Native VLAN-Nichtübereinstimmung und fehlendes VLAN?

Ich versuche, mich mit der Konfiguration des Netzwerkstapels einer neuen Site um das zu kümmern, was genau hier vor sich geht. Dieses besondere Stück, an dem ich arbeite, ist ziemlich einfach, aber es fällt mir schwer herauszufinden, was die ursprüngliche Absicht war. Es gibt einen Cisco Catalyst 3750x mit drei Port-Kanälen (jeweils mit vier Schnittstellen pro Stück), die an drei ESXi-Hosts gehen. Der Catalyst ist über einen Meraki MS42 über eine einzige Schnittstelle (kein Port-Kanal) mit dem Rest des Netzwerks verbunden. VLAN 100 überträgt den Netzwerkverkehr, die anderen VLANs sind für vMotion oder isolierte Netzwerke vorgesehen. Ich denke, ein großer Teil meiner Schwierigkeit besteht darin, dass ich kein Cisco-ese spreche.

Die Einrichtung

Port-Kanal 1

interface Port-channel1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/1
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/2
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/3
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on

Port-Kanal 2 (Ich lasse Port-Kanal 3 weg, da er in der Konfiguration mit Port-Kanal 2 identisch ist.)

interface Port-channel2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/7
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/8
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on

Uplink-Ports

Auf dem Katalysator:

interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

Auf dem Meraki:

Trunk port using native VLAN 1; allowed VLANs: all

Die Fragen

• Die Kombination von switchport accessund switch port trunk allowedmacht die switchport accessKonfiguration zu einem No-Op, oder? Sie können keinen Port im Zugriffs- und Amtsleitungsmodus haben, es sei denn, ich irre mich. Kann mir das jemand bestätigen?
• Nach meinem Verständnis wird nach dem Hinzufügen eines Ports zum Port-Channel im gesamten VLAN eine STP-Konfiguration pro Port-Channel und nicht pro Port durchgeführt. Wenn ich einen Portkanal aus Fa 1/10 und Fa 1/11 erstelle, konfiguriere ich sie als Amtsleitungen unter Verwendung ihres zugewiesenen Portkanals und nicht ihrer einzelnen Ports (zumindest mache ich das mit ProCurves). Ist das richtig?
• Wenn das letzte Element korrekt ist, bedeutet dies, dass die gesamte Port-Konfiguration der Port-Channel-Mitglieder entweder ein No-Op ist oder durchgeführt wurde, bevor dieser Port zum Port-Channel-Mitglied gemacht wurde. Ist das eine vernünftige Annahme?
• Wie zum Teufel kommt der Datenverkehr von VLAN 100 über den Uplink (ich kann die auf den ESXi-Hosts gehosteten VMs erreichen)? VLAN 100 verschwindet, sobald es auf Meraki trifft, und die nativen VLAN-Tags sind unterschiedlich. Die Dinge funktionieren, aber ich kann nicht anders, als das Gefühl zu haben, dass etwas mit diesem Setup seltsam ist, und es wäre vorzuziehen, VLAN 100 bis zum Rest des Stacks durchzuschieben. Damit die Dinge noch seltsamer werden, endet VLAN 2 auch an Port 41 auf dem Meraki. Alles andere ist auf Native VLAN 1 eingestellt.

In Zukunft bin ich geneigt, VLAN 100 aufzugeben oder den Rest unseres Stacks neu zu konfigurieren, damit das Subnetz, das auf VLAN 100 läuft, nicht mehrere VLANs (100 und 1) verwendet und die native VLAN-Tag-Nichtübereinstimmung auf dem Uplink (Port 41 -) behebt - Gi 1/0/24). Gedanken zu diesem Plan?

• Die Kombination aus switchport accessund Switch-Port-Trunk ermöglichte die makes theKonfiguration des Switchport-Zugriffs als No-Op, oder? Sie können keinen Port im Zugriffs- und Amtsleitungsmodus haben, es sei denn, ich irre mich. Kann mir das jemand bestätigen?

Nicht genau. Lassen Sie mich die Konfiguration aufschlüsseln:

interface Port-channel1
    switchport access vlan 100
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan 100,101,172,192
    switchport mode trunk
    switchport nonegotiate
    spanning-tree portfast trunk

Das Nettoergebnis dieser Konfiguration ist:

• WENN sich der Port im Zugriffsmodus befindet:
  • Es wird nur Datenverkehr (ohne Tags) in VLAN 100 weitergeleitet
• WENN sich der Port im Trunk-Modus befindet (≥1 VLAN):
  • Der Port leitet nicht getaggten Datenverkehr in VLAN 1 weiter
  • Der Port leitet markierten Datenverkehr in VLAN 100, 101, 172, 192 weiter
  • Beachten Sie jedoch, dass VLAN 1 nicht in der Liste der zulässigen Elemente enthalten ist. → Es darf kein Datenverkehr ohne Tags diesen Port durchlaufen
  • switchport mode trunk → Dieser Port befindet sich immer im Trunk-Modus
  • switchport nonegotiate→ Senden Sie keine DTP-Frames - solche Frames werden möglicherweise falsch weitergeleitet und führen dazu, dass Ports an anderen Switches an Trunks verhandeln, wenn dies nicht vorgesehen ist.
  • Möglicherweise möchten Sie hinzufügen: switchport trunk native vlan 100Wenn das andere Ende der Verbindung erwartet, dass der nicht getaggte Datenverkehr VLAN 100 ist.

