LAN スイッチング : レイヤ 3 スイッチングとフォワーディング

目次

概要

このドキュメントでは、Cisco Catalyst 3750/3560/3550 シリーズ スイッチを使用してインター VLAN ルーティングを設定する方法について説明しています。また、Enhanced Multilayer Image（EMI; 拡張マルチレイヤ イメージ）ソフトウェアが稼働している Catalyst 3550 シリーズ スイッチを使った、一般的なネットワーク シナリオでのインター VLAN ルーティングのための設定例も紹介されています。このドキュメントでは、Catalyst 3550 に接続されているレイヤ 2（L2）クロゼット スイッチとして、Catalyst 2950 シリーズ スイッチと Catalyst 2948G スイッチを使用しています。Catalyst 3550 の設定には、ネクストホップが Cisco 7200VXR ルータをポイントしている場合に、インターネットへ送信されるすべてのトラフィックで使用されるデフォルト ルートもあります。Cisco 7200VXR ルータの代わりに、ファイアウォールやその他のルータを使用することもできます。

前提条件

要件

この設定を開始する前に、次の要件が満たされていることを確認してください。

• VLAN 作成の知識

  詳細については、『Catalyst スイッチでのイーサネット VLAN の作成』を参照してください。

• VLAN トランク作成の知識

  詳細については、『VLAN の設定』の「VLAN トランクの設定」セクションを参照してください。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

• Cisco IOS^(R) ソフトウェア リリース 12.1(12c)EA1 EMI が稼働している Catalyst 3550-48

• Cisco IOS ソフトウェア リリース 12.1(12c)EA1 EI が稼働している Catalyst 2950G-48

• Catalyst OS（CatOS）バージョン 6.3(10) が稼働している Catalyst 2948G

注：Cisco 7200VXR での設定は関連がないので、このドキュメントでは示されていません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

関連製品

この設定は、次のバージョンのハードウェアとソフトウェアにも使用できます。

• EMI ソフトウェアまたは Standard Multilayer Image（SMI; 標準マルチレイヤ イメージ）Cisco IOS ソフトウェア リリース 12.1(11)EA1 以降が稼働している Catalyst 3750/3560/3550 スイッチ

• Catalyst 2900XL/3500XL/2950/3550 または CatOS スイッチ モデル（アクセス レイヤ スイッチとして使用）

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景理論

スイッチ型ネットワークでは、VLAN はデバイスを別々の衝突ドメインとレイヤ 3（L3）サブネットに分散します。1 つの VLAN 内のデバイス間での相互通信に、ルーティングは不要です。別々の VLAN 内のデバイス間での相互通信には、ルーティング デバイスが必要となります。

L2 専用スイッチを使用している場合は、L3 ルーティング デバイスが必要です。このデバイスは、スイッチに対する外部デバイスか、同じシャーシ内の別モジュールのいずれかになります。新鋭機のスイッチ（3550 など）では、スイッチ自体にルーティング機能が備わっています。このタイプのスイッチは、受信したパケットが別の VLAN に属するものであることを確認すると、そのパケットを相手方の VLAN の適切なポートに送ります。

一般的なネットワーク設計では、各デバイスが所属するグループや組織に応じてネットワークをセグメント化します。たとえば、技術部門の VLAN には技術部門に関連するデバイスだけが含まれ、財務部門の VLAN には財務部門に関連するデバイスだけが含まれるようにします。ルーティングを有効にすると各 VLAN のデバイスが相互に通信できるようになるため、すべてのデバイスを同じブロードキャスト ドメインに配置する必要がなくなります。また、このような VLAN 設計には、アクセスリストを使って VLAN 間の通信を制限できるという利点もあります。このドキュメントの例では、アクセス リストを使用して、技術部門の VLAN から財務部門の VLAN 上にあるデバイスへのアクセスを制限できます。

スイッチは、VLAN とルーテッド ポート間で非 IP パケットをルーティングしません。非 IP パケットを転送するには、フォールバック ブリッジングを使用します。この機能を使用するには、元々 Enhanced Multilayer Image（EMI）と呼ばれていた IP サービス イメージがスイッチにインストールされている必要があります。

設定

このセクションでは、このドキュメントで説明する機能を設定するための情報を提供しています。

注：このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool （登録ユーザ専用）を使用してください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

