使用 Catalyst 交換器設定 InterVLAN 路由

簡介

本文件說明如何使用 Cisco Catalyst 系列交換器設定 InterVLAN 路由。

必要條件

需求

嘗試此組態之前，請確保符合以下要求：

• 瞭解如何建立VLAN

  如需詳細資訊，請參閱在Catalyst交換器上建立乙太網路VLAN。

• 瞭解如何建立中繼鏈路

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 執行Cisco IOS® XE軟體版本16.12.7的Catalyst 3850

• 運行Cisco IOS®軟體版本03.09.00E的Catalyst 4500

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

慣例

如需文件慣例的詳細資訊，請參閱思科技術提示慣例。

相關產品

此配置還可以用於以下硬體和軟體版本：

• 任何Catalyst 3k/9k交換機及更高版本

• 任何Catalyst交換機型號，用作接入層交換機

背景資訊

本文提供在典型網路場景下使用Catalyst 3850系列交換器進行VLAN間路由的組態範例。本檔案使用兩部Catalyst 4500系列交換器作為直接連線到Catalyst 3850的第2層(L2)交換器。Catalyst 3850組態也有一個預設路由，用於在下一個躍點指向思科路由器時所有流量前往網際網路。您可以使用防火牆或其它路由器型號替換Internet網關。

註：來自Internet網關路由器的配置不相關，因此本文檔不介紹該配置。

在交換網路中，VLAN將裝置劃分為不同的衝突域和第3層(L3)子網。VLAN中的裝置可以彼此通訊，而無需路由。位於不同VLAN中的裝置需要路由裝置相互通訊。

僅L2交換機需要L3路由裝置來提供VLAN之間的通訊。裝置位於交換機外部或位於同一機箱上的另一個模組中。新一代交換機將路由功能整合到交換機中。例如3850。交換器收到封包，判斷封包屬於另一個VLAN，並將封包傳送到目的地VLAN上的適當連線埠。

典型的網路設計根據裝置所屬的組或功能劃分網路。例如，工程VLAN只有與工程部門相關的裝置，而財務VLAN只有與財務相關的裝置。如果啟用路由，則每個VLAN中的裝置可以相互通訊，而無需所有裝置位於同一個廣播域中。這種VLAN設計還有另外一個好處。設計允許管理員使用訪問清單限制VLAN之間的通訊。例如，您可以使用訪問清單來限制工程VLAN對財務VLAN上裝置的訪問。

如需詳細資訊，請參閱說明如何在第3層交換器上設定VLAN間路由，請參閱說明如何在Catalyst 3550系列交換器上設定VLAN間路由的檔案。

設定

本節提供用於設定本文件中所述功能的資訊。

注意：使用思科支援工具來尋找此處所用命令的詳細資訊。只有註冊思科使用者才能訪問諸如此類的工具和其他內部資訊。

網路圖表

此文件使用以下網路設定：

在此圖中，搭載Catalyst 3850的小型範例網路提供各個區段之間的VLAN間路由。Catalyst 3850交換器可以作為停用IP路由的第2層裝置。為了使交換機作為L3裝置運行並提供Inter VLAN路由，請確保全域性啟用IP路由。

以下是使用者定義的三個VLAN:

• VLAN 2 — 使用者VLAN

• VLAN 3 — 伺服器 — VLAN

• VLAN 10 — 管理VLAN

每台伺服器和主機裝置上的預設網關配置必須是3850上對應的VLAN介面IP地址。例如，對於伺服器，預設網關為10.1.3.1。接入層交換機（即Catalyst 4500）將中繼到Catalyst 3850交換機。

Catalyst 3850的預設路由指向思科路由器，用於路由目的地為網際網路的流量。因此，3850在路由表中沒有路由的流量將轉送到思科路由器進行其他處理。

實用提示

• 確保802.1Q中繼鏈路兩端的本徵VLAN相同。如果中繼一端的本地VLAN與另一端的本地VLAN不同，則兩端的本地VLAN的流量無法在中繼上正確傳輸。無法正確傳輸可能意味著您的網路存在一些連線問題。

