Konfigurieren von Inter-VLAN-Routing mit Catalyst Switches der Serien 3750/3560/3550
Inhalt
Einführung
In diesem Dokument wird erläutert, wie Sie Inter-VLAN-Routing mit Cisco Catalyst Switches der Serien 3750/3560/3550 konfigurieren. Das Dokument enthält eine Beispielkonfiguration für Inter-VLAN-Routing mit einem Catalyst Switch der Serie 3550, auf dem in einem typischen Netzwerkszenario erweiterte Multilayer-Image-Software (EMI) ausgeführt wird. Das Dokument verwendet einen Catalyst Switch der Serie 2950 und einen Catalyst 2948G Switch als Layer-2-Schrankswitches (L2), die mit dem Catalyst 3550 verbunden sind. Die Catalyst 3550-Konfiguration verfügt auch über eine Standardroute für den gesamten Datenverkehr, der zum Internet führt, wenn der nächste Hop auf einen Cisco 7200VXR-Router zeigt. Sie können eine Firewall oder andere Router durch den Cisco 7200VXR-Router ersetzen.
Voraussetzungen
Anforderungen
Stellen Sie sicher, dass Sie diese Anforderungen erfüllen, bevor Sie versuchen, diese Konfiguration durchzuführen:
-
Kenntnisse zum Erstellen von VLANs
Weitere Informationen finden Sie unter Erstellen von Ethernet-VLANs auf Catalyst-Switches.
-
Kenntnisse zum Erstellen von VLAN-Trunks
Weitere Informationen finden Sie im Abschnitt Konfigurieren von VLAN-Trunks unter Konfigurieren von VLANs.
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:
-
Catalyst 3550-48 mit Cisco IOS® Software Release 12.1(12c)EA1 EMI
-
Catalyst 2950G-48 mit Cisco IOS Software Release 12.1(12c)EA1 EI
-
Catalyst 2948G mit Catalyst OS (CatOS) Version 6.3(10)
Hinweis: Die Konfiguration des Cisco 7200VXR ist nicht relevant, daher wird in diesem Dokument die Konfiguration nicht angezeigt.
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Zugehörige Produkte
Diese Konfiguration kann auch mit den folgenden Hardware- und Softwareversionen verwendet werden:
-
Jeder Catalyst 3750/3560/3550-Switch, der EMI-Software oder Cisco IOS Software Release 12.1(11)EA1 und höher mit Standard-Multilayer-Image (SMI) ausführt
-
Beliebiges Catalyst 2900XL/3500XL/2950/3550- oder CatOS-Switch-Modell, das als Access Layer-Switch verwendet wird
Konventionen
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).
Hintergrundtheorie
In einem Switch-Netzwerk trennen VLANs Geräte in verschiedene Kollisionsdomänen und Layer-3-Subnetze (L3). Geräte innerhalb eines VLAN können ohne Routing miteinander kommunizieren. Geräte in separaten VLANs erfordern ein Routing-Gerät, um miteinander zu kommunizieren.
Für L2-Only-Switches ist ein L3-Routing-Gerät erforderlich. Das Gerät befindet sich entweder außerhalb des Switches oder in einem anderen Modul im gleichen Chassis. Eine neue Generation von Switches verfügt über Routing-Funktionen im Switch. Ein Beispiel ist der 3550. Der Switch empfängt ein Paket, bestimmt, dass das Paket zu einem anderen VLAN gehört, und sendet das Paket an den entsprechenden Port im anderen VLAN.
Ein typisches Netzwerkdesign segmentiert das Netzwerk basierend auf der Gruppe oder Funktion, zu der das Gerät gehört. Beispielsweise verfügt das Engineering-VLAN nur über Geräte, die sich auf die Engineering-Abteilung beziehen, und das Finance-VLAN verfügt nur über Geräte, die mit der Finanzierung in Zusammenhang stehen. Wenn Sie Routing aktivieren, können die Geräte in jedem VLAN miteinander kommunizieren, ohne dass sich alle Geräte in derselben Broadcast-Domäne befinden müssen. Ein solches VLAN-Design bietet ebenfalls einen zusätzlichen Vorteil. Das Design ermöglicht es dem Administrator, die Kommunikation zwischen VLANs mithilfe von Zugriffslisten zu beschränken. Im Beispiel in diesem Dokument können Sie Zugriffslisten verwenden, um das technische VLAN vom Zugriff auf Geräte im Finanz-VLAN zu beschränken.
