Konfigurieren von VLAN-übergreifendem Routing mit Catalyst-Switches

Einleitung

In diesem Dokument wird beschrieben, wie Inter-VLAN-Routing mit Cisco Catalyst Switches konfiguriert wird.

Voraussetzungen

Anforderungen

Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie diese Konfiguration ausprobieren:

• Sie wissen, wie VLANs erstellt werden.

  Weitere Informationen finden Sie unter Erstellen von Ethernet-VLANs auf Catalyst-Switches.

• Kenntnisse zum Erstellen von Trunk-Verbindungen

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Catalyst 3850 mit Version 16.12.7 der Cisco IOS® Software

• Catalyst 4500 mit Cisco IOS Software, Version 03.09.00E

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Verwandte Produkte

Diese Konfiguration kann auch mit den folgenden Hardware- und Softwareversionen verwendet werden:

• Beliebige Catalyst Switches der Serien 3000 und 9000 und höher

• Beliebiges Catalyst Switch-Modell, das als Access Layer-Switch verwendet wird

Hintergrundinformationen

Dieses Dokument enthält eine Beispielkonfiguration für Inter-VLAN-Routing mit einem Catalyst Switch der Serie 3850 in einem typischen Netzwerkszenario. In diesem Dokument werden zwei Catalyst Switches der Serie 4500 als Layer-2-Switches (L2) verwendet, die direkt mit dem Catalyst 3850 verbunden sind. Die Catalyst 3850-Konfiguration verfügt außerdem über eine Standardroute für den gesamten Datenverkehr, der über das Internet geleitet wird, wenn der nächste Hop auf einen Cisco Router verweist. Sie können das Internet Gateway durch eine Firewall oder ein anderes Router-Modell ersetzen.

Hinweis: Die Konfiguration des Cisco Routers ist nicht relevant, daher wird die Konfiguration in diesem Dokument nicht erläutert.

In einem Switch-Netzwerk trennen VLANs Geräte in verschiedene Kollisionsdomänen und Layer-3-Subnetze (L3). Geräte innerhalb eines VLAN können ohne Routing miteinander kommunizieren. Geräte in separaten VLANs benötigen ein Routing-Gerät, um miteinander zu kommunizieren.

Für reine L2-Switches ist ein L3-Routing-Gerät erforderlich, um die Kommunikation zwischen VLANs zu ermöglichen. Das Gerät befindet sich entweder außerhalb des Switches oder in einem anderen Modul im selben Chassis. Eine neue Art von Switches bietet Routing-Funktionen innerhalb des Switches. Ein Beispiel ist das Modell 3850. Der Switch empfängt ein Paket, bestimmt, dass das Paket zu einem anderen VLAN gehört, und sendet das Paket an den entsprechenden Port im Ziel-VLAN.

Bei einem typischen Netzwerkdesign wird das Netzwerk basierend auf der Gruppe oder Funktion segmentiert, zu der das Gerät gehört. Zum Beispiel umfasst das Engineering-VLAN nur Geräte, die mit der Engineering-Abteilung zusammenhängen, und das Finanz-VLAN nur Geräte, die mit der Finanzabteilung zusammenhängen. Wenn Sie Routing aktivieren, können die Geräte in jedem VLAN miteinander kommunizieren, ohne dass sich alle Geräte in derselben Broadcast-Domäne befinden müssen. Ein solches VLAN-Design hat auch einen zusätzlichen Vorteil. Das Design ermöglicht es dem Administrator, die Kommunikation zwischen VLANs mithilfe von Zugriffslisten einzuschränken. Sie können beispielsweise Zugriffslisten verwenden, um den Zugriff des Engineering-VLAN auf Geräte im Finanz-VLAN zu beschränken.

In diesem Video wird veranschaulicht, wie Inter-VLAN-Routing auf einem Catalyst Switch der Serie 3550 konfiguriert wird. Weitere Informationen finden Sie unter How To Configure Inter VLAN Routing On Layer 3 Switches (Konfigurieren von Inter-VLAN-Routing auf Layer-3-Switches).