• 如圖所示，將管理VLAN與使用者或伺服器VLAN分開。管理VLAN與使用者或伺服器VLAN不同。通過這種分離，使用者或伺服器VLAN中發生的任何廣播/資料包風暴都不會影響交換機的管理。

• 請勿使用VLAN 1進行管理。Catalyst交換器中的所有連線埠預設為VLAN 1，而連線到未設定連線埠的任何裝置都位於VLAN 1中。使用VLAN 1進行管理可能會導致交換機管理出現潛在問題。

• 使用第3層（路由）埠連線到預設網關埠。在本例中，您可以輕鬆地將思科路由器替換為連線到網際網路網關路由器的防火牆。

• 此範例在3850上設定通往思科路由器以連線至網際網路的靜態預設路由。如果只有一個路由可以到達Internet，則最好採用這種設定。確保在網關路由器上為Catalyst 3850可以到達的子網配置靜態路由（最好是總結路由）。此步驟非常重要，因為此配置不使用路由協定。

• 如果您的網路中有兩台Catalyst 3850交換器，則可以將存取層交換器雙重連線到3850交換器，然後在交換器之間執行熱待命路由器通訊協定(HSRP)以提供網路中的備援。

• 如果您需要上行鏈路埠的額外頻寬，則可以配置EtherChannel。在連結失敗的情況下，EtherChannel還提供連結備援。

組態

本檔案會使用以下設定：

• Catalyst 3850 

• Catalyst 4500-A 

• Catalyst 4500-B 

SW_3850#show running-config
Building configuration...

Current configuration : 11543 bytes
!
! Last configuration change at 12:16:54 UTC Tue Nov 15 2022
!
version 16.12
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service internal
service call-home
no platform punt-keepalive disable-kernel-core
!
hostname SW_3850
!  
!--- IP routing enabled for Inter VLAN routing.  

ip routing
!
!
no ip domain lookup
!
!
login on-success log
!
!        
!
vtp mode off 
! 
!--- Output suppressed.  

!--- Configure IEEE 802.1q trunks. 
!--- Issue the switchport mode trunk command to force the switch port to trunk mode. 
!--- Note: The default trunking mode is dynamic auto. If you establish a trunk link 
!--- with the default trunking mode, the trunk does not appear 
!--- in the configuration, even though a trunk has been established on 
!--- the interface. Use the show interfaces trunk command to verify the 
!--- establishment of the trunk. 

!
interface GigabitEthernet1/0/1
 shutdown
!
interface GigabitEthernet1/0/2
 shutdown
!         
interface GigabitEthernet1/0/3 description To_Switch-B switchport mode trunk
!
interface GigabitEthernet1/0/4
 no switchport no ip address shutdown   
! 
interface GigabitEthernet1/0/5 
 description To_Switch-A 
 switchport mode trunk 
! 
interface GigabitEthernet1/0/6 
no switchport 
no ip address
shutdown  
!
interface Vlan1
 no ip address
 shutdown
!

!--- This SVI (Switch Virtual Interface) is the default gateway for Users.
! 
interface Vlan2
 description User-SVI
 ip address 10.1.2.1 255.255.255.0
!

!--- This SVI is the default gateway for Servers.
!
interface Vlan3
 description Server-SVI
 ip address 10.1.3.1 255.255.255.0
!

!--- This SVI is the default gateway for other L2 switches management interface.  
! 
interface Vlan10
 description Management-SVI
 ip address 10.1.10.1 255.255.255.0 
!  

!--- This route statement allows the 3850 to send Internet traffic to the Cisco router. 

ip route 0.0.0.0 0.0.0.0 10.1.1.2 
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server  
! 
! 
! 
line con 0 
line vty 5 15 
! 
end

註：在本例中，所有交換機上的VLAN中繼線協定(VTP)都設定為off。此交換機使用以下命令將VTP設定為off ，並建立使用者從全域性配置模式定義的三個VLAN:

SW_3850(config)#vtp mode off
Setting device to VTP Off mode for VLANS.
SW_3850(config)#vlan 2
SW_3850(config-vlan)#name User_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 3
SW_3850(config-vlan)#name Server_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 10
SW_3850(config-vlan)#name Mgmt_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#end

Switch-A#show running-config
Building configuration...