このダイアグラムでは、Catalyst 3550 を含む小規模ネットワークが各セグメント間でインター VLAN ルーティングを行っています。Catalyst 3550 スイッチはデフォルトでは L2 デバイスとして機能し、IP ルーティングは無効になっています。3550 スイッチを L3 デバイスとして機能させてインター VLAN ルーティングを行うには、ネットワーク全体で IP ルーティングを有効にする必要があります。

このネットワーク構成には次のように定義された 3 つの VLAN が存在します。

• VLAN 2：ユーザ VLAN

• VLAN 3：サーバ VLAN

• VLAN 10：管理用 VLAN

各サーバとホスト デバイス上のデフォルト ゲートウェイ設定は、3550 上で対応する VLAN インターフェイスの IP アドレスでなければなりません。たとえばサーバの場合、デフォルトのゲートウェイは 10.1.3.1 です。アクセス レイヤ スイッチ（Catalyst 2950 と 2948G）は、Catalyst 3550 スイッチにトランクされています。

Catalyst 3550 のデフォルト ルートは Cisco 7200VXR ルータを指しています。Catalyst 3550 はデフォルト ルートを使って、インターネットに向けたトラフィックのルーティングを行います。そのため、3550 がルーティング テーブル エントリを持っていないトラフィックは、7200VXR に転送されて処理されます。

実用的なヒント

• 802.1Q トランクのネイティブ VLAN が、トランク リンクの両端で必ず同じになるようにしてください。トランクの一方の端のネイティブ VLAN が、もう一方の端のネイティブ VLAN とは異なる場合、両側のネイティブ VLAN のトラフィックはトランク上を正しく転送されません。この問題は、ネットワークに接続性に関する問題があることを示している可能性があります。

• 管理用 VLAN は、このダイアグラムのようにユーザ VLAN およびサーバ VLAN から切り離します。管理用 VLAN はユーザ VLAN やサーバ VLAN とは異なります。このように切り離しておくと、ユーザ VLAN またはサーバ VLAN で発生したブロードキャスト ストームやパケット ストームの影響を受けずにスイッチを管理できます。

• VLAN 1 は管理用に使用しないでください。Catalyst スイッチのすべてのポートはデフォルトで VLAN 1 を使用するため、未設定のポートに接続されたデバイスはすべて VLAN 1 に属すことになります。2 番目のヒントで説明するように、VLAN 1 を管理用に使用すると、スイッチの管理に問題が発生する可能性があります。

• デフォルト ゲートウェイ ポートへの接続には、レイヤ 3（ルーテッド）ポートを使用します。この例では、Cisco 7200VXR ルータを、インターネット ゲートウェイ ルータに接続されたファイアウォールに簡単に置き換えることができます。

• Catalyst 3550 とインターネット ゲートウェイ ルータ間ではルーティング プロトコルを実行しないでください。この例では、その代わりに 3550 でスタティック デフォルト ルートを設定します。インターネットへのルートが 1 つしかない場合はこの構成が最適です。Catalyst 3550 が到達可能なサブネットに対するスタティック ルート（集約したものが望ましい）を、ゲートウェイ ルータ（7200VXR）上で確実に設定してください。この設定ではルーティング プロトコルを使用していないため、この作業は非常に重要です。

• ネットワーク内に Catalyst 3550 スイッチが 2 台ある場合は、両方の 3550 スイッチにアクセス レイヤ スイッチをデュアル接続できます。スイッチ間で Hot Standby Router Protocol（HSRP; ホットスタンバイ ルータ プロトコル）を実行すると、ネットワークの冗長性が確保されます。HSRP 設定に関する詳細については、『IP サービスの設定』の「HSRP の設定」セクションを参照してください。

• アップリンク ポート用にさらに帯域幅が必要な場合は、EtherChannel の設定が可能です。EtherChannel を設定すると、リンクの障害が発生した場合のリンクの冗長性も確保されます。

設定例

このドキュメントでは、次の設定を使用しています。

• Catalyst 3550

• Catalyst 2950

• Catalyst 2948G

Cat3550#show running-config 
Building configuration...

Current configuration : 3092 bytes
!
version 12.1
no service single-slot-reload-enable
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Cat3550
!
!
ip subnet-zero

!--- インター VLAN ルーティングを行うために IP ルーティングを有効にします。

ip routing
!!
!
spanning-tree extend system-id
!
!
!
interface FastEthernet0/1
 no ip address
!

