RiddickRB

Схожая ситуация была при организации тонелей VXLAN на Хуавеях, но там можно сделать так bridge-domain 100 l2 binding vlan 100 vxlan vni 2100 И с любого акцессного порта с виланом 100 идёт переброс в тонель.

Эксперимент )

Коллеги, ещё вопрос, вероятно глупый, но есть необходимость. Хуавей по дефолту предлагает от PE до CE использовать транк. Но очень нужно пустить через акцессное соединение. Проще говоря, подключить пользователя прямо к PE акцессным портом. Циска это позволяет, на Хуавее нет. Может есть у кого опыт в подобном?

Ну вроде руки дошли до стенда. Сервисники скинули прошивку, установил и всё взлетело. Спасибо всем кто откликнулся!

Сделал всё по прелагаемой Хуавеем схмеме. Ничего не поменялось. Также LDP сессии поднимаются. Тоннель VC state DOWN.

Вот даже спорить не стану. На Цисках собрал тот же стенд с успехом. Нет тут никакой ошибки. Вопрос чисто технический и с железками что то не так...

Верно. Всё передо мной. Два коммутатора и два ноутбука. Схема максимально простая! Коммутаторы смотрят друг в друга по директаттачу.

И не один раз! Именно поэтому я упростил стенд до максимума. Чтобы исключить большинство вопросов. С самого начала я спросил про прошивку, т.к. объективных причин проблемы я не вижу. MTU - совпадают Типы инкапсуляции - совпадают VC id - совпадают LDP сессия - поднята AC в состоянии UP - на обоих сторонах Control word - не использую Политики туннелирования не использую.

Конфиги с железок. ПЕРВАЯ: <HUAWEI-ONE>display current-configuration !Software Version V200R022C00SPC500 # sysname HUAWEI-ONE # mpls lsr-id 10.1.1.1 mpls # mpls l2vpn # mpls ldp # # mpls ldp remote-peer 10.1.1.2 remote-ip 10.1.1.2 # interface Vlanif1 # interface XGigabitEthernet0/0/1 undo portswitch ip address 10.1.1.1 255.255.255.252 mpls mpls ldp # interface XGigabitEthernet0/0/2 undo portswitch mpls l2vc 10.1.1.2 100 # <HUAWEI-ONE> ВТОРАЯ: <HUAWEI-TWO>display current-configuration !Software Version V200R022C00SPC500 # sysname HUAWEI-TWO # mpls lsr-id 10.1.1.2 mpls # mpls l2vpn # mpls ldp # # mpls ldp remote-peer 10.1.1.1 remote-ip 10.1.1.1 # interface Vlanif1 # interface MEth0/0/1 ip address 192.168.1.253 255.255.255.0 # interface XGigabitEthernet0/0/1 undo portswitch ip address 10.1.1.2 255.255.255.252 mpls mpls ldp # interface XGigabitEthernet0/0/2 undo portswitch mpls l2vc 10.1.1.1 100 # <HUAWEI-TWO> Выводы диагностики: LDP сессия: <HUAWEI-ONE>display mpls ldp session LDP Session(s) in Public Network Codes: LAM(Label Advertisement Mode), SsnAge Unit(DDDD:HH:MM) A '*' before a session means the session is being deleted. ------------------------------------------------------------------------------ PeerID Status LAM SsnRole SsnAge KASent/Rcv ------------------------------------------------------------------------------ 10.1.1.2:0 Operational DU Passive 0000:00:10 41/41 ------------------------------------------------------------------------------ TOTAL: 1 session(s) Found. Тоннель: <HUAWEI-ONE>display mpls l2vc interface XGigabitEthernet 0/0/2 *client interface : XGigabitEthernet0/0/2 is up Administrator PW : no session state : up AC status : up Ignore AC state : disable VC state : down Label state : 0 Token state : 0 VC ID : 100 VC type : Ethernet destination : 10.1.1.2 local group ID : 0 remote group ID : 0 local VC label : 1024 remote VC label : 1024 local AC OAM State : up local PSN OAM State : up local forwarding state : not forwarding local status code : 0x1 remote AC OAM state : up remote PSN OAM state : up remote forwarding state: not forwarding remote status code : 0x1 ignore standby state : no BFD for PW : unavailable VCCV State : up manual fault : not set active state : inactive forwarding entry : not exist link state : down local VC MTU : 1500 remote VC MTU : 1500 local VCCV : alert ttl lsp-ping bfd remote VCCV : alert ttl lsp-ping bfd local control word : disable remote control word : disable tunnel policy name : -- PW template name : -- primary or secondary : primary load balance type : flow Access-port : false Switchover Flag : false VC tunnel/token info : 0 tunnels/tokens Backup TNL type : lsp , TNL ID : 0x0 create time : 0 days, 0 hours, 14 minutes, 57 seconds up time : 0 days, 0 hours, 0 minutes, 0 seconds last change time : 0 days, 0 hours, 14 minutes, 57 seconds VC last up time : 0000/00/00 00:00:00 VC total up time : 0 days, 0 hours, 0 minutes, 0 seconds CKey : 4 NKey : 3 PW redundancy mode : frr AdminPw interface : -- AdminPw link state : -- Diffserv Mode : uniform Service Class : be Color : -- DomainId : -- Domain Name : -- LDP сессия: <HUAWEI-TWO>display mpls ldp session LDP Session(s) in Public Network Codes: LAM(Label Advertisement Mode), SsnAge Unit(DDDD:HH:MM) A '*' before a session means the session is being deleted. ------------------------------------------------------------------------------ PeerID Status LAM SsnRole SsnAge KASent/Rcv ------------------------------------------------------------------------------ 10.1.1.1:0 Operational DU Active 0000:00:08 33/33 ------------------------------------------------------------------------------ TOTAL: 1 session(s) Found Тоннель: <HUAWEI-TWO>display mpls l2vc interface XGigabitEthernet 0/0/2 *client interface : XGigabitEthernet0/0/2 is up Administrator PW : no session state : up AC status : up Ignore AC state : disable VC state : down Label state : 0 Token state : 0 VC ID : 100 VC type : Ethernet destination : 10.1.1.1 local group ID : 0 remote group ID : 0 local VC label : 1024 remote VC label : 1024 local AC OAM State : up local PSN OAM State : up local forwarding state : not forwarding local status code : 0x1 remote AC OAM state : up remote PSN OAM state : up remote forwarding state: not forwarding remote status code : 0x1 ignore standby state : no BFD for PW : unavailable VCCV State : up manual fault : not set active state : inactive forwarding entry : not exist link state : down local VC MTU : 1500 remote VC MTU : 1500 local VCCV : alert ttl lsp-ping bfd remote VCCV : alert ttl lsp-ping bfd local control word : disable remote control word : disable tunnel policy name : -- PW template name : -- primary or secondary : primary load balance type : flow Access-port : false Switchover Flag : false VC tunnel/token info : 0 tunnels/tokens Backup TNL type : lsp , TNL ID : 0x0 create time : 0 days, 0 hours, 15 minutes, 8 seconds up time : 0 days, 0 hours, 0 minutes, 0 seconds last change time : 0 days, 0 hours, 15 minutes, 8 seconds VC last up time : 0000/00/00 00:00:00 VC total up time : 0 days, 0 hours, 0 minutes, 0 seconds CKey : 4 NKey : 3 PW redundancy mode : frr AdminPw interface : -- AdminPw link state : -- Diffserv Mode : uniform Service Class : be Color : -- DomainId : -- Domain Name : --