Current configuration : 15360 bytes
!
! Last configuration change at 01:06:17 UTC Wed Nov 16 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
service compress-config
!
hostname Switch-A
!  
no ip domain-lookup
no ip dhcp snooping information option
!
!
login block-for 60 attempts 3 within 60
login delay 1
login quiet-mode access-class testblock
login on-failure log
login on-success log
vtp mode off
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!    
! 
vlan 3 name Server-VLAN ! vlan 10 name Mgmt-VLAN
!

!--- Output suppressed

!
interface GigabitEthernet1/1
 shutdown
!
interface GigabitEthernet1/2
 shutdown
!
interface GigabitEthernet1/3 switchport mode trunk
!  

!--- Configure Server (Host-A) to be the on the access VLAN 3.   

!
interface TenGigabitEthernet3/1 switchport access vlan 3 switchport mode access
!
interface TenGigabitEthernet3/2
 shutdown
!
interface TenGigabitEthernet3/3
!
interface TenGigabitEthernet3/4
!  

!--- Output suppressed. 
!--- IP address on VLAN 10 manages this switch.  

!
interface Vlan1
 no ip address
!
interface Vlan10 ip address 10.1.10.2 255.255.255.0
!
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local
!  

!--- Configure the default gateway so that the switch is reachable from other !--- VLANs/subnets. The gateway points to the VLAN 10 interface on the 3850.

ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
! 
!
line con 0
 stopbits 1
line vty 0 4
 logging synchronous
 transport input all
line vty 5 15
 logging synchronous
 transport input all
!  
end

Switch-B#show running-config 
Building configuration...

Current configuration : 6841 bytes
!
! Last configuration change at 10:44:33 UTC Tue Nov 15 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service compress-config
!
hostname Switch-B
!
boot-start-marker
boot system bootflash:cat4500es8-universal.SPA.03.11.06.E.152-7.E6.bin
boot-end-marker
!
!
vrf definition mgmtVrf
 !
 address-family ipv4
 exit-address-family
 !        
 address-family ipv6
 exit-address-family
!
!
no aaa new-model
hw-module module 7 mode 1
!
!
!
!
!
!
!
!
!
vtp mode off 
!
! spanning-tree mode pvst spanning-tree extend system-id !  
vlan 2 
name User-VLAN 
! 
vlan 10 name 
Mgmt-VLAN 
!
!
interface GigabitEthernet1/1 switchport mode trunk
!
interface GigabitEthernet1/2
!
interface GigabitEthernet1/3
 shutdown
!
interface GigabitEthernet1/4
 shutdown
!

!--- Output suppressed.
!--- Configure User (Host-B) in VLAN 2.

! interface GigabitEthernet8/5 switchport access vlan 2 switchport mode access !
 
!--- Configure the management IP address in VLAN 10. 
!
interface Vlan1
 no ip address
!
interface Vlan10 ip address 10.1.10.3 255.255.255.0
!  

!--- Define the default route so that the switch is reachable. 
! 
ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
!   
!
line con 0
 stopbits 1
line vty 0 4
 login
 transport input none
!
!
end

驗證

本節提供的資訊可用於確認您的組態是否正常運作。

注意:Cisco CLI Analyzer Tool可幫助排除故障並檢查此使用整合TAC工具和知識的智慧SSH客戶端支援思科軟體的整體運行狀況。

注意：有關CLI命令的詳細資訊，請參閱特定交換平台的命令參考指南。  

注意：只有註冊思科使用者才能訪問諸如此類的工具和其他內部資訊。

Catalyst 3850

• show vtp status

SW_3850#show vtp status      
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : bc67.1c5d.3800
Configuration last modified by 10.0.0.10 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 8
Configuration Revision            : 0
MD5 digest                        : 0x7E 0xC3 0x8D 0x91 0xC8 0x53 0x42 0x14 
                                    0x79 0xA2 0xDF 0xE9 0xC0 0x06 0x1D 0x7D

