CatalystスイッチによるVLAN間ルーティングの設定

概要

このドキュメントでは、Cisco CatalystシリーズスイッチでVLAN間ルーティングを設定する方法について説明します。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

• VLAN 作成の知識

  詳細は、『CatalystスイッチでのイーサネットVLANの作成』を参照してください。

• トランクリンクの作成方法に関する知識

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• Cisco IOS®ソフトウェアリリース16.12.7が稼働するCatalyst 3850

• Cisco IOSソフトウェアリリース03.09.00Eが稼働するCatalyst 4500

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

関連製品

この設定は、次のバージョンのハードウェアとソフトウェアにも使用できます。

• すべてのCatalyst 3k/9kスイッチ以降

• アクセスレイヤスイッチとして使用されるCatalystスイッチモデル

背景説明

このドキュメントでは、一般的なネットワークシナリオにおけるCatalyst 3850シリーズスイッチを使用したインターVLANルーティングの設定例を紹介します。このドキュメントでは、Catalyst 3850に直接接続するレイヤ2(L2)スイッチとして2台のCatalyst 4500シリーズスイッチを使用しています。Catalyst 3850の設定には、ネクストホップがCiscoルータを指している場合にインターネットに向かうすべてのトラフィックに対するデフォルトルートもあります。インターネットゲートウェイをファイアウォールや他のルータモデルに置き換えることができます。

注:Ciscoルータからの設定は関連しないため、このドキュメントでは設定を示しません。

スイッチ型ネットワークでは、VLAN はデバイスを別々の衝突ドメインとレイヤ 3（L3）サブネットに分散します。1 つの VLAN 内のデバイス間での相互通信に、ルーティングは不要です。別々のVLAN内のデバイスは、相互に通信するためにルーティングデバイスを必要とします。

L2専用スイッチでは、VLAN間の通信を提供するためにL3ルーティングデバイスが必要です。このデバイスは、スイッチに対する外部デバイスか、同じシャーシ内の別モジュールのいずれかになります。スイッチの新しい品種はスイッチ内でルーティング機能が組み込まれています。（3850 など）では、スイッチ自体にルーティング機能が備わっています。スイッチはパケットを受信し、そのパケットが別のVLANに属していることを判別し、宛先VLAN上の適切なポートにパケットを送信します。

一般的なネットワーク設計では、各デバイスが所属するグループや組織に応じてネットワークをセグメント化します。たとえば、技術部門の VLAN には技術部門に関連するデバイスだけが含まれ、財務部門の VLAN には財務部門に関連するデバイスだけが含まれるようにします。ルーティングを有効にすると各 VLAN のデバイスが相互に通信できるようになるため、すべてのデバイスを同じブロードキャスト ドメインに配置する必要がなくなります。このようなVLANの設計には、追加の利点があります。設計は、管理者がアクセス リストを使用してVLAN間の通信を制限することができます。たとえば、アクセスリストを使用して、エンジニアリングVLANから財務VLAN上のデバイスへのアクセスを制限できます。

「レイヤ3スイッチでVLAN間ルーティングを設定する方法」の詳細については、Catalyst 3550シリーズスイッチでVLAN間ルーティングを設定する方法を示すこのビデオを参照してください。

設定

このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。

注：ここで使用されているコマンドの詳細を調べるには、Command Lookup Tool（登録ユーザ専用）を使用してください。これは内部ツールです。このようなツールやその他の内部情報にアクセスできるのは、シスコの登録ユーザだけです。

ネットワーク図

このドキュメントでは、次のネットワーク セットアップを使用します。

この図では、Catalyst 3850を使用した小規模なサンプルネットワークが、さまざまなセグメント間のVLAN間ルーティングを提供しています。Catalyst 3850スイッチは、IPルーティングをディセーブルにして、L2デバイスとして動作できます。スイッチをL3デバイスとして機能させ、VLAN間ルーティングを提供するには、ip routingがグローバルに有効になっていることを確認します。

ユーザが定義した3つのVLANは次のとおりです。

• VLAN 2：ユーザVLAN

• VLAN 3:Server-VLAN

• VLAN 10:Mgmt-VLAN

各サーバとホスト デバイス上のデフォルト ゲートウェイ設定は、3850 上で対応する VLAN インターフェイスの IP アドレスでなければなりません。たとえばサーバの場合、デフォルトのゲートウェイは 10.1.3.1 です。Catalyst 4500であるアクセスレイヤスイッチは、Catalyst 3850スイッチにトランクされます。

