Configure Inter VLAN Routing with Catalyst Switches (Inter VLAN-routing configureren met Catalyst-switches)

Inleiding

In dit document wordt beschreven hoe u Inter VLAN-routing kunt configureren met Cisco Catalyst Series switches.

Voorwaarden

Vereisten

Voordat u deze configuratie uitvoert, moet aan de volgende vereisten worden voldaan:

• U weet hoe u VLAN’s kunt maken

  Raadpleeg Ethernet VLAN’s maken op Catalyst Switches voor meer informatie.

• Kennis van het maken van Trunk-koppelingen

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Catalyst 3850 waarin Cisco IOS® XE-softwarerelease 16.12.7 wordt uitgevoerd

• Catalyst 4500 Series met Cisco IOS®-softwarerelease 30.09.00E

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Verwante producten

Deze configuratie kan ook worden gebruikt in combinatie met deze hardware- en softwareversies:

• Any Catalyst 3k/9k-switch en hoger

• Om het even welk model van de Catalyst switch, dat als switch van de toegangslaag wordt gebruikt

Achtergrondinformatie

Dit document biedt een voorbeeldconfiguratie voor Inter VLAN-routing met een Catalyst 3850 Series switch in een typisch netwerkscenario. Het document gebruikt twee Catalyst 4500 Series switch als Layer 2 (L2) switches die rechtstreeks verbinding maken met Catalyst 3850. De Catalyst 3850-configuratie heeft ook een standaardroute voor al het verkeer dat naar internet gaat wanneer de volgende hop naar een Cisco-router wijst. U kunt de Internet Gateway vervangen door een firewall of een ander routermodel.

Opmerking: de configuratie vanuit de internetgateway-router is niet relevant, zodat dit document geen betrekking heeft op de configuratie.

In een geschakeld netwerk scheiden VLAN's apparaten in verschillende conflict domeinen en L3-subnetten (Layer 3). Apparaten binnen een VLAN kunnen met elkaar communiceren zonder dat u een routing nodig heeft. Apparaten in afzonderlijke VLAN’s vereisen een routingapparaat om met elkaar te communiceren.

L2-only switches vereisen een L3-routeringsapparaat om communicatie tussen VLAN’s te bieden. Het apparaat bevindt zich buiten de switch of in een andere module op hetzelfde chassis. Een nieuw type switches bevat routingcapaciteit binnen de switch. Een voorbeeld is de 3850. De switch ontvangt een pakket, bepaalt dat het pakket tot een ander VLAN behoort en verstuurt het pakket naar de juiste poort op de bestemming VLAN.

Een typisch netwerkontwerp segmenteert het netwerk gebaseerd op de groep of functie waartoe het apparaat behoort. Het engineering-VLAN heeft bijvoorbeeld alleen apparaten die op de engineering-afdeling betrekking hebben, en het financiële VLAN heeft alleen apparaten die op financiering betrekking hebben. Als u routing toestaat, kunnen de apparaten in elk VLAN met elkaar praten zonder dat alle apparaten zich in hetzelfde broadcastdomein moeten bevinden. Een dergelijk VLAN-ontwerp heeft ook een extra voordeel. Het ontwerp staat de beheerder toe om communicatie tussen VLAN's met gebruik van toegangslijsten te beperken. U kunt bijvoorbeeld toegangslijsten gebruiken om de engineering VLAN te beperken van toegang tot apparaten op het financierings-VLAN.

Verwijs naar dit document dat aantoont hoe te om Inter VLAN te vormen die op een Catalyst 3550 Series switch voor meer informatie hoe te om Inter VLAN te vormen die op Layer 3 Switches routing .

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Opmerking: gebruik de Cisco Support Tools om meer informatie te vinden over de opdrachten die hier worden gebruikt. Alleen geregistreerde Cisco-gebruikers hebben toegang tot tools als deze en andere interne informatie.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

In dit diagram biedt een klein voorbeeldnetwerk met Catalyst 3850 Inter VLAN-routing tussen de verschillende segmenten. De Catalyst 3850 switch kan fungeren als een L2-apparaat met de uitschakeling van IP-routing. Zorg ervoor dat IP-routing wereldwijd is ingeschakeld, zodat de switch als een L3-apparaat functioneert en Inter VLAN-routing mogelijk is.

Dit zijn de drie VLAN’s die door de gebruiker worden gedefinieerd:

• VLAN 2 — Gebruiker-VLAN

• VLAN 3 — Server-VLAN

• VLAN 10 — Mgmt-VLAN

De configuratie voor de standaardgateway op elke server en elk hostapparaat moet het VLAN-interface-IP-adres zijn dat met de Catalyst 3850 overeenkomt. Bijvoorbeeld, voor servers is de standaardgateway 10.1.3.1. De switches op de toegangslaag, die Catalyst 4500 zijn, worden gekoppeld aan de Catalyst 3850 switch.

