Configure Inter VLAN Routing with Catalyst Switches (Inter VLAN-routing configureren met Catalyst-switches)

Inleiding

In dit document wordt beschreven hoe u Inter VLAN-routing kunt configureren met Cisco Catalyst Series switches.

Voorwaarden

Vereisten

Voordat u deze configuratie uitvoert, moet aan de volgende vereisten worden voldaan:

• U weet hoe u VLAN’s kunt maken

  Zie Ethernet VLAN's maken op Catalyst-Switches voor meer informatie.

• Kennis van het maken van Trunk-links

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Catalyst 3850 waarop Cisco IOS® XE Software Release 16.12.7 wordt uitgevoerd

• Catalyst 4500 waarop Cisco IOS® Software Release 03.09.00E wordt uitgevoerd

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Verwante producten

Deze configuratie kan ook worden gebruikt in combinatie met deze hardware- en softwareversies:

• Elke Catalyst 3k/9k switch en later

• Elk Catalyst switch model, gebruikt als de toegangslaag switch

Achtergrondinformatie

Dit document biedt een voorbeeldconfiguratie voor Inter VLAN-routering met een switch uit de Catalyst 3850-reeks in een doorsnee netwerkscenario. Het document gebruikt twee Catalyst 4500-serie switch als Layer 2 (L2) switches die rechtstreeks aansluiten op de Catalyst 3850. De Catalyst 3850-configuratie heeft ook een standaardroute voor al het verkeer dat naar het internet gaat wanneer de volgende hop naar een Cisco-router wijst. U kunt de Internet Gateway vervangen door een firewall of een ander routermodel.

Opmerking: de configuratie van de Internet Gateway-router is niet relevant, dus dit document heeft geen betrekking op de configuratie.

In een geschakeld netwerk scheiden VLAN's apparaten in verschillende conflict domeinen en L3-subnetten (Layer 3). Apparaten binnen een VLAN kunnen met elkaar communiceren zonder dat u een routing nodig heeft. Apparaten in afzonderlijke VLAN's hebben een routeringsapparaat nodig om met elkaar te communiceren.

L2-only switches hebben een L3-routeringsapparaat nodig voor communicatie tussen VLAN's. Het apparaat bevindt zich buiten de switch of in een andere module op hetzelfde chassis. Een nieuw type switches bevat routingcapaciteit binnen de switch. Een voorbeeld is de 3850. De switch ontvangt een pakket, bepaalt dat het pakket tot een ander VLAN behoort en verzendt het pakket naar de juiste poort op het bestemmings-VLAN.

Een typisch netwerkontwerp segmenteert het netwerk gebaseerd op de groep of functie waartoe het apparaat behoort. Het engineering-VLAN heeft bijvoorbeeld alleen apparaten die op de engineering-afdeling betrekking hebben, en het financiële VLAN heeft alleen apparaten die op financiering betrekking hebben. Als u routing toestaat, kunnen de apparaten in elk VLAN met elkaar praten zonder dat alle apparaten zich in hetzelfde broadcastdomein moeten bevinden. Een dergelijk VLAN-ontwerp heeft ook een extra voordeel. Het ontwerp staat de beheerder toe om communicatie tussen VLAN's met gebruik van toegangslijsten te beperken. U kunt bijvoorbeeld toegangslijsten gebruiken om de toegang van het engineering-VLAN tot apparaten op het finance-VLAN te beperken.

Raadpleeg dit document waarin wordt getoond hoe u de Inter VLAN-routering configureert op een Catalyst 3550-reeks switch voor meer informatie Hoe u Inter VLAN-routering op Layer 3-Switch configureert.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Opmerking: Gebruik de Cisco Support Tools om meer informatie te vinden over de opdrachten die hier worden gebruikt. Alleen geregistreerde Cisco-gebruikers hebben toegang tot tools zoals deze en andere interne informatie.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

In dit diagram biedt een klein voorbeeldnetwerk met de Catalyst 3850 Inter VLAN-routering tussen de verschillende segmenten. De Catalyst 3850-switch kan fungeren als een L2-toestel met het uitschakelen van IP-routering. Om ervoor te zorgen dat de switch functioneert als een L3-apparaat en Inter VLAN-routering biedt, moet IP-routering wereldwijd worden ingeschakeld.

Dit zijn de drie door de gebruiker gedefinieerde VLAN's:

• VLAN 2 — Gebruiker-VLAN

• VLAN 3 — Server-VLAN

• VLAN 10 — Mgmt-VLAN

De configuratie voor de standaardgateway op elke server en elk hostapparaat moet het VLAN-interface-IP-adres zijn dat met de Catalyst 3850 overeenkomt. Voor servers is de standaardgateway bijvoorbeeld 10.1.3.1. De switches van de toegangslaag, die de Catalyst 4500 zijn, worden getrunked tot de Catalyst 3850-switch.