Catalyst 3850のデフォルトルートはCiscoルータを指し、インターネット宛てのトラフィックをルーティングするために使用されます。したがって、3850のルーティングテーブルにルートがないトラフィックは、追加のプロセスのためにCiscoルータに転送されます。

実用的なヒント

• 802.1Q トランクのネイティブ VLAN が、トランク リンクの両端で必ず同じになるようにしてください。トランクの一方の端のネイティブ VLAN が、もう一方の端のネイティブ VLAN とは異なる場合、両側のネイティブ VLAN のトラフィックはトランク上を正しく転送されません。この問題は、ネットワークに接続性に関する問題があることを示している可能性があります。

• 管理用 VLAN は、このダイアグラムのようにユーザ VLAN およびサーバ VLAN から切り離します。管理用 VLAN はユーザ VLAN やサーバ VLAN とは異なります。このように切り離しておくと、ユーザ VLAN またはサーバ VLAN で発生したブロードキャスト ストームやパケット ストームの影響を受けずにスイッチを管理できます。

• VLAN 1 は管理用に使用しないでください。CatalystスイッチのすべてのポートはデフォルトでVLAN 1に設定され、設定されていないポートに接続するデバイスはすべてVLAN 1に属します。VLAN 1を管理用に使用すると、スイッチの管理に問題が発生する可能性があります。

• デフォルト ゲートウェイ ポートへの接続には、レイヤ 3（ルーテッド）ポートを使用します。この例では、Ciscoルータをインターネットゲートウェイルータに接続するファイアウォールに簡単に置き換えることができます。

• この例では、インターネットに到達するためのスタティックデフォルトルートをCiscoルータに向けて3850に設定します。インターネットへのルートが 1 つしかない場合はこの構成が最適です。Catalyst 3850が到達可能なサブネットのスタティックルート（集約されていることが望ましい）をゲートウェイルータに設定してください。この設定ではルーティング プロトコルを使用していないため、この作業は非常に重要です。

• ネットワークに2台のCatalyst 3850スイッチがある場合は、アクセスレイヤスイッチを3850スイッチに二重に接続し、スイッチ間でHot Standby Router Protocol（HSRP；ホットスタンバイルータプロトコル）を実行して、ネットワークに冗長性を持たせることができます。

• アップリンクポートに追加の帯域幅が必要な場合は、EtherChannelを設定できます。EtherChannelは、リンク障害が発生した場合のリンクの冗長性も提供します。

設定

このドキュメントでは、次の構成を使用します。

• Catalyst 3850 

• Catalyst 4500-A 

• Catalyst 4500-B 

SW_3850#show running-config
Building configuration...

Current configuration : 11543 bytes
!
! Last configuration change at 12:16:54 UTC Tue Nov 15 2022
!
version 16.12
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service internal
service call-home
no platform punt-keepalive disable-kernel-core
!
hostname SW_3850
!  
!--- IP routing enabled for Inter VLAN routing.  

ip routing
!
!
no ip domain lookup
!
!
login on-success log
!
!        
!
vtp mode off 
! 
!--- Output suppressed.  

!--- Configure IEEE 802.1q trunks. 
!--- Issue the switchport mode trunk command to force the switch port to trunk mode. 
!--- Note: The default trunking mode is dynamic auto. If you establish a trunk link 
!--- with the default trunking mode, the trunk does not appear 
!--- in the configuration, even though a trunk has been established on 
!--- the interface. Use the show interfaces trunk command to verify the 
!--- establishment of the trunk. 

!
interface GigabitEthernet1/0/1
 shutdown
!
interface GigabitEthernet1/0/2
 shutdown
!         
interface GigabitEthernet1/0/3 description To_Switch-B switchport mode trunk
!
interface GigabitEthernet1/0/4
 no switchport no ip address shutdown   
! 
interface GigabitEthernet1/0/5 
 description To_Switch-A 
 switchport mode trunk 
! 
interface GigabitEthernet1/0/6 
no switchport 
no ip address
shutdown  
!
interface Vlan1
 no ip address
 shutdown
!

!--- This SVI (Switch Virtual Interface) is the default gateway for Users.
! 
interface Vlan2
 description User-SVI
 ip address 10.1.2.1 255.255.255.0
!

!--- This SVI is the default gateway for Servers.
!
interface Vlan3
 description Server-SVI
 ip address 10.1.3.1 255.255.255.0
!

!--- This SVI is the default gateway for other L2 switches management interface.  
! 
interface Vlan10
 description Management-SVI
 ip address 10.1.10.1 255.255.255.0 
!  

