Собственное несоответствие VLAN и отсутствующее VLAN?

Я пытаюсь обдумать, что именно здесь происходит, с новой конфигурацией своего сетевого стека на новом сайте. Эта конкретная часть, над которой я работаю, довольно проста, но мне трудно понять, каково было первоначальное намерение. Существует Cisco Catalyst 3750x с тремя каналами портов (каждый с четырьмя интерфейсами на штуку), идущий к трем хостам ESXi. Catalyst подключен к остальной части сети через Meraki MS42 через единый интерфейс (без порта канала). VLAN 100 несет сетевой трафик, другие VLAN предназначены для таких вещей, как vMotion или изолированные сети. Я думаю, что большая часть моих трудностей заключается в том, что я не говорю на Cisco-ese.

Настройка

Сетевой стек


Порт-канал 1

interface Port-channel1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/1
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/2
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/3
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on


Port-Channel 2 (я опускаю Port-Channel 3, так как он идентичен по конфигурации Port-Channel 2)

interface Port-channel2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/7
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/8
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on


Uplink Ports

На катализаторе:

interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

На Мераки:

Trunk port using native VLAN 1; allowed VLANs: all


Вопросы

  • Сочетание switchport access а также switch port trunk allowed делает switchport access Конфигурация неоперативная, верно? Вы не можете иметь порт в режиме доступа и режиме транка, если я не ошибаюсь. Может ли кто-нибудь подтвердить это для меня?
  • Насколько я понимаю, когда вы добавляете порт к каналу порта, вся VLAN конфигурация STP выполняется для канала порта, а не для порта. Если я создаю канал порта из Fa 1/10 и Fa 1/11, я настраиваю их как транки, используя назначенный им канал порта, а не их отдельные порты (по крайней мере, это то, что я делаю с ProCurves). Это правильно?
  • Если последний пункт верен, это означает, что вся конфигурация каждого порта для участников Channel Port либо не активна, либо была выполнена до того, как этот порт стал членом Channel Port. Это разумное предположение?
  • Как, черт возьми, трафик VLAN 100 проходит по восходящей линии связи (я могу добраться до виртуальных машин, размещенных на хостах ESXi)? VLAN 100 исчезает при попадании в Meraki, а собственные теги VLAN различаются. Все работает, но я не могу помочь, но чувствую, что с этой настройкой что-то странное, и было бы предпочтительнее протолкнуть VLAN 100 до конца стека. Чтобы сделать вещи еще более странными, VLAN 2 заканчивается на порте 41 на Meraki, все остальное настроено на Native VLAN 1.

Двигаясь вперед, я склонен отказаться от VLAN 100 или перенастроить оставшуюся часть нашего стека, чтобы подсеть, которая работает на VLAN 100, не использовала несколько VLAN (100 и 1) и устранить несоответствие тега Native VLAN на восходящей линии связи (порт 41 -- Gi 1/0/24). Мысли об этом плане?

Источник

3 ответа

Решение
  • Сочетание switchport access и порт коммутатора разрешен makes the конфигурация switchport access` не работает, верно? Вы не можете иметь порт в режиме доступа и режиме транка, если я не ошибаюсь. Может ли кто-нибудь подтвердить это для меня?

Не совсем. Позвольте мне разбить конфигурацию:

interface Port-channel1
    switchport access vlan 100
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan 100,101,172,192
    switchport mode trunk
    switchport nonegotiate
    spanning-tree portfast trunk

Чистый результат этой конфигурации:

  • КОГДА порт находится в режиме доступа:
    • он будет пропускать только (без тегов) трафик в VLAN 100
  • КОГДА порт находится в режиме транка (≥1 VLAN):
    • порт будет проходить без тега трафика по VLAN 1
    • порт будет передавать помеченный трафик в VLAN 100,101,172,192
    • ОДНАКО обратите внимание, что VLAN 1 отсутствует в списке разрешенных → нетегированный трафик не будет проходить через этот порт
    • switchport mode trunk → этот порт всегда будет в режиме транка
    • switchport nonegotiate → не отправлять кадры DTP - такие кадры могут быть неправильно перенаправлены и приводить к тому, что порты на других коммутаторах будут согласовывать транки, когда они не должны.
    • Вы, возможно, хотите добавить: switchport trunk native vlan 100 если другой конец канала ожидает, что немаркированный трафик будет VLAN 100.
  • Насколько я понимаю, когда вы добавляете порт к каналу порта, вся VLAN конфигурация STP выполняется для канала порта, а не для порта. Если я создаю канал порта из Fa 1/10 и Fa 1/11, я настраиваю их как транки, используя назначенный им канал порта, а не их отдельные порты (по крайней мере, это то, что я делаю с ProCurves). Это правильно?

