- The combination of
switchport access
and switch port trunk allowedmakes the
switchport access' configuration a no-op, right? You cannot have a port in access mode and trunk mode unless I am mistaken. Can someone confirm this for me?
Não exatamente. Deixe-me detalhar a configuração:
interface Port-channel1
switchport access vlan 100
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
O resultado líquido desta configuração é:
- QUANDO a porta está no modo de acesso:
- só passará tráfego (sem tag) na VLAN 100
- QUANDO a porta está no modo de tronco (≥1 VLAN):
- a porta passará tráfego não marcado na VLAN 1
- a porta passará o tráfego marcado na VLAN 100,101,172,192
- NO ENTANTO, observe que a VLAN 1 não está na lista permitida → nenhum tráfego não marcado terá permissão para atravessar essa porta
-
switchport mode trunk
→ esta porta estará sempre no modo de troncos -
switchport nonegotiate
→ não envia quadros DTP - esses quadros podem ser encaminhados incorretamente e fazer com que as portas em outros switches negociem com troncos quando não deveriam. - você possivelmente deseja adicionar:
switchport trunk native vlan 100
se a outra extremidade do link estiver esperando que o tráfego não marcado seja a VLAN 100.
- It is my understanding that once you add a port to Port Channel all of the VLAN an STP configuration is done per Port Channel and not per port. If I create a Port Channel out of Fa 1/10 and Fa 1/11, I configure them as trunks using their assigned Port Channel and not their individual ports (at least this is what I do with ProCurves). Is this correct?
Certo, para fins de árvore de abrangência, a porta agregada é um link. Para alterar a configuração da porta, altere a configuração da porta agregada e ela será propagada para as interfaces individuais.
- If the last item is correct that means all of the per-port configuration of Port Channel members is either a no-op or was done prior to that port being made a Port Channel member. Is this a reasonable assumption?
Não é um não operacional - eles devem corresponder ou a porta não poderá participar da agregação:
May 30 17:11:25.956: %EC-5-CANNOT_BUNDLE2: Gi0/20 is not compatible with Gi0/19 and will be suspended (vlan mask is different)
O comutador irá reclamar:)
- How the heck does the traffic from VLAN 100 get across the uplink (I can reach the VMs hosted on the ESXi hosts)? VLAN 100 disappears once it hits the Meraki and the native VLAN tags are different. Things are working but I can't help but feel something is weird with this setup and it would be preferable to push VLAN 100 all the way through to the rest of stack. To make things even stranger VLAN 2 terminates at Port 41 on the Meraki as well, everything else is set to Native VLAN 1.
interface GigabitEthernet1/0/24
description Uplink
switchport access vlan 100
switchport trunk native vlan 2
!
Isso é um pouco perigoso - o tráfego não marcado estará na VLAN 100 ou na VLAN 2, dependendo do modo da porta. Você deve forçar o tronco de modo ( switchport mode trunk
) ou pelo menos fazer com que as VLANs não marcadas sejam iguais.
O que acontece neste modo ( switchport mode dynamic
) é que a porta surgirá no modo de acesso, mas mudará para um tronco se detectar algum pacote marcado. (isto é simplificado)
É "convenção" ter links switch-a-switch (às vezes switch-to-host) com várias VLANs (troncos no jargão da Cisco) sempre com VLAN 1 nativa (não marcada).
Os padrões não são mostrados na configuração. Se não tiver certeza dos padrões, você sempre pode sh run all
:
interface Port-channel1
description blch1-sw1
switchport
switchport access vlan 1
switchport trunk native vlan 1
switchport trunk allowed vlan 1-1000,1002-4094
switchport mode trunk
no switchport nonegotiate
no switchport protected
no switchport block multicast
no switchport block unicast
no ip arp inspection trust
ip arp inspection limit rate 15 burst interval 1
ip arp inspection limit rate 15
no shutdown
ipv6 mld snooping tcn flood
snmp trap mac-notification change added
snmp trap mac-notification change removed
snmp trap link-status
spanning-tree port-priority 3
spanning-tree cost 3
ip dhcp snooping limit rate 4294967295
no ip dhcp snooping trust
no ip dhcp snooping information option allow-untrusted
vs:
interface Port-channel1
description blch1-sw1
switchport trunk allowed vlan 1-1000,1002-4094
switchport mode trunk
end
Observe como switchport trunk native vlan 1
não está na segunda listagem. Esse é o padrão.