Konfigurieren

In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.

Hinweis: Verwenden Sie das Tool zur Befehlssuche, um weitere Informationen zu den hier verwendeten Befehlen zu erhalten. Dies ist ein internes Tool. Nur registrierte Cisco Benutzer haben Zugriff auf Tools wie diese und andere interne Informationen.

Netzwerkdiagramm

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

In diesem Diagramm stellt ein kleines Beispielnetzwerk mit Catalyst 3850 VLAN-übergreifendes Routing zwischen den verschiedenen Segmenten bereit. Der Catalyst Switch 3850 kann als L2-Gerät fungieren, wenn IP-Routing deaktiviert ist. Damit der Switch als L3-Gerät funktioniert und VLAN-übergreifendes Routing ermöglicht, muss IP-Routing global aktiviert sein.

Dies sind die drei vom Benutzer definierten VLANs:

• VLAN 2 - Benutzer-VLAN

• VLAN 3 - Server-VLAN

• VLAN 10 - Mgmt-VLAN

Die Standardgateway-Konfiguration auf jedem Server und jedem Host-Gerät muss die entsprechende VLAN-Schnittstellen-IP-Adresse auf dem 3850 sein. Beispiel: Für Server ist das Standardgateway 10.1.3.1. Die Catalyst 4500 Access Layer-Switches sind mit dem Catalyst 3850-Switch verbunden.

Die Standardroute für den Catalyst 3850 verweist auf den Cisco Router. Diese Route dient zum Routen des Datenverkehrs, der für das Internet bestimmt ist. Daher wird Datenverkehr, für den der Router 3850 keine Route in der Routing-Tabelle hat, zur weiteren Verarbeitung an den Cisco Router weitergeleitet.

Praktische Tipps

• Stellen Sie sicher, dass das native VLAN für einen 802.1Q-Trunk an beiden Enden des Trunk-Links identisch ist. Wenn sich das native VLAN an einem Ende des Trunks vom nativen VLAN am anderen Ende unterscheidet, kann der Datenverkehr der nativen VLANs auf beiden Seiten nicht korrekt auf dem Trunk übertragen werden. Diese fehlerhafte Übertragung kann zu Verbindungsproblemen in Ihrem Netzwerk führen.

• Trennen Sie das Management-VLAN vom Benutzer- oder Server-VLAN, wie in diesem Diagramm dargestellt. Das Management-VLAN unterscheidet sich vom Benutzer- oder Server-VLAN. Bei dieser Trennung wirkt sich ein Broadcast-/Paketsturm, der im Benutzer- oder Server-VLAN auftritt, nicht auf das Management von Switches aus.

• Verwenden Sie VLAN 1 nicht für das Management. Alle Ports in Catalyst-Switches sind standardmäßig VLAN 1, und alle Geräte, die Verbindungen zu Ports herstellen, die nicht konfiguriert sind, befinden sich in VLAN 1. Die Verwendung von VLAN 1 für die Verwaltung kann zu Problemen bei der Verwaltung von Switches führen.

• Verwenden Sie einen Layer-3-Port (geroutet), um eine Verbindung zum Standardgateway-Port herzustellen. In diesem Beispiel können Sie einen Cisco Router einfach durch eine Firewall ersetzen, die eine Verbindung zum Internet-Gateway-Router herstellt.

• In diesem Beispiel wird eine statische Standardroute auf dem 3850 zum Cisco Router konfiguriert, um das Internet zu erreichen. Diese Einrichtung ist am besten geeignet, wenn es nur eine Route zum Internet gibt. Konfigurieren Sie auf dem Gateway-Router statische Routen (vorzugsweise zusammengefasst) für Subnetze, die vom Catalyst 3850 erreicht werden können. Dieser Schritt ist sehr wichtig, da bei dieser Konfiguration keine Routing-Protokolle verwendet werden.

• Wenn sich in Ihrem Netzwerk zwei Catalyst Switches der Serie 3850 befinden, können Sie die Access Layer-Switches doppelt mit den Switches der Serie 3850 verbinden und dann das Hot Standby Router Protocol (HSRP) zwischen den Switches ausführen, um für Redundanz im Netzwerk zu sorgen.