• show interfaces trunk 

SW_3850#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan  
Gi1/0/3 on 802.1q trunking 1 Gi1/0/5 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/0/3 1-4094 Gi1/0/5 1-4094

Port        Vlans allowed and active in management domain
Gi1/0/3 1-3,10 Gi1/0/5 1-3,10 
Port        Vlans in spanning tree forwarding state and not pruned
Gi1/0/3     1-3,10
Gi1/0/5     1,3,10

• show ip route 

SW_3850#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
       n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       H - NHRP, G - NHRP registered, g - NHRP registration summary
       o - ODR, P - periodic downloaded static route, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is 10.100.100.2 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via 10.100.100.2
      10.0.0.0/8 is variably subnetted, 8 subnets, 2 masks
C        10.1.2.0/24 is directly connected, Vlan2
L        10.1.2.1/32 is directly connected, Vlan2
C        10.1.3.0/24 is directly connected, Vlan3
L        10.1.3.1/32 is directly connected, Vlan3
C        10.1.10.0/24 is directly connected, Vlan10
L        10.1.10.1/32 is directly connected, Vlan10
C        10.100.100.0/24 is directly connected, GigabitEthernet1/0/2
L        10.100.100.1/32 is directly connected, GigabitEthernet1/0/2

Catalyst 4500-A

• show vtp status

Switch-A#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 2
VTP Domain Name                 : cisco.com
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6400.f13e.dc40
Configuration last modified by 10.1.10.2 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 32
Configuration Revision            : 0
MD5 digest                        : 0x0B 0x61 0x4F 0x9B 0xCD 0x1B 0x37 0x55 
                                    0xAB 0x0C 0xC1 0x4B 0xF8 0xDE 0x33 0xB3 

• show interfaces trunk 

Switch-A#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/3 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/3 1-4094

Port        Vlans allowed and active in management domain
Gi1/3 1,3,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/3       1,3,10

Catalyst 4500-B

• show vtp status

Switch-B#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6c20.5606.3540
Configuration last modified by 10.1.10.3 at 11-15-22 10:42:29

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 7
Configuration Revision            : 0
MD5 digest                        : 0xEC 0xB4 0x8D 0x46 0x94 0x95 0xE0 0x8F 
                                    0xEE 0x1E 0xC7 0x9F 0x26 0x88 0x49 0x9F 

• show interfaces trunk

Switch-B#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/1 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/1 1-4094

Port        Vlans allowed and active in management domain
Gi1/1 1-2,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/1       1-2,10

疑難排解

使用本節內容，對組態進行疑難排解。

疑難排解程式

使用以下說明：

1. 如果無法對相同VLAN中的裝置執行Ping，請檢查來源連線埠和目的地連線埠的VLAN分配，以確保來源和目的地位於同一個VLAN中。

   若要檢查VLAN分配，請對Cisco IOS軟體發出show interface status命令。

   如果源主機和目的主機不在同一台交換機中，請確保正確地配置了trunk。若要檢查設定，請發出show interfaces trunk 命令。

2. 此外，檢查本徵VLAN是否與TRUNK鏈路的兩端匹配。確保源裝置和目的裝置之間的子網掩碼匹配。

3. 如果無法對不同VLAN中的裝置執行Ping，請確保可以Ping各自的預設閘道。（請參見步驟1。）

   此外，請確保裝置的預設網關指向正確的VLAN介面IP地址。確保子網掩碼匹配。

4. 如果您無法連線至網際網路，請確保3850上的預設路由指向正確的IP位址，且子網位址與Internet閘道路由器相符。

   若要檢查，請發出show ip interface interface-id指令。確保Internet網關路由器具有到Internet和內部網路的路由。

相關資訊

• 在 Catalyst 交換器上建立乙太網路 VLAN
• 思科技術支援與下載