作者 主題: Mulitlayer switch做inter-vlan routing  (閱讀 19277 次)

0 會員 與 1 訪客 正在閱讀本文。

cftzeng

  • 懷疑的國中生
  • **
  • 文章數: 76
  • 性別: 男
    • 檢視個人資料
Mulitlayer switch做inter-vlan routing
« 於: 2009-05-29 14:26 »
小弟之前提了一個問題,就是小弟公司的switch用的是2916(4M),所以無法做到Inter-vlan Routing
後來查了Cisco的文件,發現可以透過3750這類的mulitlayer switch做Inter-vlan Routing
可是現在有一個新的問題…
先把條件詳列如下:
3750*1--Core switch
2916*4--switch
2811*1--VPN Router
Firewall*1
假設,內部是用192.168.9.0/24的網段
路由是除了192.168.10.0/24走到vpn router(192.168.9.250)之外,其餘都是透過firewall(192.168.9.251)出去(全部都是static route)
用了3750做inter-vlan routing後,多了192.168.7.0/24及192.168.8.0/24的網段
原先的192.168.9.0/24的網段也變成vlan之一
(vlan7=192.168.7.0/24,vlan8=192.168.8.0/24...)
那這樣,路由該怎麼設定,vpn router才會通?

註:3750/2916/2811間都是走trunk
I'm a rookie.

wst2080

  • 憂鬱的高中生
  • ***
  • 文章數: 93
  • 阿胖資研-鴨鴨
    • 檢視個人資料
回覆: Mulitlayer switch做inter-vlan routing
« 回覆 #1 於: 2009-06-01 11:49 »
註:3750/2916/2811間都是走trunk


走 Trunk ???

一般來說~ 3750 跟 每台 2916 之間走Trunk就可以啦~~~ 應該不用 2811 也走Trunk吧~~~

cftzeng

  • 懷疑的國中生
  • **
  • 文章數: 76
  • 性別: 男
    • 檢視個人資料
回覆: Mulitlayer switch做inter-vlan routing
« 回覆 #2 於: 2009-06-01 12:26 »
之前用packet tracer試做的時候,沒有走trunk,好像不會通
I'm a rookie.

wst2080

  • 憂鬱的高中生
  • ***
  • 文章數: 93
  • 阿胖資研-鴨鴨
    • 檢視個人資料
回覆: Mulitlayer switch做inter-vlan routing
« 回覆 #3 於: 2009-06-01 15:28 »
之前用packet tracer試做的時候,沒有走trunk,好像不會通


我想好奇的問一下~~~

L2 => Cisco 2916 ... 為 L2 Switch ... 只看到Cisco官方網站說到
Two high-speed expansion slots supporting 10BaseT/100BaseTX, 100BaseFX and future gigabit, asynchronous transfer mode (ATM) and Inter-Switch Link (ISL) modules (Catalyst 2916M XL only)

L3 => Cisco 3750 ...為 L3 Switch... 有看到Cisco官方網站提到
VLAN trunks can be created from any port, using either standards-based 802.1Q tagging or the Cisco Inter-Switch Link (ISL) VLAN architecture.


假設...L2 Switch <===Trunk ISL ===> L3 Switch ... 這樣就已經達到Trunk的效果~~~
並且這之間的 VLAN Routing 就可以交給L3 Switch 了~~~

我剛剛看了你的架構~~~

假設你的架構為

WAN <---> Firewall <---> 2811 <---> 3750 <---> 2916

那我的建議是... 將 2811 單純的使用 VPN部份就可以了~ 簡單的 Static Route 就委託給 Firewall 來進行~

看要不要將 3750 多切一個VLAN 給 2811 使用 .. 歸納成VPN就可以了...

WAN <---> Firewall <---> 3750<---> 2811 <---> 2916
                     

cftzeng

  • 懷疑的國中生
  • **
  • 文章數: 76
  • 性別: 男
    • 檢視個人資料
回覆: Mulitlayer switch做inter-vlan routing
« 回覆 #4 於: 2009-06-01 16:40 »
感謝wst前輩的指點
原先我也是跟主管建議,可透過firewall做簡單的routing(畢竟只需要兩至三個網段)
目前2811也是簡單的做VPN Routing的功能而已

小弟將wst前輩的意見用小弟的見解說明一下,看正不正確

         原始設定                             變更後設定
2811--vpn router(vlan1)             vlan99
3750--switch(vlan1)                  inter-vlan routing(多個vlan做routing,vlan1/vlan2/vlan3/vlan99)
firewall--vlan1                             vlan1
2916@1--vlan1                            vlan2
2916@2--vlan1                            vlan3                               
是這樣的意思嗎?
I'm a rookie.