• Wenn Sie zusätzliche Bandbreite für die Uplink-Ports benötigen, können Sie EtherChannels konfigurieren. Der EtherChannel bietet auch Verbindungsredundanz bei einem Verbindungsausfall.

Konfigurationen

In diesem Dokument werden folgende Konfigurationen verwendet:

• Catalyst 3850 

• Catalyst 4500-A 

• Catalyst 4500-B 

SW_3850#show running-config
Building configuration...

Current configuration : 11543 bytes
!
! Last configuration change at 12:16:54 UTC Tue Nov 15 2022
!
version 16.12
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service internal
service call-home
no platform punt-keepalive disable-kernel-core
!
hostname SW_3850
!  
!--- IP routing enabled for Inter VLAN routing.  

ip routing
!
!
no ip domain lookup
!
!
login on-success log
!
!        
!
vtp mode off 
! 
!--- Output suppressed.  

!--- Configure IEEE 802.1q trunks. 
!--- Issue the switchport mode trunk command to force the switch port to trunk mode. 
!--- Note: The default trunking mode is dynamic auto. If you establish a trunk link 
!--- with the default trunking mode, the trunk does not appear 
!--- in the configuration, even though a trunk has been established on 
!--- the interface. Use the show interfaces trunk command to verify the 
!--- establishment of the trunk. 

!
interface GigabitEthernet1/0/1
 shutdown
!
interface GigabitEthernet1/0/2
 shutdown
!         
interface GigabitEthernet1/0/3 description To_Switch-B switchport mode trunk
!
interface GigabitEthernet1/0/4
 no switchport no ip address shutdown   
! 
interface GigabitEthernet1/0/5 
 description To_Switch-A 
 switchport mode trunk 
! 
interface GigabitEthernet1/0/6 
no switchport 
no ip address
shutdown  
!
interface Vlan1
 no ip address
 shutdown
!

!--- This SVI (Switch Virtual Interface) is the default gateway for Users.
! 
interface Vlan2
 description User-SVI
 ip address 10.1.2.1 255.255.255.0
!

!--- This SVI is the default gateway for Servers.
!
interface Vlan3
 description Server-SVI
 ip address 10.1.3.1 255.255.255.0
!

!--- This SVI is the default gateway for other L2 switches management interface.  
! 
interface Vlan10
 description Management-SVI
 ip address 10.1.10.1 255.255.255.0 
!  

!--- This route statement allows the 3850 to send Internet traffic to the Cisco router. 

ip route 0.0.0.0 0.0.0.0 10.1.1.2 
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server  
! 
! 
! 
line con 0 
line vty 5 15 
! 
end

Hinweis: In diesem Beispiel wurde das VLAN Trunk Protocol (VTP) auf allen Switches deaktiviert. Dieser Switch verwendet die nächsten Befehle, um VTP als aus festzulegen und die drei VLANs zu erstellen, die der Benutzer im globalen Konfigurationsmodus definiert hat:

SW_3850(config)#vtp mode off
Setting device to VTP Off mode for VLANS.
SW_3850(config)#vlan 2
SW_3850(config-vlan)#name User_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 3
SW_3850(config-vlan)#name Server_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 10
SW_3850(config-vlan)#name Mgmt_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#end

Switch-A#show running-config
Building configuration...

Current configuration : 15360 bytes
!
! Last configuration change at 01:06:17 UTC Wed Nov 16 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
service compress-config
!
hostname Switch-A
!  
no ip domain-lookup
no ip dhcp snooping information option
!
!
login block-for 60 attempts 3 within 60
login delay 1
login quiet-mode access-class testblock
login on-failure log
login on-success log
vtp mode off
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!    
! 
vlan 3 name Server-VLAN ! vlan 10 name Mgmt-VLAN
!

!--- Output suppressed

!
interface GigabitEthernet1/1
 shutdown
!
interface GigabitEthernet1/2
 shutdown
!
interface GigabitEthernet1/3 switchport mode trunk
!  

