Vlan bản địa không phù hợp và thiếu Vlan?

10

Tôi đang cố gắng xoay quanh những gì chính xác đang diễn ra ở đây với cấu hình trang web mới của ngăn xếp mạng của họ. Tác phẩm đặc biệt này tôi đang làm khá đơn giản nhưng tôi có một thời gian khó khăn để tìm ra ý định ban đầu là gì. Có một Cisco Catalyst 3750x với ba Kênh Cổng (mỗi kênh có bốn giao diện một mảnh) sẽ đến ba máy chủ ESXi. Catalyst được kết nối với phần còn lại của mạng thông qua Meraki MS42 thông qua một giao diện duy nhất (không có Kênh Cổng). Vlan 100 mang lưu lượng mạng, các Vlan khác được dành riêng cho những thứ như vMotion hoặc các mạng bị cô lập. Tôi nghĩ rằng một phần lớn khó khăn của tôi ở đây là tôi không nói được tiếng Cisco.

Cài đặt

Mạng ngăn xếp


Cổng 1

interface Port-channel1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/1
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/2
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/3
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on


Cổng-Kênh 2 (Tôi đang rời khỏi Cổng-3 vì nó có cấu hình giống hệt với Cổng-Kênh 2)

interface Port-channel2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/7
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/8
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on


Cổng Uplink

Về chất xúc tác:

interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

Trên Meraki:

Trunk port using native VLAN 1; allowed VLANs: all


Câu hỏi / s

  • Sự kết hợp switchport accessswitch port trunk allowedlàm cho switchport accesscấu hình không có op, phải không? Bạn không thể có một cổng trong chế độ truy cập chế độ trung kế trừ khi tôi nhầm. Ai đó có thể xác nhận điều này cho tôi?
  • Theo hiểu biết của tôi, một khi bạn thêm một cổng vào Kênh Cổng, tất cả Vlan, cấu hình STP được thực hiện trên mỗi Kênh Cổng chứ không phải trên mỗi cổng. Nếu tôi tạo Kênh Cổng ngoài Fa 1/10 và Fa 1/11, tôi sẽ định cấu hình chúng thành các thân bằng cách sử dụng Kênh Cổng được chỉ định của chúng chứ không phải các cổng riêng lẻ của chúng (ít nhất đây là những gì tôi làm với ProCurves). Điều này có đúng không?
  • Nếu mục cuối cùng là chính xác, điều đó có nghĩa là tất cả các cấu hình trên mỗi cổng của các thành viên Kênh Cổng là không hoạt động hoặc đã được thực hiện trước khi cổng đó trở thành thành viên của Kênh Cổng. Đây có phải là một giả định hợp lý?
  • Làm thế nào để lưu lượng truy cập từ Vlan 100 đi qua đường lên (tôi có thể tiếp cận các máy ảo được lưu trữ trên máy chủ ESXi)? Vlan 100 biến mất một khi nó chạm vào Meraki và các thẻ Vlan gốc khác nhau. Mọi thứ đang hoạt động nhưng tôi không thể không cảm thấy có gì đó kỳ lạ với thiết lập này và tốt hơn hết là nên đẩy Vlan 100 đến hết phần còn lại của ngăn xếp. Để làm cho mọi thứ thậm chí xa lạ, Vlan 2 cũng chấm dứt tại Cổng 41 trên Meraki, mọi thứ khác được đặt thành Bản địa Vlan 1.

Tiến về phía trước, tôi có xu hướng từ bỏ Vlan 100 hoặc cấu hình lại phần còn lại của ngăn xếp của chúng tôi để mạng con chạy trên Vlan 100 không sử dụng nhiều Vlan (100 và 1) và giải quyết không khớp thẻ Vlan gốc trên đường lên (Cổng 41 - - Gi 1/0/24). Suy nghĩ về kế hoạch này?

networking  cisco  cisco-catalyst  meraki 

Câu trả lời:

7
  • Sự kết hợp switchport accessvà trung kế cổng chuyển đổi cho phép makes thetruy cập tổng đài truy cập cấu hình không có op, phải không? Bạn không thể có một cổng trong chế độ truy cập chế độ trung kế trừ khi tôi nhầm. Ai đó có thể xác nhận điều này cho tôi?

Không chính xác. Hãy để tôi phá vỡ cấu hình:

interface Port-channel1
    switchport access vlan 100
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan 100,101,172,192
    switchport mode trunk
    switchport nonegotiate
    spanning-tree portfast trunk

Kết quả cuối cùng của cấu hình này là:

  • KHI cổng ở chế độ truy cập:
    • nó sẽ chỉ vượt qua (không được đánh dấu) lưu lượng truy cập trên Vlan 100
  • KHI cổng ở chế độ trung kế (V1 Vlan):
    • cổng sẽ chuyển lưu lượng chưa được lưu trên Vlan 1
    • cổng sẽ chuyển lưu lượng được gắn thẻ trên Vlan 100,101,172,192
    • TUY NHIÊN lưu ý rằng Vlan 1 không có trong danh sách được phép → không có lưu lượng truy cập không được lưu trữ nào sẽ được phép đi qua cổng này
    • switchport mode trunk → cổng này sẽ luôn ở chế độ trung kế
    • switchport nonegotiate→ không gửi các khung DTP - các khung như vậy có thể được chuyển tiếp không chính xác và khiến các cổng trên các thiết bị chuyển mạch khác phải thương lượng với các thân cây khi chúng không được yêu cầu.
    • bạn có thể muốn thêm: switchport trunk native vlan 100nếu đầu kia của liên kết đang mong đợi lưu lượng truy cập không được mã hóa là Vlan 100.
  • Theo hiểu biết của tôi, một khi bạn thêm một cổng vào Kênh Cổng, tất cả Vlan, cấu hình STP được thực hiện trên mỗi Kênh Cổng chứ không phải trên mỗi cổng. Nếu tôi tạo Kênh Cổng ngoài Fa 1/10 và Fa 1/11, tôi sẽ định cấu hình chúng thành các thân bằng cách sử dụng Kênh Cổng được chỉ định của chúng chứ không phải các cổng riêng lẻ của chúng (ít nhất đây là những gì tôi làm với ProCurves). Điều này có đúng không?