!--- This route statement allows the 3850 to send Internet traffic to the Cisco router. 

ip route 0.0.0.0 0.0.0.0 10.1.1.2 
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server  
! 
! 
! 
line con 0 
line vty 5 15 
! 
end

注：この例では、すべてのスイッチでVLAN Trunk Protocol(VTP)がオフに設定されています。このスイッチは次のコマンドを使用して、VTPをoffに設定し、ユーザがグローバルコンフィギュレーションモードで定義した3つのVLANを作成します。

SW_3850(config)#vtp mode off
Setting device to VTP Off mode for VLANS.
SW_3850(config)#vlan 2
SW_3850(config-vlan)#name User_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 3
SW_3850(config-vlan)#name Server_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 10
SW_3850(config-vlan)#name Mgmt_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#end

Switch-A#show running-config
Building configuration...

Current configuration : 15360 bytes
!
! Last configuration change at 01:06:17 UTC Wed Nov 16 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
service compress-config
!
hostname Switch-A
!  
no ip domain-lookup
no ip dhcp snooping information option
!
!
login block-for 60 attempts 3 within 60
login delay 1
login quiet-mode access-class testblock
login on-failure log
login on-success log
vtp mode off
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!    
! 
vlan 3 name Server-VLAN ! vlan 10 name Mgmt-VLAN
!

!--- Output suppressed

!
interface GigabitEthernet1/1
 shutdown
!
interface GigabitEthernet1/2
 shutdown
!
interface GigabitEthernet1/3 switchport mode trunk
!  

!--- Configure Server (Host-A) to be the on the access VLAN 3.   

!
interface TenGigabitEthernet3/1 switchport access vlan 3 switchport mode access
!
interface TenGigabitEthernet3/2
 shutdown
!
interface TenGigabitEthernet3/3
!
interface TenGigabitEthernet3/4
!  

!--- Output suppressed. 
!--- IP address on VLAN 10 manages this switch.  

!
interface Vlan1
 no ip address
!
interface Vlan10 ip address 10.1.10.2 255.255.255.0
!
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local
!  

!--- Configure the default gateway so that the switch is reachable from other !--- VLANs/subnets. The gateway points to the VLAN 10 interface on the 3850.

ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
! 
!
line con 0
 stopbits 1
line vty 0 4
 logging synchronous
 transport input all
line vty 5 15
 logging synchronous
 transport input all
!  
end

Switch-B#show running-config 
Building configuration...

Current configuration : 6841 bytes
!
! Last configuration change at 10:44:33 UTC Tue Nov 15 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service compress-config
!
hostname Switch-B
!
boot-start-marker
boot system bootflash:cat4500es8-universal.SPA.03.11.06.E.152-7.E6.bin
boot-end-marker
!
!
vrf definition mgmtVrf
 !
 address-family ipv4
 exit-address-family
 !        
 address-family ipv6
 exit-address-family
!
!
no aaa new-model
hw-module module 7 mode 1
!
!
!
!
!
!
!
!
!
vtp mode off 
!
! spanning-tree mode pvst spanning-tree extend system-id !  
vlan 2 
name User-VLAN 
! 
vlan 10 name 
Mgmt-VLAN 
!
!
interface GigabitEthernet1/1 switchport mode trunk
!
interface GigabitEthernet1/2
!
interface GigabitEthernet1/3
 shutdown
!
interface GigabitEthernet1/4
 shutdown
!

!--- Output suppressed.
!--- Configure User (Host-B) in VLAN 2.

! interface GigabitEthernet8/5 switchport access vlan 2 switchport mode access !
 
!--- Configure the management IP address in VLAN 10. 
!
interface Vlan1
 no ip address
!
interface Vlan10 ip address 10.1.10.3 255.255.255.0
!  

!--- Define the default route so that the switch is reachable. 
! 
ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
!   
!
line con 0
 stopbits 1
line vty 0 4
 login
 transport input none
!
!
end

確認

この項では、設定が正常に動作しているかどうかを確認する際に役立つ情報を紹介しています。

アウトプット インタープリタ ツールでは、特定の show コマンドがサポートされています。OIT を使用して、show コマンドの出力の分析を表示します。これはシスコの社内ツールです。

注：CLIコマンドの詳細については、『Command Line Interface Reference Guide（コマンドラインインターフェイスリファレンスガイド）』を参照してください。これはシスコの内部文書です。

