本機 VLAN 不匹配和缺少 VLAN？

我試圖通過新站點的網路堆棧配置來了解這裡到底發生了什麼。我正在工作的這件特別的作品非常簡單，但我很難弄清楚最初的意圖是什麼。有一個 Cisco Catalyst 3750x，帶有三個埠通道（每個通道有四個介面），連接到三個 ESXi 主機。Catalyst 通過 Meraki MS42 通過單個介面（無埠通道）連接到網路的其餘部分。VLAN 100 承載網路流量，其他 VLAN 專用於 vMotion 或隔離網路等。我認為我在這裡的很大一部分困難是我不會說思科語。

設置

埠通道 1

interface Port-channel1
switchport access vlan 100
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk

interface GigabitEthernet1/0/1
description ESX1
switchport access vlan 100
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 1 mode on
!
interface GigabitEthernet1/0/2
description ESX1
switchport access vlan 100
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 1 mode on
!
interface GigabitEthernet1/0/3
description ESX1
switchport access vlan 100
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 1 mode on

埠通道 2 （我省略了埠通道 3，因為它的配置與埠通道 2 相同）

interface Port-channel2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
!
interface GigabitEthernet1/0/5
description ESX2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 2 mode on
!
interface GigabitEthernet1/0/6
description ESX2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 2 mode on
!
interface GigabitEthernet1/0/7
description ESX2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 2 mode on
!
interface GigabitEthernet1/0/8
description ESX2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,101,172,192
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
channel-group 2 mode on

上行埠

在催化劑上：

interface GigabitEthernet1/0/24
description Uplink
switchport access vlan 100
switchport trunk native vlan 2
!

在 Meraki 上：

Trunk port using native VLAN 1; allowed VLANs: all

問題/秒

• switchport access和的組合switch port trunk allowed使switchport access配置成為空操作，對嗎？除非我弄錯了，否則您不能在訪問模式*和中繼模式下擁有埠。*有人可以為我確認嗎？
• 據我了解，一旦將埠添加到所有 VLAN 的埠通道，STP 配置就會按埠通道而不是每個埠完成。如果我從 Fa 1/10 和 Fa 1/11 創建一個埠通道，我會使用它們分配的埠通道而不是它們各自的埠將它們配置為中繼（至少這是我使用 ProCurves 所做的）。它是否正確？
• 如果最後一項是正確的，則意味著埠通道成員的所有每個埠配置要麼是無操作的，要麼是在該埠成為埠通道成員之前完成的。這是一個合理的假設嗎？
• 來自 VLAN 100 的流量如何通過上行鏈路（我可以到達 ESXi 主機上託管的虛擬機）？VLAN 100 一旦命中 Meraki 就會消失，並且本機 VLAN 標記不同。一切正常，但我不禁覺得這種設置有些奇怪，最好將 VLAN 100 一直推送到堆棧的其餘部分。為了讓事情變得更奇怪，VLAN 2 也在 Meraki 上的埠 41 終止，其他一切都設置為本地 VLAN 1。

展望未來，我傾向於放棄 VLAN 100 或重新配置我們堆棧的其餘部分，以便在 VLAN 100 上執行的子網不使用多個 VLAN（100 和 1）並解決上行鏈路（埠 41 - - 24 年 1 月 0 日）。對這個計劃的想法？

• 和交換機埠中繼的組合switchport access允許makes the交換機埠訪問配置無操作，對嗎？除非我弄錯了，否則您不能在訪問模式*和中繼模式下擁有埠。*有人可以為我確認嗎？

不完全是。讓我分解配置：

interface Port-channel1
   switchport access vlan 100
   switchport trunk encapsulation dot1q
   switchport trunk allowed vlan 100,101,172,192
   switchport mode trunk
   switchport nonegotiate
   spanning-tree portfast trunk