Der Switch routet keine Nicht-IP-Pakete zwischen VLANs und gerouteten Ports. Sie können diese Nicht-IP-Pakete mit Fallback-Bridging weiterleiten. Um diese Funktion nutzen zu können, muss auf Ihrem Switch das IP Services-Image (ehemals Enhanced Multilayer Image (EMI)) installiert sein.
Hier ein Link zu einem Video (verfügbar in der Cisco Support Community 
), in dem die Konfiguration des InterVLAN-Routings auf einem Catalyst Switch der Serie 3550 veranschaulicht wird:
Konfigurieren von Inter-VLAN-Routing auf Layer-3-Switches
Konfigurieren
In diesem Abschnitt erhalten Sie Informationen zum Konfigurieren der in diesem Dokument beschriebenen Funktionen.
Hinweis: Verwenden Sie das Command Lookup Tool 
(nur registrierte Kunden), um weitere Informationen zu den in diesem Dokument verwendeten Befehlen zu erhalten.
Netzwerkdiagramm
In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:
In diesem Diagramm bietet ein kleines Beispielnetzwerk mit dem Catalyst 3550 Inter-VLAN-Routing zwischen den verschiedenen Segmenten. Der Catalyst 3550-Switch fungiert standardmäßig als L2-Gerät mit Deaktivierung des IP-Routings. Damit der Switch als L3-Gerät fungieren und Inter-VLAN-Routing bereitstellen kann, muss das IP-Routing global aktiviert werden.
Diese VLANs sind die drei VLANs, die der Benutzer definiert:
-
VLAN 2 - Benutzer-VLAN
-
VLAN 3 - Server-VLAN
-
VLAN 10 - Management-VLAN
Die Standard-Gateway-Konfiguration auf jedem Server und Host-Gerät muss die IP-Adresse der VLAN-Schnittstelle sein, die dem 3550 entspricht. Bei Servern ist beispielsweise das Standard-Gateway 10.1.3.1. Die Access-Layer-Switches, die Catalyst 2950 und 2948G, sind mit dem Catalyst 3550-Switch verbunden.
Die Standardroute für den Catalyst 3550 verweist auf den Cisco 7200VXR-Router. Der Catalyst 3550 verwendet diese Standardroute zur Weiterleitung des für das Internet bestimmten Datenverkehrs. Aus diesem Grund leitet Datenverkehr, für den der 3550 keinen Eintrag für die Routing-Tabelle für den Prozess an den 7200VXR weiter.
Praktische Tipps
-
Stellen Sie sicher, dass das native VLAN für einen 802.1Q-Trunk an beiden Enden der Trunk-Verbindung identisch ist. Wenn sich das native VLAN an einem Ende des Trunks von dem nativen VLAN am anderen Ende unterscheidet, kann der Datenverkehr der nativen VLANs auf beiden Seiten nicht korrekt auf dem Trunk übertragen werden. Dieser Fehler bei der korrekten Übertragung kann zu Verbindungsproblemen in Ihrem Netzwerk führen.
-
Trennen Sie das Management-VLAN wie in diesem Diagramm vom Benutzer- oder Server-VLAN. Das Management-VLAN unterscheidet sich vom Benutzer- oder Server-VLAN. Bei dieser Trennung beeinträchtigt ein Broadcast-/Paket-Sturm im Benutzer- oder Server-VLAN die Verwaltung der Switches nicht.
-
Verwenden Sie VLAN 1 nicht für die Verwaltung. Alle Ports in Catalyst-Switches sind standardmäßig VLAN 1, und alle Geräte, die eine Verbindung zu nicht konfigurierten Ports herstellen, sind im VLAN 1 enthalten. Wie der zweite Tipp erklärt, kann die Verwendung von VLAN 1 für das Management von Switches potenzielle Probleme verursachen.
-
Verwenden Sie einen (gerouteten) Layer-3-Port, um eine Verbindung zum Standard-Gateway-Port herzustellen. In diesem Beispiel können Sie einen Cisco 7200VXR-Router problemlos durch eine Firewall ersetzen, die eine Verbindung zum Internet-Gateway-Router herstellt.
-
Führen Sie kein Routing-Protokoll zwischen dem Catalyst 3550 und dem Internet-Gateway-Router aus. In diesem Beispiel wird stattdessen eine statische Standardroute auf dem 3550 konfiguriert. Diese Konfiguration ist am besten, wenn es nur eine Route zum Internet gibt. Konfigurieren Sie auf dem Gateway-Router (7200VXR) statische Routen für Subnetze, die mit dem Catalyst 3550 erreicht werden können (vorzugsweise zusammengefasst). Dieser Schritt ist sehr wichtig, da bei dieser Konfiguration keine Routing-Protokolle verwendet werden.
