酷!學園

技術討論區 => Network 討論版 => 主題作者是: cftzeng 於 2009-05-29 14:26

主題: Mulitlayer switch做inter-vlan routing
作者: cftzeng2009-05-29 14:26
小弟之前提了一個問題,就是小弟公司的switch用的是2916(4M),所以無法做到Inter-vlan Routing
後來查了Cisco的文件,發現可以透過3750這類的mulitlayer switch做Inter-vlan Routing
可是現在有一個新的問題…
先把條件詳列如下:
3750*1--Core switch
2916*4--switch
2811*1--VPN Router
Firewall*1
假設,內部是用192.168.9.0/24的網段
路由是除了192.168.10.0/24走到vpn router(192.168.9.250)之外,其餘都是透過firewall(192.168.9.251)出去(全部都是static route)
用了3750做inter-vlan routing後,多了192.168.7.0/24及192.168.8.0/24的網段
原先的192.168.9.0/24的網段也變成vlan之一
(vlan7=192.168.7.0/24,vlan8=192.168.8.0/24...)
那這樣,路由該怎麼設定,vpn router才會通?

註:3750/2916/2811間都是走trunk
主題: 回覆: Mulitlayer switch做inter-vlan routing
作者: wst20802009-06-01 11:49
註:3750/2916/2811間都是走trunk


走 Trunk ???

一般來說~ 3750 跟 每台 2916 之間走Trunk就可以啦~~~ 應該不用 2811 也走Trunk吧~~~
主題: 回覆: Mulitlayer switch做inter-vlan routing
作者: cftzeng2009-06-01 12:26
之前用packet tracer試做的時候,沒有走trunk,好像不會通
主題: 回覆: Mulitlayer switch做inter-vlan routing
作者: wst20802009-06-01 15:28
之前用packet tracer試做的時候,沒有走trunk,好像不會通


我想好奇的問一下~~~

L2 => Cisco 2916 ... 為 L2 Switch ... 只看到Cisco官方網站說到
Two high-speed expansion slots supporting 10BaseT/100BaseTX, 100BaseFX and future gigabit, asynchronous transfer mode (ATM) and Inter-Switch Link (ISL) modules (Catalyst 2916M XL only)

L3 => Cisco 3750 ...為 L3 Switch... 有看到Cisco官方網站提到
VLAN trunks can be created from any port, using either standards-based 802.1Q tagging or the Cisco Inter-Switch Link (ISL) VLAN architecture.


假設...L2 Switch <===Trunk ISL ===> L3 Switch ... 這樣就已經達到Trunk的效果~~~
並且這之間的 VLAN Routing 就可以交給L3 Switch 了~~~

我剛剛看了你的架構~~~

假設你的架構為

WAN <---> Firewall <---> 2811 <---> 3750 <---> 2916

那我的建議是... 將 2811 單純的使用 VPN部份就可以了~ 簡單的 Static Route 就委託給 Firewall 來進行~

看要不要將 3750 多切一個VLAN 給 2811 使用 .. 歸納成VPN就可以了...

WAN <---> Firewall <---> 3750<---> 2811 <---> 2916
                     
主題: 回覆: Mulitlayer switch做inter-vlan routing
作者: cftzeng2009-06-01 16:40
感謝wst前輩的指點
原先我也是跟主管建議,可透過firewall做簡單的routing(畢竟只需要兩至三個網段)
目前2811也是簡單的做VPN Routing的功能而已

小弟將wst前輩的意見用小弟的見解說明一下,看正不正確

         原始設定                             變更後設定
2811--vpn router(vlan1)             vlan99
3750--switch(vlan1)                  inter-vlan routing(多個vlan做routing,vlan1/vlan2/vlan3/vlan99)
firewall--vlan1                             vlan1
2916@1--vlan1                            vlan2
2916@2--vlan1                            vlan3                               
是這樣的意思嗎?
主題: 回覆: Mulitlayer switch做inter-vlan routing
作者: wst20802009-06-01 18:29
[attachment=1]
若我的作法的話~ 既然2811只要當成簡單的VPN來使用~ 那就這樣做會比較簡單~~~
切一個VLAN來給 2811來使用~~~
每個2916的L2 Switch 都使用VTP的方式~~~ 來進行串聯~~~
(意思就是說 L3 Switch 來進行L3 Switching... 並且讓 L3 Switch擔任 vtp server... 這樣的規劃會比較好~)
PS:藍色的線是將將該Port設定成 Trunk 的方式~ 至於黑色的線路~ 設定成一般 switchport mode access的模式就可以了~

