局域网交换 : VLAN 间路由

为 Catalyst 3750/3560/3550 系列交换机配置 VLAN 间路由

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 10 月 6 日) | 反馈


目录


简介

本文档将说明如何使用 Cisco Catalyst 3750/3560/3550 系列交换机配置 VLAN 间路由。本文档将提供使用 Catalyst 3550 系列交换机配置 VLAN 间路由的配置示例,其中 Catalyst 3550 交换机在典型网络环境中运行增强型多层映像 (EMI) 软件。本文档将 Catalyst 2950 系列交换机和 Catalyst 2948G 交换机用作与 Catalyst 3550 相连的第二层 (L2) 布线室交换机。当下一跳指向 Cisco 7200VXR 路由器时,Catalyst 3550 配置还将为所有流向 Internet 的数据流提供一个默认路由。可以将 Cisco 7200 VXR 路由器替换为防火墙或其他路由器。

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 运行Cisco IOSï ¿  ½软件版本12.1(12c)EA1 EMI的Catalyst 3550-48

  • 运行 Cisco IOS 软件版本 12.1(12c)EA1 EI 的 Catalyst 2950G-48

  • 运行 Catalyst OS (CatOS) 版本 6.3(10) 的 Catalyst 2948G

注意: Cisco 7200VXR 的配置与本文无关,因此本文档未说明该配置。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

相关产品

此配置也可用于以下硬件和软件版本:

  • 运行 EMI 软件或标准多层映像 (SMI) Cisco IOS 软件版本 12.1(11)EA1 及更高版本的任何 Catalyst 3750/3560/3550 交换机

  • 用作接入层交换机的任何 Catalyst 2900XL/3500XL/2950/3550 或 CatOS 交换机型号

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

背景理论

在交换网络中,VLAN 将设备分入不同的冲突域和第三层 (L3) 子网内。同一 VLAN 内的设备能相互通信,无需路由。不同 VLAN 内的设备需要路由设备才能相互通信。

二层交换机要求使用三层路由设备。该设备可以在交换机外部,也可以是在同一个机箱的另一个模块中。一种新型的交换机将路由功能整合到了交换机内。其中的一个例子就是 3550。交换机接收数据包,确定数据包属于另一个 VLAN,然后将数据包发送至该 VLAN 的相应端口。

典型的网络设计根据设备所属的组或功能分割网络。例如,工程 VLAN 只有与工程部相关的设备,财务 VLAN 只有与财务相关的设备。如果启用路由,每个 VLAN 中的设备就能够相互通信,无需所有的设备处于同一个广播域中。这样的 VLAN 设计也有其他好处。该设计允许管理员使用访问列表限制 VLAN 间的通信。在本文档的示例中,可以使用访问列表限制工程 VLAN 访问财务 VLAN 中的设备。

交换机不会在 VLAN 和路由端口之间路由非 IP 数据包。可以使用后退桥接转发这些非 IP 数据包。要使用此功能,交换机中必须安装 IP 服务映像(以前称为增强型多层映像 (EMI))。

这是链路到展示如何配置在leavingcisco.com Catalyst 3550系列交换机的InterVLAN路由的视频(在Cisco支持社区的联机) :

如何在第三层交换机上配置 VLAN 间路由leavingcisco.com

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 有关本文档所用命令的详细信息,请使用命令查找工具仅限注册用户)。

网络图

本文档使用以下网络设置:

189-a.gif

此网络图中的小型网络示例使用了 Catalyst 3550,在多个分段之间提供 VLAN 间路由。默认情况下,Catalyst 3550 交换机将用作禁用了 IP 路由的 L2 设备。要将交换机用作 L3 设备,并提供 VLAN 间路由,必须在全局启用 IP 路由。

以下 VLAN 是用户定义的三个 VLAN:

  • VLAN 2 - 用户 VLAN

  • VLAN 3 - 服务器 VLAN

  • VLAN 10 - 管理 VLAN

每个服务器和主机设备上的默认网关配置必须是 3550 上对应的 VLAN 接口 IP 地址。例如,对于服务器,默认网关是 10.1.3.1。接入层交换机(即 Catalyst 2950 和 2948G)被中继到 Catalyst 3550 交换机。

Catalyst 3550 的默认路由指向 Cisco 7200VXR 路由器。Catalyst 3550 使用这一默认路由对发往 Internet 的数据流进行路由。所以,对于 3550 中没有其路由表条目的数据流将转发到 7200VXR 进行处理。

实用提示

  • 确保 802.1Q 中继的中继链路两端的本地 VLAN 相同。如果位于中继一端的本地 VLAN 与另一端的本地 VLAN 不相同,则这两端的本地 VLAN 数据流将无法在中继上正确传输。这种传输故障可能会导致网络出现某些连接问题。