!--- 出力を省略。

!
interface FastEthernet0/5
 description to SERVER_1

!--- サーバ ポートがサーバ VLAN（VLAN 3）に属すように設定します。

switchport access vlan 3

!--- トランク ネゴシエーションの遅延を防止するために、
!--- このポートをアクセス ポートとして設定します。

 switchport mode access
 no ip address

!--- 初期 Spanning Tree Protocol（STP; スパニング ツリー プロトコル）遅延のために
!--- PortFast を設定します。
!--- 詳細は、『PortFast と他のコマンドを使用したワークステーションの接続始動遅延の修復』
!--- を参照してください。

spanning-tree portfast
!

!--- 出力を省略。

!
interface FastEthernet0/48
 description To Internet_Router

!--- ルータに接続されたポートをルーテッド（L3）ポートに変換します。

no switchport

!--- このポートの IP アドレスを設定します。 

ip address 200.1.1.1 255.255.255.252
!
interface GigabitEthernet0/1
 description To 2950

!--- L2 スイッチで IEEE 802.1（dot1q）トランキング（ネゴシエーション有効）を設定します。
!--- 相手側のスイッチで Dynamic Trunking Protocol（DTP）がサポートされていない場合は、 
!--- switchport mode trunk コマンドを発行して、そのスイッチのポートを強制的にトランク モードにします。
!--- 注：デフォルトのトランキング モードは dynamic auto です。デフォルトのトランキング モードで 
!--- トランク リンクを確立する場合、
!--- そのインターフェイス上でトランクがすでに確立されていても、 
!--- 設定には表示されません。トランクが確立されているのを確認するには、 
!--- show interfaces trunk コマンドを使用します。 

switchport trunk encapsulation dot1q
 no ip address
!
interface GigabitEthernet0/2
 description To 2948G
 switchport trunk encapsulation dot1q
 no ip address
!
interface Vlan1
 no ip address
 shutdown
!
interface Vlan2
 description USER_VLAN

!--- この IP アドレスはユーザ用のデフォルト ゲートウェイです。

 ip address 10.1.2.1 255.255.255.0
!
interface Vlan3
 description SERVER_VLAN

!--- この IP アドレスはサーバ用のデフォルト ゲートウェイです。

ip address 10.1.3.1 255.255.255.0
!
interface Vlan10
 description MANAGEMENT_VLAN

!--- この IP アドレスは他の L2 スイッチ用のデフォルト ゲートウェイです。

 ip address 10.1.10.1 255.255.255.0
!
ip classless

!--- この route 文により、3550 はデフォルトのルータ（この場合は 7200VXR Fe 0/0 インターフェイス）に 
!--- インターネット トラフィックを送ることができます。

ip route 0.0.0.0 0.0.0.0 200.1.1.2
ip http server
!
!
!
line con 0
line vty 5 15
!
end

注：3550 は VLAN Trunk Protocol（VTP）サーバとして設定されているので、この VTP 設定はスイッチに表示されません。これは標準的な動作です。このスイッチは、ユーザが定義した 3 つの VLAN を持つ VTP サーバを作成するために、グローバル コンフィギュレーション モードから次のコマンドを使用します。

Cat3550(config)#vtp domain cisco
Cat3550(config)#vtp mode server
Cat3550(config)#vlan 2
Cat3550(config-vlan)#name USER_VLAN
Cat3550(config-vlan)#exit
Cat3550(config)#vlan 3
Cat3550(config-vlan)#name SERVER_VLAN
Cat3550(config-vlan)#exit
Cat3550(config)#vlan 10
Cat3550(config-vlan)#name MANAGEMENT

Cat2950#show running-config 
Building configuration...

Current configuration : 2883 bytes
!
version 12.1
no service single-slot-reload-enable
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Cat2950
!
!
ip subnet-zero
!
spanning-tree extend system-id
!
!
interface FastEthernet0/1
 no ip address
!

!--- 出力を省略。

interface FastEthernet0/16
 no ip address
!
interface FastEthernet0/17
 description SERVER_2
 switchport access vlan 3
 switchport mode access
 no ip address
 spanning-tree portfast
!

!--- 出力を省略。

!
interface FastEthernet0/33
 description HOST_1

!--- HOST_1 をユーザ VLAN（VLAN 2）として設定します。

 
 switchport access vlan 2
 switchport mode access
 no ip address
 spanning-tree portfast
!

!--- 出力を省略。

interface GigabitEthernet0/1
 switchport trunk encapsulation dot1q
 no ip address
!
interface GigabitEthernet0/2
 no ip address
!
interface Vlan1
 no ip address
 no ip route-cache
 shutdown
!
interface Vlan10
 description MANAGEMENT

!--- この IP アドレスは、このスイッチの管理に使用されます。 

ip address 10.1.10.2 255.255.255.0
 no ip route-cache
!

