本机 VLAN 不匹配和缺少 VLAN?
10 networking cisco cisco-catalyst meraki
我试图通过新站点的网络堆栈配置来了解这里到底发生了什么。我正在创作的这个特别的作品非常简单,但我很难弄清楚最初的意图是什么。有一个 Cisco Catalyst 3750x,带有三个端口通道(每个通道有四个接口),连接到三个 ESXi 主机。Catalyst 通过 Meraki MS42 通过单个接口(无端口通道)连接到网络的其余部分。VLAN 100 承载网络流量,其他 VLAN 专用于 vMotion 或隔离网络等。我认为我在这里的很大一部分困难是我不会说 Cisco-ese。
设置
端口通道 1
interface Port-channel1
switchport access vlan 100
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
interface GigabitEthernet1/0/1
description ESX1
switchport access vlan 100
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 1 mode on
!
interface GigabitEthernet1/0/2
description ESX1
switchport access vlan 100
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 1 mode on
!
interface GigabitEthernet1/0/3
description ESX1
switchport access vlan 100
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 1 mode on
端口通道 2 (我省略了端口通道 3,因为它在配置上与端口通道 2 相同)
interface Port-channel2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
!
interface GigabitEthernet1/0/5
description ESX2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 2 mode on
!
interface GigabitEthernet1/0/6
description ESX2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 2 mode on
!
interface GigabitEthernet1/0/7
description ESX2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 2 mode on
!
interface GigabitEthernet1/0/8
description ESX2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 2 mode on
上行端口
关于催化剂:
interface GigabitEthernet1/0/24
description Uplink
switchport access vlan 100
switchport trunk native vlan 2
!
在 Meraki 上:
Trunk port using native VLAN 1; allowed VLANs: all
问题
- 的组合
switchport access,并switch port trunk allowed使得switchport access配置无操作,对不对?除非我弄错了,否则您不能在访问模式和中继模式下使用端口。有人可以为我确认这一点吗? - 我的理解是,一旦您将端口添加到所有 VLAN 的端口通道,STP 配置将按每个端口通道而不是每个端口完成。如果我从 Fa 1/10 和 Fa 1/11 创建一个端口通道,我会使用它们分配的端口通道而不是它们的单个端口将它们配置为中继(至少这是我对 ProCurves 所做的)。这样对吗?
- 如果最后一项是正确的,则意味着端口通道成员的所有每个端口配置要么是空操作,要么是在该端口成为端口通道成员之前完成的。这是一个合理的假设吗?
- 来自 VLAN 100 的流量如何通过上行链路(我可以到达 ESXi 主机上托管的虚拟机)?VLAN 100 到达 Meraki 后就会消失,并且本机 VLAN 标记不同。一切正常,但我不禁觉得此设置有些奇怪,最好将 VLAN 100 一直推送到堆栈的其余部分。更奇怪的是,VLAN 2 也终止于 Meraki 上的端口 41,其他所有内容都设置为本地 VLAN 1。
继续前进,我倾向于放弃 VLAN 100 或重新配置我们堆栈的其余部分,以便在 VLAN 100 上运行的子网不使用多个 VLAN(100 和 1)并解决上行链路(端口 41 - - Gi 1/0/24)。对这个计划的想法?
switchport access和交换机端口中继的组合允许makes the交换机端口访问`配置无操作,对吗?除非我弄错了,否则您不能在访问模式和中继模式下使用端口。有人可以为我确认这一点吗?
不完全是。让我分解一下配置:
interface Port-channel1
switchport access vlan 100
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
此配置的最终结果是:
- 当端口处于访问模式时:
- 它只会在 VLAN 100 上传递(未标记的)流量
- 当端口处于中继模式 (?1 VLAN) 时:
- 该端口将通过 VLAN 1 上的未标记流量
- 该端口将通过 VLAN 100,101,172,192 上的标记流量
- 但是请注意 VLAN 1 不在允许列表中?不允许未标记的流量通过此端口
switchport mode trunk? 此端口将始终处于中继模式switchport nonegotiate? 不要发送DTP 帧- 此类帧可能会被错误转发并导致其他交换机上的端口在不应该协商时与中继进行协商。- 您可能想要添加:
switchport trunk native vlan 100如果链接的另一端期望未标记的流量为 VLAN 100。
- 我的理解是,一旦您将端口添加到所有 VLAN 的端口通道,STP 配置将按每个端口通道而不是每个端口完成。如果我从 Fa 1/10 和 Fa 1/11 创建一个端口通道,我会使用它们分配的端口通道而不是它们的单个端口将它们配置为中继(至少这是我对 ProCurves 所做的)。这样对吗?
是的,出于生成树的目的,聚合端口是一个链接。要更改端口配置,请更改聚合端口的配置,它将传播到各个接口。
- 如果最后一项是正确的,则意味着端口通道成员的所有每个端口配置要么是空操作,要么是在该端口成为端口通道成员之前完成的。这是一个合理的假设吗?
这不是空操作 - 它们必须匹配,否则将不允许端口加入聚合:
May 30 17:11:25.956: %EC-5-CANNOT_BUNDLE2: Gi0/20 与 Gi0/19 不兼容,将挂起(vlan mask 不同)
开关会抱怨:)
- 来自 VLAN 100 的流量如何通过上行链路(我可以到达 ESXi 主机上托管的虚拟机)?VLAN 100 到达 Meraki 后就会消失,并且本机 VLAN 标记不同。一切正常,但我不禁觉得此设置有些奇怪,最好将 VLAN 100 一直推送到堆栈的其余部分。更奇怪的是,VLAN 2 也终止于 Meraki 上的端口 41,其他所有内容都设置为本地 VLAN 1。
interface GigabitEthernet1/0/24
description Uplink
switchport access vlan 100
switchport trunk native vlan 2
!
这有点危险 - 未标记的流量将在 VLAN 100 或 VLAN 2 上,具体取决于端口的模式。您应该强制模式中继 ( switchport mode trunk) 或至少使未标记的 VLAN 匹配。
在此模式 ( switchport mode dynamic) 中发生的情况是端口将进入访问模式,但如果检测到任何标记的数据包,则会切换到中继。(这是简化的)
具有多个 VLAN(思科术语中的中继)的交换机到交换机(有时是交换机到主机)链路始终具有本机(未标记)VLAN 1,这是“惯例”。
配置中不显示默认值。如果您不确定默认值,您可以随时sh run all:
interface Port-channel1
description blch1-sw1
switchport
switchport access vlan 1
switchport trunk native vlan 1
switchport trunk allowed vlan 1-1000,1002-4094
switchport mode trunk
no switchport nonegotiate
no switchport protected
no switchport block multicast
no switchport block unicast
no ip arp inspection trust
ip arp inspection limit rate 15 burst interval 1
ip arp inspection limit rate 15
no shutdown
ipv6 mld snooping tcn flood
snmp trap mac-notification change added
snmp trap mac-notification change removed
snmp trap link-status
spanning-tree port-priority 3
spanning-tree cost 3
ip dhcp snooping limit rate 4294967295
no ip dhcp snooping trust
no ip dhcp snooping information option allow-untrusted
对比:
interface Port-channel1
description blch1-sw1
switchport trunk allowed vlan 1-1000,1002-4094
switchport mode trunk
end
注意 howswitchport trunk native vlan 1不在第二个列表中。这是默认设置。
| 归档时间: |
|
| 查看次数: |
9990 次 |
| 最近记录: |