Soru Yerel VLAN uyuşmazlığı ve eksik VLAN?


Kafamı, yeni bir sitenin ağ yığınlarının yapılandırmasıyla tam olarak burada neler olup bittiğini etrafına sarmaya çalışıyorum. Çalıştığım bu özel parça oldukça basit ama asıl niyetinin ne olduğunu anladığım için zor bir zaman geçiriyorum. Üç ESXi ana bilgisayarına giden üç Port Kanallı bir Cisco Catalyst 3750x (her biri dört arayüzlü bir parça) vardır. Katalizör, ağın geri kalanına bir Meraki MS42 aracılığıyla tek bir arabirim (Bağlantı Noktası Kanal yok) yoluyla bağlanır. VLAN 100 ağ trafiğini taşır, diğer VLAN'lar vMotion veya yalıtılmış ağlar gibi şeylere adanmıştır. Buradaki zorluklarımın büyük bir kısmını Cisco-ese diye konuşmuyorum.

Kurulum

Network Stack


Liman Kanalı 1

interface Port-channel1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/1
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/2
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/3
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on


Bağlantı Noktası 2 (Port-Channel 2 konfigürasyonunda aynı olduğu için Port-Channel 3'ü bırakıyorum)

interface Port-channel2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/7
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/8
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on


Uplink Portları

Katalizörde:

interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

Meraki'de:

Trunk port using native VLAN 1; allowed VLANs: all


Sorular

  • Kombinasyonu switchport access ve switch port trunk allowed Yapar switchport access yapılandırma bir no-op, değil mi? Erişim modunda bir portunuz olamaz ve Yanlış modda olmadıkça gövde modu. Birisi bunu benim için onaylayabilir mi?
  • Port Kanalına bir port ekledikten sonra tüm VLAN'a bir kere STP konfigürasyonunun Port Channel başına ve port başına yapılmadığı benim anlayışım. Fa 1/10 ve Fa 1/11'den bir Port Channel oluşturursam, onları kendi portlarını değil, atanmış Port Kanalını kullanarak gövdeler olarak yapılandırabilirim (en azından ProCurves ile yaptığım şey bu). Bu doğru mu?
  • Son öğe doğruysa, bu, Port Channel üyelerin bağlantı noktası yapılandırmasının tümünün ya bir op içermiyor ya da bu portun bir Port Channel üyesi haline getirilmesinden önce yapıldığı anlamına gelir. Bu makul bir varsayım mı?
  • VLAN 100'den gelen trafiğin yukarı bağlantı üzerinden nasıl geçtiği (ESXi ana bilgisayarlarında barındırılan VM'lere ulaşabilirim)? VLAN 100, Meraki'ye vurduğunda ve yerel VLAN etiketleri farklı olduğunda kaybolur. İşler çalışıyor ama yardımcı olamıyorum ama bu kurulumda bir şeylerin garip olduğunu hissetmek ve VLAN 100'ü yığının geri kalanına kadar itmek tercih edilebilir. İşleri daha da yabancı hale getirmek için VLAN 2, Meraki'deki 41 numaralı Liman'da da sona erecek, her şey Native VLAN 1'e ayarlandı.

İleriye doğru ilerlerken, VLAN 100'ü terk etme ya da VLAN 100'e binen alt ağın çoklu VLAN'ları (100 ve 1) kullanmaması ve yer-uydu bağlantısında Yerleşik VLAN etiket uyumsuzluğunu çözmesi için yığınımızın geri kalanını yeniden yapılandırmaya eğilimliyim (Bağlantı noktası 41 - - Gi 1/0/24). Bu plandaki düşünceler?


10
2018-05-27 19:47


Menşei




Cevaplar:


  • Kombinasyonu switchport access ve izin verilen bağlantı noktası bagajını değiştirmakes theswitchport erişim yapılandırması no-op, değil mi? Erişim modunda bir portunuz olamaz ve Yanlış modda olmadıkça gövde modu. Birisi bunu benim için onaylayabilir mi?

Tam olarak değil. Yapılandırmayı bozmama izin ver:

interface Port-channel1
    switchport access vlan 100
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan 100,101,172,192
    switchport mode trunk
    switchport nonegotiate
    spanning-tree portfast trunk

Bu yapılandırmanın net sonucu:

  • Bağlantı noktası erişim modunda olduğunda:
    • Sadece VLAN 100'de (etiketsiz) trafik geçecek
  • Bağlantı noktası gövde modunda olduğunda (≥1 VLAN):
    • liman VLAN etiketsiz trafik geçecek 1
    • liman VLAN 100.091.172.192 tarihinde etiketli trafiği geçirecek
    • VLAN 1'in izin verilen listede bulunmadığını not edin → etiketlenmemiş trafik bu bağlantı noktasından geçmesine izin verilmeyecektir.
    • switchport mode trunk → bu port her zaman trunk modunda olacak
    • switchport nonegotiate → gönderme DTP çerçeveleri - Bu tür çerçeveler yanlış iletilebilir ve diğer anahtarlardaki bağlantı noktalarının, yapılmaması gerektiğinde gövdelerde pazarlık yapmasına neden olabilir.
    • muhtemelen eklemek istersiniz: switchport trunk native vlan 100 bağlantının diğer ucu etiketsiz trafiğin VLAN 100 olmasını bekliyorsa.
  • Port Kanalına bir port ekledikten sonra tüm VLAN'a bir kere STP konfigürasyonunun Port Channel başına ve port başına yapılmadığı benim anlayışım. Fa 1/10 ve Fa 1/11'den bir Port Channel oluşturursam, onları kendi portlarını değil, atanmış Port Kanalını kullanarak gövdeler olarak yapılandırabilirim (en azından ProCurves ile yaptığım şey bu). Bu doğru mu?