-
Wenn Ihr Netzwerk über zwei Catalyst 3550-Switches verfügt, können Sie die Access-Layer-Switches mit beiden 3550-Switches verbinden. Führen Sie Hot Standby Router Protocol (HSRP) zwischen den Switches aus, um Redundanz im Netzwerk zu gewährleisten. Weitere Informationen zur Konfiguration von HSRP finden Sie im Abschnitt Konfigurieren von HSRP im Abschnitt Konfigurieren von IP-Services.
-
Wenn Sie zusätzliche Bandbreite für die Uplink-Ports benötigen, können Sie EtherChannel konfigurieren. Der EtherChannel bietet auch bei einem Verbindungsausfall eine Verbindungsredundanz.
Konfigurationen
In diesem Dokument werden folgende Konfigurationen verwendet:
| Catalyst 3550 (Catalyst 3550-48 Switch) |
|---|
Cat3550#show running-config Building configuration... Current configuration : 3092 bytes ! version 12.1 no service single-slot-reload-enable no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Cat3550 ! ! ip subnet-zero !--- Enable IP routing for interVLAN routing. ip routing !! ! spanning-tree extend system-id ! ! ! interface FastEthernet0/1 no ip address ! !--- Output suppressed. ! interface FastEthernet0/5 description to SERVER_1 !--- Configure the server port to be in the server VLAN, VLAN 3. switchport access vlan 3 !--- Configure the port to be an access port to prevent trunk negotiation delays. switchport mode access no ip address !--- Configure PortFast for initial Spanning Tree Protocol (STP) delay. Refer to !--- Using PortFast and Other Commands to Fix Workstation Startup Connectivity Delays !--- for more information. spanning-tree portfast ! !--- Output suppressed. ! interface FastEthernet0/48 description To Internet_Router !--- The port that connects to the router converts into a routed (L3) port. no switchport !--- Configure the IP address on this port. ip address 200.1.1.1 255.255.255.252 ! interface GigabitEthernet0/1 description To 2950 !--- Configure IEEE 802.1 (dot1q) trunking, with negotiation, on the L2 switch. !--- If there is not support for Dynamic Trunking Protocol (DTP) on the far switch, !--- issue the switchport mode trunk command to force the switch port to trunk mode. !--- Note: The default trunking mode is dynamic auto. If you establish a trunk link !--- with the default trunking mode, the trunk does not appear !--- in the configuration, even though a trunk has been established on !--- the interface. Use the show interfaces trunk command to verify the !--- establishment of the trunk. switchport trunk encapsulation dot1q no ip address ! interface GigabitEthernet0/2 description To 2948G switchport trunk encapsulation dot1q no ip address ! interface Vlan1 no ip address shutdown ! interface Vlan2 description USER_VLAN !--- This IP address is the default gateway for users. ip address 10.1.2.1 255.255.255.0 ! interface Vlan3 description SERVER_VLAN !--- This IP address is the default gateway for servers. ip address 10.1.3.1 255.255.255.0 ! interface Vlan10 description MANAGEMENT_VLAN !--- This IP address is the default gateway for other L2 switches. ip address 10.1.10.1 255.255.255.0 ! ip classless !--- This route statement allows the 3550 to send Internet traffic to !--- the default router which, in this case, is the 7200VXR (Fe 0/0 interface). ip route 0.0.0.0 0.0.0.0 200.1.1.2 ip http server ! ! ! line con 0 line vty 5 15 ! end |
Hinweis: Da der 3550 als VTP-Server (VLAN Trunk Protocol) konfiguriert ist, zeigt der Switch die VTP-Konfiguration nicht an. Dieses Verhalten ist Standard. Dieser Switch verwendet diese Befehle, um einen VTP-Server mit den drei VLANs zu erstellen, die der Benutzer im globalen Konfigurationsmodus definiert:
