Home › Percorso › Lab Troubleshooting — VLAN, Trunk & Inter-VLAN

🔧 Lab Troubleshooting — VLAN, Trunk & Inter-VLAN

Rete aziendale con problemi di comunicazione tra VLAN. Usa i comandi show per diagnosticare, poi correggi con conf t.

HARD 3 errori nascosti VLAN · Trunk · Inter-VLAN M7 — Preparazione Esame

Lab — VLAN, Trunk & Inter-VLAN Troubleshooting

Rete con 3 errori nascosti. La VLAN HR non comunica e il routing inter-VLAN è rotto. Esplora con show, identifica i bug, correggili.

📐 Topologia Scenario — Rete TechCorp

Difficoltà: HARD · 3 errori nascosti · Esplora liberamente con show, poi correggi con conf t

R1-HQ · Router-on-a-Stick
Gi0/1: WAN 203.0.113.2/30
Gi0/0.10: 192.168.10.1/24 (VLAN 10)
Gi0/0.20: 192.168.20.1/24 (VLAN 20)
Gi0/0.30: 192.168.30.1/24 (VLAN 30)

SW1-Core · Layer 2 Switch
Gi0/1: trunk → R1 (VLAN 10,20,30)
Gi0/2: trunk → SW2 (VLAN 10,20,30)
SVI VLAN10: 192.168.10.254/24
VTP mode: transparent

SW2-Access · Layer 2 Switch
Gi0/0: trunk → SW1
Fa0/1-8: access VLAN 10 (IT)
Fa0/9-16: access VLAN 20 (HR)
Fa0/17-20: access VLAN 30 (Server)

🎯 Obiettivi — trova e correggi i 3 problemi

I sintomi sono descritti come li vedresti in una rete reale. Sta a te trovare la causa.

⭕

1. Gli host VLAN 20 (HR) non comunicano con nessuno

Il reparto HR è completamente isolato. Gli host VLAN 10 (IT) funzionano parzialmente.

⭕

2. Il routing tra VLAN non funziona correttamente

Gli host di alcune VLAN non raggiungono il gateway. La configurazione del router sembra incompleta o errata.

⭕

3. SW1 non è raggiungibile via IP dal reparto IT

Non è possibile fare il management dello switch dal segmento VLAN 10. Gli altri switch sono raggiungibili.

R1-HQ#

💡 Come lavorare: usa show running-config per vedere la config completa. Poi entra in conf t per correggere. ↑↓ per la cronologia, cambia device senza perdere l'output.

🔒

Lab PRO

Accedi al simulatore CLI con 3 errori nascosti su VLAN, trunk e inter-VLAN routing.

💡 Soluzione — VLAN, Trunk & Inter-VLAN

⚠️ Prima di leggere: hai provato tutti i show? Il vero apprendimento è nel ragionamento, non nei comandi.

BUG 1 Trunk SW1→SW2: VLAN 20 non è nella lista delle VLAN permesse

🔍 Come identificarlo:

SW1# show interfaces trunk
Port        Mode    Encap  Status   Native vlan
Gi0/2       on      802.1q trunking 1
VLANs allowed: 1,10,30   ← VLAN 20 mancante!
          

🔧 Fix:

SW1# conf t
SW1(config)# interface GigabitEthernet0/2
SW1(config-if)# switchport trunk allowed vlan add 20
          

Perché funziona: il comando add aggiunge VLAN 20 alla lista esistente senza cancellare le altre. Senza add, il comando switchport trunk allowed vlan 20 avrebbe sostituito tutta la lista con solo VLAN 20.

BUG 2 R1 Gi0/0.20: encapsulation dot1q 10 invece di 20

🔍 Come identificarlo:

R1# show run | section interface
interface GigabitEthernet0/0.20
 encapsulation dot1Q 10  ← dovrebbe essere 20!
 ip address 192.168.20.1 255.255.255.0
          

🔧 Fix:

R1# conf t
R1(config)# interface GigabitEthernet0/0.20
R1(config-subif)# encapsulation dot1Q 20
          

Perché funziona: la subinterface Gi0/0.20 deve taggare/detaggare solo i frame con VLAN ID 20. Avendo dot1Q 10, il router riceveva i frame VLAN 10 su entrambe le subinterface — conflitto che causava routing errato per la VLAN HR.

BUG 3 SW1: SVI Vlan10 è in shutdown — management non raggiungibile

🔍 Come identificarlo:

SW1# show ip interface brief
Interface    IP-Address      OK? Method Status   Protocol
Vlan10       192.168.10.254  YES manual down     down
Vlan1        unassigned      YES unset  up        up
          

🔧 Fix:

SW1# conf t
SW1(config)# interface Vlan10
SW1(config-if)# no shutdown
          

Perché funziona: le SVI su uno switch Cisco possono essere in shutdown manuale. Quando lo è, l'IP di management non è raggiungibile e gli host della VLAN non hanno accesso alla SVI come gateway (anche se il routing reale avviene su R1 in questo scenario RoaS).

