Incompatibilidade de VLAN nativa e VLAN ausente?

10

Estou tentando entender o que exatamente está acontecendo aqui com a configuração de um novo site da pilha de rede. Esta peça em particular que estou trabalhando é bastante simples, mas estou tendo dificuldade para descobrir qual era a intenção original. Há um Cisco Catalyst 3750x com três canais de porta (cada um com quatro interfaces por peça) indo para três hosts ESXi. O Catalyst está conectado ao restante da rede por meio de um Meraki MS42 por meio de uma única interface (sem Port Channel). A VLAN 100 transporta o tráfego de rede, as outras VLANs são dedicadas a coisas como vMotion ou redes isoladas. Acho que grande parte da minha dificuldade aqui é não falar Cisco-ese.

A Instalação

Pilha de rede


Canal de porta 1

interface Port-channel1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/1
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/2
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/3
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on


Canal de porta 2 (estou deixando de fora o canal de porta 3, pois é idêntico em configuração ao canal de porta 2)

interface Port-channel2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/7
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/8
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on


Portas de ligação ascendente

No catalisador:

interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

No Meraki:

Trunk port using native VLAN 1; allowed VLANs: all


As questões

  • A combinação de switchport accesse switch port trunk allowedtorna a switchport accessconfiguração um não operacional, certo? Você não pode ter uma porta no modo de acesso e no modo de tronco, a menos que eu esteja enganado. Alguém pode confirmar isto para mim?
  • Entendo que, depois de adicionar uma porta ao Canal da porta, toda a VLAN é configurada pelo STP por Canal da porta e não por porta. Se eu criar um Canal de porta a partir do Fa 1/10 e Fa 1/11, eu os configurarei como troncos usando o Canal da porta atribuído e não suas portas individuais (pelo menos é o que eu faço com o ProCurves). Isso está correto?
  • Se o último item estiver correto, isso significa que toda a configuração por porta dos membros do Canal da porta não está operacional ou foi feita antes da porta ser tornada membro do Canal da porta. Esta é uma suposição razoável?
  • Como diabos o tráfego da VLAN 100 atravessa o uplink (posso acessar as VMs hospedadas nos hosts ESXi)? A VLAN 100 desaparece quando atinge o Meraki e as tags VLAN nativas são diferentes. As coisas estão funcionando, mas não posso deixar de sentir que algo está estranho com essa configuração e seria preferível enviar a VLAN 100 até o restante da pilha. Para tornar as coisas ainda mais estranhas, a VLAN 2 também termina na porta 41 do Meraki, tudo o resto é definido como VLAN 1 nativa.

Avançando, estou inclinado a abandonar a VLAN 100 ou reconfigurar o restante de nossa pilha para que a sub-rede que monta na VLAN 100 não use várias VLANs (100 e 1) e resolva a incompatibilidade de marca da VLAN nativa no uplink (Porta 41 - - Gi 1/0/24). Pensamentos sobre este plano?


fonte

Respostas:

7
  • A combinação de switchport accesse o tronco da porta do switch permitiu que a makes theconfiguração do acesso à porta de switch não funcionasse, certo? Você não pode ter uma porta no modo de acesso e no modo de tronco, a menos que eu esteja enganado. Alguém pode confirmar isto para mim?

Não exatamente. Deixe-me detalhar a configuração:

interface Port-channel1
    switchport access vlan 100
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan 100,101,172,192
    switchport mode trunk
    switchport nonegotiate
    spanning-tree portfast trunk

O resultado líquido desta configuração é:

  • QUANDO a porta está no modo de acesso:
    • só passará tráfego (sem marcação) na VLAN 100
  • QUANDO a porta está no modo de tronco (≥1 VLAN):
    • a porta passará tráfego não marcado na VLAN 1
    • a porta passará o tráfego marcado na VLAN 100.101.172.192
    • NO ENTANTO, observe que a VLAN 1 não está na lista de permissões → nenhum tráfego não marcado será permitido atravessar esta porta
    • switchport mode trunk → esta porta estará sempre no modo tronco
    • switchport nonegotiate→ não envie quadros DTP - esses quadros podem ser encaminhados incorretamente e fazer com que as portas de outros comutadores negociem com troncos quando não deveriam.
    • você possivelmente deseja adicionar: switchport trunk native vlan 100se a outra extremidade do link estiver esperando que o tráfego não marcado seja a VLAN 100.
  • Entendo que, depois de adicionar uma porta ao Canal da porta, toda a VLAN é configurada pelo STP por Canal da porta e não por porta. Se eu criar um Canal de porta a partir do Fa 1/10 e Fa 1/11, eu os configurarei como troncos usando o Canal da porta atribuído e não suas portas individuais (pelo menos é o que eu faço com o ProCurves). Isso está correto?

