Ketidakcocokan VLAN asli dan VLAN yang hilang?

10

Saya mencoba membungkus kepala saya dengan apa yang sebenarnya terjadi di sini dengan konfigurasi situs baru dari tumpukan jaringan mereka. Bagian khusus ini yang saya kerjakan cukup sederhana tetapi saya mengalami kesulitan mencari tahu apa maksud aslinya. Ada Cisco Catalyst 3750x dengan tiga Port Channels (masing-masing dengan empat interface) menuju tiga host ESXi. Catalyst terhubung ke seluruh jaringan melalui Meraki MS42 melalui antarmuka tunggal (tanpa Port Channel). VLAN 100 membawa lalu lintas jaringan, VLAN lainnya didedikasikan untuk hal-hal seperti vMotion atau jaringan yang terisolasi. Saya pikir sebagian besar kesulitan saya di sini adalah saya tidak berbicara bahasa Cisco.

Pengaturan

Tumpukan Jaringan


Port-Channel 1

interface Port-channel1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/1
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/2
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/3
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on


Port-Channel 2 (Saya meninggalkan Port-Channel 3 karena identik dalam konfigurasi ke Port-Channel 2)

interface Port-channel2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/7
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/8
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on


Port Uplink

Di Catalyst:

interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

Di Meraki:

Trunk port using native VLAN 1; allowed VLANs: all


Pertanyaan-pertanyaan

  • Kombinasi switchport accessdan switch port trunk allowedmenjadikan switchport accesskonfigurasi sebagai larangan, bukan? Anda tidak dapat memiliki port dalam mode akses dan mode trunk kecuali saya salah. Bisakah seseorang mengkonfirmasi ini untuk saya?
  • Ini adalah pemahaman saya bahwa setelah Anda menambahkan port ke Port Channel semua VLAN konfigurasi STP dilakukan per Port Channel dan bukan per port. Jika saya membuat Port Channel dari Fa 1/10 dan Fa 1/11, saya mengkonfigurasinya sebagai trunk menggunakan Port Channel yang ditugaskan dan bukan port individual mereka (setidaknya ini yang saya lakukan dengan ProCurves). Apakah ini benar?
  • Jika item terakhir benar, itu berarti semua konfigurasi per-port anggota Port Channel adalah no-op atau dilakukan sebelum port tersebut dibuat menjadi anggota Port Channel. Apakah ini asumsi yang masuk akal?
  • Bagaimana sih lalu lintas dari VLAN 100 melintasi uplink (saya bisa mencapai VM yang dihosting di host ESXi)? VLAN 100 menghilang begitu hits Meraki dan tag VLAN asli berbeda. Hal-hal berfungsi dengan baik tetapi saya tidak bisa tidak merasakan ada sesuatu yang aneh dengan pengaturan ini dan akan lebih baik untuk mendorong VLAN 100 sampai ke tumpukan. Untuk membuat hal-hal yang bahkan asing, VLAN 2 berakhir di Port 41 pada Meraki juga, semua yang lain diatur ke Native VLAN 1.

Bergerak maju saya cenderung meninggalkan VLAN 100 atau mengkonfigurasi ulang sisa tumpukan kami sehingga subnet yang mengendarai VLAN 100 tidak menggunakan beberapa VLAN (100 dan 1) dan menyelesaikan ketidakcocokan tag VLAN asli pada uplink (Port 41 - - Gi 1/0/24). Pikiran tentang rencana ini?

networking  cisco  cisco-catalyst  meraki 

Jawaban:

7
  • Kombinasi switchport accessdan port trunk memungkinkan akses makes theswitchport` konfigurasi no-op, kan? Anda tidak dapat memiliki port dalam mode akses dan mode trunk kecuali saya salah. Bisakah seseorang mengkonfirmasi ini untuk saya?

Tidak persis. Biarkan saya memecah konfigurasi:

interface Port-channel1
    switchport access vlan 100
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan 100,101,172,192
    switchport mode trunk
    switchport nonegotiate
    spanning-tree portfast trunk

Hasil bersih dari konfigurasi ini adalah:

  • KAPAN port dalam mode akses:
    • itu hanya akan melewati (tidak ditandai) lalu lintas di VLAN 100
  • KAPAN port dalam mode trunk (≥1 VLAN):
    • port akan melewatkan lalu lintas tanpa tanda pada VLAN 1
    • port akan melewati traffic yang ditandai pada VLAN 100.101.172.192
    • NAMUN perhatikan bahwa VLAN 1 tidak ada dalam daftar yang diizinkan → tidak ada lalu lintas yang tidak ditandai akan diizinkan untuk melintasi port ini
    • switchport mode trunk → port ini akan selalu dalam mode trunk
    • switchport nonegotiate→ jangan mengirim frame DTP - frame seperti itu mungkin diteruskan secara tidak benar dan menyebabkan port pada switch lain bernegosiasi ke trunk ketika tidak seharusnya.
    • Anda mungkin ingin menambahkan: switchport trunk native vlan 100jika ujung tautan mengharapkan lalu lintas yang tidak ditandai menjadi VLAN 100.
  • Ini adalah pemahaman saya bahwa setelah Anda menambahkan port ke Port Channel semua VLAN konfigurasi STP dilakukan per Port Channel dan bukan per port. Jika saya membuat Port Channel dari Fa 1/10 dan Fa 1/11, saya mengkonfigurasinya sebagai trunk menggunakan Port Channel yang ditugaskan dan bukan port individual mereka (setidaknya ini yang saya lakukan dengan ProCurves). Apakah ini benar?