Стенд: Для упрощения настроек и понимания процессов я соединил два коммутатора директаттачем без промежуточных устройств. На установление связанности в режиме тоннеля L2 это никак не влияет. Сессия LDP поднимается и пиры видят друг друга. Затык именно в поднятии тоннеля. К коммутаторам подключены ноутбуки со статическими адресами в одной сети. Настраивать на виланах я пока не стал, опять же для упрощения процесса. Вот точная последовательность моих настроек. Опять же всё максимально просто и прозрачно. [CORE1] mpls lsr-id 10.1.1.1 [CORE1] mpls [CORE1-mpls] quit [CORE1-mpls] mpls ldp [CORE1-mpls-ldp] quit [CORE1] interface gigabitethernet 2/0/0 [CORE1-GigabitEthernet2/0/0] ip address 10.1.1.1 255.255.255.252 [CORE1-GigabitEthernet2/0/0] mpls [CORE1-GigabitEthernet2/0/0] mpls ldp [CORE1-GigabitEthernet2/0/0] quit [CORE1] mpls ldp remote-peer 10.1.1.2 [CORE1-mpls-ldp-remote-10.1.1.1] remote-ip 10.1.1.2 [CORE1-mpls-ldp-remote-10.1.1.1] quit [CORE1] mpls l2vpn [CORE1-l2vpn] quit [CORE1] interface gigabitethernet 1/0/0 [CORE1-GigabitEthernet1/0/0] mpls l2vc 10.1.1.2 100 [CORE1-GigabitEthernet1/0/0] quit [CORE2] mpls lsr-id 10.1.1.2 [CORE2] mpls [CORE2-mpls] quit [CORE2-mpls] mpls ldp [CORE2-mpls-ldp] quit [CORE2] interface gigabitethernet 2/0/0 [CORE2-GigabitEthernet2/0/0] ip address 10.1.1.2 255.255.255.252 [CORE2-GigabitEthernet2/0/0] mpls [CORE2-GigabitEthernet2/0/0] mpls ldp [CORE2-GigabitEthernet2/0/0] quit [CORE2] mpls ldp remote-peer 10.1.1.1 [CORE2-mpls-ldp-remote-10.1.1.1] remote-ip 10.1.1.1 [CORE2-mpls-ldp-remote-10.1.1.1] quit [CORE2] mpls l2vpn [CORE2-l2vpn] quit [CORE2] interface gigabitethernet 1/0/0 [CORE2-GigabitEthernet1/0/0] mpls l2vc 10.1.1.1 100 [CORE2-GigabitEthernet1/0/0] quit Конфиг максимально простой. Естественно в продакшене всё будет работать через маршрутизацию из нескольких узлов и связанностью по анонсированным лупбэкам, но сейчас проблема именно в поднятии тоннеля. И самое удивительное, что все попытки поднять тоннели делались по официальным мануалам Хуавея. https://support.huawei.com/hedex/hdx.do?docid=EDOC1100126530&id=EN-US_TASK_0177109420

Всем привет! Приобрели для построения в организации MPLS L2VPN четыре железки Huawei CE S6730-H48X6C Прошивка V200R022C00 Не работает ни один тоннель. LDP сессия стартует без проблем, но в любых вариантах L2VPN - VC state DOWN Может ли это зависеть от прошивки? Продавец уверяет (да и мы проверили) у железок нет лицензионного контроля за L2VPN.