wst2080

  • 憂鬱的高中生
  • ***
  • 文章數: 93
  • 阿胖資研-鴨鴨
    • 檢視個人資料
回覆: Mulitlayer switch做inter-vlan routing
« 回覆 #5 於: 2009-06-01 18:29 »
[attachment=1]
若我的作法的話~ 既然2811只要當成簡單的VPN來使用~ 那就這樣做會比較簡單~~~
切一個VLAN來給 2811來使用~~~
每個2916的L2 Switch 都使用VTP的方式~~~ 來進行串聯~~~
(意思就是說 L3 Switch 來進行L3 Switching... 並且讓 L3 Switch擔任 vtp server... 這樣的規劃會比較好~)
PS:藍色的線是將將該Port設定成 Trunk 的方式~ 至於黑色的線路~ 設定成一般 switchport mode access的模式就可以了~

由於不知道你這台 2916是否支援VTP的功能~ 這是為假設支援的狀態~ 這樣就可以不用管每個Switch的VLAN了~~~
若不支援... 那就指定該Port的VLAN也OK~~~ 只不過沒有VTP的方式~~~ 就只能切割VLAN給各個Switch... 而不能彈性使用VLAN的好處~~~ 我的意思是說... 每台2916只能當成一般的L2 Switch... 只能跑單獨的VLAN... 不能跑Trunk了~~~
這要看你的Switch能不能支援Trunk了... PS:我查的結果 3750 支援 ISL... 我想 2916這種骨董 應該也支援ISL吧~~~

離題了~~~
總言之~~~ 你的VLAN... 就可以好好的規劃規劃~~~
至於你說你用模擬器不會通的原因,我想是因為Packet Tracer模擬器的3560只支援 802.1q.... 而真實的印象中除了802.1q 也支援 ISL 的 VTP 封裝格式~~~ 因為之前我用模擬器來串聯... 發現 2950 跟 3560 是不能跑VTP的~~~ 因為在模擬器當中的2950只支援ISL... 而 3560 只能支援802.1q ~ 所以雙方的VTP封裝格式不同~ 當然也無法進行VTP的格式封裝~~~



cftzeng

  • 懷疑的國中生
  • **
  • 文章數: 76
  • 性別: 男
    • 檢視個人資料
回覆: Mulitlayer switch做inter-vlan routing
« 回覆 #6 於: 2009-06-02 10:11 »
感謝wst前輩的指點
小弟後來再試著做一次packet tracer的lab,讓vpn router走vlan 100,沒有用trunk,並直接在interface fastethernet 0/0上面設定ip和routing
確認是ok的 ;D
這次的lab讓小弟又學到了一些東西 :)
I'm a rookie.

wst2080

  • 憂鬱的高中生
  • ***
  • 文章數: 93
  • 阿胖資研-鴨鴨
    • 檢視個人資料
回覆: Mulitlayer switch做inter-vlan routing
« 回覆 #7 於: 2009-06-02 19:12 »
感謝wst前輩的指點
小弟後來再試著做一次packet tracer的lab,讓vpn router走vlan 100,沒有用trunk,並直接在interface fastethernet 0/0上面設定ip和routing
確認是ok的 ;D
這次的lab讓小弟又學到了一些東西 :)



不會啦~~~ 我只是稍微想想霸了~~~ 只是實現的是你~~~ 我只是把問題簡單化~~~ 不過事情解決就好~~
有些東西用模擬器是會出問題的... 而且有些東西模擬器是作不出來的~~~
PS: 最近我在玩 Packet Tracer 搞Frame Relay Switch... 就發現有些指令不支援~~~ 沒有辦法玩的盡興~~~
只好準備找個時間拿自己房間的設備來把玩把玩~~~

cftzeng

  • 懷疑的國中生
  • **
  • 文章數: 76
  • 性別: 男
    • 檢視個人資料
回覆: Mulitlayer switch做inter-vlan routing
« 回覆 #8 於: 2009-06-03 16:32 »
wst前輩,請容小弟再問一個問題
我在3750上做了inter-vlan routing,同時新增了數個vlan並設定vtp server
其他的2916做vtp client
現在想用一個獨立的vlan做管理(例如vlan 99)
在3750上設定192.168.99.10
2916_1上設定192.168.99.20
2916_2上設定192.168.99.30

可是卻無法telnet上全部的2916
可否麻煩再指點一下,該怎麼設定才能讓我連上2916?
謝謝囉
I'm a rookie.