  • 如上图所示,将管理 VLAN 与用户 VLAN 或服务器 VLAN 分离。管理 VLAN 与用户 VLAN 或服务器 VLAN 不同。如此分离后,在用户 VLAN 或服务器 VLAN 上发生的任何广播/数据包风暴都不会影响交换机的管理。

  • 请勿使用 VLAN 1 进行管理。Catalyst 交换机中的所有端口都默认为 VLAN 1,并且与未配置端口连接的所有设备都在 VLAN 1 中。正如第二个提示说明的那样,使用 VLAN 1 进行管理会导致交换机管理的潜在问题。

  • 请使用第 3 层(路由)端口连接到默认网关端口。在本示例中,可以用连接到 Internet 网关路由器的防火墙轻松替换 Cisco 7200VXR 路由器。

  • 在 Catalyst 3550 和 Internet 网关路由器之间运行路由协议。此示例则在 3550 上配置了一个静态默认路由。如果只有一个到 Internet 的路由,则此设置为最佳设置。确保在网关路由器 (7200VXR) 上为 Catalyst 3550 可达到的子网配置静态路由,最好是汇总路由。因为此配置不使用路由协议,所以此步骤非常重要。

  • 如果网络中有两台 Catalyst 3550 交换机,则可以将接入层交换机双重连接到这两台 3550 上。在交换机之间运行热备用路由器协议 (HSRP),以在网络中提供冗余。有关 HSRP 配置的详细信息,请参阅配置 IP 服务配置 HSRP 部分。

  • 如果需要额外的带宽供上行链路端口使用,可以配置 EtherChannel。出现链路故障的情况下,EtherChannel 也可提供链路冗余。

配置

本文档使用以下配置:

Catalyst 3550(Catalyst 3550-48 交换机)
Cat3550#show running-config 
Building configuration...

Current configuration : 3092 bytes
!
version 12.1
no service single-slot-reload-enable
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Cat3550
!
!
ip subnet-zero

!--- Enable IP routing for interVLAN routing.

ip routing
!!
!
spanning-tree extend system-id
!
!
!
interface FastEthernet0/1
 no ip address
!

!--- Output suppressed.

!
interface FastEthernet0/5
 description to SERVER_1

!--- Configure the server port to be in the server VLAN, VLAN 3.

switchport access vlan 3

!--- Configure the port to be an access port to prevent trunk negotiation delays.

 switchport mode access
 no ip address

!--- Configure PortFast for initial Spanning Tree Protocol (STP) delay. Refer to
!--- Using PortFast and Other Commands to Fix Workstation Startup Connectivity Delays
!--- for more information.

spanning-tree portfast
!

!--- Output suppressed.

!
interface FastEthernet0/48
 description To Internet_Router

!--- The port that connects to the router converts into a routed (L3) port.

no switchport

!--- Configure the IP address on this port. 

ip address 200.1.1.1 255.255.255.252
!
interface GigabitEthernet0/1
 description To 2950

!--- Configure IEEE 802.1 (dot1q) trunking, with negotiation, on the L2 switch.
!--- If there is not support for Dynamic Trunking Protocol (DTP) on the far switch, 
!--- issue the switchport mode trunk command to force the switch port to trunk mode.
!--- Note: The default trunking mode is dynamic auto. If you establish a trunk link 
!--- with the default trunking mode, the trunk does not appear
!--- in the configuration, even though a trunk has been established on 
!--- the interface. Use the show interfaces trunk command to verify the 
!--- establishment of the trunk. 

switchport trunk encapsulation dot1q
 no ip address
!
interface GigabitEthernet0/2
 description To 2948G
 switchport trunk encapsulation dot1q
 no ip address
!
interface Vlan1
 no ip address
 shutdown
!
interface Vlan2
 description USER_VLAN

!--- This IP address is the default gateway for users.

 ip address 10.1.2.1 255.255.255.0
!
interface Vlan3
 description SERVER_VLAN

!--- This IP address is the default gateway for servers.

ip address 10.1.3.1 255.255.255.0
!
interface Vlan10
 description MANAGEMENT_VLAN

!--- This IP address is the default gateway for other L2 switches.

 ip address 10.1.10.1 255.255.255.0
!
ip classless

!--- This route statement allows the 3550 to send Internet traffic to 
!--- the default router which, in this case, is the 7200VXR (Fe 0/0 interface).

ip route 0.0.0.0 0.0.0.0 200.1.1.2
ip http server
!
!
!
line con 0
line vty 5 15
!
end

注意: 由于 3550 已配置为 VLAN 中继协议 (VTP) 服务器,所以交换机不显示 VTP 配置。该行为是标准行为。此交换机在全局配置模式下使用以下命令以及用户定义的三个 VLAN 创建 VTP 服务器:

Cat3550(config)#vtp domain cisco
Cat3550(config)#vtp mode server
Cat3550(config)#vlan 2
Cat3550(config-vlan)#name USER_VLAN
Cat3550(config-vlan)#exit
Cat3550(config)#vlan 3
Cat3550(config-vlan)#name SERVER_VLAN
Cat3550(config-vlan)#exit
Cat3550(config)#vlan 10
Cat3550(config-vlan)#name MANAGEMENT
Catalyst 2950(Catalyst 2950G-48 交换机)
Cat2950#show running-config 
Building configuration...