De standaardroute voor de Catalyst 3850 wijst naar de Cisco-router, en deze wordt gebruikt om verkeer te routeren dat bestemd is voor het internet. Daarom wordt verkeer waarvoor de 3850 geen route heeft in de routeringstabel doorgestuurd naar de Cisco Router voor extra proces.

Praktische tips

• Zorg ervoor dat het native VLAN voor een 802.1Q-trunk aan beide uiteinden van de trunk-link hetzelfde is. Als het native VLAN aan één eind van de trunk anders is dan het native VLAN aan het andere eind, kan het verkeer van de native VLAN's aan beide kanten niet worden doorgestuurd. Een dergelijke storing in correct verzenden kan een aantal connectiviteitsproblemen in uw netwerk impliceren.

• Scheid het beheer-VLAN van de gebruikers- of de server-VLAN, zoals in dit diagram. Het beheer-VLAN is anders dan de gebruikers- of de server-VLAN. Met deze scheiding heeft elke uitzending-/pakketstorm die in de gebruikers- of server-VLAN voorkomt geen invloed op het beheer van switches.

• Gebruik VLAN 1 niet voor beheer. Alle poorten in Catalyst-switches zijn standaard ingesteld op VLAN 1, en alle apparaten die verbinding maken met poorten die niet zijn geconfigureerd, bevinden zich in VLAN 1. Het gebruik van VLAN 1 voor beheerdoeleinden kan problemen veroorzaken voor het beheer van switches.

• Gebruik een Layer 3 (gerouteerde) poort om verbinding te maken met de standaardgatewaypoort. In dit voorbeeld kunt u eenvoudig een Cisco-router vervangen door een firewall die verbinding maakt met de internetgateway-router.

• Dit voorbeeld configureert een statische standaardroute op de 3850 naar de CSCO-router om het internet te bereiken. Deze instelling is het beste als er slechts één route naar het internet is. Configureer statische routes, bij voorkeur samengevat, op de gateway-router voor subnetten die kunnen worden bereikt door de Catalyst 3850. Deze stap is zeer belangrijk omdat deze configuratie geen routingprotocollen gebruikt.

• Als u twee Catalyst 3850-switches in uw netwerk hebt, kunt u de switches van de toegangslaag tweemaal verbinden met de 3850-switches en vervolgens Hot Standby Router Protocol (HSRP) tussen de switches uitvoeren om redundantie in het netwerk te bieden.

• Als u extra bandbreedte nodig hebt voor de uplinkpoorten, kunt u EtherChannels configureren. Het EtherChannel biedt ook linkredundantie in het geval van een linkfout.

Configuraties

Dit document gebruikt de volgende configuraties:

• Catalyst 3850 

• Katalysator 4500-A 

• Katalysator 4500-B 

SW_3850#show running-config
Building configuration...

Current configuration : 11543 bytes
!
! Last configuration change at 12:16:54 UTC Tue Nov 15 2022
!
version 16.12
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service internal
service call-home
no platform punt-keepalive disable-kernel-core
!
hostname SW_3850
!  
!--- IP routing enabled for Inter VLAN routing.  

ip routing
!
!
no ip domain lookup
!
!
login on-success log
!
!        
!
vtp mode off 
! 
!--- Output suppressed.  

!--- Configure IEEE 802.1q trunks. 
!--- Issue the switchport mode trunk command to force the switch port to trunk mode. 
!--- Note: The default trunking mode is dynamic auto. If you establish a trunk link 
!--- with the default trunking mode, the trunk does not appear 
!--- in the configuration, even though a trunk has been established on 
!--- the interface. Use the show interfaces trunk command to verify the 
!--- establishment of the trunk. 

!
interface GigabitEthernet1/0/1
 shutdown
!
interface GigabitEthernet1/0/2
 shutdown
!         
interface GigabitEthernet1/0/3
 description To_Switch-B
 switchport mode trunk
!
interface GigabitEthernet1/0/4
 no switchport
 no ip address
 shutdown   
! 
interface GigabitEthernet1/0/5 
 description To_Switch-A 
 switchport mode trunk 
! 
interface GigabitEthernet1/0/6 
no switchport 
no ip address
shutdown  
!
interface Vlan1
 no ip address
 shutdown
!

!--- This SVI (Switch Virtual Interface) is the default gateway for Users.
! 
interface Vlan2
 description User-SVI
 ip address 10.1.2.1 255.255.255.0
!

!--- This SVI is the default gateway for Servers.
!
interface Vlan3
 description Server-SVI
 ip address 10.1.3.1 255.255.255.0
!

!--- This SVI is the default gateway for other L2 switches management interface.  
! 
interface Vlan10
 description Management-SVI
 ip address 10.1.10.1 255.255.255.0 
!  