Certo, para propósitos de spanning tree, a porta agregada é um link. Para alterar a configuração da porta, altere a configuração da porta agregada e ela será propagada para as interfaces individuais.

  • Se o último item estiver correto, isso significa que toda a configuração por porta dos membros do Canal da porta não está operacional ou foi feita antes da porta ser tornada membro do Canal da porta. Esta é uma suposição razoável?

Não é um no-op - eles devem corresponder ou a porta não poderá se juntar à agregação:

30 de maio 17: 11: 25.956:% EC-5-CANNOT_BUNDLE2: Gi0 / 20 não é compatível com Gi0 / 19 e será suspenso (a máscara de vlan é diferente)

O interruptor irá reclamar :)

  • Como diabos o tráfego da VLAN 100 atravessa o uplink (posso acessar as VMs hospedadas nos hosts ESXi)? A VLAN 100 desaparece quando atinge o Meraki e as tags VLAN nativas são diferentes. As coisas estão funcionando, mas não posso deixar de sentir que algo está estranho com essa configuração e seria preferível enviar a VLAN 100 até o restante da pilha. Para tornar as coisas ainda mais estranhas, a VLAN 2 também termina na porta 41 do Meraki, tudo o resto é definido como VLAN 1 nativa.
interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

Isso é um pouco perigoso - o tráfego não marcado estará na VLAN 100 ou na VLAN 2, dependendo do modo da porta. Você deve forçar o tronco de modo ( switchport mode trunk) ou, pelo menos, fazer com que as VLANs não marcadas correspondam.

O que acontece nesse modo ( switchport mode dynamic) é que a porta entra no modo de acesso, mas muda para um tronco se detectar algum pacote marcado. (isso é simplificado)


É "convenção" ter links switch-to-switch (às vezes switch-to-host) com várias VLANs (troncos na linguagem Cisco) sempre com VLAN 1 nativa (sem marcação).

Os padrões não são mostrados na configuração. Se você não tiver certeza dos padrões, sempre pode sh run all:

interface Port-channel1
 description blch1-sw1
 switchport
 switchport access vlan 1
 switchport trunk native vlan 1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
 no switchport nonegotiate
 no switchport protected
 no switchport block multicast
 no switchport block unicast
 no ip arp inspection trust
 ip arp inspection limit rate 15 burst interval 1
 ip arp inspection limit rate 15
 no shutdown
 ipv6 mld snooping tcn flood
 snmp trap mac-notification change added
 snmp trap mac-notification change removed
 snmp trap link-status
 spanning-tree port-priority 3
 spanning-tree cost 3
 ip dhcp snooping limit rate 4294967295
 no ip dhcp snooping trust
 no ip dhcp snooping information option allow-untrusted

vs:

interface Port-channel1
 description blch1-sw1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
end

Observe como switchport trunk native vlan 1não está na segunda listagem. Esse é o padrão.

MikeyB
fonte
-2

Eu acho que é isso que você quer para o Channel2

interface Port-channel2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/4
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
RecentCoin
fonte
-2

Portas Eitherchannel.

  • Quaisquer alterações no canal da porta afetam o pacote de portas
  • Quaisquer alterações nas portas individuais afetam apenas a porta
  • Parece que você recebeu uma bagunça para limpar ...: D
  • Eu acho que você gostaria de limpar a maior parte da configuração nas portas e ter apenas algo simples como:

    interface Port-channel2
    no ip address 
    switchport
    switchport access vlan 100
    
    
    interface GigabitEthernet1/0/6
    description ESX2
    channel-group 2 mode on
    

Parece-me que o único tronco que você precisa está entre os dois comutadores.

VLAN nativa no switch Cisco:

int GigabitEthernet1/0/24
no switchport access vlan 100
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 1 
imposição
fonte
Os troncos são necessários nos links ESX para o tráfego do hypervisor (por exemplo, vmotion) e serão configurados como tal nos hosts ESX; portanto, removê-los do swtich causará problemas.
precisa saber é o seguinte