Назад | Перейти на главную страницу

Несоответствие собственных VLAN и отсутствие VLAN?

Я пытаюсь понять, что именно здесь происходит, с новой конфигурацией сетевого стека сайта. Эта конкретная работа, над которой я работаю, довольно проста, но мне трудно понять, в чем заключалась первоначальная цель. Существует Cisco Catalyst 3750x с тремя каналами портов (каждый с четырьмя интерфейсами в штуке), идущими к трем хостам ESXi. Catalyst подключается к остальной части сети через Meraki MS42 через единственный интерфейс (без канала порта). VLAN 100 передает сетевой трафик, другие VLAN предназначены для таких вещей, как vMotion или изолированные сети. Я думаю, что большая часть моих трудностей здесь в том, что я не говорю на Cisco-ese.

Установка


Порт-канал 1

interface Port-channel1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/1
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/2
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/3
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on


Порт-канал 2 (Я опускаю порт-канал 3, так как он идентичен по конфигурации с портом-каналом 2)

interface Port-channel2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/7
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/8
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on


Порты восходящего канала

На катализаторе:

interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

На Мераки:

Trunk port using native VLAN 1; allowed VLANs: all


Вопросы

В дальнейшем я склонен отказаться от VLAN 100 или перенастроить остальную часть нашего стека, чтобы подсеть, которая работает на VLAN 100, не использовала несколько VLAN (100 и 1), и разрешила несоответствие тегов Native VLAN на восходящей линии связи (порт 41 - - Gi 1/0/24). Мысли об этом плане?

  • Сочетание switchport access и транк порта коммутатора разрешенmakes theКонфигурация доступа к коммутатору не работает, верно? У вас не может быть порта в режиме доступа и транковый режим, если не ошибаюсь. Может кто-нибудь подтвердить это для меня?

Не совсем. Позвольте мне разобрать конфигурацию:

interface Port-channel1
    switchport access vlan 100
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan 100,101,172,192
    switchport mode trunk
    switchport nonegotiate
    spanning-tree portfast trunk

Чистый результат этой конфигурации:

  • КОГДА порт находится в режиме доступа:
    • он будет передавать только (немаркированный) трафик на VLAN 100
  • КОГДА порт находится в режиме транка (≥1 VLAN):
    • порт будет пропускать немаркированный трафик во VLAN 1
    • порт будет передавать тегированный трафик по VLAN 100,101,172,192
    • ОДНАКО обратите внимание, что VLAN 1 отсутствует в разрешенном списке → нетегированный трафик не будет проходить через этот порт.
    • switchport mode trunk → этот порт всегда будет в транковом режиме
    • switchport nonegotiate → не отправлять Кадры DTP - такие кадры могут неправильно пересылаться и заставлять порты на других коммутаторах согласовывать соединение с транками, когда они не должны этого делать.
    • вы, возможно, захотите добавить: switchport trunk native vlan 100 если другой конец ссылки ожидает, что нетегированный трафик будет VLAN 100.
  • Насколько я понимаю, как только вы добавляете порт в канал порта для всей сети VLAN, конфигурация STP выполняется для каждого канала порта, а не для каждого порта. Если я создаю канал порта из Fa 1/10 и Fa 1/11, я настраиваю их как транки, используя назначенный им канал порта, а не отдельные порты (по крайней мере, это то, что я делаю с ProCurves). Это верно?

Правильно, для целей связующего дерева агрегированный порт является ссылкой. Чтобы изменить конфигурацию порта, измените конфигурацию агрегированного порта, и она будет распространена на отдельные интерфейсы.

  • Если последний элемент верен, это означает, что вся конфигурация каждого порта для членов канала порта либо не работает, либо была выполнена до того, как этот порт стал членом канала порта. Это разумное предположение?

Это не запретная операция - они должны совпадать, иначе порт не сможет присоединиться к агрегации:

30 мая 17: 11: 25.956:% EC-5-CANNOT_BUNDLE2: Gi0 / 20 несовместима с Gi0 / 19 и будет приостановлена ​​(маска vlan отличается)

Коммутатор пожалуется :)

  • Как, черт возьми, трафик из VLAN 100 проходит по восходящей линии связи (я могу связаться с виртуальными машинами, размещенными на хостах ESXi)? VLAN 100 исчезает, как только он попадает в Meraki, и собственные теги VLAN отличаются. Вещи работают, но я не могу не чувствовать, что с этой настройкой что-то странно, и было бы предпочтительнее протолкнуть VLAN 100 полностью до остальной части стека. Чтобы сделать ситуацию еще более странной, VLAN 2 также заканчивается на порту 41 на Meraki, все остальное установлено на Native VLAN 1.
interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

Это немного опасно - немаркированный трафик будет находиться либо в VLAN 100, либо в VLAN 2, в зависимости от режима порта. Вы должны принудительно установить режим транка (switchport mode trunk) или, по крайней мере, согласовать немаркированные сети VLAN.

Что происходит в этом режиме (switchport mode dynamic) заключается в том, что порт перейдет в режим доступа, но переключится на транк, если обнаружит какие-либо помеченные пакеты. (это упрощено)

По «соглашению» каналы «коммутатор-коммутатор» (иногда «коммутатор-узел») с несколькими виртуальными локальными сетями (магистральными линиями на языке Cisco) всегда имеют собственную (немаркированную) виртуальную локальную сеть 1.

Значения по умолчанию не отображаются в конфигурации. Если вы не уверены в настройках по умолчанию, вы всегда можете sh run all:

interface Port-channel1
 description blch1-sw1
 switchport
 switchport access vlan 1
 switchport trunk native vlan 1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
 no switchport nonegotiate
 no switchport protected
 no switchport block multicast
 no switchport block unicast
 no ip arp inspection trust
 ip arp inspection limit rate 15 burst interval 1
 ip arp inspection limit rate 15
 no shutdown
 ipv6 mld snooping tcn flood
 snmp trap mac-notification change added
 snmp trap mac-notification change removed
 snmp trap link-status
 spanning-tree port-priority 3
 spanning-tree cost 3
 ip dhcp snooping limit rate 4294967295
 no ip dhcp snooping trust
 no ip dhcp snooping information option allow-untrusted

против:

interface Port-channel1
 description blch1-sw1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
end

Обратите внимание, как switchport trunk native vlan 1 нет во втором списке. Это по умолчанию.

Порты любого канала.

  • Любые изменения в канале порта влияют на набор портов.
  • Любые изменения отдельных портов влияют только на порт.
  • Похоже, вам вручили беспорядок, чтобы убрать ...: D

  • Я думаю, вы захотите очистить большую часть конфигурации в портах и ​​иметь что-то простое, например: 

    interface Port-channel2
no ip address 
switchport
switchport access vlan 100


interface GigabitEthernet1/0/6
description ESX2
channel-group 2 mode on

Мне кажется, что единственная необходимая магистраль находится между двумя переключателями.

Собственный vlan на коммутаторе cisco:

int GigabitEthernet1/0/24
no switchport access vlan 100
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 1

Я думаю, это то, что вам нужно для Channel2

interface Port-channel2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/4
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on