此配置的最終結果是：

• 當埠處於訪問模式時：

  • 它只會通過 VLAN 100 上的（未標記的）流量

• 當埠處於中繼模式（≥1 VLAN）時：

  • 該埠將通過 VLAN 1 上的未標記流量
  • 該埠將通過 VLAN 100,101,172,192 上的標記流量
  • 但是請注意 VLAN 1 不在允許列表中 → 不允許未標記的流量通過此埠
  • switchport mode trunk→ 此埠將始終處於中繼模式
  • switchport nonegotiate→ 不要發送DTP 幀- 這樣的幀可能會被錯誤地轉發，並導致其他交換機上的埠在不應該的情況下與中繼協商。
  • 您可能要添加：switchport trunk native vlan 100如果鏈路的另一端期望未標記的流量為 VLAN 100。

• 據我了解，一旦將埠添加到所有 VLAN 的埠通道，STP 配置就會按埠通道而不是每個埠完成。如果我從 Fa 1/10 和 Fa 1/11 創建一個埠通道，我會使用它們分配的埠通道而不是它們各自的埠將它們配置為中繼（至少這是我使用 ProCurves 所做的）。它是否正確？

對，出於生成樹的目的，聚合埠是一個連結。要更改埠配置，請更改聚合埠的配置，它將傳播到各個介面。

• 如果最後一項是正確的，則意味著埠通道成員的所有每個埠配置要麼是無操作的，要麼是在該埠成為埠通道成員之前完成的。這是一個合理的假設嗎？

這不是無操作 - 它們必須匹配，否則將不允許埠加入聚合：

5 月 30 日 17:11:25.956: %EC-5-CANNOT_BUNDLE2: Gi0/20 與 Gi0/19 不兼容，將被暫停（vlan 遮罩不同）

開關會抱怨:)

• 來自 VLAN 100 的流量如何通過上行鏈路（我可以到達 ESXi 主機上託管的虛擬機）？VLAN 100 一旦命中 Meraki 就會消失，並且本機 VLAN 標記不同。一切正常，但我不禁覺得這種設置有些奇怪，最好將 VLAN 100 一直推送到堆棧的其餘部分。為了讓事情變得更奇怪，VLAN 2 也在 Meraki 上的埠 41 終止，其他一切都設置為本地 VLAN 1。

interface GigabitEthernet1/0/24
description Uplink
switchport access vlan 100
switchport trunk native vlan 2
!

這有點危險 - 未標記的流量將在 VLAN 100 或 VLAN 2 上，具體取決於埠的模式。您應該強制模式中繼 ( switchport mode trunk) 或至少使未標記的 VLAN 匹配。

在這種模式switchport mode dynamic（（這是簡化的）

---

具有多個 VLAN（Cisco 術語中的主幹）的交換機到交換機（有時是交換機到主機）鏈路始終具有本地（未標記）VLAN 1，這是“慣例”。

預設值未顯示在配置中。如果您不確定預設值，您可以隨時sh run all：

interface Port-channel1
description blch1-sw1
switchport
switchport access vlan 1
switchport trunk native vlan 1
switchport trunk allowed vlan 1-1000,1002-4094
switchport mode trunk
no switchport nonegotiate
no switchport protected
no switchport block multicast
no switchport block unicast
no ip arp inspection trust
ip arp inspection limit rate 15 burst interval 1
ip arp inspection limit rate 15
no shutdown
ipv6 mld snooping tcn flood
snmp trap mac-notification change added
snmp trap mac-notification change removed
snmp trap link-status
spanning-tree port-priority 3
spanning-tree cost 3
ip dhcp snooping limit rate 4294967295
no ip dhcp snooping trust
no ip dhcp snooping information option allow-untrusted

與：

interface Port-channel1
description blch1-sw1
switchport trunk allowed vlan 1-1000,1002-4094
switchport mode trunk
end

請注意如何switchport trunk native vlan 1不在第二個清單中。這是預設設置。

引用自：https://serverfault.com/questions/598903