Mancata corrispondenza della VLAN nativa e VLAN mancante?

10

Sto cercando di capire cosa sta succedendo esattamente qui con la configurazione di un nuovo sito del loro stack di rete. Questo particolare pezzo su cui sto lavorando è piuttosto semplice ma faccio fatica a capire quale fosse l'intenzione originale. Esiste un Cisco Catalyst 3750x con tre canali di porta (ciascuno con quattro interfacce al pezzo) diretto a tre host ESXi. Il Catalyst è collegato al resto della rete tramite un Meraki MS42 tramite un'unica interfaccia (senza Port Channel). VLAN 100 trasporta il traffico di rete, le altre VLAN sono dedicate a cose come vMotion o reti isolate. Penso che gran parte della mia difficoltà qui sia che non parlo Cisco-ese.

Il set up

Stack di rete


Port-Channel 1

interface Port-channel1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/1
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/2
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/3
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on


Port-Channel 2 (sto tralasciando Port-Channel 3 poiché è identico nella configurazione di Port-Channel 2)

interface Port-channel2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/7
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/8
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on


Porte di uplink

Sul catalizzatore:

interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

Sul Meraki:

Trunk port using native VLAN 1; allowed VLANs: all


Le domande

  • La combinazione di switchport accesse switch port trunk allowedrende la switchport accessconfigurazione un no-op, giusto? Non puoi avere una porta in modalità di accesso e in modalità trunk a meno che non mi sbagli. Qualcuno può confermare questo per me?
  • Comprendo che una volta aggiunta una porta a Port Channel tutta la VLAN viene effettuata una configurazione STP per Port Channel e non per porta. Se creo un Port Channel da Fa 1/10 e Fa 1/11, li configuro come trunk usando il loro Port Channel assegnato e non le loro singole porte (almeno questo è ciò che faccio con ProCurves). È corretto?
  • Se l'ultimo elemento è corretto, significa che tutta la configurazione per porta dei membri del canale di porta è una no-op o è stata eseguita prima che quella porta fosse resa membro del canale di porta. È un presupposto ragionevole?
  • Come diavolo passa il traffico proveniente dalla VLAN 100 attraverso l'uplink (posso raggiungere le macchine virtuali ospitate sugli host ESXi)? VLAN 100 scompare quando colpisce il Meraki e i tag VLAN nativi sono diversi. Le cose stanno funzionando ma non posso fare a meno di sentire qualcosa di strano con questa configurazione e sarebbe preferibile spingere VLAN 100 fino al resto dello stack. Per rendere le cose ancora più strane, VLAN 2 termina anche sulla porta 41 sul Meraki, tutto il resto è impostato su VLAN 1 nativa.

Andando avanti, sono propenso ad abbandonare VLAN 100 o riconfigurare il resto del nostro stack in modo che la sottorete che utilizza VLAN 100 non utilizzi più VLAN (100 e 1) e risolva la mancata corrispondenza del tag VLAN nativo sull'uplink (Porta 41 - - Gi 1/0/24). Pensieri su questo piano?

networking  cisco  cisco-catalyst  meraki 

Risposte:

7
  • La combinazione di switchport accesse switch trunk port ha permesso makes thealla configurazione di accesso allo switchport una no-op, giusto? Non puoi avere una porta in modalità di accesso e in modalità trunk a meno che non mi sbagli. Qualcuno può confermare questo per me?

Non esattamente. Vorrei scomporre la configurazione:

interface Port-channel1
    switchport access vlan 100
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan 100,101,172,192
    switchport mode trunk
    switchport nonegotiate
    spanning-tree portfast trunk

Il risultato netto di questa configurazione è:

  • QUANDO la porta è in modalità di accesso:
    • passerà solo il traffico (senza tag) su VLAN 100
  • QUANDO la porta è in modalità trunk (≥1 VLAN):
    • la porta passerà il traffico senza tag sulla VLAN 1
    • la porta passerà il traffico con tag su VLAN 100.101.172.192
    • TUTTAVIA notare che la VLAN 1 non è nell'elenco consentito → nessun traffico senza tag potrà attraversare questa porta
    • switchport mode trunk → questa porta sarà sempre in modalità trunk
    • switchport nonegotiate→ non inviare frame DTP : tali frame potrebbero essere inoltrati in modo errato e causare la negoziazione delle porte su altri switch nei trunk quando non sono previsti.
    • potresti voler aggiungere: switchport trunk native vlan 100se l'altra estremità del link si aspetta che il traffico senza tag sia VLAN 100.
  • Comprendo che una volta aggiunta una porta a Port Channel tutta la VLAN viene effettuata una configurazione STP per Port Channel e non per porta. Se creo un Port Channel da Fa 1/10 e Fa 1/11, li configuro come trunk usando il loro Port Channel assegnato e non le loro singole porte (almeno questo è ciò che faccio con ProCurves). È corretto?

