Собственное несоответствие VLAN и отсутствующее VLAN?

10

Я пытаюсь обдумать, что именно здесь происходит, с новой конфигурацией своего сетевого стека на новом сайте. Эта конкретная часть, над которой я работаю, довольно проста, но мне трудно понять, каково было первоначальное намерение. Существует Cisco Catalyst 3750x с тремя каналами портов (каждый с четырьмя интерфейсами на штуку), идущий к трем хостам ESXi. Catalyst подключен к остальной части сети через Meraki MS42 через единый интерфейс (без порта канала). VLAN 100 несет сетевой трафик, другие VLAN предназначены для таких вещей, как vMotion или изолированные сети. Я думаю, что большая часть моей трудности здесь заключается в том, что я не говорю на Cisco-ese.

Настройка

Сетевой стек


Порт-канал 1

interface Port-channel1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/1
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/2
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/3
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on


Port-Channel 2 (я опускаю Port-Channel 3, так как он идентичен по конфигурации Port-Channel 2)

interface Port-channel2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/7
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/8
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on


Uplink Ports

На катализаторе:

interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

На Мераки:

Trunk port using native VLAN 1; allowed VLANs: all


Вопросы

  • Комбинация switchport accessи switch port trunk allowedделает switchport accessконфигурацию неоперативной, верно? Вы не можете иметь порт в режиме доступа и магистральный режиме , если я не ошибаюсь. Кто-нибудь может подтвердить это для меня?
  • Насколько я понимаю, когда вы добавляете порт к каналу порта, все VLAN конфигурация STP выполняется для канала порта, а не для порта. Если я создаю канал порта из Fa 1/10 и Fa 1/11, я настраиваю их как транки, используя назначенный им порт канала, а не их отдельные порты (по крайней мере, это то, что я делаю с ProCurves). Это правильно?
  • Если последний элемент верен, это означает, что вся конфигурация для отдельных членов канала порта либо не активна, либо была выполнена до того, как этот порт стал членом канала порта. Это разумное предположение?
  • Как, черт возьми, трафик VLAN 100 проходит по восходящей линии связи (я могу добраться до виртуальных машин, размещенных на хостах ESXi)? VLAN 100 исчезает при попадании в Meraki, а собственные теги VLAN различаются. Все работает, но я не могу помочь, но чувствую, что с этой настройкой что-то странное, и было бы предпочтительнее протолкнуть VLAN 100 до конца стека. Чтобы сделать вещи еще более странными, VLAN 2 заканчивается на порте 41 на Meraki, все остальное настроено на Native VLAN 1.

Двигаясь вперед, я склонен отказаться от VLAN 100 или перенастроить оставшуюся часть нашего стека, чтобы подсеть, которая работает на VLAN 100, не использовала несколько VLAN (100 и 1) и устранить несоответствие тега Native VLAN на восходящей линии связи (порт 41 - - Gi 1/0/24). Мысли об этом плане?

networking cisco cisco-catalyst meraki
источник

Ответы:

7
  • Комбинация switchport accessи магистраль порта коммутатора позволили makes theконфигурации доступа к порту коммутатора не работать, верно? Вы не можете иметь порт в режиме доступа и магистральный режиме , если я не ошибаюсь. Кто-нибудь может подтвердить это для меня?

Не совсем. Позвольте мне разбить конфигурацию:

interface Port-channel1
    switchport access vlan 100
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan 100,101,172,192
    switchport mode trunk
    switchport nonegotiate
    spanning-tree portfast trunk

Чистый результат этой конфигурации:

  • КОГДА порт находится в режиме доступа:
    • он будет передавать только (без тегов) трафик в VLAN 100
  • КОГДА порт находится в режиме транка (≥1 VLAN):
    • порт будет передавать без тега трафик на VLAN 1
    • порт будет передавать помеченный трафик в VLAN 100,101,172,192
    • ОДНАКО обратите внимание, что VLAN 1 отсутствует в списке разрешенных → нетегированный трафик не будет разрешен для прохождения через этот порт
    • switchport mode trunk → этот порт всегда будет в режиме транка
    • switchport nonegotiate→ не отправлять кадры DTP - такие кадры могут быть неправильно перенаправлены и приводить к тому, что порты на других коммутаторах будут согласовывать транки, когда они не должны.
    • Возможно, вы захотите добавить: switchport trunk native vlan 100если другой конец канала ожидает, что немаркированный трафик будет VLAN 100.
  • Насколько я понимаю, когда вы добавляете порт к каналу порта, все VLAN конфигурация STP выполняется для канала порта, а не для порта. Если я создаю канал порта из Fa 1/10 и Fa 1/11, я настраиваю их как транки, используя назначенный им порт канала, а не их отдельные порты (по крайней мере, это то, что я делаю с ProCurves). Это правильно?

