¿VLAN nativa que no coincide y falta VLAN?

10

Estoy tratando de entender qué está sucediendo exactamente aquí con la configuración de un nuevo sitio de su pila de redes. Esta pieza en particular que estoy trabajando es bastante simple, pero me cuesta entender cuál era la intención original. Hay un Cisco Catalyst 3750x con tres canales de puerto (cada uno con cuatro interfaces por pieza) que va a tres hosts ESXi. El Catalyst está conectado al resto de la red a través de un Meraki MS42 a través de una única interfaz (sin puerto de puerto). VLAN 100 transporta el tráfico de red, las otras VLAN están dedicadas a cosas como vMotion o redes aisladas. Creo que gran parte de mi dificultad aquí es que no hablo Cisco-ese.

La puesta en marcha

Pila de red


Puerto Canal 1

interface Port-channel1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/1
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/2
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/3
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on


Port-Channel 2 (Estoy dejando de lado Port-Channel 3 ya que es idéntico en configuración a Port-Channel 2)

interface Port-channel2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/7
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/8
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on


Puertos de enlace ascendente

En el catalizador:

interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

En el Meraki:

Trunk port using native VLAN 1; allowed VLANs: all


Las preguntas

  • La combinación de switchport accessy switch port trunk allowedhace que la switchport accessconfiguración sea no operativa, ¿verdad? No puede tener un puerto en modo de acceso y modo troncal a menos que me equivoque. ¿Puede alguien confirmar esto por mí?
  • Tengo entendido que una vez que agregue un puerto a Port Channel toda la VLAN, se realiza una configuración STP por Port Channel y no por puerto. Si creo un canal de puerto a partir de Fa 1/10 y Fa 1/11, los configuro como troncales utilizando su canal de puerto asignado y no sus puertos individuales (al menos esto es lo que hago con ProCurves). ¿Es esto correcto?
  • Si el último elemento es correcto, eso significa que toda la configuración por puerto de los miembros del Canal del Puerto es no operativa o se realizó antes de que ese puerto se convirtiera en un miembro del Canal del Puerto. ¿Es esta una suposición razonable?
  • ¿Cómo diablos pasa el tráfico de VLAN 100 a través del enlace ascendente (puedo llegar a las máquinas virtuales alojadas en los hosts ESXi)? VLAN 100 desaparece una vez que llega al Meraki y las etiquetas VLAN nativas son diferentes. Las cosas están funcionando pero no puedo evitar sentir que algo es extraño con esta configuración y sería preferible empujar la VLAN 100 hasta el resto de la pila. Para hacer las cosas aún más extrañas, la VLAN 2 también termina en el Puerto 41 en el Meraki, todo lo demás está configurado como VLAN 1 nativa.

En el futuro, me inclino a abandonar la VLAN 100 o reconfigurar el resto de nuestra pila para que la subred que se ejecuta en la VLAN 100 no use varias VLAN (100 y 1) y resuelva la falta de coincidencia de la etiqueta de VLAN nativa en el enlace ascendente (Puerto 41 - - Gi 1/0/24). ¿Pensamientos sobre este plan?


fuente

Respuestas:

7
  • La combinación de switchport accessy el makes theenlace troncal del puerto del conmutador permitió que la configuración del acceso al puerto del conmutador no funcionara, ¿verdad? No puede tener un puerto en modo de acceso y modo troncal a menos que me equivoque. ¿Puede alguien confirmar esto por mí?

No exactamente. Déjame analizar la configuración:

interface Port-channel1
    switchport access vlan 100
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan 100,101,172,192
    switchport mode trunk
    switchport nonegotiate
    spanning-tree portfast trunk

El resultado neto de esta configuración es:

  • CUANDO el puerto está en modo de acceso:
    • solo pasará el tráfico (sin etiquetar) en la VLAN 100
  • CUANDO el puerto está en modo troncal (≥1 VLAN):
    • el puerto pasará tráfico sin etiquetar en la VLAN 1
    • el puerto pasará tráfico etiquetado en la VLAN 100,101,172,192
    • SIN EMBARGO tenga en cuenta que la VLAN 1 no está en la lista permitida → no se permitirá el tráfico sin etiquetar para atravesar este puerto
    • switchport mode trunk → este puerto siempre estará en modo troncal
    • switchport nonegotiate→ no envíe tramas DTP : estas tramas pueden reenviarse incorrectamente y hacer que los puertos de otros conmutadores negocien con troncales cuando se supone que no deben hacerlo.
    • posiblemente desee agregar: switchport trunk native vlan 100si el otro extremo del enlace espera que el tráfico sin etiquetar sea VLAN 100.
  • Tengo entendido que una vez que agregue un puerto a Port Channel toda la VLAN, se realiza una configuración STP por Port Channel y no por puerto. Si creo un canal de puerto a partir de Fa 1/10 y Fa 1/11, los configuro como troncales utilizando su canal de puerto asignado y no sus puertos individuales (al menos esto es lo que hago con ProCurves). ¿Es esto correcto?