Cat3550(config)#vtp domain cisco Cat3550(config)#vtp mode server Cat3550(config)#vlan 2 Cat3550(config-vlan)#name USER_VLAN Cat3550(config-vlan)#exit Cat3550(config)#vlan 3 Cat3550(config-vlan)#name SERVER_VLAN Cat3550(config-vlan)#exit Cat3550(config)#vlan 10 Cat3550(config-vlan)#name MANAGEMENT
| Catalyst 2950 (Catalyst 2950G-48-Switch) |
|---|
Cat2950#show running-config Building configuration... Current configuration : 2883 bytes ! version 12.1 no service single-slot-reload-enable no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Cat2950 ! ! ip subnet-zero ! spanning-tree extend system-id ! ! interface FastEthernet0/1 no ip address ! !--- Output suppressed. interface FastEthernet0/16 no ip address ! interface FastEthernet0/17 description SERVER_2 switchport access vlan 3 switchport mode access no ip address spanning-tree portfast ! !--- Output suppressed. ! interface FastEthernet0/33 description HOST_1 !--- Configure HOST_1 to be the user VLAN, VLAN 2. switchport access vlan 2 switchport mode access no ip address spanning-tree portfast ! !--- Output suppressed. interface GigabitEthernet0/1 switchport trunk encapsulation dot1q no ip address ! interface GigabitEthernet0/2 no ip address ! interface Vlan1 no ip address no ip route-cache shutdown ! interface Vlan10 description MANAGEMENT !--- This IP address manages this switch. ip address 10.1.10.2 255.255.255.0 no ip route-cache ! !--- Configure the default gateway so that the switch is reachable from other !--- VLANs/subnets. The gateway points to the VLAN 10 interface on the 3550. ip default-gateway 10.1.10.1 ip http server ! ! line con 0 line vty 5 15 ! end |
Hinweis: Da der Catalyst 2950 über eine Konfiguration als VTP-Client verfügt, zeigt der Switch die VTP-Konfiguration nicht an. Dieses Verhalten ist Standard. Der 2950 ruft die VLAN-Informationen vom VTP-Server ab, dem 3550. Dieser 2950-Switch verwendet folgende Befehle, um den Switch im globalen Konfigurationsmodus zu einem VTP-Client in der VTP-Domäne cisco zu machen:
Cat2950(config)#vtp domain cisco Cat2950(config)#vtp mode client
| Catalyst 2948G-Switch |
|---|
Cat2948G> (enable) show config This command shows non-default configurations only. Use 'show config all' to show both default and non-default configurations. ........... .................. .. begin ! # ***** NON-DEFAULT CONFIGURATION ***** ! ! #time: Fri Jun 30 1995, 05:04:47 ! #version 6.3(10) ! ! #system web interface version(s) ! #test ! #system set system name Cat2948G ! #frame distribution method set port channel all distribution mac both ! #vtp !--- Configure the VTP domain to be the same as the 3550, the VTP server. set vtp domain cisco !--- Choose the VTP mode as client for this switch. set vtp mode client ! #ip !--- Configure the management IP address in VLAN 10. set interface sc0 10 10.1.10.3/255.255.255.0 10.1.10.255 set interface sl0 down set interface me1 down !--- Define the default route so that the switch is reachable. set ip route 0.0.0.0/0.0.0.0 10.1.10.1 ! #set boot command set boot config-register 0x2 set boot system flash bootflash:cat4000.6-3-10.bin ! #module 1 : 0-port Switching Supervisor ! #module 2 : 50-port 10/100/1000 Ethernet !--- Configure HOST_2 and SERVER_3 ports in respective VLANs. set vlan 2 2/2 set vlan 3 2/23 set port name 2/2 To HOST_2 set port name 2/23 to SERVER_3 !--- Configure trunk to 3550 with dot1q encapsulation. set trunk 2/49 desirable dot1q 1-1005 end |
Überprüfen
Dieser Abschnitt enthält Informationen zur Bestätigung, dass Ihre Konfiguration ordnungsgemäß funktioniert.
Das Output Interpreter Tool (nur registrierte Kunden) (OIT) unterstützt bestimmte show Befehle. Verwenden Sie das OIT, um eine Analyse der Ausgabe des Befehls show anzuzeigen.
