Catalyst スイッチでの VLAN 間ルーティングの設定

はじめに

このドキュメントでは、Cisco Catalyst シリーズ スイッチで VLAN 間ルーティングを設定する方法について説明します。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

• VLAN 作成の知識

  詳細は、『CatalystスイッチでのイーサネットVLANの作成』を参照してください。

• トランクリンクの作成方法に関する知識

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• Cisco IOS® XEソフトウェアリリース16.12.7が稼働するCatalyst 3850

• Cisco IOS®ソフトウェアリリース03.09.00Eが稼働するCatalyst 4500

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

表記法

表記法の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。

関連製品

この設定は、次のバージョンのハードウェアとソフトウェアにも使用できます。

• Catalyst 3000/9000スイッチ以降

• アクセスレイヤスイッチとして使用されるCatalystスイッチモデル

背景説明

このドキュメントでは、一般的なネットワークシナリオにおける、Catalyst 3850シリーズスイッチを使用したVLAN間ルーティングの設定例を紹介します。このドキュメントでは、Catalyst 3850に直接接続するレイヤ2(L2)スイッチとして2台のCatalyst 4500シリーズスイッチを使用しています。Catalyst 3850の設定には、ネクストホップがCiscoルータを指しているときには、インターネットに向かうすべてのトラフィックに対するデフォルトルートもあります。インターネットゲートウェイの代わりに、ファイアウォールなどのルータモデルを使用できます。

注：インターネットゲートウェイルータからの設定は関連がないので、このドキュメントでは説明しません。

スイッチ型ネットワークでは、VLAN はデバイスを別々の衝突ドメインとレイヤ 3（L3）サブネットに分散します。1 つの VLAN 内のデバイス間での相互通信に、ルーティングは不要です。別々のVLAN内のデバイスが相互に通信するには、ルーティングデバイスが必要です。

L2専用スイッチでは、VLAN間の通信を提供するためにL3ルーティングデバイスが必要です。このデバイスは、スイッチに対する外部デバイスか、同じシャーシ内の別モジュールのいずれかになります。スイッチの新しい品種はスイッチ内でルーティング機能が組み込まれています。（3850 など）では、スイッチ自体にルーティング機能が備わっています。スイッチはパケットを受信し、そのパケットが別のVLANに属していることを判別して、宛先VLAN上の適切なポートにパケットを送信します。

一般的なネットワーク設計では、各デバイスが所属するグループや組織に応じてネットワークをセグメント化します。たとえば、技術部門の VLAN には技術部門に関連するデバイスだけが含まれ、財務部門の VLAN には財務部門に関連するデバイスだけが含まれるようにします。ルーティングを有効にすると各 VLAN のデバイスが相互に通信できるようになるため、すべてのデバイスを同じブロードキャスト ドメインに配置する必要がなくなります。このようなVLANの設計には、追加の利点があります。設計は、管理者がアクセス リストを使用してVLAN間の通信を制限することができます。たとえば、アクセスリストを使用して、技術部門のVLANから財務部門のVLAN上のデバイスへのアクセスを制限できます。

詳細は、このドキュメントを参照して、Catalyst 3550シリーズスイッチでVLAN間ルーティングを設定する方法を確認してください。レイヤ3スイッチでVLAN間ルーティングを設定する方法。

設定

このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。

注：ここで使用されているコマンドの詳細を調べるには、Cisco Support Toolsを使用してください。このようなツールやその他の内部情報にアクセスできるのは、シスコの登録ユーザだけです。

ネットワーク図

このドキュメントでは、次のネットワーク セットアップを使用します。

この図では、Catalyst 3850を使用した小規模なサンプルネットワークが、さまざまなセグメント間のVLAN間ルーティングを提供しています。Catalyst 3850スイッチは、IPルーティングをディセーブルにしてL2デバイスとして動作できます。スイッチをL3デバイスとして機能させ、VLAN間ルーティングを提供するには、ip routingがグローバルに有効になっていることを確認します。

ユーザが定義する3つのVLANを次に示します。

• VLAN 2：ユーザVLAN

• VLAN 3：サーバVLAN

• VLAN 10:Mgmt-VLAN

各サーバとホスト デバイス上のデフォルト ゲートウェイ設定は、3850 上で対応する VLAN インターフェイスの IP アドレスでなければなりません。たとえばサーバの場合、デフォルトのゲートウェイは 10.1.3.1 です。アクセスレイヤスイッチ(Catalyst 4500)は、Catalyst 3850スイッチにトランクされます。

