Рідна VLAN невідповідність та відсутня VLAN?

10

Я намагаюся обернути голову навколо того, що саме тут відбувається, з новою конфігурацією сайту їхнього мережевого стека. Цей конкретний твір, над яким я працюю, досить простий, але мені важко з'ясувати, яким був початковий задум. Існує Cisco Catalyst 3750x з трьома портовими каналами (кожен з чотирма інтерфейсами на шматок), що надходять до трьох хостів ESXi. Каталізатор підключений до решти мережі через Meraki MS42 через єдиний інтерфейс (без портового каналу). VLAN 100 несе мережевий трафік, інші VLAN призначені для таких речей, як vMotion або ізольовані мережі. Я думаю, що велика частина моїх труднощів тут полягає в тому, що я не говорю про Cisco-ese.

Налаштування

Мережевий стек


Порт-канал 1

interface Port-channel1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/1
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/2
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/3
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on


Порт-канал 2 (я залишаю порт-канал 3, оскільки він за конфігурацією ідентичний порту-канал 2)

interface Port-channel2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/7
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/8
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on


Порти висхідної лінії зв'язку

Про каталізатор:

interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

На Мераках:

Trunk port using native VLAN 1; allowed VLANs: all


Питання / с

  • Поєднання switchport accessта switch port trunk allowedробить switchport accessконфігурацію неоперативною, правда? Ви не можете мати порт у режимі доступу та магістралі, якщо я не помиляюся. Чи може хтось мені це підтвердити?
  • Наскільки я розумію, щойно ви додасте порт до каналу порту, вся VLAN конфігурація STP робиться на канал порту, а не на порт. Якщо я створюю канал порту з Fa 1/10 та Fa 1/11, я конфігурую їх як магістралі, використовуючи призначений їм Порт-канал, а не їх окремі порти (принаймні, це я роблю з ProCurves). Це правильно?
  • Якщо останній елемент правильний, це означає, що вся конфігурація порту членів каналу порту або не працює, або було зроблено до того, як цей порт стане членом каналу порту. Це розумне припущення?
  • Як у біса трафік від VLAN 100 потрапляє по висхідній лінії зв'язку (я можу дістатись до VM, розміщених на хостах ESXi)? VLAN 100 зникає, як тільки він потрапляє на Meraki, і рідні теги VLAN стають різними. Все працює, але я не можу допомогти, але відчуваю, що щось дивне з цією установкою, і було б краще просунути VLAN 100 повністю до решти стека. Щоб зробити речі ще більш незначними, VLAN 2 закінчується і в порту 41 на Meraki, все інше встановлено на Native VLAN 1.

Рухаючись вперед, я схильний відмовитися від VLAN 100 або перенастроїти решту нашого стеку, щоб підмережа, яка їздить по VLAN 100, не використовувала декілька VLAN (100 і 1) і усувала невідповідність тегів Native VLAN по висхідній лінії зв'язку (порт 41 - - Гі 1/0/24). Думки про цей план?

networking  cisco  cisco-catalyst  meraki 

Відповіді:

7
  • Поєднання switchport accessі магістраль порту перемикання дозволили makes theконфігурацію доступу до комутатора "без заходу, правда? Ви не можете мати порт у режимі доступу та магістралі, якщо я не помиляюся. Чи може хтось мені це підтвердити?

Не зовсім. Дозвольте мені розбити конфігурацію:

interface Port-channel1
    switchport access vlan 100
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan 100,101,172,192
    switchport mode trunk
    switchport nonegotiate
    spanning-tree portfast trunk

Чистий результат цієї конфігурації:

  • КОЛИ порт знаходиться в режимі доступу:
    • він передаватиме лише (без тегів) трафік на VLAN 100
  • КОЛИ порт знаходиться в режимі магістралі (≥1 VLAN):
    • порт передасть немечений трафік на VLAN 1
    • порт передасть позначений трафік по VLAN 100,101,172,192
    • ВІДПОВІДЬ зауважте, що VLAN 1 не знаходиться в списку дозволених → не маркований трафік не дозволить пройти цей порт
    • switchport mode trunk → цей порт завжди буде в режимі магістралі
    • switchport nonegotiate→ не надсилайте кадри DTP - такі кадри можуть неправильно пересилатись і викликати порти інших комутаторів, щоб вони узгоджувались із магістралями, коли цього не потрібно.
    • можливо, ви хочете додати: switchport trunk native vlan 100якщо інший кінець посилання очікує, що немечений трафік буде VLAN 100.
  • Наскільки я розумію, щойно ви додасте порт до каналу порту, вся VLAN конфігурація STP робиться на канал порту, а не на порт. Якщо я створюю канал порту з Fa 1/10 та Fa 1/11, я конфігурую їх як магістралі, використовуючи призначений їм Порт-канал, а не їх окремі порти (принаймні, це я роблю з ProCurves). Це правильно?