!--- 他の VLAN やサブネットからこのスイッチに到達できるようにデフォルト ゲートウェイを設定します。
!--- このゲートウェイは、3550 の VLAN 10 インターフェイスに設定します。

ip default-gateway 10.1.10.1
ip http server
!
!
line con 0
line vty 5 15
!
end

注：Catalyst 2950 は VTP クライアントとして設定されているので、この VTP 設定はスイッチに表示されません。これは標準的な動作です。2950 は VTP サーバ（3550）からの VLAN 情報を必要とします。この 2950 スイッチは、VTP ドメイン cisco 内の VTP クライアントとして機能するために、グローバル コンフィギュレーション モードから次のコマンドを使用します。

Cat2950(config)#vtp domain cisco
Cat2950(config)#vtp mode client

Cat2948G> (enable) show config 
This command shows non-default configurations only.
Use 'show config all' to show both default and non-default configurations.
...........

..................
..

begin
!
# ***** NON-DEFAULT CONFIGURATION *****
!
!
#time: Fri Jun 30 1995, 05:04:47 
!
#version 6.3(10)
!
!
#system web interface version(s)
!
#test
!
#system
set system name  Cat2948G
!       
#frame distribution method
set port channel all distribution mac both
!
#vtp

!--- VTP ドメインが 3550（VTP サーバ）と同じになるように設定します。

set vtp domain cisco

!--- このスイッチの VTP モードをクライアント モードに設定します。

set vtp mode client
!
#ip

!--- VLAN 10 で管理用 IP アドレスを設定します。

set interface sc0 10 10.1.10.3/255.255.255.0 10.1.10.255

set interface sl0 down
set interface me1 down

!--- スイッチに到達できるようにデフォルト ルートを設定します。

set ip route 0.0.0.0/0.0.0.0         10.1.10.1      
!
#set boot command
set boot config-register 0x2
set boot system flash bootflash:cat4000.6-3-10.bin
!
#module 1 : 0-port Switching Supervisor
!
#module 2 : 50-port 10/100/1000 Ethernet

!--- HOST_2 ポートと SERVER_3 ポートをそれぞれの VLAN で設定します。

set vlan 2    2/2
set vlan 3    2/23
set port name       2/2  To HOST_2
set port name       2/23 to SERVER_3

!--- dot1q カプセル化を有効にした 3550 へのトランクを設定します。

set trunk 2/49 desirable dot1q 1-1005
end

確認

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を示しています。

特定の show コマンドは、アウトプットインタープリタ （登録ユーザ専用）（OIT）でサポートされています。OIT を使用すると、show コマンドの出力を分析できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

Catalyst 3550

• show vtp status

  Cat3550#show vtp status 
  VTP Version                     : 2
  Configuration Revision          : 3
  Maximum VLANs supported locally : 1005
  Number of existing VLANs        : 8
  VTP Operating Mode              : Server
  VTP Domain Name                 : cisco
  VTP Pruning Mode                : Disabled
  VTP V2 Mode                     : Disabled
  VTP Traps Generation            : Disabled
  MD5 digest                      : 0x54 0xC0 0x4A 0xCE 0x47 0x25 0x0B 0x49 
  Configuration last modified by 200.1.1.1 at 3-1-93 01:06:24
  Local updater ID is 10.1.2.1 on interface Vl2 (lowest numbered VLAN interface found)
  

• show interfaces trunk

  Cat3550#show interfaces trunk 
  
  Port      Mode         Encapsulation  Status        Native vlan
  Gi0/1     desirable    802.1q         trunking      1
  Gi0/2     desirable    802.1q         trunking      1
  
  Port      Vlans allowed on trunk
  Gi0/1     1-4094
  Gi0/2     1-4094
  
  Port      Vlans allowed and active in management domain
  Gi0/1     1-3,10
  Gi0/2     1-3,10
  
  Port      Vlans in spanning tree forwarding state and not pruned
  
  Gi0/1     1-3,10
  Gi0/2     1-3,10
  

• show ip route

  Cat3550#show ip route
  Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
         D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
         N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
         E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
         i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
         * - candidate default, U - per-user static route, o - ODR
         P - periodic downloaded static route
  