De standaardroute voor Catalyst 3850 wijst naar de Cisco-router en deze wordt gebruikt om verkeer te routeren dat voor internet is bestemd. Daarom wordt verkeer waarvoor de 3850 geen route in de routertabel heeft, naar de Cisco-router doorgestuurd voor extra proces.

Praktische tips

• Zorg ervoor dat het native VLAN voor een 802.1Q-trunk aan beide uiteinden van de trunk-link hetzelfde is. Als het native VLAN aan één eind van de trunk anders is dan het native VLAN aan het andere eind, kan het verkeer van de native VLAN's aan beide kanten niet worden doorgestuurd. Een dergelijke storing in correct verzenden kan een aantal connectiviteitsproblemen in uw netwerk impliceren.

• Scheid het beheer-VLAN van de gebruikers- of de server-VLAN, zoals in dit diagram. Het beheer-VLAN is anders dan de gebruikers- of de server-VLAN. Met deze scheiding heeft elke uitzending-/pakketstorm die in de gebruikers- of server-VLAN voorkomt geen invloed op het beheer van switches.

• Gebruik VLAN 1 niet voor beheer. Alle poorten in Catalyst switches blijven standaard op VLAN 1 en alle apparaten die verbinding maken met poorten die niet zijn geconfigureerd, bevinden zich in VLAN 1. Het gebruik van VLAN 1 voor beheer kan potentiële problemen voor het beheer van switches veroorzaken.

• Gebruik een Layer 3 (gerouteerde) poort om verbinding te maken met de standaardgatewaypoort. In dit voorbeeld kunt u een Cisco-router eenvoudig vervangen door een firewall die verbinding maakt met de internetgateway-router.

• In dit voorbeeld wordt een statische standaardroute op de 3850 naar de Cisco-router geconfigureerd om het internet te bereiken. Deze instelling is het beste als er slechts één route naar het internet is. Zorg ervoor dat u statische routes, bij voorkeur samengevat, op de gateway-router configureert voor subnetten die met Catalyst 3850 kunnen worden bereikt. Deze stap is zeer belangrijk omdat deze configuratie geen routingprotocollen gebruikt.

• Als u twee Catalyst 3850 switches in uw netwerk hebt, kunt u de switches op de toegangslaag twee keer verbinden met de 3850 switches en vervolgens Hot Standby Router Protocol (HSRP) uitvoeren tussen de switches om redundantie in het netwerk te bieden.

• Als u extra bandbreedte voor de uplinkpoorten nodig hebt, kunt u EtherChannel configureren. EtherChannel biedt ook linkredundantie in het geval van een linkfout.

Configuraties

Dit document gebruikt de volgende configuraties:

• Catalyst 3850 

• Catalyst 4500-A switch 

• Catalyst 4500-B switch 

SW_3850#show running-config
Building configuration...

Current configuration : 11543 bytes
!
! Last configuration change at 12:16:54 UTC Tue Nov 15 2022
!
version 16.12
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service internal
service call-home
no platform punt-keepalive disable-kernel-core
!
hostname SW_3850
!  
!--- IP routing enabled for Inter VLAN routing.  

ip routing
!
!
no ip domain lookup
!
!
login on-success log
!
!        
!
vtp mode off 
! 
!--- Output suppressed.  

!--- Configure IEEE 802.1q trunks. 
!--- Issue the switchport mode trunk command to force the switch port to trunk mode. 
!--- Note: The default trunking mode is dynamic auto. If you establish a trunk link 
!--- with the default trunking mode, the trunk does not appear 
!--- in the configuration, even though a trunk has been established on 
!--- the interface. Use the show interfaces trunk command to verify the 
!--- establishment of the trunk. 

!
interface GigabitEthernet1/0/1
 shutdown
!
interface GigabitEthernet1/0/2
 shutdown
!         
interface GigabitEthernet1/0/3 description To_Switch-B switchport mode trunk
!
interface GigabitEthernet1/0/4
 no switchport no ip address shutdown   
! 
interface GigabitEthernet1/0/5 
 description To_Switch-A 
 switchport mode trunk 
! 
interface GigabitEthernet1/0/6 
no switchport 
no ip address
shutdown  
!
interface Vlan1
 no ip address
 shutdown
!

!--- This SVI (Switch Virtual Interface) is the default gateway for Users.
! 
interface Vlan2
 description User-SVI
 ip address 10.1.2.1 255.255.255.0
!

!--- This SVI is the default gateway for Servers.
!
interface Vlan3
 description Server-SVI
 ip address 10.1.3.1 255.255.255.0
!

