ネイティブVLANの不一致と欠落しているVLAN?

10

新しいサイトのネットワークスタックの構成で、ここで正確に何が行われているのかを理解しようとしています。私が作業しているこの特定の作品は非常に単純ですが、元の意図が何であるかを理解するのに苦労しました。3つのESXiホストに接続する3つのポートチャネル(それぞれが4つのインターフェイスを持つ)を備えたCisco Catalyst 3750xがあります。Catalystは、単一のインターフェイス(ポートチャネルなし)を介してMeraki MS42経由でネットワークの残りの部分に接続されています。VLAN 100はネットワークトラフィックを伝送し、他のVLANはvMotionや分離されたネットワークなど専用です。ここでの難しさの大部分は、Cisco-eseを話せないことだと思います。

セットアップ

ネットワークスタック


ポートチャネル1

interface Port-channel1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/1
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/2
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/3
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on


ポートチャネル2ポートチャネル2と構成が同じであるため、ポートチャネル3は省略します)

interface Port-channel2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/7
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/8
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on


アップリンクポート

触媒上:

interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

Merakiについて:

Trunk port using native VLAN 1; allowed VLANs: all


質問

  • 組み合わせswitchport accessswitch port trunk allowedなりますswitchport access設定無操作、右?私が間違っていない限り、ポートをアクセスモードトランクモードにすることはできません。誰かがこれを私に確認できますか?
  • ポートチャネルにすべてのVLANを追加すると、ポートごとではなく、ポートチャネルごとにSTP構成が行われることを理解しています。Fa 1/10とFa 1/11からポートチャネルを作成する場合、個別のポートではなく、割り当てられたポートチャネルを使用してトランクとして構成します(少なくとも、これはProCurvesで行うものです)。これは正しいです?
  • 最後の項目が正しい場合は、ポートチャネルメンバーのすべてのポートごとの構成がノーオペレーションであるか、そのポートがポートチャネルメンバーになる前に行われたことを意味します。これは合理的な仮定ですか?
  • VLAN 100からのトラフィックはどのようにしてアップリンクを通過しますか(ESXiホストでホストされているVMに到達できます)?VLAN 100はMerakiにヒットし、ネイティブVLANタグが異なると消えます。物事は機能していますが、私は助けることができませんが、このセットアップでは何かがおかしいと感じています。VLAN100をスタックの残りの部分までプッシュすることが望ましいでしょう。さらに奇妙なことに、VLAN 2がMerakiのポート41でも終端するようにするために、その他すべてはネイティブVLAN 1に設定されています。

VLAN 100を放棄するか、残りのスタックを再構成してVLAN 100に乗っているサブネットが複数のVLAN(100と1)を使用せず、アップリンク(ポート41- -Gi 1/0/24)。この計画についての考えは?

networking  cisco  cisco-catalyst  meraki 

回答:

7
  • switchport accessとスイッチポートトランクの組み合わせにより、スイッチポートmakes theアクセスの設定が不要になります。私が間違っていない限り、ポートをアクセスモードトランクモードにすることはできません。誰かがこれを私に確認できますか?

ではない正確に。設定を分解してみましょう:

interface Port-channel1
    switchport access vlan 100
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan 100,101,172,192
    switchport mode trunk
    switchport nonegotiate
    spanning-tree portfast trunk

この構成の最終的な結果は次のとおりです。

  • ポートがアクセスモードの場合:
    • VLAN 100の(タグなし)トラフィックのみを通過させます
  • ポートがトランクモード(≥1VLAN)の場合:
    • ポートはVLAN 1のタグなしトラフィックを通過させます
    • ポートはVLAN 100、101、172、192のタグ付きトラフィックを通過させます
    • ただし、VLAN 1が許可リストに含まれていないことに注意してください→タグなしのトラフィックはこのポートを通過できません
    • switchport mode trunk →このポートは常にトランクモードになります
    • switchport nonegotiateDTPフレームを送信しないでください-このようなフレームは正しく転送されず、他のスイッチのポートが、想定されていないときにトランクとネゴシエートする可能性があります。
    • 追加する可能性があります:switchport trunk native vlan 100リンクのもう一方の端がタグなしトラフィックがVLAN 100であると予期している場合。
  • ポートチャネルにすべてのVLANを追加すると、ポートごとではなく、ポートチャネルごとにSTP構成が行われることを理解しています。Fa 1/10とFa 1/11からポートチャネルを作成する場合、個別のポートではなく、割り当てられたポートチャネルを使用してトランクとして構成します(少なくとも、これはProCurvesで行うものです)。これは正しいです?