Catalyst 3850のデフォルトルートはCiscoルータを指し、これはインターネット宛てのトラフィックをルーティングするために使用されます。したがって、3850のルーティングテーブルにルートがないトラフィックは、追加のプロセスのためにCiscoルータに転送されます。

実用的なヒント

• 802.1Q トランクのネイティブ VLAN が、トランク リンクの両端で必ず同じになるようにしてください。トランクの一方の端のネイティブ VLAN が、もう一方の端のネイティブ VLAN とは異なる場合、両側のネイティブ VLAN のトラフィックはトランク上を正しく転送されません。この問題は、ネットワークに接続性に関する問題があることを示している可能性があります。

• 管理用 VLAN は、このダイアグラムのようにユーザ VLAN およびサーバ VLAN から切り離します。管理用 VLAN はユーザ VLAN やサーバ VLAN とは異なります。このように切り離しておくと、ユーザ VLAN またはサーバ VLAN で発生したブロードキャスト ストームやパケット ストームの影響を受けずにスイッチを管理できます。

• VLAN 1 は管理用に使用しないでください。CatalystスイッチのすべてのポートはデフォルトでVLAN 1に設定され、設定されていないポートに接続するデバイスはすべてVLAN 1に属します。管理用にVLAN 1を使用すると、スイッチの管理に問題が発生する可能性があります。

• デフォルト ゲートウェイ ポートへの接続には、レイヤ 3（ルーテッド）ポートを使用します。この例では、Ciscoルータを、インターネットゲートウェイルータに接続するファイアウォールに簡単に置き換えることができます。

• この例では、インターネットに到達するためのCiscoルータへのスタティックデフォルトルートを3850に設定します。インターネットへのルートが 1 つしかない場合はこの構成が最適です。Catalyst 3850が到達可能なサブネットのスタティックルート（集約されていることが望ましい）を、ゲートウェイルータ上に必ず設定してください。この設定ではルーティング プロトコルを使用していないため、この作業は非常に重要です。

• ネットワークに2台のCatalyst 3850スイッチがある場合は、アクセスレイヤスイッチを3850スイッチに二重に接続し、スイッチ間でホットスタンバイルータプロトコル(HSRP)を実行して、ネットワークに冗長性を持たせることができます。

• アップリンクポート用にさらに帯域幅が必要な場合は、EtherChannelを設定できます。EtherChannelは、リンク障害が発生した場合のリンクの冗長性も提供します。

コンフィギュレーション

このドキュメントでは、次のコンフィギュレーションを使用します。

• Catalyst 3850 

• Catalyst 4500-A 

• Catalyst 4500-B 

SW_3850#show running-config
Building configuration...

Current configuration : 11543 bytes
!
! Last configuration change at 12:16:54 UTC Tue Nov 15 2022
!
version 16.12
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service internal
service call-home
no platform punt-keepalive disable-kernel-core
!
hostname SW_3850
!  
!--- IP routing enabled for Inter VLAN routing.  

ip routing
!
!
no ip domain lookup
!
!
login on-success log
!
!        
!
vtp mode off 
! 
!--- Output suppressed.  

!--- Configure IEEE 802.1q trunks. 
!--- Issue the switchport mode trunk command to force the switch port to trunk mode. 
!--- Note: The default trunking mode is dynamic auto. If you establish a trunk link 
!--- with the default trunking mode, the trunk does not appear 
!--- in the configuration, even though a trunk has been established on 
!--- the interface. Use the show interfaces trunk command to verify the 
!--- establishment of the trunk. 

!
interface GigabitEthernet1/0/1
 shutdown
!
interface GigabitEthernet1/0/2
 shutdown
!         
interface GigabitEthernet1/0/3 description To_Switch-B switchport mode trunk
!
interface GigabitEthernet1/0/4
 no switchport no ip address shutdown   
! 
interface GigabitEthernet1/0/5 
 description To_Switch-A 
 switchport mode trunk 
! 
interface GigabitEthernet1/0/6 
no switchport 
no ip address
shutdown  
!
interface Vlan1
 no ip address
 shutdown
!

!--- This SVI (Switch Virtual Interface) is the default gateway for Users.
! 
interface Vlan2
 description User-SVI
 ip address 10.1.2.1 255.255.255.0
!

!--- This SVI is the default gateway for Servers.
!
interface Vlan3
 description Server-SVI
 ip address 10.1.3.1 255.255.255.0
!

