Konfigurieren von Inter-VLAN-Routing mit Catalyst-Switches

Einleitung

Dieses Dokument beschreibt die Konfiguration von InterVLAN-Routing mit Switches der Cisco Catalyst-Serie.

Voraussetzungen

Anforderungen

Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie diese Konfiguration ausprobieren:

• Sie wissen, wie VLANs erstellt werden.

  Weitere Informationen finden Sie unter Erstellen von Ethernet-VLANs auf Catalyst Switches.

• Sie wissen, wie Sie VLAN-Trunks erstellen.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Catalyst 3850 mit Cisco IOS® XE Softwareversion 16.12.7

• Catalyst 4500 mit Cisco IOS® Software, Version 03.09.00E

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Verwandte Produkte

Diese Konfiguration kann auch mit den folgenden Hardware- und Softwareversionen verwendet werden:

• Alle Catalyst 3k/9k-Switches und höher

• Alle Catalyst Switch-Modelle, die als Access Layer Switch verwendet werden

Hintergrundinformationen

Das Dokument enthält eine Beispielkonfiguration für Inter-VLAN-mit einem Switch der Catalyst 3850-Serie in einem gängigen Netzwerkszenario. Im Dokument werden zwei Switches der Catalyst 4500-Serie als Layer-2-Schrank-Switches genutzt, die direkt mit dem Catalyst 3850 verbunden werden. In der Konfiguration für den Catalyst 3850 gibt es auch eine Standardroute für den gesamten an das Internet gerichteten Traffic, wenn der nächste Hop auf einen Cisco Router verweist. Sie können das Internet-Gateway durch eine Firewall oder ein anderes Router-Modell ersetzen.

Hinweis: Die Konfiguration des Internet Gateway Routers ist nicht relevant, daher wird in diesem Dokument nicht auf die Konfiguration eingegangen.

In einem Switch-Netzwerk trennen VLANs Geräte in verschiedene Kollisionsdomänen und Layer-3-Subnetze (L3). Geräte innerhalb eines VLAN können ohne Routing miteinander kommunizieren. Geräte in separaten VLANs benötigen ein Routing-Gerät, um miteinander kommunizieren zu können.

Nur-L2-Switches erfordern ein L3-Routing-Gerät für die Kommunikation zwischen VLANs. Das Gerät befindet sich entweder außerhalb des Switches oder in einem anderen Modul im selben Chassis. Eine neue Art von Switches bietet Routing-Funktionen innerhalb des Switches. Ein Beispiel ist das Modell 3850. Der Switch empfängt ein Paket, stellt fest, dass das Paket zu einem anderen VLAN gehört, und sendet das Paket an den entsprechenden Port im Ziel-VLAN.

Bei einem typischen Netzwerkdesign wird das Netzwerk basierend auf der Gruppe oder Funktion segmentiert, zu der das Gerät gehört. Zum Beispiel umfasst das Engineering-VLAN nur Geräte, die mit der Engineering-Abteilung zusammenhängen, und das Finanz-VLAN nur Geräte, die mit der Finanzabteilung zusammenhängen. Wenn Sie Routing aktivieren, können die Geräte in jedem VLAN miteinander kommunizieren, ohne dass sich alle Geräte in derselben Broadcast-Domäne befinden müssen. Ein solches VLAN-Design hat auch einen zusätzlichen Vorteil. Das Design ermöglicht es dem Administrator, die Kommunikation zwischen VLANs mithilfe von Zugriffslisten einzuschränken. Zum Beispiel können Sie Zugriffslisten verwenden, um den Zugriff des Engineering-VLAN auf Geräte im Finanz-VLAN einzuschränken.

Weitere Informationen finden Sie in diesem Dokument, in dem die Konfiguration des Inter-VLAN-Routings auf einem Switch der Serie Catalyst 3550 erläutert wird. Hier erfahren Sie, wie Sie Inter-VLAN-Routing auf Layer-3-Switches konfigurieren.

Konfigurieren

In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.

Hinweis: Verwenden Sie die Cisco Support-Tools, um weitere Informationen zu den hier verwendeten Befehlen zu erhalten. Nur registrierte Cisco BenutzerInnen können auf interne Cisco Tools und Informationen zugreifen.