!--- This SVI is the default gateway for other L2 switches management interface.  
! 
interface Vlan10
 description Management-SVI
 ip address 10.1.10.1 255.255.255.0 
!  

!--- This route statement allows the 3850 to send Internet traffic to the Cisco router. 

ip route 0.0.0.0 0.0.0.0 10.1.1.2 
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server  
! 
! 
! 
line con 0 
line vty 5 15 
! 
end

Opmerking: in dit voorbeeld is VLAN Trunk Protocol (VTP) op alle switches uitgeschakeld. Deze switch gebruikt de volgende opdrachten om VTP in te stellen als uit en om de drie VLAN’s te maken die de gebruiker heeft gedefinieerd vanuit de globale configuratiemodus:

SW_3850(config)#vtp mode off
Setting device to VTP Off mode for VLANS.
SW_3850(config)#vlan 2
SW_3850(config-vlan)#name User_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 3
SW_3850(config-vlan)#name Server_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 10
SW_3850(config-vlan)#name Mgmt_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#end

Switch-A#show running-config
Building configuration...

Current configuration : 15360 bytes
!
! Last configuration change at 01:06:17 UTC Wed Nov 16 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
service compress-config
!
hostname Switch-A
!  
no ip domain-lookup
no ip dhcp snooping information option
!
!
login block-for 60 attempts 3 within 60
login delay 1
login quiet-mode access-class testblock
login on-failure log
login on-success log
vtp mode off
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!    
! 
vlan 3 name Server-VLAN ! vlan 10 name Mgmt-VLAN
!

!--- Output suppressed

!
interface GigabitEthernet1/1
 shutdown
!
interface GigabitEthernet1/2
 shutdown
!
interface GigabitEthernet1/3 switchport mode trunk
!  

!--- Configure Server (Host-A) to be the on the access VLAN 3.   

!
interface TenGigabitEthernet3/1 switchport access vlan 3 switchport mode access
!
interface TenGigabitEthernet3/2
 shutdown
!
interface TenGigabitEthernet3/3
!
interface TenGigabitEthernet3/4
!  

!--- Output suppressed. 
!--- IP address on VLAN 10 manages this switch.  

!
interface Vlan1
 no ip address
!
interface Vlan10 ip address 10.1.10.2 255.255.255.0
!
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local
!  

!--- Configure the default gateway so that the switch is reachable from other !--- VLANs/subnets. The gateway points to the VLAN 10 interface on the 3850.

ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
! 
!
line con 0
 stopbits 1
line vty 0 4
 logging synchronous
 transport input all
line vty 5 15
 logging synchronous
 transport input all
!  
end

Switch-B#show running-config 
Building configuration...

Current configuration : 6841 bytes
!
! Last configuration change at 10:44:33 UTC Tue Nov 15 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service compress-config
!
hostname Switch-B
!
boot-start-marker
boot system bootflash:cat4500es8-universal.SPA.03.11.06.E.152-7.E6.bin
boot-end-marker
!
!
vrf definition mgmtVrf
 !
 address-family ipv4
 exit-address-family
 !        
 address-family ipv6
 exit-address-family
!
!
no aaa new-model
hw-module module 7 mode 1
!
!
!
!
!
!
!
!
!
vtp mode off 
!
! spanning-tree mode pvst spanning-tree extend system-id !  
vlan 2 
name User-VLAN 
! 
vlan 10 name 
Mgmt-VLAN 
!
!
interface GigabitEthernet1/1 switchport mode trunk
!
interface GigabitEthernet1/2
!
interface GigabitEthernet1/3
 shutdown
!
interface GigabitEthernet1/4
 shutdown
!

!--- Output suppressed.
!--- Configure User (Host-B) in VLAN 2.

! interface GigabitEthernet8/5 switchport access vlan 2 switchport mode access !
 
!--- Configure the management IP address in VLAN 10. 
!
interface Vlan1
 no ip address
!
interface Vlan10 ip address 10.1.10.3 255.255.255.0
!  

!--- Define the default route so that the switch is reachable. 
! 
ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
!   
!
line con 0
 stopbits 1
line vty 0 4
 login
 transport input none
!
!
end

Verifiëren

Deze sectie bevat informatie over de manier waarop u kunt controleren of de configuratie goed werkt.

Opmerking: de Cisco CLI Analyzer Tool kan probleemoplossing ondersteunen en de algehele status van uw door Cisco ondersteunde software controleren met deze slimme SSH-client die geïntegreerde TAC-tools en kennis gebruikt.

Opmerking: voor meer informatie over CLI-opdrachten, raadpleegt u de opdrachtreferentiehandleidingen voor een specifiek switchingplatform.  

Opmerking: alleen geregistreerde Cisco-gebruikers hebben toegang tot tools als deze en andere interne informatie.