由於不知道你這台 2916是否支援VTP的功能~ 這是為假設支援的狀態~ 這樣就可以不用管每個Switch的VLAN了~~~
若不支援... 那就指定該Port的VLAN也OK~~~ 只不過沒有VTP的方式~~~ 就只能切割VLAN給各個Switch... 而不能彈性使用VLAN的好處~~~ 我的意思是說... 每台2916只能當成一般的L2 Switch... 只能跑單獨的VLAN... 不能跑Trunk了~~~
這要看你的Switch能不能支援Trunk了... PS:我查的結果 3750 支援 ISL... 我想 2916這種骨董 應該也支援ISL吧~~~

離題了~~~
總言之~~~ 你的VLAN... 就可以好好的規劃規劃~~~
至於你說你用模擬器不會通的原因,我想是因為Packet Tracer模擬器的3560只支援 802.1q.... 而真實的印象中除了802.1q 也支援 ISL 的 VTP 封裝格式~~~ 因為之前我用模擬器來串聯... 發現 2950 跟 3560 是不能跑VTP的~~~ 因為在模擬器當中的2950只支援ISL... 而 3560 只能支援802.1q ~ 所以雙方的VTP封裝格式不同~ 當然也無法進行VTP的格式封裝~~~


主題: 回覆: Mulitlayer switch做inter-vlan routing
作者: cftzeng2009-06-02 10:11
感謝wst前輩的指點
小弟後來再試著做一次packet tracer的lab,讓vpn router走vlan 100,沒有用trunk,並直接在interface fastethernet 0/0上面設定ip和routing
確認是ok的 ;D
這次的lab讓小弟又學到了一些東西 :)
主題: 回覆: Mulitlayer switch做inter-vlan routing
作者: wst20802009-06-02 19:12
感謝wst前輩的指點
小弟後來再試著做一次packet tracer的lab,讓vpn router走vlan 100,沒有用trunk,並直接在interface fastethernet 0/0上面設定ip和routing
確認是ok的 ;D
這次的lab讓小弟又學到了一些東西 :)



不會啦~~~ 我只是稍微想想霸了~~~ 只是實現的是你~~~ 我只是把問題簡單化~~~ 不過事情解決就好~~
有些東西用模擬器是會出問題的... 而且有些東西模擬器是作不出來的~~~
PS: 最近我在玩 Packet Tracer 搞Frame Relay Switch... 就發現有些指令不支援~~~ 沒有辦法玩的盡興~~~
只好準備找個時間拿自己房間的設備來把玩把玩~~~
主題: 回覆: Mulitlayer switch做inter-vlan routing
作者: cftzeng2009-06-03 16:32
wst前輩,請容小弟再問一個問題
我在3750上做了inter-vlan routing,同時新增了數個vlan並設定vtp server
其他的2916做vtp client
現在想用一個獨立的vlan做管理(例如vlan 99)
在3750上設定192.168.99.10
2916_1上設定192.168.99.20
2916_2上設定192.168.99.30

可是卻無法telnet上全部的2916
可否麻煩再指點一下,該怎麼設定才能讓我連上2916?
謝謝囉
主題: 回覆: Mulitlayer switch做inter-vlan routing
作者: wst20802009-06-03 18:39
恩.... 這不難~~~
你把所有Cisco的管理VLAN都設定在 VLAN 99 就可以了~~~
不過我個人比較建議用預設的VLAN1 比較輕鬆~~~
若發生有些無法telnet... 該不會是那台Switch... 沒有設定 ip default-gateway~~ 這樣的話~~~ 那就設定該VLAN L3的ip
還有設定OK的話 別忘記 no shutdown ~~~


wst前輩,請容小弟再問一個問題
我在3750上做了inter-vlan routing,同時新增了數個vlan並設定vtp server
其他的2916做vtp client
現在想用一個獨立的vlan做管理(例如vlan 99)
在3750上設定192.168.99.10
2916_1上設定192.168.99.20
2916_2上設定192.168.99.30

可是卻無法telnet上全部的2916
可否麻煩再指點一下,該怎麼設定才能讓我連上2916?
謝謝囉
主題: 回覆: Mulitlayer switch做inter-vlan routing
作者: cftzeng2009-06-03 19:06
感謝wst前輩
我就是想用vlan 99來管理
因為Cisco的文件建議不要用vlan來管理利用mulitlay switch做inter-vlan routing的環境
只是小弟不知道,我的default-gateway要哪個ip… :P
主題: 回覆: Mulitlayer switch做inter-vlan routing
作者: wst20802009-06-04 18:27
只是小弟不知道,我的default-gateway要哪個ip… :P


