LAN スイッチング : VLAN 間ルーティング

Catalyst 3750/3560/3550 シリーズ スイッチによるインター VLAN ルーティングの設定

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2008 年 12 月 18 日) | 英語版 (2015 年 10 月 6 日) | フィードバック


目次


概要

このドキュメントでは、Cisco Catalyst 3750/3560/3550 シリーズ スイッチを使用してインター VLAN ルーティングを設定する方法について説明します。 また、Enhanced Multilayer Image(EMI; 拡張マルチレイヤ イメージ)ソフトウェアが稼働している Catalyst 3550 シリーズ スイッチを使った、一般的なネットワーク シナリオでの VLAN 間ルーティングのための設定例も紹介されています。 この文章では、Catalyst 3550 に接続されているレイヤ 2(L2)クロゼット スイッチとして、Catalyst 2950 シリーズ スイッチと Catalyst 2948G スイッチを使用します。 Catalyst 3550 の設定には、ネクストホップが Cisco 7200VXR ルータをポイントしている場合に、インターネットへ送信されるすべてのトラフィックで使用されるデフォルト ルートもあります。 Cisco 7200VXR ルータの代わりに、ファイアウォールやその他のルータを使用することもできます。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOS を実行する Catalyst 3550-48 か。 ソフトウェア リリース 12.1(12c)EA1 EMI

  • Cisco IOS ソフトウェア リリース 12.1(12c)EA1 EI が稼働している Catalyst 2950G-48

  • Catalyst OS(CatOS)バージョン 6.3(10) が稼働している Catalyst 2948G

注: Cisco 7200VXR での設定は関連がないので、このドキュメントでは示されていません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

関連製品

この設定は、次のバージョンのハードウェアとソフトウェアにも使用できます。

  • EMI ソフトウェアまたは Standard Multilayer Image(SMI; 標準マルチレイヤ イメージ)Cisco IOS ソフトウェア リリース 12.1(11)EA1 以降が稼働している Catalyst 3750/3560/3550 スイッチ

  • Catalyst 2900XL/3500XL/2950/3550 または CatOS スイッチ モデル(アクセス レイヤ スイッチとして使用)

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景理論

スイッチ型ネットワークでは、VLAN はデバイスを別々の衝突ドメインとレイヤ 3(L3)サブネットに分散します。 1 つの VLAN 内のデバイス間での相互通信に、ルーティングは不要です。 別々の VLAN 内のデバイス間での相互通信には、ルーティング デバイスが必要となります。

L2 専用スイッチを使用している場合は、L3 ルーティング デバイスが必要です。 このデバイスは、スイッチに対する外部デバイスか、同じシャーシ内の別モジュールのいずれかになります。 スイッチの新しい品種はスイッチ内のルーティングケーパビリティを組み込みます。 例は 3550 です。 このタイプのスイッチは、受信したパケットが別の VLAN に属するものであることを確認すると、そのパケットを相手方の VLAN の適切なポートに送ります。

一般的なネットワーク設計では、各デバイスが所属するグループや組織に応じてネットワークをセグメント化します。 たとえば、技術部門の VLAN には技術部門に関連するデバイスだけが含まれ、財務部門の VLAN には財務部門に関連するデバイスだけが含まれるようにします。 ルーティングを有効にすると各 VLAN のデバイスが相互に通信できるようになるため、すべてのデバイスを同じブロードキャスト ドメインに配置する必要がなくなります。 そのような VLAN 設計にまた追加 の 利点があります。 設計は管理者がアクセス リストの使用の VLAN 間 の 通信を制限することを可能にします。 このドキュメントの例では、アクセス リストを使用して、技術部門の VLAN から財務部門の VLAN 上にあるデバイスへのアクセスを制限できます。

スイッチは、VLAN とルーテッド ポート間で非 IP パケットをルーティングしません。 非 IP パケットを転送するには、フォールバック ブリッジングを使用します。 この機能を使用するには、元々 Enhanced Multilayer Image(EMI)と呼ばれていた IP サービス イメージがスイッチにインストールされている必要があります。

リンクは Catalyst 3550 シリーズ スイッチの VLAN 間ルーティングを設定する方法を示すleavingcisco.com ビデオにここにあります(Ciscoサポート コミュニティで利用可能 な):

