Yerel VLAN uyuşmazlığı ve eksik VLAN?

10

Yeni bir sitenin ağ yığını yapılandırmasıyla tam olarak burada neler olup bittiğine kafamı sarmaya çalışıyorum. Çalıştığım bu parça oldukça basit ama asıl amacın ne olduğunu bulmakta zorlanıyorum. Üç ESXi ana bilgisayarına giden üç Bağlantı Noktası Kanalına (her biri bir parça dört arabirime sahip) sahip bir Cisco Catalyst 3750x vardır. Katalizör ağın geri kalanına bir Meraki MS42 üzerinden tek bir arabirim üzerinden bağlanır (Port Kanalı yok). VLAN 100 ağ trafiğini taşır, diğer VLAN'lar vMotion veya izole ağlar gibi şeylere adanmıştır. Sanırım buradaki zorluğumun büyük bir kısmı Cisco-ese bilmiyorum.

Kurulum

Ağ Yığını


Port Kanalı 1

interface Port-channel1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/1
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/2
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/0/3
 description ESX1
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 1 mode on


Port-Kanal 2 ( Port-Kanal 2 ile yapılandırmada aynı olduğundan Port-Kanal 3'ü dışarıda bırakıyorum)

interface Port-channel2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/7
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/8
 description ESX2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on


Uplink Bağlantı Noktaları

Katalizörde:

interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

Meraki'de:

Trunk port using native VLAN 1; allowed VLANs: all


Sorular

  • Kombinasyonu switchport accessve switch port trunk allowedyapar switchport access, doğru yapılandırma no-op? Yanılmıyorsam erişim modunda ve bagaj modunda bir bağlantı noktanız olamaz . Birisi bunu benim için onaylayabilir mi?
  • Port Kanalı'na bir bağlantı noktası eklediğinizde, tüm VLAN'ın bağlantı noktası başına değil, Port Kanalı başına bir STP yapılandırmasının yapıldığı anlaşılıyor. Fa 1/10 ve Fa 1/11 dışında bir Port Kanalı oluşturursam, bunları ayrı ayrı portlarını değil, atanmış Port Kanalını kullanarak gövdeler olarak yapılandırırım (en azından ProCurves ile yaptığım şey budur). Bu doğru mu?
  • Son öğe doğruysa, bu, Bağlantı Noktası Kanalı üyelerinin tüm bağlantı noktası başına yapılandırmasının ya bir işlem olmaması veya söz konusu bağlantı noktasının Bağlantı Noktası Kanalı üyesi yapılmasından önce yapıldığı anlamına gelir. Bu makul bir varsayım mı?
  • VLAN 100'den gelen trafik yukarı bağlantıdan nasıl geçiyor (ESXi ana makinelerinde barındırılan VM'lere erişebilirim)? VLAN 100, Meraki'ye çarptığında kaybolur ve yerel VLAN etiketleri farklıdır. İşler çalışıyor ama bu kurulumla bir şeylerin garip olduğunu hissediyorum ve VLAN 100'ü yığının geri kalanına kadar itmek tercih edilir. İşleri daha da garip hale getirmek için Meraki'deki Port 41'de de VLAN 2 sona erer, diğer her şey Yerel VLAN 1 olarak ayarlanır.

İleriye doğru hareket ederken, VLAN 100'den ayrılan alt ağın birden fazla VLAN (100 ve 1) kullanmaması ve yukarı bağlantıdaki Yerel VLAN etiketi uyuşmazlığını çözmemesi için VLAN 100'ü terk etme veya yığımızın geri kalanını yeniden yapılandırma eğilimindeyim (Bağlantı Noktası 41 - - Gi 1/0/24). Bu planla ilgili düşünceler?

networking  cisco  cisco-catalyst  meraki 

Yanıtlar:

7
  • switchport accessVe switch port bagaj kombinasyonu makes theswitchport erişim `yapılandırmasına izinsiz, değil mi? Yanılmıyorsam erişim modunda ve bagaj modunda bir bağlantı noktanız olamaz . Birisi bunu benim için onaylayabilir mi?

Tam olarak değil. Yapılandırmayı yıkayım:

interface Port-channel1
    switchport access vlan 100
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan 100,101,172,192
    switchport mode trunk
    switchport nonegotiate
    spanning-tree portfast trunk

Bu yapılandırmanın net sonucu:

  • Bağlantı noktası erişim modundayken:
    • yalnızca VLAN 100'de trafik (etiketsiz) geçirir
  • Bağlantı noktası ana moddayken (≥1 VLAN):
    • liman VLAN 1 üzerinde etiketsiz trafik geçecek
    • bağlantı noktası etiketli trafiği VLAN 100.101.172.192'de geçirecek
    • ANCAK VLAN 1'in izin verilenler listesinde olmadığını → etiketlenmemiş trafiğin bu bağlantı noktasından geçmesine izin verilmeyeceğini unutmayın
    • switchport mode trunk → bu bağlantı noktası her zaman bagaj modunda olacaktır
    • switchport nonegotiateDTP çerçeveleri göndermeyin - bu tür çerçeveler yanlış yönlendirilebilir ve diğer anahtarlardaki bağlantı noktaları gerekmediklerinde gövdelerde pazarlık yapabilir.
    • muhtemelen eklemek istersiniz: switchport trunk native vlan 100bağlantının diğer ucu etiketlenmemiş trafiğin VLAN 100 olmasını bekliyorsa.
  • Port Kanalı'na bir bağlantı noktası eklediğinizde, tüm VLAN'ın bağlantı noktası başına değil, Port Kanalı başına bir STP yapılandırmasının yapıldığı anlaşılıyor. Fa 1/10 ve Fa 1/11 dışında bir Port Kanalı oluşturursam, bunları ayrı ayrı portlarını değil, atanmış Port Kanalını kullanarak gövdeler olarak yapılandırırım (en azından ProCurves ile yaptığım şey budur). Bu doğru mu?