Правильно, для целей связующего дерева агрегированный порт является ссылкой. Чтобы изменить конфигурацию порта, измените конфигурацию агрегированного порта, и он будет распространяться на отдельные интерфейсы.

  • Если последний элемент верен, это означает, что вся конфигурация для отдельных членов канала порта либо не активна, либо была выполнена до того, как этот порт стал членом канала порта. Это разумное предположение?

Это не запрет - они должны совпадать, иначе порт не будет допущен к объединению:

30 мая 17: 11: 25.956:% EC-5-CANNOT_BUNDLE2: Gi0 / 20 не совместим с Gi0 / 19 и будет приостановлен (маска vlan другая)

Переключатель будет жаловаться :)

  • Как, черт возьми, трафик VLAN 100 проходит по восходящей линии связи (я могу добраться до виртуальных машин, размещенных на хостах ESXi)? VLAN 100 исчезает при попадании в Meraki, а собственные теги VLAN различаются. Все работает, но я не могу помочь, но чувствую, что с этой настройкой что-то странное, и было бы предпочтительнее протолкнуть VLAN 100 до конца стека. Чтобы сделать вещи еще более странными, VLAN 2 заканчивается на порте 41 на Meraki, все остальное настроено на Native VLAN 1.
interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

Это немного опасно - без тегов трафик будет либо на VLAN 100, либо на VLAN 2, в зависимости от режима порта. Вы должны принудительно включить режим trunk ( switchport mode trunk) или, по крайней мере, сделать так, чтобы VLAN без тегов совпадали.

В этом режиме ( switchport mode dynamic) происходит то, что порт перейдет в режим доступа, но переключится на транк, если обнаружит помеченные пакеты. (это упрощено)

Общепринято, что линии с коммутатором на коммутатор (иногда с коммутацией на хост) с несколькими VLAN (транки на языке Cisco) всегда имеют собственную (не маркированную) VLAN 1.

Значения по умолчанию не отображаются в конфигурации. Если вы не уверены в значениях по умолчанию, вы всегда можете sh run all:

interface Port-channel1
 description blch1-sw1
 switchport
 switchport access vlan 1
 switchport trunk native vlan 1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
 no switchport nonegotiate
 no switchport protected
 no switchport block multicast
 no switchport block unicast
 no ip arp inspection trust
 ip arp inspection limit rate 15 burst interval 1
 ip arp inspection limit rate 15
 no shutdown
 ipv6 mld snooping tcn flood
 snmp trap mac-notification change added
 snmp trap mac-notification change removed
 snmp trap link-status
 spanning-tree port-priority 3
 spanning-tree cost 3
 ip dhcp snooping limit rate 4294967295
 no ip dhcp snooping trust
 no ip dhcp snooping information option allow-untrusted

против:

interface Port-channel1
 description blch1-sw1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
end

Обратите внимание, как switchport trunk native vlan 1не во втором листинге. Это по умолчанию.

MikeyB
источник
-2

Я думаю, что это то, что вы хотите для Channel2

interface Port-channel2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/4
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
RecentCoin
источник
-2

Порты любого канала.

  • Любые изменения в канале порта влияют на пакет портов
  • Любые изменения в отдельных портах влияют только на порт
  • Похоже, вы получили беспорядок, чтобы навести порядок ...: D

  • Я думаю, что вы хотели бы очистить большую часть конфигурации в портах и ​​просто сделать что-то вроде: 

    interface Port-channel2
no ip address 
switchport
switchport access vlan 100


interface GigabitEthernet1/0/6
description ESX2
channel-group 2 mode on

Сдается мне, что единственная необходимая вам магистраль находится между двумя переключателями.

Родной vlan на коммутаторе cisco:

int GigabitEthernet1/0/24
no switchport access vlan 100
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 1
обложение
источник
Магистральные линии требуются в каналах ESX для трафика гипервизора (например, vmotion) и будут настроены так же на хостах ESX, поэтому удаление их из swtich вызовет проблемы.
CGretski