レイヤ 3 スイッチでのインター VLAN ルーティングの設定方法 leavingcisco.com

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

189-a.gif

このダイアグラムでは、Catalyst 3550 を含む小規模ネットワークが各セグメント間でインター VLAN ルーティングを行っています。 Catalyst 3550 スイッチはデフォルトでは L2 デバイスとして機能し、IP ルーティングは無効になっています。 3550 スイッチを L3 デバイスとして機能させてインター VLAN ルーティングを行うには、ネットワーク全体で IP ルーティングを有効にする必要があります。

このネットワーク構成には次のように定義された 3 つの VLAN が存在します。

  • VLAN 2 - ユーザ VLAN

  • VLAN 3:サーバ VLAN

  • VLAN 10 - 管理用 VLAN

各サーバとホスト デバイス上のデフォルト ゲートウェイ設定は、3550 上で対応する VLAN インターフェイスの IP アドレスでなければなりません。 たとえばサーバの場合、デフォルトのゲートウェイは 10.1.3.1 です。 アクセス レイヤ スイッチ(Catalyst 2950 と 2948G)は、Catalyst 3550 スイッチにトランクされています。

Catalyst 3550 のデフォルト ルートは Cisco 7200VXR ルータを指しています。 Catalyst 3550 はデフォルト ルートを使って、インターネットに向けたトラフィックのルーティングを行います。 そのため、3550 がルーティング テーブル エントリを持っていないトラフィックは、7200VXR に転送されて処理されます。

実用的なヒント

  • 802.1Q トランクのネイティブ VLAN が、トランク リンクの両端で必ず同じになるようにしてください。 トランクの一方の端のネイティブ VLAN が、もう一方の端のネイティブ VLAN とは異なる場合、両側のネイティブ VLAN のトラフィックはトランク上を正しく転送されません。 この問題は、ネットワークに接続性に関する問題があることを示している可能性があります。

  • 管理用 VLAN は、このダイアグラムのようにユーザ VLAN およびサーバ VLAN から切り離します。 管理用 VLAN はユーザ VLAN やサーバ VLAN とは異なります。 このように切り離しておくと、ユーザ VLAN またはサーバ VLAN で発生したブロードキャスト ストームやパケット ストームの影響を受けずにスイッチを管理できます。

  • VLAN 1 は管理用に使用しないでください。 Catalyst スイッチのすべてのポートはデフォルトで VLAN 1 を使用するため、未設定のポートに接続されたデバイスはすべて VLAN 1 に属すことになります。 2 番目のヒントで説明するように、VLAN 1 を管理用に使用すると、スイッチの管理に問題が発生する可能性があります。

  • デフォルト ゲートウェイ ポートへの接続には、レイヤ 3(ルーテッド)ポートを使用します。 この例では、Cisco 7200VXR ルータを、インターネット ゲートウェイ ルータに接続されたファイアウォールに簡単に置き換えることができます。

  • Catalyst 3550 とインターネット ゲートウェイ ルータ間ではルーティング プロトコルを実行しないでください。 この例では、その代わりに 3550 でスタティック デフォルト ルートを設定します。 インターネットへのルートが 1 つしかない場合はこの構成が最適です。 Catalyst 3550 が到達可能なサブネットに対するスタティック ルート(集約したものが望ましい)を、ゲートウェイ ルータ(7200VXR)上で確実に設定してください。 この設定ではルーティング プロトコルを使用していないため、この作業は非常に重要です。

  • ネットワークで 2 つの Catalyst 3550 スイッチがある場合、両方の 3550 のスイッチに接続しますアクセスレイヤスイッチを二倍になることができます。 ネットワークで冗長性を提供するためにスイッチの間で Hot Standby Router Protocol (HSRP)を実行して下さい。 HSRP 設定に関する詳細については、『IP サービスの設定』の「HSRP の設定」セクションを参照してください。

  • アップリンク ポート用にさらに帯域幅が必要な場合は、EtherChannel の設定が可能です。 EtherChannel を設定すると、リンクの障害が発生した場合のリンクの冗長性も確保されます。

設定

このドキュメントでは、次の設定を使用します。

Catalyst 3550(Catalyst 3550-48 スイッチ)
Cat3550#show running-config 
Building configuration...