Netzwerkdiagramm

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

In diesem Diagramm bietet ein kleines Beispielnetzwerk mit dem Catalyst 3850 Inter-VLAN-Routing zwischen den verschiedenen Segmenten. Standardmäßig fungiert der Catalyst 3850-Switch als L2-Gerät mit deaktiviertem IP-Routing. Damit der Switch als L3-Gerät fungiert und Inter-VLAN-Routing ermöglicht, müssen Sie ip routing global aktivieren.

Dies sind die drei von den BenutzerInnen definierten VLANs:

• VLAN 2 – User-VLAN

• VLAN 3 – Server-VLAN

• VLAN 10 – Mgmt-VLAN

Die Standardgateway-Konfiguration auf jedem Server und jedem Host-Gerät muss die entsprechende VLAN-Schnittstellen-IP-Adresse auf dem 3850 sein. Beispiel: Für Server ist das Standardgateway 10.1.3.1. Die Access Layer Switches (Catalyst 4500) sind mit dem Catalyst 3850-Switch per Trunking verbunden.

Die Standardroute für den Catalyst 3850 verweist auf den Cisco Router, über den der für das Internet bestimmte Traffic geleitet wird. Aus diesem Grund wird Datenverkehr, für den der Router 3850 keine Route in der Routing-Tabelle hat, zur weiteren Verarbeitung an den Cisco Router weitergeleitet.

Praktische Tipps

• Stellen Sie sicher, dass das native VLAN für einen 802.1Q-Trunk an beiden Enden des Trunk-Links identisch ist. Wenn sich das native VLAN an einem Ende des Trunks vom nativen VLAN am anderen Ende unterscheidet, kann der Datenverkehr der nativen VLANs auf beiden Seiten nicht korrekt auf dem Trunk übertragen werden. Diese fehlerhafte Übertragung kann zu Verbindungsproblemen in Ihrem Netzwerk führen.

• Trennen Sie das Management-VLAN vom Benutzer- oder Server-VLAN, wie in diesem Diagramm dargestellt. Das Management-VLAN unterscheidet sich vom Benutzer- oder Server-VLAN. Bei dieser Trennung wirkt sich ein Broadcast-/Paketsturm, der im Benutzer- oder Server-VLAN auftritt, nicht auf das Management von Switches aus.

• Verwenden Sie VLAN 1 nicht für das Management. Alle Ports in Catalyst Switches verwenden standardmäßig VLAN 1, und alle Geräte, die sich mit nicht konfigurierten Ports verbinden, befinden sich in VLAN 1. Die Verwendung von VLAN 1 für das Management kann Probleme beim Management von Switches verursachen.

• Verwenden Sie einen Layer-3-Port (geroutet), um eine Verbindung zum Standardgateway-Port herzustellen. In diesem Beispiel können Sie einen Cisco Router problemlos durch eine Firewall ersetzen, die mit dem Internet-Gateway-Router verbunden ist.

• In diesem Beispiel wird eine statische Standardroute auf dem 3850 zum Cisco Router konfiguriert, um das Internet zu erreichen. Diese Einrichtung ist am besten geeignet, wenn es nur eine Route zum Internet gibt. Stellen Sie sicher, dass Sie statische Routen, vorzugsweise zusammengefasst, auf dem Gateway-Router für Subnetze konfigurieren, die vom Catalyst 3850 erreicht werden können. Dieser Schritt ist sehr wichtig, da bei dieser Konfiguration keine Routing-Protokolle verwendet werden.

• Wenn Sie im Netzwerk über zwei Catalyst 3850-Switches verfügen, können Sie die Access Layer-Switches doppelt mit den 3850-Switches verbinden und dann Hot Standby Router Protocol (HSRP) zwischen den Switches ausführen, um Redundanz im Netzwerk zu gewährleisten.

• Wenn Sie zusätzliche Bandbreite für die Uplink-Ports benötigen, können Sie EtherChannels konfigurieren. EtherChannel bietet auch Linkredundanz für den Fall eines Verbindungsausfalls.