注：このツールやその他の内部情報にアクセスできるのは、登録されたシスコユーザだけです。

Catalyst 3850

• show vtp status 

SW_3850#show vtp status      
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : bc67.1c5d.3800
Configuration last modified by 10.0.0.10 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 8
Configuration Revision            : 0
MD5 digest                        : 0x7E 0xC3 0x8D 0x91 0xC8 0x53 0x42 0x14 
                                    0x79 0xA2 0xDF 0xE9 0xC0 0x06 0x1D 0x7D

• show interfaces trunk 

SW_3850#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan  
Gi1/0/3 on 802.1q trunking 1 Gi1/0/5 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/0/3 1-4094 Gi1/0/5 1-4094

Port        Vlans allowed and active in management domain
Gi1/0/3 1-3,10 Gi1/0/5 1-3,10 
Port        Vlans in spanning tree forwarding state and not pruned
Gi1/0/3     1-3,10
Gi1/0/5     1,3,10

• show ip route 

SW_3850#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
       n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       H - NHRP, G - NHRP registered, g - NHRP registration summary
       o - ODR, P - periodic downloaded static route, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is 10.100.100.2 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via 10.100.100.2
      10.0.0.0/8 is variably subnetted, 8 subnets, 2 masks
C        10.1.2.0/24 is directly connected, Vlan2
L        10.1.2.1/32 is directly connected, Vlan2
C        10.1.3.0/24 is directly connected, Vlan3
L        10.1.3.1/32 is directly connected, Vlan3
C        10.1.10.0/24 is directly connected, Vlan10
L        10.1.10.1/32 is directly connected, Vlan10
C        10.100.100.0/24 is directly connected, GigabitEthernet1/0/2
L        10.100.100.1/32 is directly connected, GigabitEthernet1/0/2

Catalyst 4500-A

• show vtp status 

Switch-A#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 2
VTP Domain Name                 : cisco.com
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6400.f13e.dc40
Configuration last modified by 10.1.10.2 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 32
Configuration Revision            : 0
MD5 digest                        : 0x0B 0x61 0x4F 0x9B 0xCD 0x1B 0x37 0x55 
                                    0xAB 0x0C 0xC1 0x4B 0xF8 0xDE 0x33 0xB3 

• show interfaces trunk 

Switch-A#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/3 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/3 1-4094

Port        Vlans allowed and active in management domain
Gi1/3 1,3,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/3       1,3,10

Catalyst 4500-B

• show vtp status

Switch-B#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6c20.5606.3540
Configuration last modified by 10.1.10.3 at 11-15-22 10:42:29

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 7
Configuration Revision            : 0
MD5 digest                        : 0xEC 0xB4 0x8D 0x46 0x94 0x95 0xE0 0x8F 
                                    0xEE 0x1E 0xC7 0x9F 0x26 0x88 0x49 0x9F 

• show interfaces trunk

Switch-B#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/1 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/1 1-4094

Port        Vlans allowed and active in management domain
Gi1/1 1-2,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/1       1-2,10

トラブルシュート

このセクションは、設定のトラブルシューティングを行う際に参照してください。

トラブルシューティングの手順

次の手順を使用します。

1. 同一の VLAN 内のデバイスに ping できない場合は、送信元ポートと宛先ポートの VLAN 割り当てをチェックして、同一の VLAN にあることを確認します。

   VLANの割り当てを確認するには、Cisco IOSソフトウェアでshow interface statusコマンドを発行します。

   送信元と宛先が同じスイッチにない場合は、トランクが正しく設定されていることを確認します。設定を確認するには、show interfaces trunkコマンドを発行します。

2. また、ネイティブVLANがトランクリンクのどちら側でも一致していることを確認します。送信元と宛先のデバイスでサブネット マスクが一致していることも確認します。

3. 別の VLAN 上のデバイスに ping できない場合は、それぞれのデフォルト ゲートウェイに ping できるかどうかを確認します。（ステップ 1 を参照）。

   また、デバイスのデフォルト ゲートウェイが正しい VLAN インターフェイスの IP アドレスを指していて、サブネットマスクが一致していることを確認します。

4. インターネットに到達できない場合は、3850 のデフォルト ルートが正しい IP アドレスを指していて、サブネット アドレスがインターネット ゲートウェイ ルータと一致していることを確認します。

   確認するには、show ip interface interface-idコマンドを発行します。インターネット ゲートウェイ ルータで、インターネットと内部ネットワークへのルートがあることを確認します。

関連情報

• CatalystスイッチでのイーサネットVLANの作成
• シスコテクニカルサポートおよびダウンロード