Current configuration : 3092 bytes
!
version 12.1
no service single-slot-reload-enable
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Cat3550
!
!
ip subnet-zero

!--- Enable IP routing for interVLAN routing.

ip routing
!!
!
spanning-tree extend system-id
!
!
!
interface FastEthernet0/1
 no ip address
!

!--- Output suppressed.

!
interface FastEthernet0/5
 description to SERVER_1

!--- Configure the server port to be in the server VLAN, VLAN 3.

switchport access vlan 3

!--- Configure the port to be an access port to prevent trunk negotiation delays.

 switchport mode access
 no ip address

!--- Configure PortFast for initial Spanning Tree Protocol (STP) delay. Refer to
!--- Using PortFast and Other Commands to Fix Workstation Startup Connectivity Delays
!--- for more information.

spanning-tree portfast
!

!--- Output suppressed.

!
interface FastEthernet0/48
 description To Internet_Router

!--- The port that connects to the router converts into a routed (L3) port.

no switchport

!--- Configure the IP address on this port. 

ip address 200.1.1.1 255.255.255.252
!
interface GigabitEthernet0/1
 description To 2950

!--- Configure IEEE 802.1 (dot1q) trunking, with negotiation, on the L2 switch.
!--- If there is not support for Dynamic Trunking Protocol (DTP) on the far switch, 
!--- issue the switchport mode trunk command to force the switch port to trunk mode.
!--- Note: The default trunking mode is dynamic auto. If you establish a trunk link 
!--- with the default trunking mode, the trunk does not appear
!--- in the configuration, even though a trunk has been established on 
!--- the interface. Use the show interfaces trunk command to verify the 
!--- establishment of the trunk. 

switchport trunk encapsulation dot1q
 no ip address
!
interface GigabitEthernet0/2
 description To 2948G
 switchport trunk encapsulation dot1q
 no ip address
!
interface Vlan1
 no ip address
 shutdown
!
interface Vlan2
 description USER_VLAN

!--- This IP address is the default gateway for users.

 ip address 10.1.2.1 255.255.255.0
!
interface Vlan3
 description SERVER_VLAN

!--- This IP address is the default gateway for servers.

ip address 10.1.3.1 255.255.255.0
!
interface Vlan10
 description MANAGEMENT_VLAN

!--- This IP address is the default gateway for other L2 switches.

 ip address 10.1.10.1 255.255.255.0
!
ip classless

!--- This route statement allows the 3550 to send Internet traffic to 
!--- the default router which, in this case, is the 7200VXR (Fe 0/0 interface).

ip route 0.0.0.0 0.0.0.0 200.1.1.2
ip http server
!
!
!
line con 0
line vty 5 15
!
end

注: 3550 は VLAN Trunk Protocol(VTP)サーバとして設定されているので、この VTP 設定はスイッチに表示されません。 これは標準的な動作です。 このスイッチは、ユーザが定義した 3 つの VLAN を持つ VTP サーバを作成するために、グローバル コンフィギュレーション モードから次のコマンドを使用します。

Cat3550(config)#vtp domain cisco
Cat3550(config)#vtp mode server
Cat3550(config)#vlan 2
Cat3550(config-vlan)#name USER_VLAN
Cat3550(config-vlan)#exit
Cat3550(config)#vlan 3
Cat3550(config-vlan)#name SERVER_VLAN
Cat3550(config-vlan)#exit
Cat3550(config)#vlan 10
Cat3550(config-vlan)#name MANAGEMENT
Catalyst 2950(Catalyst 2950G-48 スイッチ)
Cat2950#show running-config 
Building configuration...

Current configuration : 2883 bytes
!
version 12.1
no service single-slot-reload-enable
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Cat2950
!
!
ip subnet-zero
!
spanning-tree extend system-id
!
!
interface FastEthernet0/1
 no ip address
!

!--- Output suppressed.

interface FastEthernet0/16
 no ip address
!
interface FastEthernet0/17
 description SERVER_2
 switchport access vlan 3
 switchport mode access
 no ip address
 spanning-tree portfast
!

!--- Output suppressed.

!
interface FastEthernet0/33
 description HOST_1

!--- Configure HOST_1 to be the user VLAN, VLAN 2.

 
 switchport access vlan 2
 switchport mode access
 no ip address
 spanning-tree portfast
!

