Incompatibilidade de VLAN nativa e falta de VLAN?

Navegue suas respostas
10

Estou tentando entender exatamente o que está acontecendo aqui com a configuração de um novo site de sua pilha de rede. Esta parte em particular que estou trabalhando é bem simples, mas estou tendo dificuldades para descobrir qual era a intenção original. Existe um Cisco Catalyst 3750x com três canais de porta (cada um com quatro interfaces por peça) indo para três hosts ESXi. O Catalyst é conectado ao resto da rede através de um Meraki MS42 através de uma única interface (sem canal de porta). A VLAN 100 transporta o tráfego de rede, as outras VLANs são dedicadas a coisas como o vMotion ou redes isoladas. Eu acho que uma grande parte da minha dificuldade aqui é que eu não falo Cisco-ese.

A configuração


Canal da porta 1 

interface Port-channel1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/1
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/2
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/3
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on


Canal da porta 2 (Estou deixando de fora o Port-Channel 3, já que ele é idêntico na configuração do Port-Channel 2) 

interface Port-channel2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/7
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/8
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on


Portas de uplink

No Catalyst: 

interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

No Meraki: 

Trunk port using native VLAN 1; allowed VLANs: all


A questão / s

  • A combinação de switchport access e switch port trunk allowed torna a configuração switchport access no-op, certo? Você não pode ter uma porta no modo de acesso e modo de tronco, a menos que eu esteja enganado. Alguém pode confirmar isso para mim?
  • Entendo que, depois de adicionar uma porta ao Port Channel de toda a VLAN, uma configuração de STP é feita por Canal de porta e não por porta. Se eu criar um Canal da Porta a partir de Fa 1/10 e Fa 1/11, eu os configuro como troncos usando seu Canal da Porta designado e não suas portas individuais (pelo menos é isso que eu faço com ProCurves). Isso está correto?
  • Se o último item estiver correto, significa que toda a configuração por porta dos membros do Canal de Porta é não-operacional ou foi feita antes de essa porta ser transformada em membro do Canal de Porta. Isso é uma suposição razoável?
  • Como diabos o tráfego da VLAN 100 passa pelo uplink (posso alcançar as VMs hospedadas nos hosts do ESXi)? A VLAN 100 desaparece quando atinge o Meraki e as tags VLAN nativas são diferentes. As coisas estão funcionando, mas não posso deixar de sentir que algo é estranho com essa configuração e seria preferível aumentar a VLAN 100 para o restante da pilha. Para tornar as coisas ainda mais estranhas, a VLAN 2 também termina na porta 41 do Meraki, tudo o mais está definido como VLAN 1 nativo.

Seguindo em frente, estou inclinado a abandonar a VLAN 100 ou reconfigurar o restante de nossa pilha para que a sub-rede montada na VLAN 100 não use várias VLANs (100 e 1) e resolva a incompatibilidade da marca VLAN nativa no uplink ( Porto 41 - Gi 1/0/24). Pensamentos sobre este plano?

    
por kce 27.05.2014 / 21:47

3 respostas

7
  • The combination of switchport access and switch port trunk allowedmakes theswitchport access' configuration a no-op, right? You cannot have a port in access mode and trunk mode unless I am mistaken. Can someone confirm this for me?

Não exatamente. Deixe-me detalhar a configuração: 

interface Port-channel1
    switchport access vlan 100
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan 100,101,172,192
    switchport mode trunk
    switchport nonegotiate
    spanning-tree portfast trunk

O resultado líquido desta configuração é:

  • QUANDO a porta está no modo de acesso:
    • só passará tráfego (sem tag) na VLAN 100
  • QUANDO a porta está no modo de tronco (≥1 VLAN):
    • a porta passará tráfego não marcado na VLAN 1
    • a porta passará o tráfego marcado na VLAN 100,101,172,192
    • NO ENTANTO, observe que a VLAN 1 não está na lista permitida → nenhum tráfego não marcado terá permissão para atravessar essa porta
    • switchport mode trunk → esta porta estará sempre no modo de troncos
    • switchport nonegotiate → não envia quadros DTP - esses quadros podem ser encaminhados incorretamente e fazer com que as portas em outros switches negociem com troncos quando não deveriam.
    • você possivelmente deseja adicionar: switchport trunk native vlan 100 se a outra extremidade do link estiver esperando que o tráfego não marcado seja a VLAN 100.
  • It is my understanding that once you add a port to Port Channel all of the VLAN an STP configuration is done per Port Channel and not per port. If I create a Port Channel out of Fa 1/10 and Fa 1/11, I configure them as trunks using their assigned Port Channel and not their individual ports (at least this is what I do with ProCurves). Is this correct?