!--- Configure Server (Host-A) to be the on the access VLAN 3.   

!
interface TenGigabitEthernet3/1 switchport access vlan 3 switchport mode access
!
interface TenGigabitEthernet3/2
 shutdown
!
interface TenGigabitEthernet3/3
!
interface TenGigabitEthernet3/4
!  

!--- Output suppressed. 
!--- IP address on VLAN 10 manages this switch.  

!
interface Vlan1
 no ip address
!
interface Vlan10 ip address 10.1.10.2 255.255.255.0
!
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local
!  

!--- Configure the default gateway so that the switch is reachable from other !--- VLANs/subnets. The gateway points to the VLAN 10 interface on the 3850.

ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
! 
!
line con 0
 stopbits 1
line vty 0 4
 logging synchronous
 transport input all
line vty 5 15
 logging synchronous
 transport input all
!  
end

Switch-B#show running-config 
Building configuration...

Current configuration : 6841 bytes
!
! Last configuration change at 10:44:33 UTC Tue Nov 15 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service compress-config
!
hostname Switch-B
!
boot-start-marker
boot system bootflash:cat4500es8-universal.SPA.03.11.06.E.152-7.E6.bin
boot-end-marker
!
!
vrf definition mgmtVrf
 !
 address-family ipv4
 exit-address-family
 !        
 address-family ipv6
 exit-address-family
!
!
no aaa new-model
hw-module module 7 mode 1
!
!
!
!
!
!
!
!
!
vtp mode off 
!
! spanning-tree mode pvst spanning-tree extend system-id !  
vlan 2 
name User-VLAN 
! 
vlan 10 name 
Mgmt-VLAN 
!
!
interface GigabitEthernet1/1 switchport mode trunk
!
interface GigabitEthernet1/2
!
interface GigabitEthernet1/3
 shutdown
!
interface GigabitEthernet1/4
 shutdown
!

!--- Output suppressed.
!--- Configure User (Host-B) in VLAN 2.

! interface GigabitEthernet8/5 switchport access vlan 2 switchport mode access !
 
!--- Configure the management IP address in VLAN 10. 
!
interface Vlan1
 no ip address
!
interface Vlan10 ip address 10.1.10.3 255.255.255.0
!  

!--- Define the default route so that the switch is reachable. 
! 
ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
!   
!
line con 0
 stopbits 1
line vty 0 4
 login
 transport input none
!
!
end

Überprüfung

Diese Abschnitt enthält Informationen, mit denen Sie überprüfen können, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Das Output Interpreter Tool unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der show-Befehlsausgabe anzuzeigen. Dies ist ein internes Tool von Cisco.

Hinweis: Weitere Informationen zu CLI-Befehlen finden Sie im Referenzhandbuch zur Befehlszeilenschnittstelle (CLI). Dies ist ein internes Dokument von Cisco.

Hinweis: Nur registrierte Cisco Benutzer haben Zugriff auf Tools wie diese und andere interne Informationen.

Catalyst 3850

• show vtp status 

SW_3850#show vtp status      
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : bc67.1c5d.3800
Configuration last modified by 10.0.0.10 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 8
Configuration Revision            : 0
MD5 digest                        : 0x7E 0xC3 0x8D 0x91 0xC8 0x53 0x42 0x14 
                                    0x79 0xA2 0xDF 0xE9 0xC0 0x06 0x1D 0x7D

• show interfaces trunk 

SW_3850#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan  
Gi1/0/3 on 802.1q trunking 1 Gi1/0/5 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/0/3 1-4094 Gi1/0/5 1-4094

Port        Vlans allowed and active in management domain
Gi1/0/3 1-3,10 Gi1/0/5 1-3,10 
Port        Vlans in spanning tree forwarding state and not pruned
Gi1/0/3     1-3,10
Gi1/0/5     1,3,10