!--- Output suppressed.

interface GigabitEthernet0/1
 switchport trunk encapsulation dot1q
 no ip address
!
interface GigabitEthernet0/2
 no ip address
!
interface Vlan1
 no ip address
 no ip route-cache
 shutdown
!
interface Vlan10
 description MANAGEMENT

!--- This IP address manages this switch. 

ip address 10.1.10.2 255.255.255.0
 no ip route-cache
!

!--- Configure the default gateway so that the switch is reachable from other
!--- VLANs/subnets. The gateway points to the VLAN 10 interface on the 3550.

ip default-gateway 10.1.10.1
ip http server
!
!
line con 0
line vty 5 15
!
end

注: Catalyst 2950 は VTP クライアントとして設定されているので、この VTP 設定はスイッチに表示されません。 これは標準的な動作です。 2950 は VTP サーバ(3550)からの VLAN 情報を必要とします。 この 2950 スイッチは、VTP ドメイン cisco 内の VTP クライアントとして機能するために、グローバル コンフィギュレーション モードから次のコマンドを使用します。

Cat2950(config)#vtp domain cisco
Cat2950(config)#vtp mode client
Catalyst 2948G スイッチ
Cat2948G> (enable) show config 
This command shows non-default configurations only.
Use 'show config all' to show both default and non-default configurations.
...........

..................
..

begin
!
# ***** NON-DEFAULT CONFIGURATION *****
!
!
#time: Fri Jun 30 1995, 05:04:47 
!
#version 6.3(10)
!
!
#system web interface version(s)
!
#test
!
#system
set system name  Cat2948G
!       
#frame distribution method
set port channel all distribution mac both
!
#vtp

!--- Configure the VTP domain to be the same as the 3550, the VTP server.

set vtp domain cisco

!--- Choose the VTP mode as client for this switch.

set vtp mode client
!
#ip

!--- Configure the management IP address in VLAN 10.

set interface sc0 10 10.1.10.3/255.255.255.0 10.1.10.255

set interface sl0 down
set interface me1 down

!--- Define the default route so that the switch is reachable.

set ip route 0.0.0.0/0.0.0.0         10.1.10.1      
!
#set boot command
set boot config-register 0x2
set boot system flash bootflash:cat4000.6-3-10.bin
!
#module 1 : 0-port Switching Supervisor
!
#module 2 : 50-port 10/100/1000 Ethernet

!--- Configure HOST_2 and SERVER_3 ports in respective VLANs.

set vlan 2    2/2
set vlan 3    2/23
set port name       2/2  To HOST_2
set port name       2/23 to SERVER_3

!--- Configure trunk to 3550 with dot1q encapsulation.

set trunk 2/49 desirable dot1q 1-1005
end

確認

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を示しています。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

Catalyst 3550

  • show vtp status

    Cat3550#show vtp status 
    VTP Version                     : 2
    Configuration Revision          : 3
    Maximum VLANs supported locally : 1005
    Number of existing VLANs        : 8
    VTP Operating Mode              : Server
    VTP Domain Name                 : cisco
    VTP Pruning Mode                : Disabled
    VTP V2 Mode                     : Disabled
    VTP Traps Generation            : Disabled
    MD5 digest                      : 0x54 0xC0 0x4A 0xCE 0x47 0x25 0x0B 0x49 
    Configuration last modified by 200.1.1.1 at 3-1-93 01:06:24
    Local updater ID is 10.1.2.1 on interface Vl2 (lowest numbered VLAN interface found)
  • show interfaces trunk

    Cat3550#show interfaces trunk 
    
    Port      Mode         Encapsulation  Status        Native vlan
    Gi0/1     desirable    802.1q         trunking      1
    Gi0/2     desirable    802.1q         trunking      1
    
    Port      Vlans allowed on trunk
    Gi0/1     1-4094
    Gi0/2     1-4094
    
    Port      Vlans allowed and active in management domain
    Gi0/1     1-3,10
    Gi0/2     1-3,10
    
    Port      Vlans in spanning tree forwarding state and not pruned
    
    Gi0/1     1-3,10
    Gi0/2     1-3,10
    
  • show ip route

    Cat3550#show ip route
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route
    
    Gateway of last resort is 200.1.1.2 to network 0.0.0.0
    
         200.1.1.0/30 is subnetted, 1 subnets
    C       200.1.1.0 is directly connected, FastEthernet0/48
         10.0.0.0/24 is subnetted, 3 subnets
    C       10.1.10.0 is directly connected, Vlan10
    C       10.1.3.0 is directly connected, Vlan3
    C       10.1.2.0 is directly connected, Vlan2
    S*   0.0.0.0/0 [1/0] via 200.1.1.2
    

