我试图弄清楚新站点的网络堆栈配置究竟是怎么回事。我正在处理的这个部分非常简单,但我很难弄清楚最初的意图是什么。有一个 Cisco Catalyst 3750x,带有三个端口通道(每个端口通道有四个接口),连接到三个 ESXi 主机。Catalyst 通过单个接口(无端口通道)通过 Meraki MS42 连接到网络的其余部分。VLAN 100 承载网络流量,其他 VLAN 专用于 vMotion 或隔离网络等。我认为我在这里遇到的很大一部分困难是我不会说思科语言。
设置
端口通道 1
interface Port-channel1
switchport access vlan 100
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
interface GigabitEthernet1/0/1
description ESX1
switchport access vlan 100
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 1 mode on
!
interface GigabitEthernet1/0/2
description ESX1
switchport access vlan 100
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 1 mode on
!
interface GigabitEthernet1/0/3
description ESX1
switchport access vlan 100
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 1 mode on
端口通道 2 (我省略了端口通道 3,因为它的配置与端口通道 2 相同)
interface Port-channel2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
!
interface GigabitEthernet1/0/5
description ESX2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 2 mode on
!
interface GigabitEthernet1/0/6
description ESX2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 2 mode on
!
interface GigabitEthernet1/0/7
description ESX2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 2 mode on
!
interface GigabitEthernet1/0/8
description ESX2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 2 mode on
上行链路端口
在催化剂上:
interface GigabitEthernet1/0/24
description Uplink
switchport access vlan 100
switchport trunk native vlan 2
!
在 Meraki 上:
Trunk port using native VLAN 1; allowed VLANs: all
问题
switchport access和的组合switch port trunk allowed使得switchport access配置成为无操作,对吗?您不能让端口处于访问模式和除非我弄错了,否则是中继模式。有人能帮我确认一下吗?- 据我了解,一旦将端口添加到端口通道,所有 VLAN 的 STP 配置都是按端口通道而不是按端口进行的。如果我从 Fa 1/10 和 Fa 1/11 创建端口通道,我会使用它们分配的端口通道而不是它们各自的端口将它们配置为中继(至少这是我对 ProCurves 所做的)。这是正确的吗?
- 如果最后一项是正确的,则意味着端口通道成员的所有每个端口配置要么是无操作,要么是在该端口成为端口通道成员之前完成的。这是一个合理的假设吗?
- 来自 VLAN 100 的流量到底是如何通过上行链路的(我可以访问 ESXi 主机上托管的虚拟机)?VLAN 100 一旦到达 Meraki 就会消失,并且本机 VLAN 标签会有所不同。一切正常,但我不禁觉得这个设置有些奇怪,最好将 VLAN 100 一直推送到堆栈的其余部分。更奇怪的是,VLAN 2 也在 Meraki 上的端口 41 处终止,其他一切都设置为本机 VLAN 1。
展望未来,我倾向于放弃 VLAN 100 或重新配置其余堆栈,以便 VLAN 100 上的子网不使用多个 VLAN(100 和 1),并解决上行链路(端口 41 - Gi 1/0/24)上的本机 VLAN 标签不匹配问题。对这个计划有什么看法?
答案1
switchport access和交换机端口 trunk的组合允许makes the交换机端口访问配置无操作,对吗?您不能让端口处于访问模式和除非我弄错了,否则是中继模式。有人能帮我确认一下吗?
不完全是。让我分解一下配置:
interface Port-channel1
switchport access vlan 100
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
此配置的最终结果是:
- 当端口处于访问模式时:
- 它只会在 VLAN 100 上传递(未标记的)流量
- 当端口处于中继模式 (≥1 VLAN) 时:
- 该端口将在 VLAN 1 上传递未标记的流量
- 该端口将在 VLAN 100、101、172、192 上传递标记流量
- 但请注意,VLAN 1 不在允许列表中 → 不允许未标记的流量穿越此端口
switchport mode trunk→ 该端口将始终处于中继模式switchport nonegotiate→ 不发送DTP 框架- 此类帧可能会被错误转发,并导致其他交换机上的端口在它们不应该这样做的时候协商中继。- 您可能想要添加:
switchport trunk native vlan 100如果链路的另一端期望未标记的流量为 VLAN 100。
- 据我了解,一旦将端口添加到端口通道,所有 VLAN 的 STP 配置都是按端口通道而不是按端口进行的。如果我从 Fa 1/10 和 Fa 1/11 创建端口通道,我会使用它们分配的端口通道而不是它们各自的端口将它们配置为中继(至少这是我对 ProCurves 所做的)。这是正确的吗?
