ネイティブVLAN不一致および欠落VLAN?
新しいサイトのネットワークスタックの構成で、ここで正確に何が行われているのかを理解しようとしています。私が作業しているこの特定の作品は非常に単純ですが、元の意図が何であるかを理解するのに苦労しました。 3つのESXiホストに接続する3つのポートチャネル(それぞれに4つのインターフェースを持つ)を備えたCisco Catalyst 3750xがあります。 Catalystは、単一のインターフェイス(ポートチャネルなし)を介してMeraki MS42を介して残りのネットワークに接続されています。 VLAN 100はネットワークトラフィックを伝送し、他のVLANはvMotionや分離されたネットワークなどの専用です。ここでの難しさの大部分は、Cisco-eseを話せないことだと思います。
セットアップ
ポートチャネル1
interface Port-channel1
switchport access vlan 100
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
interface GigabitEthernet1/0/1
description ESX1
switchport access vlan 100
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 1 mode on
!
interface GigabitEthernet1/0/2
description ESX1
switchport access vlan 100
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 1 mode on
!
interface GigabitEthernet1/0/3
description ESX1
switchport access vlan 100
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 1 mode on
ポートチャネル2(ポートチャネル2と構成が同じであるため、ポートチャネル3は省略します)
interface Port-channel2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
!
interface GigabitEthernet1/0/5
description ESX2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 2 mode on
!
interface GigabitEthernet1/0/6
description ESX2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 2 mode on
!
interface GigabitEthernet1/0/7
description ESX2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 2 mode on
!
interface GigabitEthernet1/0/8
description ESX2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 2 mode on
アップリンクポート
触媒上:
interface GigabitEthernet1/0/24
description Uplink
switchport access vlan 100
switchport trunk native vlan 2
!
Merakiについて:
Trunk port using native VLAN 1; allowed VLANs: all
質問
switchport accessとswitch port trunk allowedの組み合わせにより、switchport access構成は無効になります。私が間違っていない限り、ポートをアクセスモードおよびトランクモードにすることはできません。誰かがこれを私に確認できますか?- ポートチャネルにポートを追加すると、VLANとSTPのすべての構成がポートチャネルごとではなく、ポートチャネルごとに行われることを理解しています。 Fa 1/10とFa 1/11からポートチャネルを作成する場合は、個々のポートではなく、割り当てられたポートチャネルを使用してトランクとして構成します(少なくとも、これはProCurvesで行うものです)。これは正しいです?
- 最後の項目が正しい場合は、ポートチャネルメンバーのすべてのポートごとの構成が何も行われていないか、そのポートがポートチャネルメンバーになる前に行われたことを意味します。これは合理的な仮定ですか?
- VLAN 100からのトラフィックはどのようにしてアップリンクを通過しますか(ESXiホストでホストされているVMに到達できます)? VLAN 100はMerakiにヒットし、ネイティブのVLANタグが異なると消えます。物事は機能していますが、私は手伝うことができませんが、このセットアップでは何かがおかしいと感じています。残りのスタックまでVLAN 100をプッシュすることをお勧めします。さらに奇妙なことに、VLAN 2はMerakiのポート41でも終了し、その他はすべてNative VLAN 1に設定されています。
VLAN 100を放棄するか、残りのスタックを再構成してVLAN 100に乗っているサブネットが複数のVLAN(100と1)を使用せずに解決するようにしたいアップリンクのネイティブVLANタグの不一致(ポート41-Gi 1/0/24)。この計画についての考えは?
switchport accessとスイッチポートトランクの許可makes theswitchport access`構成の組み合わせは何も機能しません。私が間違っていない限り、ポートをアクセスモードおよびトランクモードにすることはできません。誰かがこれを私に確認できますか?