Правильно, для цілей spanning-дерева агрегований порт - це посилання. Щоб змінити конфігурацію порту, змініть конфігурацію агрегованого порту, і він пошириться на окремі інтерфейси.

  • Якщо останній елемент правильний, це означає, що вся конфігурація порту членів каналу порту або не працює, або було зроблено до того, як цей порт стане членом каналу порту. Це розумне припущення?

Це не-оп - вони повинні відповідати, або порту не буде дозволено приєднатися до агрегації:

30 травня 17: 11: 25,956:% EC-5-CANNOT_BUNDLE2: Gi0 / 20 не сумісний з Gi0 / 19 і буде призупинено (маска vlan відрізняється)

Перемикач поскаржиться :)

  • Як у біса трафік від VLAN 100 потрапляє по висхідній лінії зв'язку (я можу дістатись до VM, розміщених на хостах ESXi)? VLAN 100 зникає, як тільки він потрапляє на Meraki, і рідні теги VLAN стають різними. Все працює, але я не можу допомогти, але відчуваю, що щось дивне з цією установкою, і було б краще просунути VLAN 100 повністю до решти стека. Щоб зробити речі ще більш незначними, VLAN 2 закінчується і в порту 41 на Meraki, все інше встановлено на Native VLAN 1.
interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

Це трохи небезпечно - необмежений трафік буде або на VLAN 100, або на VLAN 2, залежно від режиму порту. Ви повинні змусити trunk режиму ( switchport mode trunk) або принаймні зрівняти нетегізовані VLAN.

У цьому режимі ( switchport mode dynamic) відбувається те, що порт перейде в режим доступу, але переключиться на магістраль, якщо він виявить будь-які помічені пакети. (це спрощено)

Це "умова", щоб зв'язки "переключення на комутатор" (іноді "перехід на хост") з декількома VLAN (магістралі в мові Cisco) завжди мали рідну (без тегів) VLAN 1.

Значення за замовчуванням не відображаються в конфігурації. Якщо ви не впевнені в налаштуваннях за замовчуванням, ви завжди можете sh run all:

interface Port-channel1
 description blch1-sw1
 switchport
 switchport access vlan 1
 switchport trunk native vlan 1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
 no switchport nonegotiate
 no switchport protected
 no switchport block multicast
 no switchport block unicast
 no ip arp inspection trust
 ip arp inspection limit rate 15 burst interval 1
 ip arp inspection limit rate 15
 no shutdown
 ipv6 mld snooping tcn flood
 snmp trap mac-notification change added
 snmp trap mac-notification change removed
 snmp trap link-status
 spanning-tree port-priority 3
 spanning-tree cost 3
 ip dhcp snooping limit rate 4294967295
 no ip dhcp snooping trust
 no ip dhcp snooping information option allow-untrusted

vs:

interface Port-channel1
 description blch1-sw1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
end

Зауважте, як switchport trunk native vlan 1цього немає у другому списку. Це за замовчуванням.

MikeyB
джерело
-2

Я думаю, що саме цього ви хочете для Channel2

interface Port-channel2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/4
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
RecentCoin
джерело
-2

Порти абонеканалу.

  • Будь-які зміни каналу порту впливають на пакет портів
  • Будь-які зміни окремих портів впливають лише на порт
  • Схоже, вам завели безлад для прибирання ...: D

  • Я думаю, ви хочете очистити більшу частину конфігурації в портах і просто мати щось просте, наприклад: 

    interface Port-channel2
no ip address 
switchport
switchport access vlan 100


interface GigabitEthernet1/0/6
description ESX2
channel-group 2 mode on

Мені здається, що єдиний магістраль, який вам потрібен, знаходиться між двома комутаторами.

Рідний влан на комутаторі cisco:

int GigabitEthernet1/0/24
no switchport access vlan 100
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 1
стягувати
джерело
Стовбури потрібні на ESX-посиланнях для трафіку гіпервізора (наприклад, vmotion), і вони будуть налаштовані як такі на хостах ESX, тому видалення їх з swtich спричинить проблеми.
CGretski
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.