Correcto, para propósitos de árbol de expansión, el puerto agregado es un enlace. Para cambiar la configuración del puerto, cambie la configuración del puerto agregado y se propagará a las interfaces individuales.

  • Si el último elemento es correcto, eso significa que toda la configuración por puerto de los miembros del Canal del Puerto es no operativa o se realizó antes de que ese puerto se convirtiera en un miembro del Canal del Puerto. ¿Es esta una suposición razonable?

No es un no-op: deben coincidir o el puerto no podrá unirse a la agregación:

30 de mayo 17: 11: 25.956:% EC-5-CANNOT_BUNDLE2: Gi0 / 20 no es compatible con Gi0 / 19 y se suspenderá (la máscara vlan es diferente)

El interruptor se quejará :)

  • ¿Cómo diablos pasa el tráfico de VLAN 100 a través del enlace ascendente (puedo llegar a las máquinas virtuales alojadas en los hosts ESXi)? VLAN 100 desaparece una vez que llega al Meraki y las etiquetas VLAN nativas son diferentes. Las cosas están funcionando pero no puedo evitar sentir que algo es extraño con esta configuración y sería preferible empujar la VLAN 100 hasta el resto de la pila. Para hacer las cosas aún más extrañas, la VLAN 2 también termina en el Puerto 41 en el Meraki, todo lo demás está configurado como VLAN 1 nativa.
interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

Esto es un poco peligroso: el tráfico sin etiquetar estará en VLAN 100 o VLAN 2 dependiendo del modo del puerto. Debe forzar el modo troncal ( switchport mode trunk) o al menos hacer que las VLAN sin etiquetar coincidan.

Lo que sucede en este modo ( switchport mode dynamic) es que el puerto aparecerá en modo de acceso pero cambiará a un enlace troncal si detecta algún paquete etiquetado. (esto se simplifica)


Es "convencional" tener enlaces de conmutador a conmutador (a veces de conmutador a host) con varias VLAN (troncales en el lenguaje de Cisco) siempre tienen VLAN 1 nativa (sin etiquetar).

Los valores predeterminados no se muestran en la configuración. Si no está seguro de los valores predeterminados, siempre puede sh run all:

interface Port-channel1
 description blch1-sw1
 switchport
 switchport access vlan 1
 switchport trunk native vlan 1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
 no switchport nonegotiate
 no switchport protected
 no switchport block multicast
 no switchport block unicast
 no ip arp inspection trust
 ip arp inspection limit rate 15 burst interval 1
 ip arp inspection limit rate 15
 no shutdown
 ipv6 mld snooping tcn flood
 snmp trap mac-notification change added
 snmp trap mac-notification change removed
 snmp trap link-status
 spanning-tree port-priority 3
 spanning-tree cost 3
 ip dhcp snooping limit rate 4294967295
 no ip dhcp snooping trust
 no ip dhcp snooping information option allow-untrusted

vs:

interface Port-channel1
 description blch1-sw1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
end

Tenga en cuenta que switchport trunk native vlan 1no está en la segunda lista. Ese es el defecto.

MikeyB
fuente
-2

Creo que esto es lo que quieres para Channel2

interface Port-channel2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/4
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
RecentCoin
fuente
-2

Cualquiera de los puertos del canal.

  • Cualquier cambio en el canal del puerto afecta el conjunto de puertos
  • Cualquier cambio en los puertos individuales afecta solo al puerto
  • Parece que te dieron un desastre para limpiar ...: D
  • Creo que le gustaría borrar la mayor parte de la configuración en los puertos y simplemente tener algo simple como:

    interface Port-channel2
    no ip address 
    switchport
    switchport access vlan 100
    
    
    interface GigabitEthernet1/0/6
    description ESX2
    channel-group 2 mode on
    

Me parece que la única troncal que necesita está entre los dos interruptores.

Vlan nativo en el interruptor de Cisco:

int GigabitEthernet1/0/24
no switchport access vlan 100
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 1 
exacción
fuente
Los enlaces troncales son necesarios en los enlaces ESX para el tráfico del hipervisor (por ejemplo, vmotion), y se configurarán como tales en los hosts ESX, por lo que eliminarlos del swtich causará problemas.
CGretski