!--- This route statement allows the 3850 to send Internet traffic to the Cisco router. 

ip route 0.0.0.0 0.0.0.0 10.1.1.2 
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server  
! 
! 
! 
line con 0 
line vty 5 15 
! 
end

Opmerking: in dit voorbeeld is VLAN Trunk Protocol (VTP) ingesteld op off op alle switches. Deze switch gebruikt de volgende opdrachten om VTP in te stellen als uit en om de drie VLAN's te maken die de gebruiker heeft gedefinieerd in de globale configuratiemodus:

SW_3850(config)#vtp mode off
Setting device to VTP Off mode for VLANS.
SW_3850(config)#vlan 2
SW_3850(config-vlan)#name User_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 3
SW_3850(config-vlan)#name Server_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 10
SW_3850(config-vlan)#name Mgmt_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#end

Switch-A#show running-config
Building configuration...

Current configuration : 15360 bytes
!
! Last configuration change at 01:06:17 UTC Wed Nov 16 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
service compress-config
!
hostname Switch-A
!  
no ip domain-lookup
no ip dhcp snooping information option
!
!
login block-for 60 attempts 3 within 60
login delay 1
login quiet-mode access-class testblock
login on-failure log
login on-success log
vtp mode off
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!    
! 
vlan 3
 name Server-VLAN
!
vlan 10
 name Mgmt-VLAN
!

!--- Output suppressed

!
interface GigabitEthernet1/1
 shutdown
!
interface GigabitEthernet1/2
 shutdown
!
interface GigabitEthernet1/3
 switchport mode trunk
!  

!--- Configure Server (Host-A) to be the on the access VLAN 3.   

!
interface TenGigabitEthernet3/1
 switchport access vlan 3
 switchport mode access
!
interface TenGigabitEthernet3/2
 shutdown
!
interface TenGigabitEthernet3/3
!
interface TenGigabitEthernet3/4
!  

!--- Output suppressed. 
!--- IP address on VLAN 10 manages this switch.  

!
interface Vlan1
 no ip address
!
interface Vlan10
 ip address 10.1.10.2 255.255.255.0
!
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local
!  

!--- Configure the default gateway so that the switch is reachable from other 
!--- VLANs/subnets. The gateway points to the VLAN 10 interface on the 3850.

ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
! 
!
line con 0
 stopbits 1
line vty 0 4
 logging synchronous
 transport input all
line vty 5 15
 logging synchronous
 transport input all
!  
end

Switch-B#show running-config 
Building configuration...

Current configuration : 6841 bytes
!
! Last configuration change at 10:44:33 UTC Tue Nov 15 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service compress-config
!
hostname Switch-B
!
boot-start-marker
boot system bootflash:cat4500es8-universal.SPA.03.11.06.E.152-7.E6.bin
boot-end-marker
!
!
vrf definition mgmtVrf
 !
 address-family ipv4
 exit-address-family
 !        
 address-family ipv6
 exit-address-family
!
!
no aaa new-model
hw-module module 7 mode 1
!
!
!
!
!
!
!
!
!
vtp mode off 
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!  
vlan 2 
name User-VLAN 
! 
vlan 10 name 
Mgmt-VLAN 
!
!
interface GigabitEthernet1/1
 switchport mode trunk
!
interface GigabitEthernet1/2
!
interface GigabitEthernet1/3
 shutdown
!
interface GigabitEthernet1/4
 shutdown
!

!--- Output suppressed.
!--- Configure User (Host-B) in VLAN 2.

!
interface GigabitEthernet8/5
 switchport access vlan 2
 switchport mode access
!
 
!--- Configure the management IP address in VLAN 10.

!
interface Vlan1
 no ip address
!
interface Vlan10
 ip address 10.1.10.3 255.255.255.0
!  

!--- Define the default route so that the switch is reachable.

! 
ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
!   
!
line con 0
 stopbits 1
line vty 0 4
 login
 transport input none
!
!
end

Verifiëren

Deze sectie bevat informatie over de manier waarop u kunt controleren of de configuratie goed werkt.

Opmerking: de Cisco CLI Analyzer Tool kan u helpen bij het oplossen van problemen en het controleren van de algehele status van uw Cisco-ondersteunde software met deze slimme SSH-client die geïntegreerde TAC-tools en kennis gebruikt.

Opmerking: Zie de opdrachtreferentiehandleidingen voor specifieke switchplatforms voor meer informatie over CLI-opdrachten.  

Opmerking: Alleen geregistreerde Cisco-gebruikers hebben toegang tot tools zoals deze en andere interne informatie.