そう、スパニングツリーの目的では、集約されたポートはリンクです。ポート構成を変更するには、集約されたポートの構成を変更すると、それが個々のインターフェースに伝搬されます。

  • 最後の項目が正しい場合は、ポートチャネルメンバーのすべてのポートごとの構成がノーオペレーションであるか、そのポートがポートチャネルメンバーになる前に行われたことを意味します。これは合理的な仮定ですか?

これはノーオペレーションではありません-それらは一致する必要があります。一致していない場合、ポートは集約に参加できません。

5月30日17:11:25.956:%EC-5-CANNOT_BUNDLE2:Gi0 / 20はGi0 / 19と互換性がなく、一時停止されます(VLANマスクが異なります)

スイッチは文句を言うでしょう:)

  • VLAN 100からのトラフィックはどのようにしてアップリンクを通過しますか(ESXiホストでホストされているVMに到達できます)?VLAN 100はMerakiにヒットし、ネイティブVLANタグが異なると消えます。物事は機能していますが、私は助けることができませんが、このセットアップでは何かがおかしいと感じています。VLAN100をスタックの残りの部分までプッシュすることが望ましいでしょう。さらに奇妙なことに、VLAN 2がMerakiのポート41でも終端するようにするために、その他すべてはネイティブVLAN 1に設定されています。
interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

これは少し危険です。タグの付いていないトラフィックは、ポートのモードに応じてVLAN 100またはVLAN 2のどちらかになります。モードトランク(switchport mode trunk)を強制するか、少なくともタグなしVLANを一致させる必要があります。

このモード(switchport mode dynamic)では、ポートはアクセスモードで起動しますが、タグ付きパケットを検出するとトランクに切り替わります。(これは簡略化されています)

複数のVLAN(Cisco用語ではトランク)を持つスイッチ間(場合によってはスイッチ間)リンクに常にネイティブ(タグなし)VLAN 1を持たせることは「慣習」です。

デフォルトは構成に表示されません。デフォルトが不明な場合は、いつでもできますsh run all

interface Port-channel1
 description blch1-sw1
 switchport
 switchport access vlan 1
 switchport trunk native vlan 1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
 no switchport nonegotiate
 no switchport protected
 no switchport block multicast
 no switchport block unicast
 no ip arp inspection trust
 ip arp inspection limit rate 15 burst interval 1
 ip arp inspection limit rate 15
 no shutdown
 ipv6 mld snooping tcn flood
 snmp trap mac-notification change added
 snmp trap mac-notification change removed
 snmp trap link-status
 spanning-tree port-priority 3
 spanning-tree cost 3
 ip dhcp snooping limit rate 4294967295
 no ip dhcp snooping trust
 no ip dhcp snooping information option allow-untrusted

対:

interface Port-channel1
 description blch1-sw1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
end

switchport trunk native vlan 1が2番目のリストにないことに注意してください。これがデフォルトです。

MikeyB
ソース
-2

これはあなたがChannel2に欲しいものだと思います

interface Port-channel2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/4
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
最近のコイン
ソース
-2

いずれかのチャネルポート。

  • ポートチャネルへの変更は、ポートのバンドルに影響します
  • 個々のポートへの変更はポートのみに影響します
  • あなたは片付けのために混乱を渡されたように見えます...:D

  • 私はあなたがポートの設定のほとんどをクリアし、単に次のような単純なものにしたいと思うでしょう: 

    interface Port-channel2
no ip address 
switchport
switchport access vlan 100


interface GigabitEthernet1/0/6
description ESX2
channel-group 2 mode on

必要なトランクは2つのスイッチの間にあるだけのようです。

シスコスイッチのネイティブVLAN:

int GigabitEthernet1/0/24
no switchport access vlan 100
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 1
徴収
ソース
トランクは、ハイパーバイザートラフィック(vmotionなど)のESXリンクで必要であり、ESXホストでそのように構成されているため、それらをswtichから削除すると問題が発生します。
CGretski、2018年
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.