Non-concordance de VLAN natif et VLAN manquant?


10

J'essaie de comprendre ce qui se passe exactement ici avec la configuration d'un nouveau site de leur pile réseau. Cette pièce en particulier sur laquelle je travaille est assez simple, mais j'ai du mal à comprendre quelle était l'intention initiale. Il y a un Cisco Catalyst 3750x avec trois canaux de port (chacun avec quatre interfaces par morceau) allant vers trois hôtes ESXi. Le Catalyst est connecté au reste du réseau via un Meraki MS42 via une seule interface (pas de canal de port). Le VLAN 100 transporte le trafic réseau, les autres VLAN sont dédiés à des choses comme vMotion ou les réseaux isolés. Je pense qu'une grande partie de ma difficulté ici est que je ne parle pas Cisco-ese.

La mise en place

Pile réseau


Port-canal 1

interface Port-channel1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/1
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/2
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/3
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on


Port-Channel 2 (je laisse de côté Port-Channel 3 car sa configuration est identique à Port-Channel 2)

interface Port-channel2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/7
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/8
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on


Ports de liaison montante

Sur le catalyseur:

interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

Sur le Meraki:

Trunk port using native VLAN 1; allowed VLANs: all


Questions

  • La combinaison de switchport accesset switch port trunk allowedfait de la switchport accessconfiguration un no-op, non? Vous ne pouvez pas avoir un port en mode d'accès et en mode tronc sauf si je me trompe. Est-ce que quelqu'un peut me le confirmer?
  • Je crois comprendre qu'une fois que vous ajoutez un port à Port Channel, tous les VLAN, une configuration STP est effectuée par Port Channel et non par port. Si je crée un canal de port à partir de Fa 1/10 et Fa 1/11, je les configure en tant que jonctions en utilisant leur canal de port attribué et non leurs ports individuels (du moins, c'est ce que je fais avec ProCurves). Est-ce correct?
  • Si le dernier élément est correct, cela signifie que toute la configuration par port des membres du canal de port est soit sans opération, soit a été effectuée avant que ce port ne devienne membre du canal de port. Est-ce une hypothèse raisonnable?
  • Comment diable le trafic provenant du VLAN 100 traverse-t-il la liaison montante (je peux atteindre les machines virtuelles hébergées sur les hôtes ESXi)? Le VLAN 100 disparaît une fois qu'il a atteint le Meraki et les balises VLAN natives sont différentes. Les choses fonctionnent mais je ne peux m'empêcher de penser que quelque chose est bizarre avec cette configuration et il serait préférable de pousser le VLAN 100 jusqu'au bout de la pile. Pour rendre les choses encore plus étranges, le VLAN 2 se termine également au port 41 sur le Meraki, tout le reste est défini sur Native VLAN 1.

À l'avenir, je suis enclin à abandonner le VLAN 100 ou à reconfigurer le reste de notre pile afin que le sous-réseau qui roule sur le VLAN 100 n'utilise pas plusieurs VLAN (100 et 1) et corrige la non-concordance des balises VLAN natives sur la liaison montante (port 41 - - Gi 1/0/24). Réflexions sur ce plan?

Réponses:


7
  • La combinaison de switchport accesset le tronc de port de makes thecommutateur a permis la configuration de l'accès au commutateur un pas d'opération, non? Vous ne pouvez pas avoir un port en mode d'accès et en mode tronc sauf si je me trompe. Est-ce que quelqu'un peut me le confirmer?

Pas exactement. Permettez-moi de décomposer la configuration:

interface Port-channel1
    switchport access vlan 100
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan 100,101,172,192
    switchport mode trunk
    switchport nonegotiate
    spanning-tree portfast trunk

Le résultat net de cette configuration est:

  • QUAND le port est en mode d'accès:
    • il ne passera que le trafic (non balisé) sur le VLAN 100
  • QUAND le port est en mode jonction (≥1 VLAN):
    • le port passera le trafic non balisé sur le VLAN 1
    • le port passera le trafic balisé sur le VLAN 100, 101, 172, 192
    • TOUTEFOIS, notez que VLAN 1 n'est pas dans la liste autorisée → aucun trafic non balisé ne sera autorisé à traverser ce port
    • switchport mode trunk → ce port sera toujours en mode trunk
    • switchport nonegotiate→ n'envoyez pas de trames DTP - de telles trames peuvent être transférées de manière incorrecte et entraîner la négociation de ports sur d'autres commutateurs vers des lignes réseau lorsqu'ils ne sont pas censés le faire.
    • vous pouvez éventuellement ajouter: switchport trunk native vlan 100si l'autre extrémité du lien s'attend à ce que le trafic non balisé soit VLAN 100.
  • Je crois comprendre qu'une fois que vous ajoutez un port à Port Channel, tous les VLAN, une configuration STP est effectuée par Port Channel et non par port. Si je crée un canal de port à partir de Fa 1/10 et Fa 1/11, je les configure en tant que jonctions en utilisant leur canal de port attribué et non leurs ports individuels (du moins, c'est ce que je fais avec ProCurves). Est-ce correct?