Правильно, для целей связующего дерева агрегированный порт является ссылкой. Чтобы изменить конфигурацию порта, измените конфигурацию агрегированного порта, и он будет распространяться на отдельные интерфейсы.

  • Если последний пункт верен, это означает, что вся конфигурация каждого порта для участников Channel Port либо не активна, либо была выполнена до того, как этот порт стал членом Channel Port. Это разумное предположение?

Это не запрет - они должны совпадать, иначе порт не будет допущен к объединению:

30 мая 17:11:25.956: %EC-5-CANNOT_BUNDLE2: Gi0/20 не совместим с Gi0/19 и будет приостановлен (маска vlan другая)

Переключатель будет жаловаться:)

  • Как, черт возьми, трафик VLAN 100 проходит по восходящей линии связи (я могу добраться до виртуальных машин, размещенных на хостах ESXi)? VLAN 100 исчезает при попадании в Meraki, а собственные теги VLAN различаются. Все работает, но я не могу помочь, но чувствую, что с этой настройкой что-то странное, и было бы предпочтительнее протолкнуть VLAN 100 до конца стека. Чтобы сделать вещи еще более странными, VLAN 2 заканчивается на порте 41 на Meraki, все остальное настроено на Native VLAN 1. 
interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

Это немного опасно - непомеченный трафик будет либо на VLAN 100, либо на VLAN 2, в зависимости от режима порта. Вы должны форсировать режим багажника (switchport mode trunk) или, по крайней мере, сделать соответствие сетей без тегов VLAN.

Что происходит в этом режиме (switchport mode dynamic) порт будет работать в режиме доступа, но переключится на транк, если обнаружит помеченные пакеты. (это упрощено)

Общепринято, что линии с коммутатором на коммутатор (иногда с коммутацией на хост) с несколькими VLAN (транки на языке Cisco) всегда имеют собственную (немаркированную) VLAN 1.

Значения по умолчанию не отображаются в конфигурации. Если вы не уверены в значениях по умолчанию, вы всегда можете sh run all:

interface Port-channel1
 description blch1-sw1
 switchport
 switchport access vlan 1
 switchport trunk native vlan 1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
 no switchport nonegotiate
 no switchport protected
 no switchport block multicast
 no switchport block unicast
 no ip arp inspection trust
 ip arp inspection limit rate 15 burst interval 1
 ip arp inspection limit rate 15
 no shutdown
 ipv6 mld snooping tcn flood
 snmp trap mac-notification change added
 snmp trap mac-notification change removed
 snmp trap link-status
 spanning-tree port-priority 3
 spanning-tree cost 3
 ip dhcp snooping limit rate 4294967295
 no ip dhcp snooping trust
 no ip dhcp snooping information option allow-untrusted

против:

interface Port-channel1
 description blch1-sw1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
end

Обратите внимание, как switchport trunk native vlan 1 не во втором списке. Это по умолчанию.

Источник

Порты любого канала.

  • Любые изменения в канале порта влияют на пакет портов
  • Любые изменения в отдельных портах влияют только на порт
  • Похоже, вы получили беспорядок, чтобы навести порядок...:D

  • Я думаю, что вы хотели бы очистить большую часть конфигурации в портах и ​​просто сделать что-то простое:

    interface Port-channel2
no ip address 
switchport
switchport access vlan 100


interface GigabitEthernet1/0/6
description ESX2
channel-group 2 mode on

Сдается мне, что единственная необходимая вам магистраль находится между двумя переключателями.

Родной vlan на коммутаторе cisco:

int GigabitEthernet1/0/24
no switchport access vlan 100
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 1
Источник

Я думаю, что это то, что вы хотите для Channel2

interface Port-channel2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/4
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
Источник
Другие вопросы по тегам