Catalyst 3850

• show vtp status

SW_3850#show vtp status      
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : bc67.1c5d.3800
Configuration last modified by 10.0.0.10 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode                : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 8
Configuration Revision            : 0
MD5 digest                        : 0x7E 0xC3 0x8D 0x91 0xC8 0x53 0x42 0x14 
                                    0x79 0xA2 0xDF 0xE9 0xC0 0x06 0x1D 0x7D

• show interfaces trunk 

SW_3850#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan  
Gi1/0/3     on               802.1q         trunking      1
Gi1/0/5     on               802.1q         trunking      1

Port        Vlans allowed on trunk
Gi1/0/3     1-4094
Gi1/0/5     1-4094

Port        Vlans allowed and active in management domain
Gi1/0/3     1-3,10
Gi1/0/5     1-3,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/0/3     1-3,10
Gi1/0/5     1,3,10

• show ip route 

SW_3850#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
       n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       H - NHRP, G - NHRP registered, g - NHRP registration summary
       o - ODR, P - periodic downloaded static route, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is 10.100.100.2 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 10.100.100.2
      10.0.0.0/8 is variably subnetted, 8 subnets, 2 masks
C        10.1.2.0/24 is directly connected, Vlan2
L        10.1.2.1/32 is directly connected, Vlan2
C        10.1.3.0/24 is directly connected, Vlan3
L        10.1.3.1/32 is directly connected, Vlan3
C        10.1.10.0/24 is directly connected, Vlan10
L        10.1.10.1/32 is directly connected, Vlan10
C        10.100.100.0/24 is directly connected, GigabitEthernet1/0/2
L        10.100.100.1/32 is directly connected, GigabitEthernet1/0/2

Katalysator 4500-A

• show vtp status

Switch-A#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 2
VTP Domain Name                 : cisco.com
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6400.f13e.dc40
Configuration last modified by 10.1.10.2 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode                : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 32
Configuration Revision            : 0
MD5 digest                        : 0x0B 0x61 0x4F 0x9B 0xCD 0x1B 0x37 0x55 
                                    0xAB 0x0C 0xC1 0x4B 0xF8 0xDE 0x33 0xB3 

• show interfaces trunk 

Switch-A#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/3       on               802.1q         trunking      1

Port        Vlans allowed on trunk
Gi1/3       1-4094

Port        Vlans allowed and active in management domain
Gi1/3       1,3,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/3       1,3,10

Katalysator 4500-B

• show vtp status

Switch-B#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6c20.5606.3540
Configuration last modified by 10.1.10.3 at 11-15-22 10:42:29

Feature VLAN:
--------------
VTP Operating Mode                : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 7
Configuration Revision            : 0
MD5 digest                        : 0xEC 0xB4 0x8D 0x46 0x94 0x95 0xE0 0x8F 
                                    0xEE 0x1E 0xC7 0x9F 0x26 0x88 0x49 0x9F 

• show interfaces trunk

Switch-B#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/1       on               802.1q         trunking      1

Port        Vlans allowed on trunk
Gi1/1       1-4094

Port        Vlans allowed and active in management domain
Gi1/1       1-2,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/1       1-2,10

Problemen oplossen

Deze sectie bevat informatie om uw configuratie te troubleshooten.

Procedure voor troubleshooting

Gebruik deze instructies:

1. Als u apparaten binnen hetzelfde VLAN niet kunt pingen, controleer dan de VLAN-toewijzing van de bron- en bestemmingspoorten om er zeker van te zijn dat de bron en de bestemming zich in hetzelfde VLAN bevinden.

   Als u de VLAN-toewijzing wilt controleren, geeft u de opdracht Interfacestatus weergeven voor Cisco IOS-software uit.

   Als de bron en het doel niet in dezelfde switch staan, moet u ervoor zorgen dat u de trunks correct hebt geconfigureerd. Als u de configuratie wilt controleren, geeft u de opdracht interfaces tonen trunk uit.

2. Controleer ook of het native VLAN overeenkomt met de andere kant van de trunk-link. Zorg dat het subnetmasker overeenkomt voor de bron- en bestemmingsapparaten.

3. Als u geen apparaten in verschillende VLAN's kunt pingen, zorg er dan voor dat u de respectieve standaardgateway kunt pingen. (Zie stap 1.)

   Zorg er ook voor dat de standaardgateway van het apparaat naar het juiste IP-adres van de VLAN-interface verwijst. Controleer of het subnetmasker overeenkomt.

4. Als u het internet niet kunt bereiken, zorg ervoor dat de standaardroute op de 3850 switch verwijst naar het juiste IP-adres en dat het subnet-adres overeenkomt met de internetgateway-router.

   Geef de opdracht interface-id tonen uit om te controleren. Zorg ervoor dat de internetgateway-router routes naar het internet en de interne netwerken heeft.

Gerelateerde informatie

• Ethernet-VLAN’s maken op Catalyst-switches
• Cisco Technical Support en downloads