Catalyst 2950

  • show vtp status

    Cat2950#show vtp status 
    VTP Version                     : 2
    Configuration Revision          : 3
    Maximum VLANs supported locally : 250
    Number of existing VLANs        : 8
    VTP Operating Mode              : Client
    VTP Domain Name                 : cisco
    VTP Pruning Mode                : Disabled
    VTP V2 Mode                     : Disabled
    VTP Traps Generation            : Disabled
    MD5 digest                      : 0x54 0xC0 0x4A 0xCE 0x47 0x25 0x0B 0x49 
    Configuration last modified by 200.1.1.1 at 3-1-93 01:06:24
    
  • show interfaces trunk

    Cat2950#show interfaces trunk  
    
    Port      Mode         Encapsulation  Status        Native vlan
    Gi0/1     desirable    802.1q         trunking      1
    
    Port      Vlans allowed on trunk
    Gi0/1     1-4094
    
    Port      Vlans allowed and active in management domain
    Gi0/1     1-3,10
    
    Port      Vlans in spanning tree forwarding state and not pruned
    Gi0/1     1-3,10
    

Catalyst 2948G

  • show vtp domain

    Cat2948G> (enable) show vtp domain 
    Domain Name                      Domain Index VTP Version Local Mode  Password
    -------------------------------- ------------ ----------- ----------- ----------
    cisco                            1            2           client      -
    
    Vlan-count Max-vlan-storage Config Revision Notifications
    ---------- ---------------- --------------- -------------
    8          1023             3               disabled
    
    Last Updater    V2 Mode  Pruning  PruneEligible on Vlans
    --------------- -------- -------- -------------------------
    200.1.1.1       disabled disabled 2-1000
  • show trunk

    Cat2948G> (enable) show trunk 
    * - indicates vtp domain mismatch
    Port      Mode         Encapsulation  Status        Native vlan
    --------  -----------  -------------  ------------  -----------
     2/49     desirable    dot1q          trunking      1
    
    Port      Vlans allowed on trunk
    --------  ---------------------------------------------------------------------
     2/49     1-1005
    
    Port      Vlans allowed and active in management domain 
    --------  ---------------------------------------------------------------------
     2/49     1-3,10
    
    Port      Vlans in spanning tree forwarding state and not pruned
    --------  ---------------------------------------------------------------------
     2/49     1-3,10
    

トラブルシューティング

ここでは、設定に関するトラブルシューティングについて説明します。

トラブルシューティング手順

次の手順に従ってください。

  1. 同一の VLAN 内のデバイスに ping できない場合は、送信元ポートと宛先ポートの VLAN 割り当てをチェックして、同一の VLAN にあることを確認します。

    VLAN 割り当てを確認するには、CatOS の show port mod/port コマンド、または Cisco IOS ソフトウェアの show interface status コマンドを発行します。

    送信元と宛先が同一のスイッチ内にない場合は、トランキングが正しく設定されていることを確認します。 この設定を確認するには、CatOS の show trunk コマンド、または Cisco IOS ソフトウェアの show interfaces trunk コマンドを発行します。 また、ネイティブ VLAN が両側で一致していることを確認します。 送信元と宛先のデバイスでサブネット マスクが一致していることも確認します。

  2. 別の VLAN 上のデバイスに ping できない場合は、それぞれのデフォルト ゲートウェイに ping できるかどうかを確認します。

    注: ステップ 1 を参照してください。

    またデバイスのデフォルト ゲートウェイが正しい VLANインターフェイス IP アドレスを指すことを、確かめて下さい。 サブネット マスクが一致することを確かめて下さい。

  3. インターネットに到達できない場合は、3550 のデフォルト ルートが正しい IP アドレスを指していて、サブネット アドレスがインターネット ゲートウェイ ルータと一致していることを確認します。

    これを確認するには、show ip interface interface-id コマンドと show ip route をコマンドを発行します。 インターネット ゲートウェイ ルータで、インターネットと内部ネットワークへのルートがあることを確認します。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 41260