!--- This SVI is the default gateway for other L2 switches management interface.  
! 
interface Vlan10
 description Management-SVI
 ip address 10.1.10.1 255.255.255.0 
!  

!--- This route statement allows the 3850 to send Internet traffic to the Cisco router. 

ip route 0.0.0.0 0.0.0.0 10.1.1.2 
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server  
! 
! 
! 
line con 0 
line vty 5 15 
! 
end

注：この例では、すべてのスイッチでVLAN Trunk Protocol(VTP)がオフに設定されています。このスイッチは、次のコマンドを使用して、VTPをオフに設定し、ユーザがグローバルコンフィギュレーションモードで定義した3つのVLANを作成します。

SW_3850(config)#vtp mode off
Setting device to VTP Off mode for VLANS.
SW_3850(config)#vlan 2
SW_3850(config-vlan)#name User_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 3
SW_3850(config-vlan)#name Server_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 10
SW_3850(config-vlan)#name Mgmt_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#end

Switch-A#show running-config
Building configuration...

Current configuration : 15360 bytes
!
! Last configuration change at 01:06:17 UTC Wed Nov 16 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
service compress-config
!
hostname Switch-A
!  
no ip domain-lookup
no ip dhcp snooping information option
!
!
login block-for 60 attempts 3 within 60
login delay 1
login quiet-mode access-class testblock
login on-failure log
login on-success log
vtp mode off
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!    
! 
vlan 3 name Server-VLAN ! vlan 10 name Mgmt-VLAN
!

!--- Output suppressed

!
interface GigabitEthernet1/1
 shutdown
!
interface GigabitEthernet1/2
 shutdown
!
interface GigabitEthernet1/3 switchport mode trunk
!  

!--- Configure Server (Host-A) to be the on the access VLAN 3.   

!
interface TenGigabitEthernet3/1 switchport access vlan 3 switchport mode access
!
interface TenGigabitEthernet3/2
 shutdown
!
interface TenGigabitEthernet3/3
!
interface TenGigabitEthernet3/4
!  

!--- Output suppressed. 
!--- IP address on VLAN 10 manages this switch.  

!
interface Vlan1
 no ip address
!
interface Vlan10 ip address 10.1.10.2 255.255.255.0
!
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local
!  

!--- Configure the default gateway so that the switch is reachable from other !--- VLANs/subnets. The gateway points to the VLAN 10 interface on the 3850.

ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
! 
!
line con 0
 stopbits 1
line vty 0 4
 logging synchronous
 transport input all
line vty 5 15
 logging synchronous
 transport input all
!  
end

Switch-B#show running-config 
Building configuration...

Current configuration : 6841 bytes
!
! Last configuration change at 10:44:33 UTC Tue Nov 15 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service compress-config
!
hostname Switch-B
!
boot-start-marker
boot system bootflash:cat4500es8-universal.SPA.03.11.06.E.152-7.E6.bin
boot-end-marker
!
!
vrf definition mgmtVrf
 !
 address-family ipv4
 exit-address-family
 !        
 address-family ipv6
 exit-address-family
!
!
no aaa new-model
hw-module module 7 mode 1
!
!
!
!
!
!
!
!
!
vtp mode off 
!
! spanning-tree mode pvst spanning-tree extend system-id !  
vlan 2 
name User-VLAN 
! 
vlan 10 name 
Mgmt-VLAN 
!
!
interface GigabitEthernet1/1 switchport mode trunk
!
interface GigabitEthernet1/2
!
interface GigabitEthernet1/3
 shutdown
!
interface GigabitEthernet1/4
 shutdown
!

!--- Output suppressed.
!--- Configure User (Host-B) in VLAN 2.

! interface GigabitEthernet8/5 switchport access vlan 2 switchport mode access !
 
!--- Configure the management IP address in VLAN 10. 
!
interface Vlan1
 no ip address
!
interface Vlan10 ip address 10.1.10.3 255.255.255.0
!  