wst2080

  • 憂鬱的高中生
  • ***
  • 文章數: 93
  • 阿胖資研-鴨鴨
    • 檢視個人資料
回覆: Mulitlayer switch做inter-vlan routing
« 回覆 #9 於: 2009-06-03 18:39 »
恩.... 這不難~~~
你把所有Cisco的管理VLAN都設定在 VLAN 99 就可以了~~~
不過我個人比較建議用預設的VLAN1 比較輕鬆~~~
若發生有些無法telnet... 該不會是那台Switch... 沒有設定 ip default-gateway~~ 這樣的話~~~ 那就設定該VLAN L3的ip
還有設定OK的話 別忘記 no shutdown ~~~


wst前輩,請容小弟再問一個問題
我在3750上做了inter-vlan routing,同時新增了數個vlan並設定vtp server
其他的2916做vtp client
現在想用一個獨立的vlan做管理(例如vlan 99)
在3750上設定192.168.99.10
2916_1上設定192.168.99.20
2916_2上設定192.168.99.30

可是卻無法telnet上全部的2916
可否麻煩再指點一下,該怎麼設定才能讓我連上2916?
謝謝囉

cftzeng

  • 懷疑的國中生
  • **
  • 文章數: 76
  • 性別: 男
    • 檢視個人資料
回覆: Mulitlayer switch做inter-vlan routing
« 回覆 #10 於: 2009-06-03 19:06 »
感謝wst前輩
我就是想用vlan 99來管理
因為Cisco的文件建議不要用vlan來管理利用mulitlay switch做inter-vlan routing的環境
只是小弟不知道,我的default-gateway要哪個ip… :P
I'm a rookie.

wst2080

  • 憂鬱的高中生
  • ***
  • 文章數: 93
  • 阿胖資研-鴨鴨
    • 檢視個人資料
回覆: Mulitlayer switch做inter-vlan routing
« 回覆 #11 於: 2009-06-04 18:27 »
只是小弟不知道,我的default-gateway要哪個ip… :P


每台L2設備的VLAN 99要設定管理IP
然後每台L2的設備的 default-gateway IP要指向L3的VLAN 99 的IP

cftzeng

  • 懷疑的國中生
  • **
  • 文章數: 76
  • 性別: 男
    • 檢視個人資料
回覆: Mulitlayer switch做inter-vlan routing
« 回覆 #12 於: 2009-06-04 23:13 »
再次感謝你,wst前輩
我這幾天有試做出來
因為我想說,L3 Switch是負責做routing的,所以就把vlan 99的gateway都指向那台
接下來就要真槍實彈的上了
相信這個討論串讓我學到的應該足以應付了
謝謝囉!
I'm a rookie.

cftzeng

  • 懷疑的國中生
  • **
  • 文章數: 76
  • 性別: 男
    • 檢視個人資料
回覆: Mulitlayer switch做inter-vlan routing
« 回覆 #13 於: 2009-06-10 18:10 »
wst前輩…
小弟實做時遇到了很大的困難…
就我所學的,switch接switch,是透過trunk
但我們的2916是4m的,ios版本是11.8,它沒有switchport mode trunk這個指令…
有想到用前輩說的isl,但找了網路資料,可是找不到
所以厚顏的請wst前輩再給小弟指導一下
我想用3750做inter-vlan routing,其他的2916都透過3750做簡單的hub功能就好了
另外,3750--2916是不是要用跳線?
« 上次編輯: 2009-06-10 18:13 由 cftzeng »
I'm a rookie.

wst2080

  • 憂鬱的高中生
  • ***
  • 文章數: 93
  • 阿胖資研-鴨鴨
    • 檢視個人資料
回覆: Mulitlayer switch做inter-vlan routing
« 回覆 #14 於: 2009-06-10 19:13 »
wst前輩…
小弟實做時遇到了很大的困難…
就我所學的,switch接switch,是透過trunk
但我們的2916是4m的,ios版本是11.8,它沒有switchport mode trunk這個指令…
有想到用前輩說的isl,但找了網路資料,可是找不到
所以厚顏的請wst前輩再給小弟指導一下
我想用3750做inter-vlan routing,其他的2916都透過3750做簡單的hub功能就好了
另外,3750--2916是不是要用跳線?