每台L2設備的VLAN 99要設定管理IP
然後每台L2的設備的 default-gateway IP要指向L3的VLAN 99 的IP
主題: 回覆: Mulitlayer switch做inter-vlan routing
作者: cftzeng2009-06-04 23:13
再次感謝你,wst前輩
我這幾天有試做出來
因為我想說,L3 Switch是負責做routing的,所以就把vlan 99的gateway都指向那台
接下來就要真槍實彈的上了
相信這個討論串讓我學到的應該足以應付了
謝謝囉!
主題: 回覆: Mulitlayer switch做inter-vlan routing
作者: cftzeng2009-06-10 18:10
wst前輩…
小弟實做時遇到了很大的困難…
就我所學的,switch接switch,是透過trunk
但我們的2916是4m的,ios版本是11.8,它沒有switchport mode trunk這個指令…
有想到用前輩說的isl,但找了網路資料,可是找不到
所以厚顏的請wst前輩再給小弟指導一下
我想用3750做inter-vlan routing,其他的2916都透過3750做簡單的hub功能就好了
另外,3750--2916是不是要用跳線?
主題: 回覆: Mulitlayer switch做inter-vlan routing
作者: wst20802009-06-10 19:13
wst前輩…
小弟實做時遇到了很大的困難…
就我所學的,switch接switch,是透過trunk
但我們的2916是4m的,ios版本是11.8,它沒有switchport mode trunk這個指令…
有想到用前輩說的isl,但找了網路資料,可是找不到
所以厚顏的請wst前輩再給小弟指導一下
我想用3750做inter-vlan routing,其他的2916都透過3750做簡單的hub功能就好了
另外,3750--2916是不是要用跳線?


能夠upgrate your 2916's IOS 嗎??? 若不行... 當成一般的switch hub使用吧~~~ (無切割VLAN的功能)
畢竟這台機器很久了~~~ 我手邊也不可能有這種機器可以這樣幫你測試~~~
若沒有 switchport mode trunk 的話~~~ 那應該就只能切割VLAN 而無法做Trunk了~~~
那就當成一般的無VLAN切割的switch使用就好~~~ switchport mode access 即可~~~
既然這樣~ 只要在 3750 切割連接該2916的VLAN即可~
switchport mode access
switchport access vlan 10
則該switch就會屬於 vlan 10 的網段~ 如此~ 就可以將該 2916 switch歸納在VLAN 10底下~
舉一反三~ 另外一台接的 2916... 則也設定
switchport mode access
switchport access vlan 20
則該switch就會屬於 vlan 20 的網段~ 如此~ 就可以將該 2916 switch歸納在VLAN 20底下~

這樣做的缺點就是底下的switch只能跑單一的網段~ 而無法跑另外的網段~ 比較欠缺彈性~ 不過這也是沒有辦法~

當然要跳線 crossover ~ 要不然怎麼通捏~(http://www.cisco.com/en/US/i/Other/Hardware/H5501-6000/h5579.jpg)

http://www.cisco.com/en/US/docs/switches/lan/catalyst2900xl_3500xl/releasesa_sa1_sa2/icg/maoverv.html (http://www.cisco.com/en/US/docs/switches/lan/catalyst2900xl_3500xl/releasesa_sa1_sa2/icg/maoverv.html)
主題: 回覆: Mulitlayer switch做inter-vlan routing
作者: cftzeng2009-06-11 08:10
嗯,因為我們的2916的版本是4M的,所以已經無法升級了
目前的決定,也是透過3750來切割VLAN
只是昨天試了很久,3750和2916間的連線一直無法設定起來
後來直接在3750上連接兩台電腦,分別連在兩個VLAN上,可是卻無法PING到另一台
如附圖所示
A--VLAN 10--GW1--GW2--X--B
     OK           OK     OK        NG
B--VLAN 20--GW2--GW1--X--A
     OK           OK     OK        NG
請問一下,是小弟有什麼地方沒設定好嗎?
主題: 回覆: Mulitlayer switch做inter-vlan routing
作者: wst20802009-06-11 11:17
嗯,因為我們的2916的版本是4M的,所以已經無法升級了
目前的決定,也是透過3750來切割VLAN
只是昨天試了很久,3750和2916間的連線一直無法設定起來
後來直接在3750上連接兩台電腦,分別連在兩個VLAN上,可是卻無法PING到另一台
如附圖所示
A--VLAN 10--GW1--GW2--X--B
     OK           OK     OK        NG
B--VLAN 20--GW2--GW1--X--A
     OK           OK     OK        NG
請問一下,是小弟有什麼地方沒設定好嗎?


確定要用模擬器來做嗎???
能不能將Switch與PCA & B 的設定組態拿來看看...
抱歉... X 這是啥意思?
NG 又是啥意思? 可以解釋一下嗎?
主題: 回覆: Mulitlayer switch做inter-vlan routing
作者: cftzeng2009-06-11 11:27
那個x表示不通,ng就是not good, 也是不通的意思
也就是說,兩個vlan是沒有互通的
但小弟的需求是兩個vlan可以互通
附上小弟3750的設定檔,煩請幫小弟看一下,謝謝
G1/0/3是接DHCP SERVER
G1/0/4是接PC
主題: 回覆: Mulitlayer switch做inter-vlan routing
作者: wst20802009-06-11 11:59
那個x表示不通,ng就是not good, 也是不通的意思
也就是說,兩個vlan是沒有互通的
但小弟的需求是兩個vlan可以互通
附上小弟3750的設定檔,煩請幫小弟看一下,謝謝
G1/0/3是接DHCP SERVER
G1/0/4是接PC



Building configuration...