Catalyst 3850

• show vtp status

SW_3850#show vtp status      
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : bc67.1c5d.3800
Configuration last modified by 10.0.0.10 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 8
Configuration Revision            : 0
MD5 digest                        : 0x7E 0xC3 0x8D 0x91 0xC8 0x53 0x42 0x14 
                                    0x79 0xA2 0xDF 0xE9 0xC0 0x06 0x1D 0x7D

• show interfaces trunk 

SW_3850#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan  
Gi1/0/3 on 802.1q trunking 1 Gi1/0/5 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/0/3 1-4094 Gi1/0/5 1-4094

Port        Vlans allowed and active in management domain
Gi1/0/3 1-3,10 Gi1/0/5 1-3,10 
Port        Vlans in spanning tree forwarding state and not pruned
Gi1/0/3     1-3,10
Gi1/0/5     1,3,10

• show ip route 

SW_3850#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
       n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       H - NHRP, G - NHRP registered, g - NHRP registration summary
       o - ODR, P - periodic downloaded static route, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is 10.100.100.2 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via 10.100.100.2
      10.0.0.0/8 is variably subnetted, 8 subnets, 2 masks
C        10.1.2.0/24 is directly connected, Vlan2
L        10.1.2.1/32 is directly connected, Vlan2
C        10.1.3.0/24 is directly connected, Vlan3
L        10.1.3.1/32 is directly connected, Vlan3
C        10.1.10.0/24 is directly connected, Vlan10
L        10.1.10.1/32 is directly connected, Vlan10
C        10.100.100.0/24 is directly connected, GigabitEthernet1/0/2
L        10.100.100.1/32 is directly connected, GigabitEthernet1/0/2

Catalyst 4500-A switch

• show vtp status

Switch-A#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 2
VTP Domain Name                 : cisco.com
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6400.f13e.dc40
Configuration last modified by 10.1.10.2 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 32
Configuration Revision            : 0
MD5 digest                        : 0x0B 0x61 0x4F 0x9B 0xCD 0x1B 0x37 0x55 
                                    0xAB 0x0C 0xC1 0x4B 0xF8 0xDE 0x33 0xB3 

• show interfaces trunk 

Switch-A#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/3 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/3 1-4094

Port        Vlans allowed and active in management domain
Gi1/3 1,3,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/3       1,3,10

Catalyst 4500-B switch

• show vtp status

Switch-B#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6c20.5606.3540
Configuration last modified by 10.1.10.3 at 11-15-22 10:42:29

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 7
Configuration Revision            : 0
MD5 digest                        : 0xEC 0xB4 0x8D 0x46 0x94 0x95 0xE0 0x8F 
                                    0xEE 0x1E 0xC7 0x9F 0x26 0x88 0x49 0x9F 

• show interfaces trunk

Switch-B#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/1 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/1 1-4094

Port        Vlans allowed and active in management domain
Gi1/1 1-2,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/1       1-2,10

Problemen oplossen

Deze sectie bevat informatie om uw configuratie te troubleshooten.

Procedure voor troubleshooting

Gebruik deze instructies:

1. Als u apparaten binnen hetzelfde VLAN niet kunt pingen, controleer dan de VLAN-toewijzing van de bron- en bestemmingspoorten om er zeker van te zijn dat de bron en de bestemming zich in hetzelfde VLAN bevinden.

   Om de VLAN-toewijzing te controleren, geeft u de opdracht interface status voor Cisco IOS-software uit.

   Als de bron en de bestemming niet in de zelfde switch zijn, zorg ervoor dat u de boomstammen behoorlijk hebt gevormd. Om de configuratie te controleren, geef het bevel van de showinterfacesboomstam uit.

2. Controleer ook of het native VLAN aan weerszijden van de trunklink overeenkomt. Zorg dat het subnetmasker overeenkomt voor de bron- en bestemmingsapparaten.

3. Als u geen apparaten in verschillende VLAN's kunt pingen, zorg er dan voor dat u de respectieve standaardgateway kunt pingen. (Zie Stap 1.)

   Zorg er ook voor dat de standaardgateway van het apparaat naar het juiste IP-adres van de VLAN-interface verwijst. Zorg ervoor dat het subnetmasker overeenkomt.

4. Als u het internet niet kunt bereiken, zorg ervoor dat de standaardroute op de 3850 switch verwijst naar het juiste IP-adres en dat het subnet-adres overeenkomt met de internetgateway-router.

   Om te controleren, geef het bevel van de show ip interface-id uit. Zorg ervoor dat de internetgateway-router routes naar het internet en de interne netwerken heeft.

Gerelateerde informatie

• Ethernet-VLAN’s maken op Catalyst-switches
• Cisco Technical Support en downloads