🧠 Come ragionare su questo problema

Il sintomo è: gli host VLAN 20 (HR) non comunicano con nessuno, mentre VLAN 10 (IT) funziona parzialmente. Da dove inizi?

Passo 1 — Layer 2 prima di Layer 3
Quando una VLAN non comunica, inizia sempre dal Layer 2: la VLAN esiste? Transita sul trunk? Solo dopo vai al Layer 3 (routing, gateway).

Passo 2 — Verifica il trunk
show interfaces trunk è il comando più importante per i problemi VLAN. Controlla: la porta è in trunk? Le VLAN sono nella lista "allowed"? Le VLAN sono "active in management domain"? Le VLAN sono "in STP forwarding state"?

Passo 3 — Verifica il routing inter-VLAN
Su Router-on-a-Stick, ogni subinterface deve avere: encapsulation dot1Q con il VLAN ID corretto e un IP nella subnet di quella VLAN. Se l'encapsulation è sbagliata, il router tenta di processare frame della VLAN sbagliata.

📋 Concetti chiave — VLAN e Trunk

802.1Q Tag

• 4 byte inseriti nel frame Ethernet
• 12 bit = VLAN ID (1–4094)
• Native VLAN = non taggata
• Tutto il resto = taggato

Trunk — errori comuni

• VLAN non nella lista "allowed"
• Native VLAN mismatch
• DTP non negozia (mode access)
• VLAN non creata (non in active)

Router-on-a-Stick

• Una sola interfaccia fisica
• N subinterface = N VLAN
• Ogni subif: dot1Q + IP
• La porta switch deve essere trunk

SVI (Switch Virtual Interface)

• Interfaccia virtuale per VLAN
• Usata per management o routing L3
• Richiede no shutdown
• Richiede che la VLAN esista

📌 Comandi show — cosa cercare

show vlan brief            ← VLAN esiste? Quali porte assegnate?
show interfaces trunk       ← VLAN nella lista? In forwarding? Native ok?
show ip interface brief     ← SVI up/up? IP assegnato?
show run | section interface ← dot1Q corretto? ip address corretto?
show interfaces status      ← Porta in trunk? VLAN corretta?
        

🔍 Teoria — Bug 1: VLAN mancante dal trunk

Cosa succede quando una VLAN non è nella lista "allowed" di un trunk?
I frame taggati con quel VLAN ID vengono scartati silenziosamente all'ingresso del trunk. Lo switch non genera nessun errore — semplicemente i frame scompaiono. Per questo il sintomo sembra che gli host non esistano sulla rete.

Come leggere show interfaces trunk
Il comando mostra 3 sezioni critiche:
• VLANs allowed on trunk — configurazione manuale
• VLANs allowed and active in management domain — VLAN esistenti e attive
• VLANs in spanning tree forwarding state — pronte al forwarding
Una VLAN deve apparire in tutte e tre per funzionare.

Attenzione: "add" vs sostituzione
switchport trunk allowed vlan 20 → sostituisce tutta la lista con solo VLAN 20
switchport trunk allowed vlan add 20 → aggiunge VLAN 20 alla lista esistente
Dimenticare add è uno degli errori più comuni all'esame.

🔍 Teoria — Bug 2: encapsulation dot1Q errata

Come funziona l'encapsulation dot1Q su una subinterface
Quando il router riceve un frame sul trunk, legge il VLAN tag 802.1Q e lo smista alla subinterface con l'encapsulation corrispondente. Se Gi0/0.20 ha encapsulation dot1Q 10, il router manda alla subinterface .20 i frame della VLAN 10 — non della VLAN 20. Risultato: VLAN 20 non ha gateway, VLAN 10 viene processata due volte.

Regola da ricordare per l'esame
Il numero nella subinterface (Gi0/0.20) e il VLAN ID nell'encapsulation (dot1Q 20) non devono necessariamente essere uguali per legge IOS — ma per convenzione e chiarezza devono sempre corrispondere. All'esame controllali sempre entrambi.

🔍 Teoria — Bug 3: SVI in shutdown

Quando una SVI è down — le 4 cause possibili
1. Shutdown manuale → fix: no shutdown
2. VLAN non esiste sul switch → fix: vlan X
3. Nessuna porta attiva in quella VLAN → almeno una porta access VLAN X deve essere up
4. Tutte le porte della VLAN sono down → SVI line protocol = down

Status "up/down" vs "down/down" vs "up/up"
• up/up → SVI operativa ✅
• down/down → shutdown manuale o VLAN non esiste
• up/down → VLAN esiste ma nessuna porta attiva in quella VLAN
In questo scenario: down/down = shutdown manuale con shutdown nella config.