能夠upgrate your 2916's IOS 嗎??? 若不行... 當成一般的switch hub使用吧~~~ (無切割VLAN的功能)
畢竟這台機器很久了~~~ 我手邊也不可能有這種機器可以這樣幫你測試~~~
若沒有 switchport mode trunk 的話~~~ 那應該就只能切割VLAN 而無法做Trunk了~~~
那就當成一般的無VLAN切割的switch使用就好~~~ switchport mode access 即可~~~
既然這樣~ 只要在 3750 切割連接該2916的VLAN即可~
switchport mode access
switchport access vlan 10
則該switch就會屬於 vlan 10 的網段~ 如此~ 就可以將該 2916 switch歸納在VLAN 10底下~
舉一反三~ 另外一台接的 2916... 則也設定
switchport mode access
switchport access vlan 20
則該switch就會屬於 vlan 20 的網段~ 如此~ 就可以將該 2916 switch歸納在VLAN 20底下~

這樣做的缺點就是底下的switch只能跑單一的網段~ 而無法跑另外的網段~ 比較欠缺彈性~ 不過這也是沒有辦法~

當然要跳線 crossover ~ 要不然怎麼通捏~

http://www.cisco.com/en/US/docs/switches/lan/catalyst2900xl_3500xl/releasesa_sa1_sa2/icg/maoverv.html
« 上次編輯: 2009-06-10 19:19 由 wst2080 »

cftzeng

  • 懷疑的國中生
  • **
  • 文章數: 76
  • 性別: 男
    • 檢視個人資料
回覆: Mulitlayer switch做inter-vlan routing
« 回覆 #15 於: 2009-06-11 08:10 »
嗯,因為我們的2916的版本是4M的,所以已經無法升級了
目前的決定,也是透過3750來切割VLAN
只是昨天試了很久,3750和2916間的連線一直無法設定起來
後來直接在3750上連接兩台電腦,分別連在兩個VLAN上,可是卻無法PING到另一台
如附圖所示
A--VLAN 10--GW1--GW2--X--B
     OK           OK     OK        NG
B--VLAN 20--GW2--GW1--X--A
     OK           OK     OK        NG
請問一下,是小弟有什麼地方沒設定好嗎?
I'm a rookie.

wst2080

  • 憂鬱的高中生
  • ***
  • 文章數: 93
  • 阿胖資研-鴨鴨
    • 檢視個人資料
回覆: Mulitlayer switch做inter-vlan routing
« 回覆 #16 於: 2009-06-11 11:17 »
嗯,因為我們的2916的版本是4M的,所以已經無法升級了
目前的決定,也是透過3750來切割VLAN
只是昨天試了很久,3750和2916間的連線一直無法設定起來
後來直接在3750上連接兩台電腦,分別連在兩個VLAN上,可是卻無法PING到另一台
如附圖所示
A--VLAN 10--GW1--GW2--X--B
     OK           OK     OK        NG
B--VLAN 20--GW2--GW1--X--A
     OK           OK     OK        NG
請問一下,是小弟有什麼地方沒設定好嗎?


確定要用模擬器來做嗎???
能不能將Switch與PCA & B 的設定組態拿來看看...
抱歉... X 這是啥意思?
NG 又是啥意思? 可以解釋一下嗎?
« 上次編輯: 2009-06-11 11:20 由 wst2080 »

cftzeng

  • 懷疑的國中生
  • **
  • 文章數: 76
  • 性別: 男
    • 檢視個人資料
回覆: Mulitlayer switch做inter-vlan routing
« 回覆 #17 於: 2009-06-11 11:27 »
那個x表示不通,ng就是not good, 也是不通的意思
也就是說,兩個vlan是沒有互通的
但小弟的需求是兩個vlan可以互通
附上小弟3750的設定檔,煩請幫小弟看一下,謝謝
G1/0/3是接DHCP SERVER
G1/0/4是接PC
I'm a rookie.

wst2080

  • 憂鬱的高中生
  • ***
  • 文章數: 93
  • 阿胖資研-鴨鴨
    • 檢視個人資料
回覆: Mulitlayer switch做inter-vlan routing
« 回覆 #18 於: 2009-06-11 11:59 »
那個x表示不通,ng就是not good, 也是不通的意思
也就是說,兩個vlan是沒有互通的
但小弟的需求是兩個vlan可以互通
附上小弟3750的設定檔,煩請幫小弟看一下,謝謝
G1/0/3是接DHCP SERVER
G1/0/4是接PC



Building configuration...

