VLAN consentite accidentalmente rimosse dal trunk Cisco Switch Dot1Q

24

Sto aggiungendo una nuova VLAN a una porta trunk esistente tra due switch Cisco Catalyst (3750). Nel processo di aggiunta della nuova VLAN, sembra che ho rimosso le VLAN consentite esistenti sul trunk ... Come è possibile?

Configurazione della porta trunk esistente:

SW-LAB-1#show run int g1/0/49
Building configuration...

Current configuration : 255 bytes
!
interface GigabitEthernet1/0/49
 description SW-LAB-2 G1/0/48
 switchport trunk encapsulation dot1q
 switchport trunk native vlan 10
 switchport trunk allowed vlan 10,20
 switchport mode trunk
 switchport nonegotiate
 ip dhcp snooping trust
end

Ho usato la sintassi seguente per consentire anche VLAN 30:

SW-LAB-1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
SW-LAB-1(config)#interface g1/0/49
SW-LAB-1(config-if)#switchport trunk allow vlan 30

Tuttavia ora, nella mia configurazione di esecuzione su g1 / 0/49 mancano le VLAN 10 e 20!

<SNIP>
switchport trunk allowed vlan 30
</SNIP>

Cosa mi sto perdendo?

cisco  cisco-catalyst  vlan  cisco-commands  dot1q 
Brett Lykins
fonte
13
Errore classico. L'ho visto succedere così tante volte. ADD è il tuo salvatore qui :)
mellowd,

Risposte:

39

È necessario utilizzare il comando seguente per aggiungere la VLAN 30 a un trunk Dot1Q esistente su uno switch Cisco Catalyst:

switchport trunk allowed vlan add 30

Altrimenti IOS pensa solo che stai cercando di sovrascrivere la configurazione esistente e ti viene lasciato un set di VLAN consentite cancellate per errore.

Allo stesso modo è possibile utilizzare "Rimuovi" al posto di "Aggiungi" per rimuovere solo una VLAN. Vedi l'intera sintassi di seguito. (In realtà è la stessa sintassi in Cisco Nexus OS o IOS, FYI.)

SW-FOO(config-if)#switchport trunk allowed vlan ?
  WORD    VLAN IDs of the allowed VLANs when this port is in trunking mode
  add     add VLANs to the current list
  all     all VLANs
  except  all VLANs except the following
  none    no VLANs
  remove  remove VLANs from the current list

Un'altra opzione è inserire tutte le VLAN consentite nel comando, in questo modo:

switchport trunk allowed vlan 10,20,30

Questa opzione richiede più tempo ma funziona anche.

Brett Lykins
fonte
1
Cisco avrebbe potuto evitare molta confusione con questo comando usando "vlans" (plurale) per indicare l'elenco definitivo di vlan consentiti e solo "vlan" (singolare) per indicare un'operazione di aggiunta implicita .
generalnetworkerror
12
Consiglio di eliminare comandi pericolosi come questo in TACACS che non è possibile eseguire "switchport trunk consentito vlan X" senza aggiungere / rimuovere / nessuno. Quindi il flusso di lavoro per la nuova porta è "trunk switchport consentito vlan nessuno", "trunk switchport consentito vlan aggiungere 42". Ci ha risparmiato un sacco di downtime. 'no router isis' è anche pericoloso (inseriscilo accidentalmente nell'interfaccia, dimenticando 'IP' e rimuovendo ISIS dall'intera scatola ')
ytti,
Quello che generalmente facciamo per precauzione è il mandato che gli ingegneri che eseguono questo tipo di configurazione inseriscono un comando "ricaricare 5" in modo tale che, se mai commettono l'errore, lo switch verrà ricaricato alla sua configurazione precedente pochi minuti dopo. Questo ci sta anche facendo esaminare le soluzioni di automazione per i nostri ambienti più critici, per evitare che le persone si allontanino completamente dalla CLI.
Jeremy Gibbons,
9

Per aggiungere VLAN a un trunk è necessario utilizzare la sintassi seguente:

switchport trunk allowed vlan add 30

Per rimuovere una VLAN dal trunk è necessario utilizzare la removesintassi:

switchport trunk allowed vlan remove 30

Quando non usi aggiungi / rimuovi, stai dicendo alla porta di configurare solo la nuova VLAN.

Questo è un errore comune. Se la tua piattaforma lo supporta, puoi utilizzare Cisco Embedded Event Manager per vietare questa sintassi dannosa:

event manager applet forbid-vlan-trunk
 event cli pattern "switchport trunk allowed vlan\s+[0-9]" skip yes sync no
 action 1.0 syslog msg "switchport trunk allowed vlan MUST be configured via add/remove"
Sebastian Wiesinger
fonte
1
O utilizzare TACACS e l'autorizzazione del comando di configurazione quando EEM non è disponibile.
aakso
1
Maneggevole. Sarebbe meglio regolare lo script per inviare anche l'output alla console
mellowd
1
Non sono a conoscenza del fatto che EEM può inviare output alla console. Puoi fare un esempio?
Sebastian Wiesinger,
0

Risposta breve: esistono due modalità per specificare i vlan: uno imposta esplicitamente (sovrascrive) l'elenco [questo è quello che hai usato], l'altro aggiunge o rimuove i vlan specificati.

(Ogni venditore lo fa diversamente, quindi cammina leggermente).

Ricky Beam
fonte
0

Come indicato nelle risposte precedenti, "aggiungi / rimuovi / nessuno" è il tuo (unico) amico ...

switchport trunk allowed vlan add 30

Come menzionato da ytti, raccomando di eliminare comandi pericolosi come questo in TACACS che non è possibile eseguire "switchport trunk consentito vlan X" senza aggiungere / rimuovere / nessuno.

Il motivo per cui ho aggiunto questa risposta è perché il secondo suggerimento di Brett 

switchport trunk allowed vlan 10,20,30

è davvero una cattiva idea

Diciamo che usi vlan 900 per la gestione (stupida idea, vedrai perché)

configurazione della porta con un'esecuzione spettacolo:

interface Gi1/0/1
 ...
 switchport trunk allowed vlan 1,2,5,51,101,235,245,247
 switchport trunk allowed vlan add 507,539,900,1058,2677
 ...

si prega di notare che Cisco sta usando 2 righe per facilitare il pronto e copia / incolla, con un "aggiungi" sulla seconda riga ... perché no?

Ora, diciamo che voglio aggiungere vlan 30 ...

prima soluzione: 

 switchport trunk allowed vlan add 30

Grande! funziona, beviamo una birra adesso.

Seconda soluzione:

 switchport trunk allowed vlan 1,2,5,30,51,101,235,245,247

e ... ronzio .. ehi? WTF !!! Non riesco a incollare la seconda parte del mio comando

 switchport trunk allowed vlan add 507,539,900,1058,2677

Sfortunatamente, vlan 900 non è più configurato sullo switch, lo switch non è raggiungibile poiché è stato utilizzato per la gestione.

Così :

  • usa sempre aggiungi / rimuovi / nessuno
  • utilizzare un piccolo ID Vlan per la gestione (<10)
Golgot
fonte
-3

quando si aggiunge VLAN senza rimuovere altre VLAN utilizzare questo comando

trunk switchport consentito vlan aggiungere 30

questo aggiungerà Vlan 30 al trunk senza rimuovere i vlan esistenti nell'interfaccia del trunk

Saluti

Gopi
fonte
In che modo questo aggiunge qualcosa alla risposta accettata?
Ron Maupin
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.