Doğru, yayılan ağaç amaçları için toplanan bağlantı noktası bir bağlantıdır. Bağlantı noktası yapılandırmasını değiştirmek için, birleştirilmiş bağlantı noktasının yapılandırmasını değiştirin, ayrı ayrı arabirimlere yayılır.

  • Son öğe doğruysa, bu, Bağlantı Noktası Kanalı üyelerinin tüm bağlantı noktası başına yapılandırmasının ya bir işlem olmaması veya söz konusu bağlantı noktasının Bağlantı Noktası Kanalı üyesi yapılmasından önce yapıldığı anlamına gelir. Bu makul bir varsayım mı?

İşlem yapılmaz - eşleşmeleri gerekir veya bağlantı noktasının toplamaya katılmasına izin verilmez:

30 Mayıs 17: 11: 25.956:% EC-5-CANNOT_BUNDLE2: Gi0 / 20, Gi0 / 19 ile uyumlu değil ve askıya alınacak (vlan maskesi farklı)

Anahtar şikayet edecek :)

  • VLAN 100'den gelen trafik yukarı bağlantıdan nasıl geçiyor (ESXi ana makinelerinde barındırılan VM'lere erişebilirim)? VLAN 100, Meraki'ye çarptığında kaybolur ve yerel VLAN etiketleri farklıdır. İşler çalışıyor ama bu kurulumla bir şeylerin garip olduğunu hissediyorum ve VLAN 100'ü yığının geri kalanına kadar itmek tercih edilir. İşleri daha da garip hale getirmek için Meraki'deki Port 41'de de VLAN 2 sona erer, diğer her şey Yerel VLAN 1 olarak ayarlanır.
interface GigabitEthernet1/0/24
 description Uplink
 switchport access vlan 100
 switchport trunk native vlan 2
!

Bu biraz tehlikeli - bağlantı noktasının moduna bağlı olarak etiketsiz trafik VLAN 100 veya VLAN 2'de olacak. Mod gövdesini zorlamalı ( switchport mode trunk) veya en azından etiketsiz VLAN'ları eşleştirmelisiniz.

Bu modda ( switchport mode dynamic) olan şey, bağlantı noktasının erişim modunda gelmesidir, ancak herhangi bir etiketli paket algılarsa bir bagaja geçer. (bu basitleştirilmiştir)

Birden çok VLAN (Cisco parlance gövdesinde bulunan gövdeler) ile anahtardan-anahtara (bazen anasisteme geçiş) bağlantılara sahip olmak her zaman yerel (etiketsiz) VLAN 1'e sahip olmak "kural" dır.

Varsayılanlar yapılandırmada gösterilmez. Varsayılanlardan emin değilseniz, her zaman şunları yapabilirsiniz sh run all:

interface Port-channel1
 description blch1-sw1
 switchport
 switchport access vlan 1
 switchport trunk native vlan 1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
 no switchport nonegotiate
 no switchport protected
 no switchport block multicast
 no switchport block unicast
 no ip arp inspection trust
 ip arp inspection limit rate 15 burst interval 1
 ip arp inspection limit rate 15
 no shutdown
 ipv6 mld snooping tcn flood
 snmp trap mac-notification change added
 snmp trap mac-notification change removed
 snmp trap link-status
 spanning-tree port-priority 3
 spanning-tree cost 3
 ip dhcp snooping limit rate 4294967295
 no ip dhcp snooping trust
 no ip dhcp snooping information option allow-untrusted

vs:

interface Port-channel1
 description blch1-sw1
 switchport trunk allowed vlan 1-1000,1002-4094
 switchport mode trunk
end

switchport trunk native vlan 1İkinci listede nasıl olmadığına dikkat edin. Bu varsayılan.

MikeyB
kaynak
-2

Kanal2 için istediğini düşünüyorum

interface Port-channel2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk

interface GigabitEthernet1/0/4
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/5
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
!
interface GigabitEthernet1/0/6
 description ESX2
 switchport access vlan 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 100,101,172,192
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast trunk
 channel-group 2 mode on
RecentCoin
kaynak
-2

Her İki Kanal Limanı.

  • Bağlantı noktası kanalında yapılacak herhangi bir değişiklik bağlantı noktası paketini etkiler
  • Ayrı bağlantı noktalarında yapılan değişiklikler yalnızca bağlantı noktasını etkiler
  • Görünüşe göre temizlemek için bir karmaşa var ...: D

  • Bağlantı noktalarındaki yapılandırmanın çoğunu temizlemek ve sadece basit bir şeye sahip olmak istediğinizi düşünüyorum: 

    interface Port-channel2
no ip address 
switchport
switchport access vlan 100


interface GigabitEthernet1/0/6
description ESX2
channel-group 2 mode on

Bana öyle geliyor ki ihtiyacınız olan tek bagaj iki anahtar arasında.

Cisco anahtarındaki yerel vlan:

int GigabitEthernet1/0/24
no switchport access vlan 100
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 1
haciz
kaynak
Santraller, hipervizör trafiği (örn. Vmotion) için ESX bağlantılarında gereklidir ve ESX ana bilgisayarlarında olduğu gibi yapılandırılır, bu nedenle swtich'ten çıkarılması sorunlara neden olur.
CGretski
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.