Почему не работает trunk / vlan?

Question

[Вася Пупкин]

Есть два Eltex MES5310 соединенные в стек. Краткий конфиг под спойлером.

Eltex MES5310

vlan database
vlan 50,999
exit
!
hostname CORE-MES5310
!
ip ssh server
!
interface TenGigabitEthernet1/0/7
description LACP_to_ASW-MES2300
spanning-tree portfast
switchport mode trunk
channel-group 2 mode auto
exit
!
interface TenGigabitEthernet2/0/7
description LACP_to_ASW-MES2300
spanning-tree portfast
switchport mode trunk
channel-group 2 mode auto
exit
!
interface Port-Channel2
spanning-tree portfast
switchport mode trunk
switchport trunk allowed vlan add 50
switchport trunk native vlan 999
exit
!
interface vlan 50
name Management
ip address 192.168.50.1 255.255.255.0
exit
!
interface vlan 999
name BLACKHOLE
exit
!
!
end

Есть 1 Eltex MES2300, конфиг под спойлером:

Eltex MES2300

vlan database
vlan 50,999
exit
!
hostname ASW-MES2300
!
ip ssh server
!
interface GigabitEthernet1/0/48
switchport access vlan 50
exit
!
interface TenGigabitEthernet1/0/1
description Link_to_CORE
spanning-tree portfast
channel-group 2 mode auto
switchport mode trunk
lldp optional-tlv port-desc sys-name sys-desc sys-cap
exit
!
interface TenGigabitEthernet1/0/2
description Link_to_CORE
spanning-tree portfast
channel-group 2 mode auto
switchport mode trunk
lldp optional-tlv port-desc sys-name sys-desc sys-cap
exit
!
interface Port-Channel2
description LACP_to_CORE
spanning-tree portfast
switchport mode trunk
switchport trunk allowed vlan add 50
switchport trunk native vlan 999
exit
!
interface vlan 50
name Management
ip address 192.168.50.2 255.255.255.0
exit
!
interface vlan 999
name BLACKHOLE
exit
!
!
end

1. Настроил MES2300, сделал управляющий влан 50, сделал 48 порт аксесом на управляющий влан. Подключаю туда ноут, все пингуется по ssh захожу на этот коммутатор.
2. Настроил стек MES5310, сделал теже самые вланы. Сделал LACP чтобы в случае падения одного из коммутаторов сеть работала, НО
2.1 С ноута подключенного в аксес порт стек не пингуется.
2.2 Если я в настройках port-channel делаю native vlan не "случайный", как рекомендуют для ИБ и вообще типа это канон, а ставлю там 50 влан, который управляющий, то связь появляется.

Вопрос 1: Почему без установки управляющего влана в режиме native связи нет? Транки же настроены нормально?
Вопрос 2: Делать на Транк портах native влан "случайный" - это же нормальная практика?

UPD:
Схема наглядно



В каждой второй статье говорится, что native vlan 1 идет везде по умолчанию и является самым частым по атакам и подборам, поэтому рекомендуется его отключать и на всех trunk'овых портах принудительно его менять, поэтому я заменил его на vlan 999
Но он же не должен никак влять на vlan50, который является управлением и настроен в пробросе на транке (см. конфиг) ???

Comments

[graf_Alibert]

а разве не надо?

interface GigabitEthernet1/0/48
 switchport mode access
 switchport access vlan 50
exit

Answer 1

[Akina]

Как по мне, существование native VLAN само по себе нонсенс. А делать его случайным - нонсенс вдвойне. Я лично убеждён, что при наличии в возможностях устройства такой фичи как native VLAN он должен быть 1) настроен статически 2) настроен Forbidden на всех портах.

Почему без установки управляющего влана в режиме native связи нет?

Ну как раз потому, что он и выбран случайно. И что это "случайно" вдруг попадёт точно в значение 50, шанс невелик.

Comments

[Вася Пупкин]

Нет, случайное значение это я сказал образно. Я создал влан 999 куда добавляю натив-влан. Этот влан никуда не ведет и он не совпадает с 50.
50-ый влан это управление и если я его не делаю натив, то коммутаторы не видят себя, я не смогу со второго пингануть стек.

Пингануть я могу только если специально укажу 50влан в натив. Но это как я понимаю не правильно чтобы управляющий влан был нативом.

Что мне нужно скорректировать, чтобы коммутаторы видели друг друга по управляющему влану? Порты между собой в режиме Транк с разрешенным Влан50, но не работает.

[Akina]

Вася Пупкин, я что-то вообще не понял, что у вас наверчено. Как по мне, должно быть:

Стек: интерфейс управления подключен к VLANID=50; транковый порт в сторону отдельного коммутатора включает в список VLANID=50. Если отдельный коммутатор подключается не к корневому коммутатору стека, то VLANID=50 должен присутствовать и в LACP-портах (впрочем, не знаю, как в этой модели - выделенный корневой узел или распределённое управление).
Отдельный коммутатор: транковый порт в сторону стека включает в список VLANID=50; порт к компьютеру имеет VLANID=50 и режим access.

Вот собсно и всё. Native VLAN тут вообще нафиг не нужен.

[Вася Пупкин]

Akina, у меня все так как вы и написали - не работает. Поэтому и решил спросить тут, что не так, вроде все просто.
Разница только в том что я исключил порты из нативВлан1 который по умолчанию идет и указал Влан, который никуда не ведет.

Могу быстро схему накидать с наименованиями портов. Просто их всего два, думал будет по описанию понятно.

[Akina]

Вася Пупкин, накидайте. И укажите режимы портов. Потому как если режим trunk, то он не принимает нетегованный трафик, для этого нужен режим general... а native VLAN же как раз untagged.

[Вася Пупкин]

Akina, Обновил вопрос, добавил схему.
Агрегация и доступ между собой должны вроде только транками соединятся и режим general не нужен.
Как будто бы я не должен был трогать native vlan 1 и отключать его как то иначе, а не просто заменив его на транках.

[Akina]

Вася Пупкин, вот не вижу никаких погрешностей с нарисованной схеме.

Но теперь я не понимаю, как вы можете на порте указать один и тот же VLAN и как транковый, и как нативный...

[kisaa]

Мне кажется, вы зря дважды указываете
switchport mode trunk
на физ. интерфейсе и на группе.
Здесь https://sgep-it.ru/blog/stati/nastroyka-protokola-... пишут

После того, как физические порты добавлены в агрегацию, сетевые настройки следует выполнять в конфигурации Port-Channel. Настройки на физических портах производить нельзя.