没错,对于生成树而言,聚合端口是一个链接。要更改端口配置,请更改聚合端口的配置,它将传播到各个接口。
- 如果最后一项是正确的,则意味着端口通道成员的所有每个端口配置要么是无操作,要么是在该端口成为端口通道成员之前完成的。这是一个合理的假设吗?
这不是一个无操作 - 它们必须匹配,否则端口将不被允许加入聚合:
5月30日 17:11:25.956: %EC-5-CANNOT_BUNDLE2: Gi0/20 与 Gi0/19 不兼容,将被暂停(vlan 掩码不同)
交换机会抱怨:)
- 来自 VLAN 100 的流量到底是如何通过上行链路的(我可以访问 ESXi 主机上托管的虚拟机)?VLAN 100 一旦到达 Meraki 就会消失,并且本机 VLAN 标签会有所不同。一切正常,但我不禁觉得这个设置有些奇怪,最好将 VLAN 100 一直推送到堆栈的其余部分。更奇怪的是,VLAN 2 也在 Meraki 上的端口 41 处终止,其他一切都设置为本机 VLAN 1。
interface GigabitEthernet1/0/24
description Uplink
switchport access vlan 100
switchport trunk native vlan 2
!
这有点危险 - 根据端口的模式,未标记的流量要么位于 VLAN 100 上,要么位于 VLAN 2 上。您应该强制使用 trunk 模式(switchport mode trunk)或至少使未标记的 VLAN 匹配。
在此模式下发生的情况(switchport mode dynamic)是,端口将以访问模式启动,但如果检测到任何标记的数据包,则切换到中继模式。(此为简化)
按照“惯例”,具有多个 VLAN(Cisco 术语中的中继)的交换机到交换机(有时是交换机到主机)链路始终具有本机(未标记)VLAN 1。
默认值不会显示在配置中。如果您不确定默认值,您可以随时sh run all:
interface Port-channel1
description blch1-sw1
switchport
switchport access vlan 1
switchport trunk native vlan 1
switchport trunk allowed vlan 1-1000,1002-4094
switchport mode trunk
no switchport nonegotiate
no switchport protected
no switchport block multicast
no switchport block unicast
no ip arp inspection trust
ip arp inspection limit rate 15 burst interval 1
ip arp inspection limit rate 15
no shutdown
ipv6 mld snooping tcn flood
snmp trap mac-notification change added
snmp trap mac-notification change removed
snmp trap link-status
spanning-tree port-priority 3
spanning-tree cost 3
ip dhcp snooping limit rate 4294967295
no ip dhcp snooping trust
no ip dhcp snooping information option allow-untrusted
与:
interface Port-channel1
description blch1-sw1
switchport trunk allowed vlan 1-1000,1002-4094
switchport mode trunk
end
switchport trunk native vlan 1请注意,第二个清单中没有列出how 。这是默认的。
答案2
我认为这就是你想要的 Channel2
interface Port-channel2
switchport access vlan 100
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
interface GigabitEthernet1/0/4
description ESX2
switchport access vlan 100
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 2 mode on
!
interface GigabitEthernet1/0/5
description ESX2
switchport access vlan 100
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 2 mode on
!
interface GigabitEthernet1/0/6
description ESX2
switchport access vlan 100
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 2 mode on
答案3
任一通道端口。
- 端口通道的任何变化都会影响端口束
- 对单个端口的任何更改仅影响端口
- 看起来你被交给了需要收拾的烂摊子...:D
我认为您可能希望清除端口中的大部分配置,只需进行一些简单的操作,例如:
interface Port-channel2 no ip address switchport switchport access vlan 100 interface GigabitEthernet1/0/6 description ESX2 channel-group 2 mode on
在我看来,您唯一需要的中继线是在两个交换机之间。
思科交换机上的本机 VLAN:
int GigabitEthernet1/0/24
no switchport access vlan 100
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 1