Natywne niedopasowanie VLAN i brak VLAN?

10

Próbuję owinąć głowę tym, co dokładnie się tutaj dzieje, z konfiguracją stosu sieciowego nowej witryny. Ten konkretny kawałek, nad którym pracuję, jest dość prosty, ale trudno mi się domyślić, jaka była pierwotna intencja. Istnieje Cisco Catalyst 3750x z trzema kanałami portów (każdy z czterema interfejsami w jednym kawałku) do trzech hostów ESXi. Katalizator jest połączony z resztą sieci za pośrednictwem Meraki MS42 za pośrednictwem jednego interfejsu (bez kanału kanału). VLAN 100 przenosi ruch sieciowy, inne sieci VLAN są dedykowane do takich rzeczy jak vMotion lub sieci izolowane. Myślę, że duża część moich trudności polega na tym, że nie mówię w języku Cisco-ese.

Ustawić

Stos sieciowy


Port-Channel 1

interface Port-channel1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/1
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/2
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/3
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on


Port-Channel 2 (pomijam Port-Channel 3, ponieważ jest identyczny w konfiguracji do Port-Channel 2)

interface Port-channel2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/7
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/8
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on


Porty łącza zwrotnego

Na katalizatorze:

interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

Na Meraki:

Trunk port using native VLAN 1; allowed VLANs: all


Pytania

  • Połączenie switchport accessi switch port trunk allowedsprawia, że switchport accesskonfiguracja nie działa, prawda? Nie możesz mieć portu w trybie dostępu i w trybie trunk, chyba że się mylę. Czy ktoś może to dla mnie potwierdzić?
  • Rozumiem, że po dodaniu portu do portu kanału w całej sieci VLAN konfiguracja STP jest wykonywana dla każdego kanału portu, a nie dla portu. Jeśli tworzę kanał portu z Fa 1/10 i Fa 1/11, konfiguruję je jako łącza przy użyciu przypisanego kanału kanału, a nie poszczególnych portów (przynajmniej tak robię z ProCurves). Czy to jest poprawne?
  • Jeśli ostatni element jest poprawny, oznacza to, że cała konfiguracja dla poszczególnych portów Port Channel nie działa lub została wykonana przed utworzeniem tego portu jako członka Port Channel. Czy to rozsądne założenie?
  • W jaki sposób, do cholery, ruch z sieci VLAN 100 przechodzi przez łącze ładujące (mogę dotrzeć do maszyn wirtualnych hostowanych na hostach ESXi)? VLAN 100 znika po uderzeniu w Meraki, a natywne tagi VLAN są inne. Wszystko działa, ale nic nie poradzę, ale czuję, że coś jest dziwnego w tej konfiguracji i lepiej byłoby przepchnąć VLAN 100 do końca stosu. Aby uczynić jeszcze dziwniejszym, sieć VLAN 2 kończy się również na porcie 41 na Meraki, wszystko inne jest ustawione na Natywną sieć VLAN 1.

Przechodząc do przodu, jestem skłonny porzucić VLAN 100 lub zmienić konfigurację reszty naszego stosu, aby podsieć, która jeździ w VLAN 100, nie używa wielu VLANów (100 i 1) i nie rozwiąże niezgodności natywnego znacznika VLAN w łączu w górę (Port 41 - - Gi 1/0/24). Myśli o tym planie?

networking  cisco  cisco-catalyst  meraki 

Odpowiedzi:

7
  • Kombinacja switchport accessportu przełącznika i portu trunk pozwoliła na makes thekonfigurację dostępu do portu przełączania bez możliwości, prawda? Nie możesz mieć portu w trybie dostępu i w trybie trunk, chyba że się mylę. Czy ktoś może to dla mnie potwierdzić?

Nie dokładnie. Pozwól mi rozbić konfigurację:

interface Port-channel1
    switchport access vlan 100
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan 100,101,172,192
    switchport mode trunk
    switchport nonegotiate
    spanning-tree portfast trunk

Wynik netto tej konfiguracji to:

  • KIEDY port jest w trybie dostępu:
    • przesyła tylko (nieoznaczony) ruch do sieci VLAN 100
  • KIEDY port jest w trybie trunk (≥1 VLAN):
    • port będzie przekazywał nieoznaczony ruch w sieci VLAN 1
    • port przekaże oznaczony ruch w sieci VLAN 100,101,172,192
    • JEDNAK zauważ, że VLAN 1 nie znajduje się na liście dozwolonych → żaden nieoznaczony ruch nie będzie mógł przechodzić przez ten port
    • switchport mode trunk → ten port zawsze będzie w trybie trunk
    • switchport nonegotiate→ nie wysyłaj ramek DTP - takie ramki mogą być przesyłane niepoprawnie i powodować, że porty na innych przełącznikach będą negocjować do linii, kiedy nie powinny.
    • prawdopodobnie możesz dodać: switchport trunk native vlan 100jeśli drugi koniec łącza oczekuje, że nieoznaczony ruch będzie VLAN 100.
  • Rozumiem, że po dodaniu portu do portu kanału w całej sieci VLAN konfiguracja STP jest wykonywana dla każdego kanału portu, a nie dla portu. Jeśli tworzę kanał portu z Fa 1/10 i Fa 1/11, konfiguruję je jako łącza przy użyciu przypisanego kanału kanału, a nie poszczególnych portów (przynajmniej tak robię z ProCurves). Czy to jest poprawne?