Current configuration : 2883 bytes
!
version 12.1
no service single-slot-reload-enable
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Cat2950
!
!
ip subnet-zero
!
spanning-tree extend system-id
!
!
interface FastEthernet0/1
 no ip address
!

!--- Output suppressed.

interface FastEthernet0/16
 no ip address
!
interface FastEthernet0/17
 description SERVER_2
 switchport access vlan 3
 switchport mode access
 no ip address
 spanning-tree portfast
!

!--- Output suppressed.

!
interface FastEthernet0/33
 description HOST_1

!--- Configure HOST_1 to be the user VLAN, VLAN 2.

 
 switchport access vlan 2
 switchport mode access
 no ip address
 spanning-tree portfast
!

!--- Output suppressed.

interface GigabitEthernet0/1
 switchport trunk encapsulation dot1q
 no ip address
!
interface GigabitEthernet0/2
 no ip address
!
interface Vlan1
 no ip address
 no ip route-cache
 shutdown
!
interface Vlan10
 description MANAGEMENT

!--- This IP address manages this switch. 

ip address 10.1.10.2 255.255.255.0
 no ip route-cache
!

!--- Configure the default gateway so that the switch is reachable from other
!--- VLANs/subnets. The gateway points to the VLAN 10 interface on the 3550.

ip default-gateway 10.1.10.1
ip http server
!
!
line con 0
line vty 5 15
!
end

注意: 由于 Catalyst 2950 已配置为 VTP 客户端,所以交换机不显示 VTP 配置。该行为是标准行为。2950 从 VTP 服务器(即 3550)上获取 VLAN 信息。该 2950 交换机在全局配置模式下使用以下命令将交换机设为 VTP 域 cisco 中的 VTP 客户端:

Cat2950(config)#vtp domain cisco
Cat2950(config)#vtp mode client
Catalyst 2948G 交换机
Cat2948G> (enable) show config 
This command shows non-default configurations only.
Use 'show config all' to show both default and non-default configurations.
...........

..................
..

begin
!
# ***** NON-DEFAULT CONFIGURATION *****
!
!
#time: Fri Jun 30 1995, 05:04:47 
!
#version 6.3(10)
!
!
#system web interface version(s)
!
#test
!
#system
set system name  Cat2948G
!       
#frame distribution method
set port channel all distribution mac both
!
#vtp

!--- Configure the VTP domain to be the same as the 3550, the VTP server.

set vtp domain cisco

!--- Choose the VTP mode as client for this switch.

set vtp mode client
!
#ip

!--- Configure the management IP address in VLAN 10.

set interface sc0 10 10.1.10.3/255.255.255.0 10.1.10.255

set interface sl0 down
set interface me1 down

!--- Define the default route so that the switch is reachable.

set ip route 0.0.0.0/0.0.0.0         10.1.10.1      
!
#set boot command
set boot config-register 0x2
set boot system flash bootflash:cat4000.6-3-10.bin
!
#module 1 : 0-port Switching Supervisor
!
#module 2 : 50-port 10/100/1000 Ethernet

!--- Configure HOST_2 and SERVER_3 ports in respective VLANs.

set vlan 2    2/2
set vlan 3    2/23
set port name       2/2  To HOST_2
set port name       2/23 to SERVER_3

!--- Configure trunk to 3550 with dot1q encapsulation.

set trunk 2/49 desirable dot1q 1-1005
end

验证

本部分提供的信息可帮助您确认您的配置是否可正常运行。

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。 使用 OIT 可查看对 show 命令输出的分析。

Catalyst 3550

  • show vtp status

    Cat3550#show vtp status 
    VTP Version                     : 2
    Configuration Revision          : 3
    Maximum VLANs supported locally : 1005
    Number of existing VLANs        : 8
    VTP Operating Mode              : Server
    VTP Domain Name                 : cisco
    VTP Pruning Mode                : Disabled
    VTP V2 Mode                     : Disabled
    VTP Traps Generation            : Disabled
    MD5 digest                      : 0x54 0xC0 0x4A 0xCE 0x47 0x25 0x0B 0x49 
    Configuration last modified by 200.1.1.1 at 3-1-93 01:06:24
    Local updater ID is 10.1.2.1 on interface Vl2 (lowest numbered VLAN interface found)
  • show interfaces trunk