  Gateway of last resort is 200.1.1.2 to network 0.0.0.0
  
       200.1.1.0/30 is subnetted, 1 subnets
  C       200.1.1.0 is directly connected, FastEthernet0/48
       10.0.0.0/24 is subnetted, 3 subnets
  C       10.1.10.0 is directly connected, Vlan10
  C       10.1.3.0 is directly connected, Vlan3
  C       10.1.2.0 is directly connected, Vlan2
  S*   0.0.0.0/0 [1/0] via 200.1.1.2
  

Catalyst 2950

• show vtp status

  Cat2950#show vtp status 
  VTP Version                     : 2
  Configuration Revision          : 3
  Maximum VLANs supported locally : 250
  Number of existing VLANs        : 8
  VTP Operating Mode              : Client
  VTP Domain Name                 : cisco
  VTP Pruning Mode                : Disabled
  VTP V2 Mode                     : Disabled
  VTP Traps Generation            : Disabled
  MD5 digest                      : 0x54 0xC0 0x4A 0xCE 0x47 0x25 0x0B 0x49 
  Configuration last modified by 200.1.1.1 at 3-1-93 01:06:24
  

• show interfaces trunk

  Cat2950#show interfaces trunk  
  
  Port      Mode         Encapsulation  Status        Native vlan
  Gi0/1     desirable    802.1q         trunking      1
  
  Port      Vlans allowed on trunk
  Gi0/1     1-4094
  
  Port      Vlans allowed and active in management domain
  Gi0/1     1-3,10
  
  Port      Vlans in spanning tree forwarding state and not pruned
  Gi0/1     1-3,10
  

Catalyst 2948G

• show vtp domain

  Cat2948G> (enable) show vtp domain 
  Domain Name                      Domain Index VTP Version Local Mode  Password
  -------------------------------- ------------ ----------- ----------- ----------
  cisco                            1            2           client      -
  
  Vlan-count Max-vlan-storage Config Revision Notifications
  ---------- ---------------- --------------- -------------
  8          1023             3               disabled
  
  Last Updater    V2 Mode  Pruning  PruneEligible on Vlans
  --------------- -------- -------- -------------------------
  200.1.1.1       disabled disabled 2-1000
  

• show trunk

  Cat2948G> (enable) show trunk 
  * - indicates vtp domain mismatch
  Port      Mode         Encapsulation  Status        Native vlan
  --------  -----------  -------------  ------------  -----------
   2/49     desirable    dot1q          trunking      1
  
  Port      Vlans allowed on trunk
  --------  ---------------------------------------------------------------------
   2/49     1-1005
  
  Port      Vlans allowed and active in management domain 
  --------  ---------------------------------------------------------------------
   2/49     1-3,10
  
  Port      Vlans in spanning tree forwarding state and not pruned
  --------  ---------------------------------------------------------------------
   2/49     1-3,10
  

トラブルシューティング

ここでは、設定のトラブルシューティングについて説明しています。

トラブルシューティング手順

次の手順に従ってください。

1. 同一の VLAN 内のデバイスに ping できない場合は、送信元ポートと宛先ポートの VLAN 割り当てをチェックして、同一の VLAN にあることを確認します。

   VLAN 割り当てを確認するには、CatOS の show port mod/port コマンド、または Cisco IOS ソフトウェアの show interface status コマンドを発行します。

   送信元と宛先が同一のスイッチ内にない場合は、トランキングが正しく設定されていることを確認します。この設定を確認するには、CatOS の show trunk コマンド、または Cisco IOS ソフトウェアの show interfaces trunk コマンドを発行します。また、ネイティブ VLAN が両側で一致していることを確認します。送信元と宛先のデバイスでサブネット マスクが一致していることも確認します。

2. 別の VLAN 上のデバイスに ping できない場合は、それぞれのデフォルト ゲートウェイに ping できるかどうかを確認します。

   注：手順 1 を参照してください。

   また、デバイスのデフォルト ゲートウェイが正しい VLAN インターフェイスの IP アドレスを指していて、サブネット マスクが一致していることを確認します。

3. インターネットに到達できない場合は、3550 のデフォルト ルートが正しい IP アドレスを指していて、サブネット アドレスがインターネット ゲートウェイ ルータと一致していることを確認します。

   これを確認するには、show ip interface interface-id コマンドと show ip route をコマンドを発行します。インターネット ゲートウェイ ルータで、インターネットと内部ネットワークへのルートがあることを確認します。

NetPro ディスカッション フォーラム：特集対話

関連情報

• Catalyst スイッチでのイーサネット VLAN の作成
• LAN 製品に関するサポート（英語）
• LAN スイッチング テクノロジーに関するサポート（英語）