ではない正確に。設定を分解してみましょう:
interface Port-channel1
switchport access vlan 100
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
この構成の最終的な結果は次のとおりです。
- ポートがアクセスモードの場合:
- VLAN 100の(タグなし)トラフィックのみを通過させます
- ポートがトランクモード(≥1VLAN)の場合:
- ポートはVLAN 1でタグなしトラフィックを渡します
- ポートはVLAN 100,101,172,192のタグ付きトラフィックを渡します
- ただし、VLAN 1は許可リストにないことに注意してください→タグなしのトラフィックはこのポートを通過できません
switchport mode trunk→このポートは常にトランクモードになりますswitchport nonegotiate→送信しない DTPフレーム -このようなフレームは正しく転送されず、他のスイッチのポートがトランクにネゴシエートすることが想定されていない場合にネゴシエートされる可能性があります。- 追加する可能性があります:
switchport trunk native vlan 100リンクのもう一方の端でタグなしトラフィックがVLAN 100であると想定している場合。
- ポートチャネルにポートを追加すると、VLANとSTPのすべての構成がポートチャネルごとではなく、ポートチャネルごとに行われることを理解しています。 Fa 1/10とFa 1/11からポートチャネルを作成する場合は、個々のポートではなく、割り当てられたポートチャネルを使用してトランクとして構成します(少なくとも、これはProCurvesで行うものです)。これは正しいです?
そう、スパニングツリーの目的では、集約されたポートはリンクです。ポート構成を変更するには、集約されたポートの構成を変更すると、それが個々のインターフェースに伝搬されます。
- 最後の項目が正しい場合は、ポートチャネルメンバーのすべてのポートごとの構成が何も行われていないか、そのポートがポートチャネルメンバーになる前に行われたことを意味します。これは合理的な仮定ですか?
これはノーオペレーションではありません-それらは一致する必要があります。一致していない場合、ポートは集約に参加できません。
5月30日17:11:25.956:%EC-5-CANNOT_BUNDLE2:Gi0/20はGi0/19と互換性がなく、一時停止されます(VLANマスクが異なります)
スイッチは文句を言うでしょう:)
- VLAN 100からのトラフィックはどのようにしてアップリンクを通過しますか(ESXiホストでホストされているVMに到達できます)? VLAN 100はMerakiにヒットし、ネイティブのVLANタグが異なると消えます。物事は機能していますが、私は手伝うことができませんが、このセットアップでは何かがおかしいと感じています。残りのスタックまでVLAN 100をプッシュすることをお勧めします。さらに奇妙なことに、VLAN 2はMerakiのポート41でも終了し、その他はすべてNative VLAN 1に設定されています。
interface GigabitEthernet1/0/24
description Uplink
switchport access vlan 100
switchport trunk native vlan 2
!
これは少し危険です。タグの付いていないトラフィックは、ポートのモードに応じてVLAN 100またはVLAN 2になります。モードトランク(switchport mode trunk)を強制するか、少なくともタグなしVLANを一致させる必要があります。
このモード(switchport mode dynamic)では、ポートはアクセスモードで起動しますが、タグ付きパケットを検出するとトランクに切り替わります。 (これは簡略化されています)
複数のVLAN(Cisco用語ではトランク)を持つスイッチ間(場合によってはスイッチとホスト間)リンクに常にネイティブ(タグなし)VLAN 1を持たせることは「慣習」です。
デフォルトは設定に表示されません。デフォルトが不明な場合は、いつでもsh run allを使用できます。
interface Port-channel1
description blch1-sw1
switchport
switchport access vlan 1
switchport trunk native vlan 1
switchport trunk allowed vlan 1-1000,1002-4094
switchport mode trunk
no switchport nonegotiate
no switchport protected
no switchport block multicast
no switchport block unicast
no ip arp inspection trust
ip arp inspection limit rate 15 burst interval 1
ip arp inspection limit rate 15
no shutdown
ipv6 mld snooping tcn flood
snmp trap mac-notification change added
snmp trap mac-notification change removed
snmp trap link-status
spanning-tree port-priority 3
spanning-tree cost 3
ip dhcp snooping limit rate 4294967295
no ip dhcp snooping trust
no ip dhcp snooping information option allow-untrusted
対:
interface Port-channel1
description blch1-sw1
switchport trunk allowed vlan 1-1000,1002-4094
switchport mode trunk
end
switchport trunk native vlan 1が2番目のリストにないことに注意してください。これがデフォルトです。