Cisco Inter-VLAN-Routing?

Hallo zusammen,

ich möchte einen Cisco Catalyst 3650 für Inter-VLAN-Routing konfigurieren. Da es sich um einen Layer 3 Switch handelt, sollte Routing ja theoretisch kein Problem sein. Allerdings bekomme ich es einfach nicht hin, dass es so funktioniert wie es soll. Würde mich über Hilfe sehr freuen.

Ich möchte ihn so konfigurieren, dass VLAN 20 die Ports 1-10 und VLAN 30 die Ports 11-20 zugewiesen werden. Die Zuweisung der VLANs habe ich per Console vorgenommen. Die IP für VLAN20 lautet 192.168.20.1/24 und für VLAN30 192.168.30.1/24. Alle Ports 1-20 sind auf „switchport mode access“ festgelegt.
ip routing habe ich per Command aktiviert.
Ich habe zudem entsprechende SVIs eingerichtet, das dann aber im Web-Interface. Dort waren meine Einstellungen von vorher auch ohne Probleme ersichtlich.

Laut YouTube-Videos müssten Netzwerkteilnehmer verschiedner VLANs nun schon miteinander kommunizieren können. Sollte also, so wie ich das verstehe, kein Problem sein vom einem PC (192.168.30.100) auf einen anderen (192.168.20.110) zuzugreifen. Das funktioniert bei mir allerdings nicht.
Aus diesem Grund habe ich eine statische IP-Route von 192.168.30.0 auf next Hop 192.168.30.1 255.255.255.0 gelegt. Da kommt allerdings von Cisco eine Fehlermeldung, dass das Eintragen eigener IPs des Switches angeblich nicht möglich sei. Also hab ich 192.168.30.0 ins VLAN30 und auch ins VLAN20 geroutet. Weiterhin ist keine Verbindung zwischen beiden PCs möglich.

Ich gebe ganz ehrlich zu, dass ich noch nicht viel Erfahrung mit Routing habe und da ohne Erklärvideos recht schnell an meine Grenzen stoße. Würde mich deshalb freuen wenn ihr mir helfen könnt. Wo könnte mein Fehler liegen?

Viele Grüße

Answer 1

[KarlRanseierIII]

Aus diesem Grund habe ich eine statische IP-Route von 192.168.30.0 auf next Hop 192.168.30.1 255.255.255.0 gelegt.

Das ist in jedem Fall Unsinn, da beide Netze Link Local sind und der Switch je Netz eine eigene IP hat.

Ich nehme an, daß beim Cisco die beiden IP-Adressen auf virtuelle VLAN-Interfaces gebunden sind?

Comments

[mrtznk]

okay, dann werde ich die Route löschen, danke für die Info.

Ja genau, die IPs der VLANs sind auf die virtuellen VLAN-Interfaces gelegt.

[KarlRanseierIII]

@mrtznk

Forwarding hast Du aktiviert, wie Du schreibst.

Wie sieht es denn ggf. mit Filtern aus, respektive gibt es in der Routingtabelle blackhole routes?

Ich gehe davon aus, die VLANs sind untagged?

[mrtznk]

@KarlRanseierIII

Den Begriff „Forwarding“ kenne ich leider auch nicht, aber wenn ich Ihnen diese Info gegeben habe dann habe ich es bestimmt irgendwie anders bezeichnet oder?

Okay in den Filtern habe ich tatsächlich noch nie nachgeschaut, das werde ich dann gleich einmal tun.

Bei blackhole routes bin ich leider raus, da fehlen mir die Kenntnisse. Weiß ich leider nicht was das ist :(

Wie stelle ich das Tagging ein und aus? Habe dazu nichts gefunden, wo ich das einstellen könnte. Hab nach der Einrichtung der Ports auf jeden Fall nichts weiter geändert. Habe immer mit den Befehlen „switchport mode access“ und danach „switchport access vlan30 bzw. vlan20“ gearbeitet.

[KarlRanseierIII]

@mrtznk

access sollte untagged sein.

Im Zweifelsfall (Ich bin nicht sicher ob die CLI beim Catalyst die gleiche ist) einfach mal ein show vlans oder das entsprechende Pendant.

Forwarding ist der eigentliche Prozess der Paketweiterleitung, je nach System/Hersteller wird es mal routing oder forwarding genannt.

blackhole routers dienen dazu bestimmten Traffic wegzuwerfen. Typischerweise macht man sowas für z.B. 192.168.0.0/16 auf Interfaces die aus dem eigenen 'Hoheitsbereich' hinausführen. Sollten IMHO initial auch keine vorhanden sein - ist aber halt eine Möglichkeit für Probleme.

[mrtznk]

@KarlRanseierIII

Okay, vielen Dank für Ihre Erklärungen, damit habe ich wieder was dazu gelernt!

Habe in den Filtern nachgesehen und habe dort keinen Eintrag gefunden. Auch eine entsprechende Route die als blackhole dienen würde ist nicht ersichtlich.

Answer 2

[Sparrow75]

Hast du auf dem Switch "ip routing" aktiviert (im global config mode)?

Wenn nicht kann der Switch kein Inter VLAN Routing betreiben.

Du brauchst keine routen eintragen.

Wenn die Access Ports im richtigen VLAN sind und die SVIs je eine IP aus dem Subnet/VLAN haben funktioniert das, vorrausgesetzt obiger Befehl wurde ausgeführt.

Natürlich brauchen die Clients in den VLANs auch die IP des jeweiligen SVIs als default-gateway.

Comments

[KarlRanseierIII]

Natürlich brauchen die Clients in den VLANs auch die IP des jeweiligen SVIs als default-gateway.