Benar, untuk keperluan spanning-tree, port gabungan adalah tautan. Untuk mengubah konfigurasi port, ubah konfigurasi port agregat dan itu akan merambat ke antarmuka individual.

  • Jika item terakhir benar, itu berarti semua konfigurasi per-port anggota Port Channel adalah no-op atau dilakukan sebelum port tersebut dibuat menjadi anggota Port Channel. Apakah ini asumsi yang masuk akal?

Ini bukan larangan - mereka harus cocok atau port tidak akan diizinkan untuk bergabung dengan agregasi:

30 Mei 17: 11: 25.956:% EC-5-CANNOT_BUNDLE2: Gi0 / 20 tidak kompatibel dengan Gi0 / 19 dan akan ditangguhkan (vlan mask berbeda)

Switch akan mengeluh :)

  • Bagaimana sih lalu lintas dari VLAN 100 melintasi uplink (saya bisa mencapai VM yang dihosting di host ESXi)? VLAN 100 menghilang begitu hits Meraki dan tag VLAN asli berbeda. Hal-hal berfungsi dengan baik tetapi saya tidak bisa tidak merasakan ada sesuatu yang aneh dengan pengaturan ini dan akan lebih baik untuk mendorong VLAN 100 sampai ke tumpukan. Untuk membuat hal-hal yang bahkan asing, VLAN 2 berakhir di Port 41 pada Meraki juga, semua yang lain diatur ke Native VLAN 1.
interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

Ini sedikit berbahaya - lalu lintas yang tidak ditandai akan berada di VLAN 100 atau VLAN 2 tergantung pada mode port. Anda harus memaksa mode trunk ( switchport mode trunk) atau setidaknya membuat VLAN yang tidak bertanda cocok.

Apa yang terjadi dalam mode ini ( switchport mode dynamic) adalah bahwa port akan muncul dalam mode akses tetapi beralih ke trunk jika mendeteksi paket yang ditandai. (ini disederhanakan)

Ini adalah "kebiasaan" untuk memiliki tautan switch-to-switch (terkadang switch-to-host) dengan beberapa VLAN (trunk dalam bahasa Cisco) selalu memiliki VLAN 1 asli (tidak ditandai).

Default tidak ditampilkan dalam konfigurasi. Jika Anda tidak yakin dengan standarnya, Anda selalu dapat sh run all:

interface Port-channel1
 description blch1-sw1
 switchport
 switchport access vlan 1
 switchport trunk native vlan 1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
 no switchport nonegotiate
 no switchport protected
 no switchport block multicast
 no switchport block unicast
 no ip arp inspection trust
 ip arp inspection limit rate 15 burst interval 1
 ip arp inspection limit rate 15
 no shutdown
 ipv6 mld snooping tcn flood
 snmp trap mac-notification change added
 snmp trap mac-notification change removed
 snmp trap link-status
 spanning-tree port-priority 3
 spanning-tree cost 3
 ip dhcp snooping limit rate 4294967295
 no ip dhcp snooping trust
 no ip dhcp snooping information option allow-untrusted

vs:

interface Port-channel1
 description blch1-sw1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
end

Perhatikan bagaimana switchport trunk native vlan 1tidak ada dalam daftar kedua. Itu standarnya.

MikeyB
sumber
-2

Saya pikir ini yang Anda inginkan untuk Channel2

interface Port-channel2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/4
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
RecentCoin
sumber
-2

Port Eitherchannel.

  • Setiap perubahan pada saluran port mempengaruhi bundel port
  • Setiap perubahan pada masing-masing port hanya mempengaruhi port
  • Sepertinya Anda diberikan kekacauan untuk dibersihkan ...: D

  • Saya pikir Anda ingin menghapus sebagian besar konfigurasi di port dan hanya memiliki sesuatu yang sederhana seperti: 

    interface Port-channel2
no ip address 
switchport
switchport access vlan 100


interface GigabitEthernet1/0/6
description ESX2
channel-group 2 mode on

Menurut saya, satu-satunya bagasi yang Anda butuhkan ada di antara dua sakelar.

VLAN asli pada sakelar cisco:

int GigabitEthernet1/0/24
no switchport access vlan 100
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 1
retribusi
sumber
Trunk diperlukan pada tautan ESX untuk lalu lintas hypervisor (mis. Vmotion), dan akan dikonfigurasikan seperti itu pada host ESX, jadi menghapusnya dari swtich akan menyebabkan masalah.
CGretski
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.