Bene, per scopi di spanning tree la porta aggregata è un collegamento. Per cambiare la configurazione della porta, cambia la configurazione della porta aggregata e si propagherà alle singole interfacce.

  • Se l'ultimo elemento è corretto, significa che tutta la configurazione per porta dei membri del canale di porta è una no-op o è stata eseguita prima che quella porta fosse resa membro del canale di porta. È un presupposto ragionevole?

Non è una no-op: devono corrispondere o alla porta non sarà permesso di unirsi all'aggregazione:

30 maggio 17: 11: 25.956:% EC-5-CANNOT_BUNDLE2: Gi0 / 20 non è compatibile con Gi0 / 19 e verrà sospeso (la maschera vlan è diversa)

L'interruttore si lamenterà :)

  • Come diavolo passa il traffico proveniente dalla VLAN 100 attraverso l'uplink (posso raggiungere le macchine virtuali ospitate sugli host ESXi)? VLAN 100 scompare quando colpisce il Meraki e i tag VLAN nativi sono diversi. Le cose stanno funzionando ma non posso fare a meno di sentire qualcosa di strano con questa configurazione e sarebbe preferibile spingere VLAN 100 fino al resto dello stack. Per rendere le cose ancora più strane, VLAN 2 termina anche sulla porta 41 sul Meraki, tutto il resto è impostato su VLAN 1 nativa.
interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

Questo è un po 'pericoloso: il traffico senza tag sarà su VLAN 100 o VLAN 2 a seconda della modalità della porta. È necessario forzare la modalità trunk ( switchport mode trunk) o almeno far corrispondere le VLAN senza tag.

Ciò che accade in questa modalità ( switchport mode dynamic) è che la porta verrà in modalità di accesso ma passerà a un trunk se rileva pacchetti taggati. (questo è semplificato)

È "convenzione" disporre di collegamenti switch-to-switch (a volte switch-to-host) con più VLAN (trunk in linguaggio Cisco) sempre con VLAN 1 nativa (senza tag).

I valori predefiniti non sono mostrati nella configurazione. Se non sei sicuro delle impostazioni predefinite, puoi sempre sh run all:

interface Port-channel1
 description blch1-sw1
 switchport
 switchport access vlan 1
 switchport trunk native vlan 1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
 no switchport nonegotiate
 no switchport protected
 no switchport block multicast
 no switchport block unicast
 no ip arp inspection trust
 ip arp inspection limit rate 15 burst interval 1
 ip arp inspection limit rate 15
 no shutdown
 ipv6 mld snooping tcn flood
 snmp trap mac-notification change added
 snmp trap mac-notification change removed
 snmp trap link-status
 spanning-tree port-priority 3
 spanning-tree cost 3
 ip dhcp snooping limit rate 4294967295
 no ip dhcp snooping trust
 no ip dhcp snooping information option allow-untrusted

vs:

interface Port-channel1
 description blch1-sw1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
end

Nota come switchport trunk native vlan 1non è nella seconda lista. Questo è il valore predefinito.

MikeyB
fonte
-2

Penso che questo sia quello che vuoi per Channel2

interface Port-channel2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/4
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
RecentCoin
fonte
-2

Porte Eitherchannel.

  • Qualsiasi modifica al canale delle porte influisce sul pacchetto di porte
  • Qualsiasi modifica alle singole porte ha effetto solo sulla porta
  • Sembra che ti sia stato dato un casino per ripulire ...: D

  • Penso che vorresti cancellare la maggior parte della configurazione nelle porte e avere solo qualcosa di semplice come: 

    interface Port-channel2
no ip address 
switchport
switchport access vlan 100


interface GigabitEthernet1/0/6
description ESX2
channel-group 2 mode on

Mi sembra che l'unico tronco di cui hai bisogno sia tra i due interruttori.

Vlan nativo su switch cisco:

int GigabitEthernet1/0/24
no switchport access vlan 100
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 1
tributo
fonte
I trunk sono richiesti sui collegamenti ESX per il traffico hypervisor (ad es. Vmotion) e saranno configurati come tali sugli host ESX, quindi rimuoverli dallo swtich causerà problemi.
CGretski,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.