Current configuration : 1889 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname EMC3750
!
!
no aaa new-model
switch 1 provision ws-c3750g-24ts-1u
system mtu routing 1500
ip subnet-zero
!
!
!
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
 --More--         !
vlan internal allocation policy ascending
!
interface GigabitEthernet1/0/1
!
interface GigabitEthernet1/0/2
!
interface GigabitEthernet1/0/3
 switchport access vlan 100
!
interface GigabitEthernet1/0/4
 switchport access vlan 101
!
interface GigabitEthernet1/0/5
!
interface GigabitEthernet1/0/6
!
interface GigabitEthernet1/0/7
!
interface GigabitEthernet1/0/8
!
interface GigabitEthernet1/0/9
!
interface GigabitEthernet1/0/10
!
interface GigabitEthernet1/0/11
!
interface GigabitEthernet1/0/12
!
interface GigabitEthernet1/0/13
!
interface GigabitEthernet1/0/14
!
interface GigabitEthernet1/0/15
!
interface GigabitEthernet1/0/16
!
interface GigabitEthernet1/0/17
!
interface GigabitEthernet1/0/18
!
interface GigabitEthernet1/0/19
!
interface GigabitEthernet1/0/20
!
interface GigabitEthernet1/0/21
         switchport access vlan 101
!
interface GigabitEthernet1/0/22
!
interface GigabitEthernet1/0/23
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet1/0/24
 switchport access vlan 101
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet1/0/25
!
interface GigabitEthernet1/0/26
!
interface GigabitEthernet1/0/27
!
interface GigabitEthernet1/0/28
!
interface Vlan1
  no ip address
 shutdown
!
interface Vlan100
 ip address 192.168.100.31 255.255.255.0
 ip helper-address 192.168.100.10
!
interface Vlan101
 ip address 192.168.101.254 255.255.255.0
 ip helper-address 192.168.100.10
!
ip classless
ip http server
!
!
control-plane
!
!
line con 0
line vty 5 15
!
end

EMC3750#


interface GigabitEthernet1/0/23
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet1/0/24
 switchport access vlan 101
 switchport trunk encapsulation dot1q
 switchport mode trunk


這是接什麼東西的???

cftzeng

  • 懷疑的國中生
  • **
  • 文章數: 76
  • 性別: 男
    • 檢視個人資料
回覆: Mulitlayer switch做inter-vlan routing
« 回覆 #19 於: 2009-06-11 12:28 »
原本是要接其他switch的
我後來發現問題在哪了
要下
ip subnet-zero
ip routing
這樣inter-vlan routing就會通了
搞了好久 :P
謝謝wst前輩不厭其煩的指點 :D
I'm a rookie.

wst2080

  • 憂鬱的高中生
  • ***
  • 文章數: 93
  • 阿胖資研-鴨鴨
    • 檢視個人資料
回覆: Mulitlayer switch做inter-vlan routing
« 回覆 #20 於: 2009-06-11 12:30 »

interface Vlan100
 ip address 192.168.100.31 255.255.255.0
 ip helper-address 192.168.100.10
!
interface Vlan101
 ip address 192.168.101.254 255.255.255.0
 ip helper-address 192.168.100.10


這VLAN 100 當中的設備都要設定 default-gateway 為 192.168.100.31
這VLAN 101 當中的設備都要設定 default-gateway 為 192.168.101.254

PC的Gateway也要指向各VLAN的L3 Switch IP

若你的環境為 L3 Switch 的 PC互接..



都用一般平行線來接就可以了...

跳線是要用在 Switch 與 Switch 之間所連接的線~~~



wst2080

  • 憂鬱的高中生
  • ***
  • 文章數: 93
  • 阿胖資研-鴨鴨
    • 檢視個人資料
回覆: Mulitlayer switch做inter-vlan routing
« 回覆 #21 於: 2009-06-11 12:40 »
原本是要接其他switch的
我後來發現問題在哪了
要下
ip subnet-zero
ip routing
這樣inter-vlan routing就會通了
搞了好久 :P
謝謝wst前輩不厭其煩的指點 :D


不會...

不過...

interface GigabitEthernet1/0/23
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet1/0/24
 switchport access vlan 101
 switchport trunk encapsulation dot1q
 switchport mode trunk



這兩行就建議拿掉
 switchport trunk encapsulation dot1q
 switchport mode trunk

留下這行就好
switchport access vlan 101
與新增這行
switchport mode access

這樣就好


cftzeng

  • 懷疑的國中生
  • **
  • 文章數: 76
  • 性別: 男
    • 檢視個人資料
回覆: Mulitlayer switch做inter-vlan routing
« 回覆 #22 於: 2009-06-11 13:06 »
嗯,那之前的設定,目前的設定就是只有這兩行而已
接下來就是朝管理access-list前進了 ;D
謝謝wst前輩囉
I'm a rookie.