Phải, cho mục đích cây bao trùm, cổng tổng hợp là một liên kết. Để thay đổi cấu hình cổng, thay đổi cấu hình của cổng tổng hợp và nó sẽ lan truyền đến các giao diện riêng lẻ.

  • Nếu mục cuối cùng là chính xác, điều đó có nghĩa là tất cả các cấu hình trên mỗi cổng của các thành viên Kênh Cổng là không hoạt động hoặc đã được thực hiện trước khi cổng đó trở thành thành viên của Kênh Cổng. Đây có phải là một giả định hợp lý?

Đó không phải là không có - họ phải khớp hoặc cổng sẽ không được phép tham gia tổng hợp:

30 tháng 5 17: 11: 25.956:% EC-5-CANNOT_BUNDLE2: Gi0 / 20 không tương thích với Gi0 / 19 và sẽ bị treo (mặt nạ vlan khác)

Công tắc sẽ phàn nàn :)

  • Làm thế nào để lưu lượng truy cập từ Vlan 100 đi qua đường lên (tôi có thể tiếp cận các máy ảo được lưu trữ trên máy chủ ESXi)? Vlan 100 biến mất một khi nó chạm vào Meraki và các thẻ Vlan gốc khác nhau. Mọi thứ đang hoạt động nhưng tôi không thể không cảm thấy có gì đó kỳ lạ với thiết lập này và tốt hơn hết là nên đẩy Vlan 100 đến hết phần còn lại của ngăn xếp. Để làm cho mọi thứ thậm chí xa lạ, Vlan 2 cũng chấm dứt tại Cổng 41 trên Meraki, mọi thứ khác được đặt thành Bản địa Vlan 1.
interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

Điều này hơi nguy hiểm - lưu lượng chưa được lưu trữ sẽ nằm trên Vlan 100 hoặc Vlan 2 tùy thuộc vào chế độ của cổng. Bạn nên buộc trunk chế độ ( switchport mode trunk) hoặc ít nhất làm cho các Vlan không được đánh dấu khớp.

Điều xảy ra trong chế độ này ( switchport mode dynamic) là cổng sẽ xuất hiện ở chế độ truy cập nhưng chuyển sang trung kế nếu phát hiện bất kỳ gói được gắn thẻ nào. (điều này được đơn giản hóa)

Đó là "quy ước" để có các liên kết chuyển đổi (đôi khi chuyển sang máy chủ) với nhiều Vlan (trung kế theo cách nói của Cisco) luôn có Vlan 1 (không được gắn thẻ).

Mặc định không được hiển thị trong cấu hình. Nếu bạn không chắc chắn về mặc định, bạn luôn có thể sh run all:

interface Port-channel1
 description blch1-sw1
 switchport
 switchport access vlan 1
 switchport trunk native vlan 1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
 no switchport nonegotiate
 no switchport protected
 no switchport block multicast
 no switchport block unicast
 no ip arp inspection trust
 ip arp inspection limit rate 15 burst interval 1
 ip arp inspection limit rate 15
 no shutdown
 ipv6 mld snooping tcn flood
 snmp trap mac-notification change added
 snmp trap mac-notification change removed
 snmp trap link-status
 spanning-tree port-priority 3
 spanning-tree cost 3
 ip dhcp snooping limit rate 4294967295
 no ip dhcp snooping trust
 no ip dhcp snooping information option allow-untrusted

vs

interface Port-channel1
 description blch1-sw1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
end

Lưu ý làm thế nào switchport trunk native vlan 1không có trong danh sách thứ hai. Đó là mặc định.

MikeyB
nguồn
-2

Tôi nghĩ rằng đây là những gì bạn muốn cho Channel2

interface Port-channel2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/4
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
RecentCoin
nguồn
-2

Cổng Eitherchannel.

  • Mọi thay đổi đối với kênh cổng đều ảnh hưởng đến gói cổng
  • Mọi thay đổi đối với các cổng riêng lẻ chỉ ảnh hưởng đến cổng
  • Có vẻ như bạn đã được trao một mớ hỗn độn để dọn dẹp ...: D

  • Tôi nghĩ rằng bạn sẽ muốn xóa hầu hết cấu hình trong các cổng và chỉ cần có một cái gì đó đơn giản như: 

    interface Port-channel2
no ip address 
switchport
switchport access vlan 100


interface GigabitEthernet1/0/6
description ESX2
channel-group 2 mode on

Dường như với tôi rằng thân cây duy nhất bạn cần là ở giữa hai công tắc.

Bản địa vlan trên chuyển đổi cisco:

int GigabitEthernet1/0/24
no switchport access vlan 100
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 1
thuế
nguồn
Các thân được yêu cầu trên các liên kết ESX cho lưu lượng hypanneror (ví dụ: vmotion) và sẽ được định cấu hình như vậy trên các máy chủ ESX, do đó việc xóa chúng khỏi swtich sẽ gây ra sự cố.
CGretski
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.