Gut, daß Du das noch erwähnst, an diese 'Selbstverständlichkeit' habe ich gar nicht gedacht.

[Sparrow75]

@KarlRanseierIII

Ja, das kann schnell passieren. :)

[mrtznk]

oh, ob ip routing im global config Mode aktiv ist weiß ich nicht, wie komme ich denn in diesen Modus? Habe „ip routing“ nur als ganz normalen CLI Befehl ohne irgendwelche besonderen Umstände ausgeführt.
Die SVIs habe ich entsprechend konfiguriert, so wie Sie es beschrieben haben. Auch die Sache mit dem Gateway habe ich beachtet.

okay, die Routen habe ich bereits nach dem Beitrag oben gelöscht.

[Sparrow75]

@mrtznk

Also per cli im privileged exec mode gibst du "conf t" ein und dann "ip routing":

Wenn du dich per console auf dem switch befindest:

Switch>en
Switch#conf t
Switch(config)#ip routing

Ohne den Befehl routet ein Layer3-Switch nicht.

Die SVIs habe ich entsprechend konfiguriert, so wie Sie es beschrieben haben. Auch die Sache mit dem Gateway habe ich beachtet.

Kannst du die SVIs denn anpingen? Die SVIs müssen aktiviert werden, da sie per default disabled sind. Also musst du auf die SVI Interfaces und diese mit "no shut" aktivieren.

[mrtznk]

@Sparrow75

Ja, genau so wie Sie es geschrieben haben habe ich ip routing konfiguriert. Auch nach diesem Befehl konnte ich nicht von einem Subnetz ins andere zugreifen.

Die SVI´s hab ich angeschalten und kann sie auch anpingen. Es war auch kein Problem mit meinem Laptop (IP 192.168.33.10) die SVI auf 192.168.33.1 anzupingen und auch der ping auf 192.168.22.1 war erfolgreich, nur mein anderer Laptop im 22er Subnetz konnte komischerweise nicht erreicht werden

[Sparrow75]

@mrtznk

poste doch mal bitte die switch config. irgendwas stimmt bei deiner config dann noch nicht. Hab das eben schnell mal konfiguriert, wie es funktioniert.
Vergleich das mal mit deiner Konfig.

Dazu zwei PCs

PC1: 192.168.10.1 GW 192.168.10.254 an fa0/1 in VLAN 10
PC2: 192.168.20.1 GW 192.168.20.254 an fa0/11 in VLAN 20

---------------------------------------------------------------------------------------------------------------

Switch>en

Switch#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#int range fa0/1-10

Switch(config-if-range)#switchport mode access

Switch(config-if-range)#switchport access vlan 10

% Access VLAN does not exist. Creating vlan 10

Switch(config-if-range)#int range fa0/11-20

Switch(config-if-range)#switchport mode access

Switch(config-if-range)#switchport access vlan 20

% Access VLAN does not exist. Creating vlan 20

^

Switch(config)#ip routing

Switch(config)#int vlan 10

Switch(config-if)#ip address 192.168.10.254 255.255.255.0

Switch(config-if)#int vlan 20

Switch(config-if)#ip address 192.168.20.254 255.255.255.0

Switch# sh vlan brief

VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------

1 default active Fa0/21, Fa0/22, Fa0/23, Fa0/24

Gig0/1, Gig0/2

10 VLAN0010 active Fa0/1, Fa0/2, Fa0/3, Fa0/4

Fa0/5, Fa0/6, Fa0/7, Fa0/8

Fa0/9, Fa0/10

20 VLAN0020 active Fa0/11, Fa0/12, Fa0/13, Fa0/14

Fa0/15, Fa0/16, Fa0/17, Fa0/18

Fa0/19, Fa0/20

-------------------------------------------------------------------------------------

Switch#

Switch#sh ip int brief

Vlan10 192.168.10.254 YES manual up up

Vlan20 192.168.20.254 YES manual up up

---------------------------------------------------------------------------------------

Ergebnis:

Von PC1 > PC2

C:\>ping 192.168.20.1

Pinging 192.168.20.1 with 32 bytes of data:

Reply from 192.168.20.1: bytes=32 time<1ms TTL=127

Reply from 192.168.20.1: bytes=32 time<1ms TTL=127

Reply from 192.168.20.1: bytes=32 time<1ms TTL=127

Reply from 192.168.20.1: bytes=32 time<1ms TTL=127

Ping statistics for 192.168.20.1:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 0ms, Average = 0ms

------------------------------------------------------------------------------

Von PC2 > PC1

C:\>ping 192.168.10.1

Pinging 192.168.10.1 with 32 bytes of data:

Reply from 192.168.10.1: bytes=32 time<1ms TTL=127

Reply from 192.168.10.1: bytes=32 time<1ms TTL=127

Reply from 192.168.10.1: bytes=32 time<1ms TTL=127

Reply from 192.168.10.1: bytes=32 time<1ms TTL=127

Ping statistics for 192.168.10.1:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 0ms, Average = 0ms

[Sparrow75]

@Sparrow75

Und noch nen tracert hinterher

Von PC1 > PC2

C:\>tracert 192.168.20.1

Tracing route to 192.168.20.1 over a maximum of 30 hops:

1 0 ms 0 ms 0 ms 192.168.10.254

2 0 ms 0 ms 0 ms 192.168.20.1

++++++++++++++++++++++++++++++++++++++++++++++++

Von PC2 > PC1

C:\>tracert 192.168.10.1

Tracing route to 192.168.10.1 over a maximum of 30 hops:

1 0 ms 0 ms 0 ms 192.168.20.254

2 0 ms 0 ms 0 ms 192.168.10.1

Trace complete.