Certo, para fins de árvore de abrangência, a porta agregada é um link. Para alterar a configuração da porta, altere a configuração da porta agregada e ela será propagada para as interfaces individuais.

  • If the last item is correct that means all of the per-port configuration of Port Channel members is either a no-op or was done prior to that port being made a Port Channel member. Is this a reasonable assumption?

Não é um não operacional - eles devem corresponder ou a porta não poderá participar da agregação:

May 30 17:11:25.956: %EC-5-CANNOT_BUNDLE2: Gi0/20 is not compatible with Gi0/19 and will be suspended (vlan mask is different)

O comutador irá reclamar:)

  • How the heck does the traffic from VLAN 100 get across the uplink (I can reach the VMs hosted on the ESXi hosts)? VLAN 100 disappears once it hits the Meraki and the native VLAN tags are different. Things are working but I can't help but feel something is weird with this setup and it would be preferable to push VLAN 100 all the way through to the rest of stack. To make things even stranger VLAN 2 terminates at Port 41 on the Meraki as well, everything else is set to Native VLAN 1.
interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

Isso é um pouco perigoso - o tráfego não marcado estará na VLAN 100 ou na VLAN 2, dependendo do modo da porta. Você deve forçar o tronco de modo ( switchport mode trunk ) ou pelo menos fazer com que as VLANs não marcadas sejam iguais.

O que acontece neste modo ( switchport mode dynamic ) é que a porta surgirá no modo de acesso, mas mudará para um tronco se detectar algum pacote marcado. (isto é simplificado)

É "convenção" ter links switch-a-switch (às vezes switch-to-host) com várias VLANs (troncos no jargão da Cisco) sempre com VLAN 1 nativa (não marcada).

Os padrões não são mostrados na configuração. Se não tiver certeza dos padrões, você sempre pode sh run all : 

interface Port-channel1
 description blch1-sw1
 switchport
 switchport access vlan 1
 switchport trunk native vlan 1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
 no switchport nonegotiate
 no switchport protected
 no switchport block multicast
 no switchport block unicast
 no ip arp inspection trust
 ip arp inspection limit rate 15 burst interval 1
 ip arp inspection limit rate 15
 no shutdown
 ipv6 mld snooping tcn flood
 snmp trap mac-notification change added
 snmp trap mac-notification change removed
 snmp trap link-status
 spanning-tree port-priority 3
 spanning-tree cost 3
 ip dhcp snooping limit rate 4294967295
 no ip dhcp snooping trust
 no ip dhcp snooping information option allow-untrusted

vs: 

interface Port-channel1
 description blch1-sw1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
end

Observe como switchport trunk native vlan 1 não está na segunda listagem. Esse é o padrão.

    
por 30.05.2014 / 19:16
-2

Eu acho que isso é o que você quer para o canal 2 

interface Port-channel2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/4
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
    
por 28.05.2014 / 00:08
-2

Portas Eitherchannel.

  • Quaisquer alterações no canal da porta afetam o pacote de portas
  • Quaisquer alterações em portas individuais afetam apenas a porta
  • Parece que você recebeu uma bagunça para limpar ...: D

  • Eu acho que você gostaria de limpar a maior parte da configuração nas portas e apenas ter algo simples como: 

    interface Port-channel2
no ip address 
switchport
switchport access vlan 100


interface GigabitEthernet1/0/6
description ESX2
channel-group 2 mode on

Parece-me que o único tronco que você precisa está entre os dois switches.

Vlan nativa no switch cisco: 

int GigabitEthernet1/0/24
no switchport access vlan 100
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 1
    
por 28.05.2014 / 20:16

Tags

Como faço cron funcionar todos os outros domingos no outro domingo? Posso “mesclar” dois grupos usando o histórico SID?