Konfigurationen

In diesem Dokument werden folgende Konfigurationen verwendet:

• Catalyst 3850 

• Catalyst 4500-A 

• Catalyst 4500-B 

SW_3850#show running-config
Building configuration...

Current configuration : 11543 bytes
!
! Last configuration change at 12:16:54 UTC Tue Nov 15 2022
!
version 16.12
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service internal
service call-home
no platform punt-keepalive disable-kernel-core
!
hostname SW_3850
!  
!--- IP routing enabled for Inter VLAN routing.  

ip routing
!
!
no ip domain lookup
!
!
login on-success log
!
!        
!
vtp mode off 
! 
!--- Output suppressed.  

!--- Configure IEEE 802.1q trunks. 
!--- Issue the switchport mode trunk command to force the switch port to trunk mode. 
!--- Note: The default trunking mode is dynamic auto. If you establish a trunk link 
!--- with the default trunking mode, the trunk does not appear 
!--- in the configuration, even though a trunk has been established on 
!--- the interface. Use the show interfaces trunk command to verify the 
!--- establishment of the trunk. 

!
interface GigabitEthernet1/0/1
 shutdown
!
interface GigabitEthernet1/0/2
 shutdown
!         
interface GigabitEthernet1/0/3 description To_Switch-B switchport mode trunk
!
interface GigabitEthernet1/0/4
 no switchport no ip address shutdown   
! 
interface GigabitEthernet1/0/5 
 description To_Switch-A 
 switchport mode trunk 
! 
interface GigabitEthernet1/0/6 
no switchport 
no ip address
shutdown  
!
interface Vlan1
 no ip address
 shutdown
!

!--- This SVI (Switch Virtual Interface) is the default gateway for Users.
! 
interface Vlan2
 description User-SVI
 ip address 10.1.2.1 255.255.255.0
!

!--- This SVI is the default gateway for Servers.
!
interface Vlan3
 description Server-SVI
 ip address 10.1.3.1 255.255.255.0
!

!--- This SVI is the default gateway for other L2 switches management interface.  
! 
interface Vlan10
 description Management-SVI
 ip address 10.1.10.1 255.255.255.0 
!  

!--- This route statement allows the 3850 to send Internet traffic to the Cisco router. 

ip route 0.0.0.0 0.0.0.0 10.1.1.2 
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server  
! 
! 
! 
line con 0 
line vty 5 15 
! 
end

Hinweis: In diesem Beispiel wurde das VLAN Trunk Protocol (VTP) auf allen Switches deaktiviert. Dieser Switch verwendet die folgenden Befehle, um VTP zu deaktivieren und drei VLANs zu erstellen, welche die BenutzerInnen im globalen Konfigurationsmodus definiert haben:

SW_3850(config)#vtp mode off
Setting device to VTP Off mode for VLANS.
SW_3850(config)#vlan 2
SW_3850(config-vlan)#name User_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 3
SW_3850(config-vlan)#name Server_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#vlan 10
SW_3850(config-vlan)#name Mgmt_VLAN
SW_3850(config-vlan)#exit
SW_3850(config)#end

Switch-A#show running-config
Building configuration...

Current configuration : 15360 bytes
!
! Last configuration change at 01:06:17 UTC Wed Nov 16 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
service compress-config
!
hostname Switch-A
!  
no ip domain-lookup
no ip dhcp snooping information option
!
!
login block-for 60 attempts 3 within 60
login delay 1
login quiet-mode access-class testblock
login on-failure log
login on-success log
vtp mode off
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!    
! 
vlan 3 name Server-VLAN ! vlan 10 name Mgmt-VLAN
!

!--- Output suppressed

!
interface GigabitEthernet1/1
 shutdown
!
interface GigabitEthernet1/2
 shutdown
!
interface GigabitEthernet1/3 switchport mode trunk
!  

!--- Configure Server (Host-A) to be the on the access VLAN 3.   

!
interface TenGigabitEthernet3/1 switchport access vlan 3 switchport mode access
!
interface TenGigabitEthernet3/2
 shutdown
!
interface TenGigabitEthernet3/3
!
interface TenGigabitEthernet3/4
!  