    Cat3550#show interfaces trunk 
    
    Port      Mode         Encapsulation  Status        Native vlan
    Gi0/1     desirable    802.1q         trunking      1
    Gi0/2     desirable    802.1q         trunking      1
    
    Port      Vlans allowed on trunk
    Gi0/1     1-4094
    Gi0/2     1-4094
    
    Port      Vlans allowed and active in management domain
    Gi0/1     1-3,10
    Gi0/2     1-3,10
    
    Port      Vlans in spanning tree forwarding state and not pruned
    
    Gi0/1     1-3,10
    Gi0/2     1-3,10
    
  • show ip route

    Cat3550#show ip route
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route
    
    Gateway of last resort is 200.1.1.2 to network 0.0.0.0
    
         200.1.1.0/30 is subnetted, 1 subnets
    C       200.1.1.0 is directly connected, FastEthernet0/48
         10.0.0.0/24 is subnetted, 3 subnets
    C       10.1.10.0 is directly connected, Vlan10
    C       10.1.3.0 is directly connected, Vlan3
    C       10.1.2.0 is directly connected, Vlan2
    S*   0.0.0.0/0 [1/0] via 200.1.1.2
    

Catalyst 2950

  • show vtp status

    Cat2950#show vtp status 
    VTP Version                     : 2
    Configuration Revision          : 3
    Maximum VLANs supported locally : 250
    Number of existing VLANs        : 8
    VTP Operating Mode              : Client
    VTP Domain Name                 : cisco
    VTP Pruning Mode                : Disabled
    VTP V2 Mode                     : Disabled
    VTP Traps Generation            : Disabled
    MD5 digest                      : 0x54 0xC0 0x4A 0xCE 0x47 0x25 0x0B 0x49 
    Configuration last modified by 200.1.1.1 at 3-1-93 01:06:24
    
  • show interfaces trunk

    Cat2950#show interfaces trunk  
    
    Port      Mode         Encapsulation  Status        Native vlan
    Gi0/1     desirable    802.1q         trunking      1
    
    Port      Vlans allowed on trunk
    Gi0/1     1-4094
    
    Port      Vlans allowed and active in management domain
    Gi0/1     1-3,10
    
    Port      Vlans in spanning tree forwarding state and not pruned
    Gi0/1     1-3,10
    

Catalyst 2948G

  • show vtp domain

    Cat2948G> (enable) show vtp domain 
    Domain Name                      Domain Index VTP Version Local Mode  Password
    -------------------------------- ------------ ----------- ----------- ----------
    cisco                            1            2           client      -
    
    Vlan-count Max-vlan-storage Config Revision Notifications
    ---------- ---------------- --------------- -------------
    8          1023             3               disabled
    
    Last Updater    V2 Mode  Pruning  PruneEligible on Vlans
    --------------- -------- -------- -------------------------
    200.1.1.1       disabled disabled 2-1000
  • show trunk

    Cat2948G> (enable) show trunk 
    * - indicates vtp domain mismatch
    Port      Mode         Encapsulation  Status        Native vlan
    --------  -----------  -------------  ------------  -----------
     2/49     desirable    dot1q          trunking      1
    
    Port      Vlans allowed on trunk
    --------  ---------------------------------------------------------------------
     2/49     1-1005
    
    Port      Vlans allowed and active in management domain 
    --------  ---------------------------------------------------------------------
     2/49     1-3,10
    
    Port      Vlans in spanning tree forwarding state and not pruned
    --------  ---------------------------------------------------------------------
     2/49     1-3,10
    

故障排除

使用本部分可排除配置故障。

故障排除步骤

按照以下说明进行操作:

  1. 如果无法对同一 VLAN 内的设备执行 ping 操作,请检查源端口及目标端口的 VLAN 分配,确保源和目标在同一 VLAN 内。

    要检查 VLAN 分配,请发出 show port mod /port 命令(对于 CatOS)或 show interface status 命令(对于 Cisco IOS 软件)。

    如果源和目标不在同一台交换机上,请确保已正确配置中继。要检查配置,请发出 show trunk 命令(对于 CatOS)或 show interfaces trunk 命令(对于 Cisco IOS 软件)。此外,请检查两侧的本地 VLAN 是否匹配。确保源设备及目标设备之间的子网掩码相匹配。

  2. 如果无法对不同 VLAN 中的设备执行 ping 操作,请确保能够对各自的默认网关执行 ping 操作。

    注意: 请参见步骤 1。

    此外,请确保设备的默认网关指向正确的 VLAN 接口 IP 地址。确保子网掩码匹配。

  3. 如果无法连接 Internet,请确保 3550 上的默认路由指向正确的 IP 地址,并且子网地址与 Internet 网关路由器匹配。

    要进行检查,请发出 show ip interface interface-id 命令和 show ip route 命令。确保 Internet 网关路由器有指向 Internet 和内部网络的路由。


相关信息


Document ID: 41260