🇬🇧 This is the English version — same content, Cisco official terminology. Study this to get familiar with the language you'll find on the real CCNA exam.

BUG 1 Trunk link — VLAN 20 missing from allowed VLAN list on SW1→SW2

🔍 How to identify it:

SW1# show interfaces trunk
Port        Mode    Encap  Status   Native vlan
Gi0/2       on      802.1q trunking 1
VLANs allowed on trunk: 1,10,30   ← VLAN 20 missing!
          

🔧 Fix:

SW1# configure terminal
SW1(config)# interface GigabitEthernet0/2
SW1(config-if)# switchport trunk allowed vlan add 20
          

Why this works: The keyword add appends VLAN 20 to the existing allowed list without overwriting it. Without add, the command switchport trunk allowed vlan 20 would replace the entire list with only VLAN 20 — a very common mistake on the exam.

📋 Key concept — Reading "show interfaces trunk"
Three sections to check:
• VLANs allowed on trunk — manually configured list
• VLANs allowed and active in management domain — existing and active VLANs
• VLANs in spanning tree forwarding state — ready to forward traffic
A VLAN must appear in all three sections to work correctly.

BUG 2 R1 Gi0/0.20 — wrong encapsulation dot1Q tag (10 instead of 20)

🔍 How to identify it:

R1# show run | section interface
interface GigabitEthernet0/0.20
 encapsulation dot1Q 10   ← should be 20!
 ip address 192.168.20.1 255.255.255.0
          

🔧 Fix:

R1# configure terminal
R1(config)# interface GigabitEthernet0/0.20
R1(config-subif)# encapsulation dot1Q 20
          

Why this works: In Router-on-a-Stick, the router reads the 802.1Q tag on each incoming frame and forwards it to the matching subinterface. With dot1Q 10 on .20, VLAN 10 frames were processed twice and VLAN 20 had no gateway.

📋 Key concept — Router-on-a-Stick (RoaS)
• One physical interface on the router, multiple logical subinterfaces
• Each subinterface: encapsulation dot1Q <vlan-id> + IP address
• The switch port facing the router must be a trunk
• Convention: subinterface number should match VLAN ID (e.g. .20 → dot1Q 20)
• The physical interface has no IP address — only subinterfaces do

BUG 3 SW1 — SVI Vlan10 is administratively down (shutdown)

🔍 How to identify it:

SW1# show ip interface brief
Interface    IP-Address      OK? Method Status                Protocol
Vlan10       192.168.10.254  YES manual administratively down  down
Vlan20       192.168.20.254  YES manual up                     up
          

🔧 Fix:

SW1# configure terminal
SW1(config)# interface Vlan10
SW1(config-if)# no shutdown
          

Why this works: SVIs on Cisco switches can be manually shut down. The keyword administratively down in the Status column always means a manual shutdown command was applied — it's not a physical or protocol issue.

📋 Key concept — SVI Status interpretation
up / up → SVI is fully operational ✅
administratively down / down → manual shutdown applied
up / down → VLAN exists but no active ports assigned to it
down / down → VLAN does not exist on the switch

4 reasons an SVI can be down:
1. Manual shutdown → fix: no shutdown
2. VLAN not created → fix: vlan X
3. No access ports active in that VLAN
4. All ports in that VLAN are physically down

🎯

Exam Practice — VLAN & Trunk

3 questions · CCNA 200-301 style · answer before checking

0/3

Q1. A network administrator runs show interfaces trunk on SW1 and notices that VLAN 20 appears in the "VLANs allowed on trunk" section but NOT in "VLANs in spanning tree forwarding state". What is the most likely cause?

A) The VLAN does not exist on the switch

B) The trunk port is in access mode

C) STP has placed the VLAN in blocking state on that trunk

D) The native VLAN is misconfigured

Q2. A router subinterface is configured as follows:

interface GigabitEthernet0/0.30
 encapsulation dot1Q 20
 ip address 192.168.30.1 255.255.255.0

Hosts in VLAN 30 cannot reach their default gateway 192.168.30.1. What is the problem?

A) The IP address is wrong for VLAN 30

B) The encapsulation dot1Q value should be 30, not 20

C) The physical interface Gi0/0 needs an IP address

D) The subinterface number must match the IP subnet

Q3. An administrator needs to add VLAN 40 to an existing trunk that already carries VLANs 1, 10, and 20. Which command correctly adds VLAN 40 without removing the existing VLANs?

A) switchport trunk allowed vlan 40

B) switchport trunk allowed vlan add 40

C) switchport trunk allowed vlan 1,10,20,40

D) Both B and C are correct