!--- Output suppressed. 
!--- IP address on VLAN 10 manages this switch.  

!
interface Vlan1
 no ip address
!
interface Vlan10 ip address 10.1.10.2 255.255.255.0
!
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local
!  

!--- Configure the default gateway so that the switch is reachable from other !--- VLANs/subnets. The gateway points to the VLAN 10 interface on the 3850.

ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
! 
!
line con 0
 stopbits 1
line vty 0 4
 logging synchronous
 transport input all
line vty 5 15
 logging synchronous
 transport input all
!  
end

Switch-B#show running-config 
Building configuration...

Current configuration : 6841 bytes
!
! Last configuration change at 10:44:33 UTC Tue Nov 15 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service compress-config
!
hostname Switch-B
!
boot-start-marker
boot system bootflash:cat4500es8-universal.SPA.03.11.06.E.152-7.E6.bin
boot-end-marker
!
!
vrf definition mgmtVrf
 !
 address-family ipv4
 exit-address-family
 !        
 address-family ipv6
 exit-address-family
!
!
no aaa new-model
hw-module module 7 mode 1
!
!
!
!
!
!
!
!
!
vtp mode off 
!
! spanning-tree mode pvst spanning-tree extend system-id !  
vlan 2 
name User-VLAN 
! 
vlan 10 name 
Mgmt-VLAN 
!
!
interface GigabitEthernet1/1 switchport mode trunk
!
interface GigabitEthernet1/2
!
interface GigabitEthernet1/3
 shutdown
!
interface GigabitEthernet1/4
 shutdown
!

!--- Output suppressed.
!--- Configure User (Host-B) in VLAN 2.

! interface GigabitEthernet8/5 switchport access vlan 2 switchport mode access !
 
!--- Configure the management IP address in VLAN 10. 
!
interface Vlan1
 no ip address
!
interface Vlan10 ip address 10.1.10.3 255.255.255.0
!  

!--- Define the default route so that the switch is reachable. 
! 
ip default-gateway 10.1.10.1 
ip forward-protocol nd
ip http server
ip http banner
ip http authentication local  
!   
!
line con 0
 stopbits 1
line vty 0 4
 login
 transport input none
!
!
end

Überprüfung

Diese Abschnitt enthält Informationen, mit denen Sie überprüfen können, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Hinweis: Das Cisco CLI Analyzer Tool unterstützt Sie bei der Fehlerbehebung und überprüft den Gesamtzustand Ihrer von Cisco unterstützten Software mit diesem intelligenten SSH-Client, der integrierte TAC-Tools und Kenntnisse verwendet.

Hinweis: Weitere Informationen zu CLI-Befehlen finden Sie in den Befehlsreferenzen für die jeweilige Switching-Plattform.  

Hinweis: Nur registrierte Cisco BenutzerInnen können auf interne Cisco Tools und Informationen zugreifen.

Catalyst 3850

• show vtp status

SW_3850#show vtp status      
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : bc67.1c5d.3800
Configuration last modified by 10.0.0.10 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 8
Configuration Revision            : 0
MD5 digest                        : 0x7E 0xC3 0x8D 0x91 0xC8 0x53 0x42 0x14 
                                    0x79 0xA2 0xDF 0xE9 0xC0 0x06 0x1D 0x7D

• show interfaces trunk 

SW_3850#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan  
Gi1/0/3 on 802.1q trunking 1 Gi1/0/5 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/0/3 1-4094 Gi1/0/5 1-4094

Port        Vlans allowed and active in management domain
Gi1/0/3 1-3,10 Gi1/0/5 1-3,10 
Port        Vlans in spanning tree forwarding state and not pruned
Gi1/0/3     1-3,10
Gi1/0/5     1,3,10