À droite, à des fins d'arborescence, le port agrégé est un lien. Pour changer la configuration du port, changez la configuration du port agrégé et il se propagera aux interfaces individuelles.

  • Si le dernier élément est correct, cela signifie que toute la configuration par port des membres du canal de port est soit sans opération, soit a été effectuée avant que ce port ne devienne membre du canal de port. Est-ce une hypothèse raisonnable?

Ce n'est pas un no-op - ils doivent correspondre, sinon le port ne sera pas autorisé à rejoindre l'agrégation:

30 mai 17: 11: 25.956:% EC-5-CANNOT_BUNDLE2: Gi0 / 20 n'est pas compatible avec Gi0 / 19 et sera suspendu (le masque vlan est différent)

L'interrupteur se plaindra :)

  • Comment diable le trafic provenant du VLAN 100 traverse-t-il la liaison montante (je peux atteindre les machines virtuelles hébergées sur les hôtes ESXi)? Le VLAN 100 disparaît une fois qu'il a atteint le Meraki et les balises VLAN natives sont différentes. Les choses fonctionnent mais je ne peux m'empêcher de penser que quelque chose est bizarre avec cette configuration et il serait préférable de pousser le VLAN 100 jusqu'au bout de la pile. Pour rendre les choses encore plus étranges, le VLAN 2 se termine également au port 41 sur le Meraki, tout le reste est défini sur Native VLAN 1.
interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

C'est un peu dangereux - le trafic non balisé sera soit sur le VLAN 100 soit sur le VLAN 2 selon le mode du port. Vous devez forcer le mode trunk ( switchport mode trunk) ou au moins faire correspondre les VLAN non marqués.

Ce qui se passe dans ce mode ( switchport mode dynamic), c'est que le port apparaîtra en mode d'accès mais passera à une jonction s'il détecte des paquets balisés. (c'est simplifié)


Il est «conventionnel» que les liaisons de commutateur à commutateur (parfois commutateur à hôte) avec plusieurs VLAN (joncteurs réseau dans le langage Cisco) aient toujours un VLAN 1 natif (non balisé).

Les valeurs par défaut ne sont pas affichées dans la configuration. Si vous n'êtes pas sûr des valeurs par défaut, vous pouvez toujours sh run all:

interface Port-channel1
 description blch1-sw1
 switchport
 switchport access vlan 1
 switchport trunk native vlan 1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
 no switchport nonegotiate
 no switchport protected
 no switchport block multicast
 no switchport block unicast
 no ip arp inspection trust
 ip arp inspection limit rate 15 burst interval 1
 ip arp inspection limit rate 15
 no shutdown
 ipv6 mld snooping tcn flood
 snmp trap mac-notification change added
 snmp trap mac-notification change removed
 snmp trap link-status
 spanning-tree port-priority 3
 spanning-tree cost 3
 ip dhcp snooping limit rate 4294967295
 no ip dhcp snooping trust
 no ip dhcp snooping information option allow-untrusted

contre:

interface Port-channel1
 description blch1-sw1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
end

Notez que ce switchport trunk native vlan 1n'est pas dans la deuxième liste. C'est la valeur par défaut.


-2

Je pense que c'est ce que vous voulez pour Channel2

interface Port-channel2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/4
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on

-2

Ports Eitherchannel.

  • Toutes les modifications apportées au canal de port affectent l'ensemble de ports
  • Toutes les modifications apportées aux ports individuels affectent uniquement le port
  • On dirait qu'on vous a remis un gâchis pour nettoyer ...: D
  • Je pense que vous voudriez effacer la plupart de la configuration dans les ports et avoir simplement quelque chose de simple comme:

    interface Port-channel2
    no ip address 
    switchport
    switchport access vlan 100
    
    
    interface GigabitEthernet1/0/6
    description ESX2
    channel-group 2 mode on
    

Il me semble que le seul tronc dont vous avez besoin se situe entre les deux commutateurs.

Vlan natif sur le commutateur Cisco:

int GigabitEthernet1/0/24
no switchport access vlan 100
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 1 

Les trunks sont requis sur les liens ESX pour le trafic d'hyperviseur (par exemple vmotion) et seront configurés comme tels sur les hôtes ESX, donc les supprimer du swtich posera des problèmes.
CGretski
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.