!--- Define the default route so that the switch is reachable. 
! 
ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
!   
!
line con 0
 stopbits 1
line vty 0 4
 login
 transport input none
!
!
end

確認

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を示しています。

注:Cisco CLIアナライザツールは、統合TACツールと知識を使用するこのスマートSSHクライアントを使用して、シスコがサポートするソフトウェアのトラブルシューティングと全体的な健全性の確認を行うのに役立ちます。

注:CLIコマンドの詳細については、特定のスイッチングプラットフォームの『コマンドリファレンスガイド』を参照してください。  

注：このようなツールやその他の内部情報にアクセスできるのは、登録されたシスコユーザだけです。

Catalyst 3850

• show vtp status

SW_3850#show vtp status      
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : bc67.1c5d.3800
Configuration last modified by 10.0.0.10 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 8
Configuration Revision            : 0
MD5 digest                        : 0x7E 0xC3 0x8D 0x91 0xC8 0x53 0x42 0x14 
                                    0x79 0xA2 0xDF 0xE9 0xC0 0x06 0x1D 0x7D

• show interfaces trunk 

SW_3850#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan  
Gi1/0/3 on 802.1q trunking 1 Gi1/0/5 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/0/3 1-4094 Gi1/0/5 1-4094

Port        Vlans allowed and active in management domain
Gi1/0/3 1-3,10 Gi1/0/5 1-3,10 
Port        Vlans in spanning tree forwarding state and not pruned
Gi1/0/3     1-3,10
Gi1/0/5     1,3,10

• show ip route 

SW_3850#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
       n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       H - NHRP, G - NHRP registered, g - NHRP registration summary
       o - ODR, P - periodic downloaded static route, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is 10.100.100.2 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via 10.100.100.2
      10.0.0.0/8 is variably subnetted, 8 subnets, 2 masks
C        10.1.2.0/24 is directly connected, Vlan2
L        10.1.2.1/32 is directly connected, Vlan2
C        10.1.3.0/24 is directly connected, Vlan3
L        10.1.3.1/32 is directly connected, Vlan3
C        10.1.10.0/24 is directly connected, Vlan10
L        10.1.10.1/32 is directly connected, Vlan10
C        10.100.100.0/24 is directly connected, GigabitEthernet1/0/2
L        10.100.100.1/32 is directly connected, GigabitEthernet1/0/2

Catalyst 4500-A

• show vtp status

Switch-A#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 2
VTP Domain Name                 : cisco.com
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6400.f13e.dc40
Configuration last modified by 10.1.10.2 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 32
Configuration Revision            : 0
MD5 digest                        : 0x0B 0x61 0x4F 0x9B 0xCD 0x1B 0x37 0x55 
                                    0xAB 0x0C 0xC1 0x4B 0xF8 0xDE 0x33 0xB3 

• show interfaces trunk 

Switch-A#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/3 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/3 1-4094

Port        Vlans allowed and active in management domain
Gi1/3 1,3,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/3       1,3,10

Catalyst 4500-B

• show vtp status

Switch-B#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6c20.5606.3540
Configuration last modified by 10.1.10.3 at 11-15-22 10:42:29

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 7
Configuration Revision            : 0
MD5 digest                        : 0xEC 0xB4 0x8D 0x46 0x94 0x95 0xE0 0x8F 
                                    0xEE 0x1E 0xC7 0x9F 0x26 0x88 0x49 0x9F 

• show interfaces trunk

Switch-B#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/1 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/1 1-4094

Port        Vlans allowed and active in management domain
Gi1/1 1-2,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/1       1-2,10

トラブルシュート

ここでは、設定に関するトラブルシューティングについて説明します。

トラブルシューティングの手順

次の手順を使用します。

1. 同一の VLAN 内のデバイスに ping できない場合は、送信元ポートと宛先ポートの VLAN 割り当てをチェックして、同一の VLAN にあることを確認します。

   VLANの割り当てを確認するには、Cisco IOSソフトウェアでshow interface statusコマンドを発行します。

   送信元と宛先が同じスイッチ内に存在しない場合は、トランクが正しく設定されていることを確認します。設定を確認するには、show interfaces trunkコマンドを発行します。

2. また、トランクリンクのどちら側でもネイティブVLANが一致していることを確認します。送信元と宛先のデバイスでサブネット マスクが一致していることも確認します。

3. 別の VLAN 上のデバイスに ping できない場合は、それぞれのデフォルト ゲートウェイに ping できるかどうかを確認します。（ステップ 1 を参照）。

   また、デバイスのデフォルト ゲートウェイが正しい VLAN インターフェイスの IP アドレスを指していて、サブネットマスクが一致していることを確認します。

4. インターネットに到達できない場合は、3850 のデフォルト ルートが正しい IP アドレスを指していて、サブネット アドレスがインターネット ゲートウェイ ルータと一致していることを確認します。

   これを確認するには、show ip interface interface-idコマンドを発行します。インターネット ゲートウェイ ルータで、インターネットと内部ネットワークへのルートがあることを確認します。

関連情報

• Catalyst スイッチによるイーサネット VLAN の構築
• シスコのテクニカルサポートとダウンロード