• show ip route 

SW_3850#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
       n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       H - NHRP, G - NHRP registered, g - NHRP registration summary
       o - ODR, P - periodic downloaded static route, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is 10.100.100.2 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via 10.100.100.2
      10.0.0.0/8 is variably subnetted, 8 subnets, 2 masks
C        10.1.2.0/24 is directly connected, Vlan2
L        10.1.2.1/32 is directly connected, Vlan2
C        10.1.3.0/24 is directly connected, Vlan3
L        10.1.3.1/32 is directly connected, Vlan3
C        10.1.10.0/24 is directly connected, Vlan10
L        10.1.10.1/32 is directly connected, Vlan10
C        10.100.100.0/24 is directly connected, GigabitEthernet1/0/2
L        10.100.100.1/32 is directly connected, GigabitEthernet1/0/2

Catalyst 4500-A

• show vtp status

Switch-A#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 2
VTP Domain Name                 : cisco.com
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6400.f13e.dc40
Configuration last modified by 10.1.10.2 at 0-0-00 00:00:00

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 32
Configuration Revision            : 0
MD5 digest                        : 0x0B 0x61 0x4F 0x9B 0xCD 0x1B 0x37 0x55 
                                    0xAB 0x0C 0xC1 0x4B 0xF8 0xDE 0x33 0xB3 

• show interfaces trunk 

Switch-A#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/3 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/3 1-4094

Port        Vlans allowed and active in management domain
Gi1/3 1,3,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/3       1,3,10

Catalyst 4500-B

• show vtp status

Switch-B#show vtp status 
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 6c20.5606.3540
Configuration last modified by 10.1.10.3 at 11-15-22 10:42:29

Feature VLAN:
--------------
VTP Operating Mode : Off
Maximum VLANs supported locally   : 1005
Number of existing VLANs          : 7
Configuration Revision            : 0
MD5 digest                        : 0xEC 0xB4 0x8D 0x46 0x94 0x95 0xE0 0x8F 
                                    0xEE 0x1E 0xC7 0x9F 0x26 0x88 0x49 0x9F 

• show interfaces trunk

Switch-B#show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi1/1 on 802.1q trunking 1

Port        Vlans allowed on trunk
Gi1/1 1-4094

Port        Vlans allowed and active in management domain
Gi1/1 1-2,10

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/1       1-2,10

Fehlerbehebung

Verwenden Sie diesen Abschnitt, um Probleme mit Ihrer Konfiguration zu beheben.

Fehlerbehebungsverfahren

Verwenden Sie diese Anweisungen:

1. Wenn Sie Geräte innerhalb desselben VLANs nicht per Ping erreichen können, überprüfen Sie die VLAN-Zuordnung der Quell- und Zielports, um sicherzustellen, dass sich Quelle und Ziel im selben VLAN befinden.

   Um die VLAN-Zuweisung zu überprüfen, führen Sie den Befehl show interface status für Cisco IOS-Software aus.

   Wenn sich Quelle und Ziel nicht auf demselben Switch befinden, stellen Sie sicher, dass Sie die Trunks richtig konfiguriert haben. Um die Konfiguration zu überprüfen, führen Sie den Befehl show interfaces trunk für Cisco IOS-Software aus.

2. Überprüfen Sie außerdem, ob das native VLAN auf beiden Seiten der Trunk-Verbindung übereinstimmt. Stellen Sie sicher, dass die Subnetzmaske zwischen den Quell- und Zielgeräten übereinstimmt.

3. Wenn Sie Geräte in verschiedenen VLANs nicht per Ping erreichen können, stellen Sie sicher, dass Sie das entsprechende Standardgateway pingen können. (Siehe Schritt 1.)

   Stellen Sie außerdem sicher, dass das Standardgateway des Geräts auf die richtige IP-Adresse der VLAN-Schnittstelle verweist. Stellen Sie sicher, dass die Subnetzmaske übereinstimmt.

4. Wenn Sie das Internet nicht erreichen können, stellen Sie sicher, dass die Standardroute auf dem 3850 auf die richtige IP-Adresse verweist und dass die Subnetzadresse mit dem Internet-Gateway-Router übereinstimmt.

   Führen Sie zur Überprüfung den Befehl show ip interface interface-id aus. Stellen Sie sicher, dass dem Internet-Gateway-Router Routen zum Internet und zu den internen Netzwerken zur Verfügung stehen.

Zugehörige Informationen

• Erstellen von Ethernet-VLANs auf Catalyst Switches
• Technischer Support und Downloads von Cisco