Tak, dla celów drzewa opinającego zagregowany port jest łączem. Aby zmienić konfigurację portu, zmień konfigurację zagregowanego portu, a zostanie on propagowany do poszczególnych interfejsów.

  • Jeśli ostatni element jest poprawny, oznacza to, że cała konfiguracja dla poszczególnych portów Port Channel nie działa lub została wykonana przed utworzeniem tego portu jako członka Port Channel. Czy to rozsądne założenie?

To nie jest żadna operacja - muszą się zgadzać, inaczej port nie będzie mógł dołączyć do agregacji:

30 maja 17: 11: 25.956:% EC-5-CANNOT_BUNDLE2: Gi0 / 20 nie jest kompatybilny z Gi0 / 19 i zostanie zawieszony (maska ​​vlan jest inna)

Przełącznik będzie narzekać :)

  • W jaki sposób, do cholery, ruch z sieci VLAN 100 przechodzi przez łącze ładujące (mogę dotrzeć do maszyn wirtualnych hostowanych na hostach ESXi)? VLAN 100 znika po uderzeniu w Meraki, a natywne tagi VLAN są inne. Wszystko działa, ale nic nie poradzę, ale czuję, że coś jest dziwnego w tej konfiguracji i lepiej byłoby przepchnąć VLAN 100 do końca stosu. Aby uczynić jeszcze dziwniejszym, sieć VLAN 2 kończy się również na porcie 41 na Meraki, wszystko inne jest ustawione na Natywną sieć VLAN 1.
interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

Jest to trochę niebezpieczne - ruch nieoznaczony będzie na VLAN 100 lub VLAN 2, w zależności od trybu portu. Powinieneś wymusić tryb trunk ( switchport mode trunk) lub przynajmniej dopasować nieoznakowane sieci VLAN.

To, co dzieje się w tym trybie ( switchport mode dynamic), polega na tym, że port wejdzie w tryb dostępu, ale przełączy się do łącza, jeśli wykryje jakiekolwiek oznakowane pakiety. (jest to uproszczone)

„Konwencja” polega na tym, że łącza przełączające między przełącznikami (czasami przełączanie na hosta) z wieloma sieciami VLAN (magistrale w języku Cisco) zawsze mają natywną (nieoznaczoną) sieć VLAN 1.

Wartości domyślne nie są wyświetlane w konfiguracji. Jeśli nie masz pewności co do ustawień domyślnych, zawsze możesz sh run all:

interface Port-channel1
 description blch1-sw1
 switchport
 switchport access vlan 1
 switchport trunk native vlan 1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
 no switchport nonegotiate
 no switchport protected
 no switchport block multicast
 no switchport block unicast
 no ip arp inspection trust
 ip arp inspection limit rate 15 burst interval 1
 ip arp inspection limit rate 15
 no shutdown
 ipv6 mld snooping tcn flood
 snmp trap mac-notification change added
 snmp trap mac-notification change removed
 snmp trap link-status
 spanning-tree port-priority 3
 spanning-tree cost 3
 ip dhcp snooping limit rate 4294967295
 no ip dhcp snooping trust
 no ip dhcp snooping information option allow-untrusted

vs:

interface Port-channel1
 description blch1-sw1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
end

Zwróć uwagę, że switchport trunk native vlan 1nie ma go na drugiej liście. To jest domyślne.

MikeyB
źródło
-2

Myślę, że tego właśnie chcesz dla Channel2

interface Port-channel2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/4
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
Najnowsze monety
źródło
-2

Porty Eitherchannel.

  • Wszelkie zmiany kanału portu wpływają na pakiet portów
  • Wszelkie zmiany poszczególnych portów wpływają tylko na port
  • Wygląda na to, że dostałeś bałagan do sprzątania ...: D

  • Myślę, że chcesz wyczyścić większość konfiguracji w portach i mieć po prostu coś prostego: 

    interface Port-channel2
no ip address 
switchport
switchport access vlan 100


interface GigabitEthernet1/0/6
description ESX2
channel-group 2 mode on

Wydaje mi się, że jedyny potrzebny bagażnik znajduje się między dwoma przełącznikami.

Natywny vlan na przełączniku Cisco:

int GigabitEthernet1/0/24
no switchport access vlan 100
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 1
nałożyć
źródło
Trasy są wymagane w łączach ESX dla ruchu hiperwizora (np. Vmotion) i zostaną skonfigurowane jako takie na hostach ESX, więc usunięcie ich z przełącznika spowoduje problemy.
CGretski
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.