• show ip route 

SW_3850#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
       n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       H - NHRP, G - NHRP registered, g - NHRP registration summary
       o - ODR, P - periodic downloaded static route, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is 10.100.100.2 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via 10.100.100.2
      10.0.0.0/8 is variably subnetted, 8 subnets, 2 masks
C        10.1.2.0/24 is directly connected, Vlan2
L        10.1.2.1/32 is directly connected, Vlan2
C        10.1.3.0/24 is directly connected, Vlan3
L        10.1.3.1/32 is directly connected, Vlan3
C        10.1.10.0/24 is directly connected, Vlan10
L        10.1.10.1/32 is directly connected, Vlan10
C        10.100.100.0/24 is directly connected, GigabitEthernet1/0/2
L        10.100.100.1/32 is directly connected, GigabitEthernet1/0/2

Catalyst 4500-A

• show vtp status 

Switch-A#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 2
VTP Domain Name                 : cisco.com
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6400.f13e.dc40
Configuration last modified by 10.1.10.2 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 32
Configuration Revision            : 0
MD5 digest                        : 0x0B 0x61 0x4F 0x9B 0xCD 0x1B 0x37 0x55 
                                    0xAB 0x0C 0xC1 0x4B 0xF8 0xDE 0x33 0xB3 

• show interfaces trunk 

Switch-A#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/3 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/3 1-4094

Port        Vlans allowed and active in management domain
Gi1/3 1,3,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/3       1,3,10

Catalyst 4500-B

• show vtp status

Switch-B#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6c20.5606.3540
Configuration last modified by 10.1.10.3 at 11-15-22 10:42:29

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 7
Configuration Revision            : 0
MD5 digest                        : 0xEC 0xB4 0x8D 0x46 0x94 0x95 0xE0 0x8F 
                                    0xEE 0x1E 0xC7 0x9F 0x26 0x88 0x49 0x9F 

• show interfaces trunk

Switch-B#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/1 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/1 1-4094

Port        Vlans allowed and active in management domain
Gi1/1 1-2,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/1       1-2,10

Fehlerbehebung

Verwenden Sie diesen Abschnitt, um Probleme mit Ihrer Konfiguration zu beheben.

Fehlerbehebung

Befolgen Sie diese Anweisungen:

1. Wenn Sie Geräte innerhalb desselben VLANs nicht per Ping erreichen können, überprüfen Sie die VLAN-Zuordnung der Quell- und Zielports, um sicherzustellen, dass sich Quelle und Ziel im selben VLAN befinden.

   Um die VLAN-Zuordnung zu überprüfen, geben Sie den Befehl show interface status für die Cisco IOS Software ein.

   Wenn sich Quelle und Ziel nicht im selben Switch befinden, stellen Sie sicher, dass Sie die Trunks richtig konfiguriert haben. Um die Konfiguration zu überprüfen, geben Sie den Befehl show interfaces trunk ein.

2. Überprüfen Sie außerdem, ob das native VLAN auf beiden Seiten der Trunk-Verbindung übereinstimmt. Stellen Sie sicher, dass die Subnetzmaske zwischen den Quell- und Zielgeräten übereinstimmt.

3. Wenn Sie Geräte in verschiedenen VLANs nicht per Ping erreichen können, stellen Sie sicher, dass Sie das entsprechende Standardgateway pingen können. (Siehe Schritt 1.)

   Stellen Sie außerdem sicher, dass das Standardgateway des Geräts auf die richtige IP-Adresse der VLAN-Schnittstelle verweist. Stellen Sie sicher, dass die Subnetzmaske übereinstimmt.

4. Wenn Sie das Internet nicht erreichen können, stellen Sie sicher, dass die Standardroute auf dem 3850 auf die richtige IP-Adresse verweist und dass die Subnetzadresse mit dem Internet-Gateway-Router übereinstimmt.

   Führen Sie den Befehl show ip interface interface-id aus, um die Überprüfung durchzuführen. Stellen Sie sicher, dass dem Internet-Gateway-Router Routen zum Internet und zu den internen Netzwerken zur Verfügung stehen.

Zugehörige Informationen

• Erstellung von Ethernet-VLANs auf Catalyst-Switches
• Technischer Support und Downloads von Cisco