Catalyst 3550
-
Cat3550#show vtp status VTP Version : 2 Configuration Revision : 3 Maximum VLANs supported locally : 1005 Number of existing VLANs : 8 VTP Operating Mode : Server VTP Domain Name : cisco VTP Pruning Mode : Disabled VTP V2 Mode : Disabled VTP Traps Generation : Disabled MD5 digest : 0x54 0xC0 0x4A 0xCE 0x47 0x25 0x0B 0x49 Configuration last modified by 200.1.1.1 at 3-1-93 01:06:24 Local updater ID is 10.1.2.1 on interface Vl2 (lowest numbered VLAN interface found)
-
Cat3550#show interfaces trunk Port Mode Encapsulation Status Native vlan Gi0/1 desirable 802.1q trunking 1 Gi0/2 desirable 802.1q trunking 1 Port Vlans allowed on trunk Gi0/1 1-4094 Gi0/2 1-4094 Port Vlans allowed and active in management domain Gi0/1 1-3,10 Gi0/2 1-3,10 Port Vlans in spanning tree forwarding state and not pruned Gi0/1 1-3,10 Gi0/2 1-3,10
-
Cat3550#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 200.1.1.2 to network 0.0.0.0 200.1.1.0/30 is subnetted, 1 subnets C 200.1.1.0 is directly connected, FastEthernet0/48 10.0.0.0/24 is subnetted, 3 subnets C 10.1.10.0 is directly connected, Vlan10 C 10.1.3.0 is directly connected, Vlan3 C 10.1.2.0 is directly connected, Vlan2 S* 0.0.0.0/0 [1/0] via 200.1.1.2
Catalyst 2950
-
Cat2950#show vtp status VTP Version : 2 Configuration Revision : 3 Maximum VLANs supported locally : 250 Number of existing VLANs : 8 VTP Operating Mode : Client VTP Domain Name : cisco VTP Pruning Mode : Disabled VTP V2 Mode : Disabled VTP Traps Generation : Disabled MD5 digest : 0x54 0xC0 0x4A 0xCE 0x47 0x25 0x0B 0x49 Configuration last modified by 200.1.1.1 at 3-1-93 01:06:24
-
Cat2950#show interfaces trunk Port Mode Encapsulation Status Native vlan Gi0/1 desirable 802.1q trunking 1 Port Vlans allowed on trunk Gi0/1 1-4094 Port Vlans allowed and active in management domain Gi0/1 1-3,10 Port Vlans in spanning tree forwarding state and not pruned Gi0/1 1-3,10
Catalyst 2948G
-
VTP-Domäne anzeigen
Cat2948G> (enable) show vtp domain Domain Name Domain Index VTP Version Local Mode Password -------------------------------- ------------ ----------- ----------- ---------- cisco 1 2 client - Vlan-count Max-vlan-storage Config Revision Notifications ---------- ---------------- --------------- ------------- 8 1023 3 disabled Last Updater V2 Mode Pruning PruneEligible on Vlans --------------- -------- -------- ------------------------- 200.1.1.1 disabled disabled 2-1000
-
Hauptleitung
Cat2948G> (enable) show trunk * - indicates vtp domain mismatch Port Mode Encapsulation Status Native vlan -------- ----------- ------------- ------------ ----------- 2/49 desirable dot1q trunking 1 Port Vlans allowed on trunk -------- --------------------------------------------------------------------- 2/49 1-1005 Port Vlans allowed and active in management domain -------- --------------------------------------------------------------------- 2/49 1-3,10 Port Vlans in spanning tree forwarding state and not pruned -------- --------------------------------------------------------------------- 2/49 1-3,10
Fehlerbehebung
In diesem Abschnitt finden Sie eine Fehlerbehebung für Ihre Konfiguration.
Fehlerbehebungsverfahren
Befolgen Sie diese Anweisungen:
-
Wenn Sie keine Geräte im gleichen VLAN pingen können, überprüfen Sie die VLAN-Zuweisung der Quell- und Zielports, um sicherzustellen, dass sich Quelle und Ziel im gleichen VLAN befinden.
Um die VLAN-Zuweisung zu überprüfen, geben Sie den Befehl show port mod/port für CatOS oder den Befehl show interface status für die Cisco IOS-Software ein.
Wenn sich Quelle und Ziel nicht im gleichen Switch befinden, stellen Sie sicher, dass Sie das Trunking richtig konfiguriert haben. Führen Sie zum Überprüfen der Konfiguration den Befehl show trunk für CatOS oder den Befehl show interfaces trunk für die Cisco IOS Software aus. Überprüfen Sie außerdem, ob das native VLAN auf beiden Seiten übereinstimmt. Stellen Sie sicher, dass die Subnetzmaske mit den Quell- und Zielgeräten übereinstimmt.
-
Wenn Sie keine Geräte in verschiedenen VLANs pingen können, sollten Sie sicherstellen, dass Sie den Ping an das entsprechende Standard-Gateway senden können.
Hinweis: Siehe Schritt 1.
Stellen Sie außerdem sicher, dass das Standard-Gateway des Geräts auf die richtige IP-Adresse der VLAN-Schnittstelle verweist. Stellen Sie sicher, dass die Subnetzmaske übereinstimmt.
-
Wenn Sie nicht auf das Internet zugreifen können, stellen Sie sicher, dass die Standardroute des 3550 auf die richtige IP-Adresse verweist und dass die Subnetzadresse mit dem Internet-Gateway-Router übereinstimmt.
Führen Sie zur Überprüfung den Befehl show ip interface interface-id und den Befehl show ip route aus. Stellen Sie sicher, dass der Internet-Gateway-Router Routen zum Internet und zu den internen Netzwerken aufweist.
Zugehörige Informationen
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)