Doğru, yayılma-ağaç amaçları için toplu port bir bağlantıdır. Bağlantı noktası yapılandırmasını değiştirmek için toplu bağlantı noktasının yapılandırmasını değiştirin ve tek tek arabirimlere yayılacaktır.

  • Son öğe doğruysa, bu, Port Channel üyelerin bağlantı noktası yapılandırmasının tümünün ya bir op içermiyor ya da bu portun bir Port Channel üyesi haline getirilmesinden önce yapıldığı anlamına gelir. Bu makul bir varsayım mı?

Bu bir no-op değil - eşleşmeli veya portun birleştirmeye katılmasına izin verilmeyecek:

30 Mayıs 17: 11: 25.956:% EC-5-CANNOT_BUNDLE2: Gi0 / 20, Gi0 / 19 ile uyumlu değildir ve askıya alınacaktır (vlan maskesi farklıdır)

Anahtar şikayet edecek :)

  • VLAN 100'den gelen trafiğin yukarı bağlantı üzerinden nasıl geçtiği (ESXi ana bilgisayarlarında barındırılan VM'lere ulaşabilirim)? VLAN 100, Meraki'ye vurduğunda ve yerel VLAN etiketleri farklı olduğunda kaybolur. İşler çalışıyor ama yardımcı olamıyorum ama bu kurulumda bir şeylerin garip olduğunu hissetmek ve VLAN 100'ü yığının geri kalanına kadar itmek tercih edilebilir. İşleri daha da yabancı hale getirmek için VLAN 2, Meraki'deki 41 numaralı Liman'da da sona erecek, her şey Native VLAN 1'e ayarlandı.
interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

Bu biraz tehlikeli - etiketsiz trafik, portun moduna bağlı olarak VLAN 100 veya VLAN 2'de olacaktır. Mod gövdesini zorlamanız gerekir (switchport mode trunk) ya da en azından etiketsiz VLAN'ların eşleşmesini sağlayın.

Bu modda ne olur?switchport mode dynamic) bağlantı noktasının erişim modunda çıkması, ancak etiketli paketleri algılarsa bir gövdeye geçmesidir. (bu basitleştirilmiştir)


Çoklu VLAN'lar (Cisco paritesinde gövdeler) ile her zaman yerel (etiketsiz) VLAN 1'e geçiş yapmak (bazen ana bilgisayarlara geçiş) için "kongre".

Varsayılanlar yapılandırmada gösterilmiyor. Varsayılanlara göre emin değilseniz, her zaman sh run all:

interface Port-channel1
 description blch1-sw1
 switchport
 switchport access vlan 1
 switchport trunk native vlan 1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
 no switchport nonegotiate
 no switchport protected
 no switchport block multicast
 no switchport block unicast
 no ip arp inspection trust
 ip arp inspection limit rate 15 burst interval 1
 ip arp inspection limit rate 15
 no shutdown
 ipv6 mld snooping tcn flood
 snmp trap mac-notification change added
 snmp trap mac-notification change removed
 snmp trap link-status
 spanning-tree port-priority 3
 spanning-tree cost 3
 ip dhcp snooping limit rate 4294967295
 no ip dhcp snooping trust
 no ip dhcp snooping information option allow-untrusted

vs:

interface Port-channel1
 description blch1-sw1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
end

Nasıl olduğunu not alın switchport trunk native vlan 1 ikinci listede yok. Bu varsayılan.


7
2018-05-30 17:16





Bence Channel2 için istediğin bu.

interface Port-channel2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/4
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on

-2
2018-05-27 22:08





Her Kanallı Limanlar.

  • Bağlantı noktası kanalındaki herhangi bir değişiklik, bağlantı noktası kümesini etkiler
  • Tek tek bağlantı noktalarında yapılan değişiklikler yalnızca bağlantı noktasını etkiler
  • Temizlemek için bir pislik dağıtılmış gibi görünüyor ...: D
  • Bağlantı noktalarındaki yapılandırmanın çoğunu temizlemek ve sadece aşağıdaki gibi basit bir şey yapmak isteyeceğinizi düşünüyorum:

    interface Port-channel2
    no ip address 
    switchport
    switchport access vlan 100
    
    
    interface GigabitEthernet1/0/6
    description ESX2
    channel-group 2 mode on
    

Bana ihtiyacın olan tek bagajın iki anahtar arasında olduğunu görüyor.

Cisco anahtarında yerel vlan:

int GigabitEthernet1/0/24
no switchport access vlan 100
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 1 

-2
2018-05-28 18:16



Kasalar, hiper yönetici trafiği için ESX bağlantılarında (örn. Vmotion) gereklidir ve ESX ana bilgisayarlarında olduğu gibi yapılandırılacaktır, bu nedenle swtich'ten kaldırılması sorunlara neden olacaktır. - CGretski