disabled VTP V2 Mode : Disabled VTP Traps Generation : Disabled MD5 digest : 0x54 0xC0 0x4A 0xCE 0x47 0x25 0x0B 0x49 Configuration last modified by 200.1.1.1 at 3-1-93 01:06:24
-
show interfaces trunk
Cat2950#show interfaces trunk Port Mode Encapsulation Status Native vlan Gi0/1 desirable 802.1q trunking 1 Port Vlans allowed on trunk Gi0/1 1-4094 Port Vlans allowed and active in management domain Gi0/1 1-3,10 Port Vlans in spanning tree forwarding state and not pruned Gi0/1 1-3,10
Catalyst 2948G
-
show vtp domain
Cat2948G> (enable) show vtp domain Domain Name Domain Index VTP Version Local Mode Password -------------------------------- ------------ ----------- ----------- ---------- cisco 1 2 client - Vlan-count Max-vlan-storage Config Revision Notifications ---------- ---------------- --------------- ------------- 8 1023 3 disabled Last Updater V2 Mode Pruning PruneEligible on Vlans --------------- -------- -------- ------------------------- 200.1.1.1 disabled disabled 2-1000
-
show trunk
Cat2948G> (enable) show trunk * - indicates vtp domain mismatch Port Mode Encapsulation Status Native vlan -------- ----------- ------------- ------------ ----------- 2/49 desirable dot1q trunking 1 Port Vlans allowed on trunk -------- --------------------------------------------------------------------- 2/49 1-1005 Port Vlans allowed and active in management domain -------- --------------------------------------------------------------------- 2/49 1-3,10 Port Vlans in spanning tree forwarding state and not pruned -------- --------------------------------------------------------------------- 2/49 1-3,10
故障排除
本部分提供的信息可用于对配置进行故障排除。
故障排除步骤
按照以下说明对您的配置进行故障排除。
-
如果无法 ping 通同一 VLAN 内的设备,则应通过发出 show port mod/port 命令(用于 CatOS)和 show interface status 命令(用于 Cisco IOS® 软件)检查源端口和目标端口的 VLAN 分配以确保它们位于同一个 VLAN 中。如果它们不在同一交换机内,则通过发出 show trunk 命令(用于 CatOS)和 show interfaces trunk 命令(用于 Cisco IOS 软件)确保中继配置正确,并确保两端的本地 VLAN 匹配。确保源设备与目标设备之间的子网掩码匹配。
-
如果无法 ping 通不同 VLAN 中的设备,则应确保您能够对相应的默认网关执行 ping 命令(请参阅上面的步骤 1)。 另外,请确保设备的默认网关指向正确的VLAN接口IP地址,且子网掩码匹配。
-
如果能够访问 Internet,则应确保 3750 上的默认路由指向正确的 IP 地址,并确保子网地址与 Internet 网关路由器匹配,方法是发出 show ip interface interface-id 和 show ip route 命令。确保 Internet 网关路由器有指向 Internet 和内部网络的路由。
反馈