• Nach meinem Verständnis wird nach dem Hinzufügen eines Ports zum Port-Channel im gesamten VLAN eine STP-Konfiguration pro Port-Channel und nicht pro Port durchgeführt. Wenn ich einen Portkanal aus Fa 1/10 und Fa 1/11 erstelle, konfiguriere ich sie als Amtsleitungen unter Verwendung ihres zugewiesenen Portkanals und nicht ihrer einzelnen Ports (zumindest mache ich das mit ProCurves). Ist das richtig?

Richtig, für Spanning-Tree-Zwecke ist der aggregierte Port eine Verknüpfung. Um die Portkonfiguration zu ändern, ändern Sie die Konfiguration des aggregierten Ports und dieser wird an die einzelnen Schnittstellen weitergegeben.

• Wenn das letzte Element korrekt ist, bedeutet dies, dass die gesamte Port-Konfiguration der Port-Channel-Mitglieder entweder ein No-Op ist oder durchgeführt wurde, bevor dieser Port zum Port-Channel-Mitglied gemacht wurde. Ist das eine vernünftige Annahme?

Es ist kein No-Op - sie müssen übereinstimmen, sonst darf der Port der Aggregation nicht beitreten:

30. Mai 17: 11: 25.956:% EC-5-CANNOT_BUNDLE2: Gi0 / 20 ist nicht mit Gi0 / 19 kompatibel und wird ausgesetzt (VLAN-Maske ist anders)

Der Schalter wird sich beschweren :)

• Wie zum Teufel kommt der Datenverkehr von VLAN 100 über den Uplink (ich kann die auf den ESXi-Hosts gehosteten VMs erreichen)? VLAN 100 verschwindet, sobald es auf Meraki trifft, und die nativen VLAN-Tags sind unterschiedlich. Die Dinge funktionieren, aber ich kann nicht anders, als das Gefühl zu haben, dass etwas mit diesem Setup seltsam ist, und es wäre vorzuziehen, VLAN 100 bis zum Rest des Stacks durchzuschieben. Damit die Dinge noch seltsamer werden, endet VLAN 2 auch an Port 41 auf dem Meraki. Alles andere ist auf Native VLAN 1 eingestellt.

interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

Dies ist ein wenig gefährlich - Datenverkehr ohne Tags befindet sich je nach Portmodus entweder in VLAN 100 oder VLAN 2. Sie sollten den Modus trunk ( switchport mode trunk) erzwingen oder zumindest dafür sorgen, dass die VLANs ohne Tags übereinstimmen.

In diesem Modus ( switchport mode dynamic) wird der Port im Zugriffsmodus aktiviert, wechselt jedoch zu einem Trunk, wenn er markierte Pakete erkennt. (Dies ist vereinfacht)

Es ist "üblich", dass Switch-to-Switch-Verbindungen (manchmal Switch-to-Host) mit mehreren VLANs (Amtsleitungen im Cisco-Sprachgebrauch) immer ein natives (nicht getaggtes) VLAN 1 haben.

Die Standardeinstellungen werden in der Konfiguration nicht angezeigt. Wenn Sie sich bezüglich der Standardeinstellungen nicht sicher sind, können Sie jederzeit sh run all:

interface Port-channel1
 description blch1-sw1
 switchport
 switchport access vlan 1
 switchport trunk native vlan 1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
 no switchport nonegotiate
 no switchport protected
 no switchport block multicast
 no switchport block unicast
 no ip arp inspection trust
 ip arp inspection limit rate 15 burst interval 1
 ip arp inspection limit rate 15
 no shutdown
 ipv6 mld snooping tcn flood
 snmp trap mac-notification change added
 snmp trap mac-notification change removed
 snmp trap link-status
 spanning-tree port-priority 3
 spanning-tree cost 3
 ip dhcp snooping limit rate 4294967295
 no ip dhcp snooping trust
 no ip dhcp snooping information option allow-untrusted

vs:

interface Port-channel1
 description blch1-sw1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
end

Beachten Sie, wie switchport trunk native vlan 1nicht in der zweiten Auflistung. Das ist die Standardeinstellung.

Ich denke, das ist es, was du für Channel2 willst

interface Port-channel2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/4
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on

Entweder-Kanal-Ports.

• Alle Änderungen am Portkanal wirken sich auf das Portbündel aus
• Änderungen an einzelnen Ports wirken sich nur auf den Port aus
• Sieht so aus, als hätten Sie ein Durcheinander bekommen, um aufzuräumen ...: D.

• Ich denke, Sie möchten den größten Teil der Konfiguration in den Ports löschen und haben einfach etwas wie:

  interface Port-channel2
  no ip address 
  switchport
  switchport access vlan 100
  
  
  interface GigabitEthernet1/0/6
  description ESX2
  channel-group 2 mode on
  

Mir scheint, der einzige Kofferraum, den Sie brauchen, befindet sich zwischen den beiden Schaltern.

Native VLAN auf Cisco Switch:

int GigabitEthernet1/0/24
no switchport access vlan 100
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 1