Current configuration : 1889 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname EMC3750
!
!
no aaa new-model
switch 1 provision ws-c3750g-24ts-1u
system mtu routing 1500
ip subnet-zero
!
!
!
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
 --More--         !
vlan internal allocation policy ascending
!
interface GigabitEthernet1/0/1
!
interface GigabitEthernet1/0/2
!
interface GigabitEthernet1/0/3
 switchport access vlan 100
!
interface GigabitEthernet1/0/4
 switchport access vlan 101
!
interface GigabitEthernet1/0/5
!
interface GigabitEthernet1/0/6
!
interface GigabitEthernet1/0/7
!
interface GigabitEthernet1/0/8
!
interface GigabitEthernet1/0/9
!
interface GigabitEthernet1/0/10
!
interface GigabitEthernet1/0/11
!
interface GigabitEthernet1/0/12
!
interface GigabitEthernet1/0/13
!
interface GigabitEthernet1/0/14
!
interface GigabitEthernet1/0/15
!
interface GigabitEthernet1/0/16
!
interface GigabitEthernet1/0/17
!
interface GigabitEthernet1/0/18
!
interface GigabitEthernet1/0/19
!
interface GigabitEthernet1/0/20
!
interface GigabitEthernet1/0/21
         switchport access vlan 101
!
interface GigabitEthernet1/0/22
!
interface GigabitEthernet1/0/23
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet1/0/24
 switchport access vlan 101
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet1/0/25
!
interface GigabitEthernet1/0/26
!
interface GigabitEthernet1/0/27
!
interface GigabitEthernet1/0/28
!
interface Vlan1
  no ip address
 shutdown
!
interface Vlan100
 ip address 192.168.100.31 255.255.255.0
 ip helper-address 192.168.100.10
!
interface Vlan101
 ip address 192.168.101.254 255.255.255.0
 ip helper-address 192.168.100.10
!
ip classless
ip http server
!
!
control-plane
!
!
line con 0
line vty 5 15
!
end

EMC3750#


interface GigabitEthernet1/0/23
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet1/0/24
 switchport access vlan 101
 switchport trunk encapsulation dot1q
 switchport mode trunk


這是接什麼東西的???
主題: 回覆: Mulitlayer switch做inter-vlan routing
作者: cftzeng2009-06-11 12:28
原本是要接其他switch的
我後來發現問題在哪了
要下
ip subnet-zero
ip routing
這樣inter-vlan routing就會通了
搞了好久 :P
謝謝wst前輩不厭其煩的指點 :D
主題: 回覆: Mulitlayer switch做inter-vlan routing
作者: wst20802009-06-11 12:30

interface Vlan100
 ip address 192.168.100.31 255.255.255.0
 ip helper-address 192.168.100.10
!
interface Vlan101
 ip address 192.168.101.254 255.255.255.0
 ip helper-address 192.168.100.10


這VLAN 100 當中的設備都要設定 default-gateway 為 192.168.100.31
這VLAN 101 當中的設備都要設定 default-gateway 為 192.168.101.254

PC的Gateway也要指向各VLAN的L3 Switch IP

若你的環境為 L3 Switch 的 PC互接..

(http://phorum.study-area.org/index.php?action=dlattach;topic=56774.0;attach=1084)

都用一般平行線來接就可以了...

跳線是要用在 Switch 與 Switch 之間所連接的線~~~


主題: 回覆: Mulitlayer switch做inter-vlan routing
作者: wst20802009-06-11 12:40
原本是要接其他switch的
我後來發現問題在哪了
要下
ip subnet-zero
ip routing
這樣inter-vlan routing就會通了
搞了好久 :P
謝謝wst前輩不厭其煩的指點 :D


不會...

不過...

interface GigabitEthernet1/0/23
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet1/0/24
 switchport access vlan 101
 switchport trunk encapsulation dot1q
 switchport mode trunk



這兩行就建議拿掉
 switchport trunk encapsulation dot1q
 switchport mode trunk

留下這行就好
switchport access vlan 101
與新增這行
switchport mode access

這樣就好

主題: 回覆: Mulitlayer switch做inter-vlan routing
作者: cftzeng2009-06-11 13:06
嗯,那之前的設定,目前的設定就是只有這兩行而已
接下來就是朝管理access-list前進了 ;D
謝謝wst前輩囉