Включил дебаг. Ругается на роутер-айди. Сменил на другой и сразу взлетело. Хммм. На хуавеях любой можно написать.

Апдейт сорс делал. Только не Лупбэк, а интерфейс на котором нейбор висит. Тут в другом дело. Пакеты не отправляются. Вообще никакие, поэтому ошибку вычислить сложновато.

А мультихоп зачем? Коммутаторы соединены патчем. Там всё на одном хопе. Моменял коммутаторы на Хуавей 5735. С теми же настройками BGP взлетело без проблем. Вероятно что-то не так с настройками именно в коммутаторах SNR... Понять бы что именно. Всё делал строго по мануалу 😃 https://nag.wiki/pages/viewpage.action?pageId=25110740

Всем привет! Взяли два коммутатора S2995G для тестов на перспективу применения их в организации. Соединили их напрямую, дали айпишники чтобы не выдумывать лишних схем. Подняли лупбэки для анонсов. OSPF взлетает без проблем. Проблема с BGP Взяли две частных AS. Нужно просто поднять сессию, но она висит в Active. router bgp 64544 bgp router-id 1.1.1.1 network 172.17.10.30/32 neighbor 172.19.0.125 remote-as 64512 router bgp 64512 bgp router-id 2.2.2.2 network 172.17.10.31/32 neighbor 172.19.0.126 remote-as 64544 Я что-то упустил для старта BGP сессии? Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 172.19.0.125 4 64512 0 0 0 0 0 never Active

@Aleksey Sonkin Разобрался вроде, но при этом причину глюка так и не понял. Текущий конфиг верный и трафик разруливает на оба шлюза ip access-list standard GUEST permit 172.16.255.0 0.0.0.255 exitip access-list standard USER permit 10.0.0.0 0.255.255.255 permit 192.168.0.0 0.0.255.255 exit!class-map CLASS_MAP_USER match access-group USER!class-map CLASS_MAP_GUEST match access-group GUEST!policy-map INTERNET class CLASS_MAP_USER set ip nexthop 192.168.1.18 exit class CLASS_MAP_GUEST set ip nexthop 10.30.0.1 exit!service-policy input INTERNET vlan 2-3 С клиентской машины под линуксом был запущен MTR (mytraceroute) до 8.8.8.8 Трафик как раз заворачивали на второй шлюз 10.30.0.1 Решил сохранится WR MEM и ребутнуть коммутататор. После перезагрузки всё заработало. Что именно поменялось я так и не понял. Проверяю трассировку cо всех сетей - всё разруливается по конфигу. Огромное спасибо! Надеюсь, что конфиг пригодится всем тем, кто будет пробовать настраивать PBR.

@Aleksey Sonkin Show version SNR-S2995G-48TX Device, Compiled on Jul 09 15:52:00 2018 sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia CPU Mac f8:f0:82:7a:27:81 Vlan MAC f8:f0:82:7a:27:80 SoftWare Package Version 7.5.3.2(R0004.0084) BootRom Version 7.5.21 HardWare Version 2.0.1 CPLD Version 1.01 Serial No.:SW078320I921000004 Copyright (C) 2018 NAG LLC All rights reserved Last reboot is cold reset. Uptime is 0 weeks, 4 days, 19 hours, 42 minutes Show ip route SNR-S2995G-48TX#show ip route Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default Gateway of last resort is 172.30.0.1 to network 0.0.0.0 S* 0.0.0.0/0 [1/0] via 172.30.0.1, Vlan4 tag:0 [1/0] via 192.168.1.18, Vlan111 tag:0 O IA 10.1.0.0/16 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O IA 10.5.128.0/17 [110/12] via 172.17.1.153, Vlan2, 2d21h35m tag:0 C 10.11.0.0/16 is directly connected, Ethernet0 tag:0 O IA 10.13.0.0/16 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O IA 10.17.0.0/16 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O IA 10.18.0.0/16 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O IA 10.33.0.0/16 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O IA 10.40.0.0/24 [110/12] via 172.17.1.153, Vlan2, 17:09:58 tag:0 O IA 10.48.0.0/16 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O IA 10.61.0.0/16 [110/12] via 172.17.1.153, Vlan2, 3d06h50m tag:0 O E2 10.128.0.0/9 [110/1] via 172.17.1.153, Vlan2, 4d18h28m tag:1 O E2 10.200.2.0/24 [110/1] via 172.17.1.153, Vlan2, 4d18h28m tag:1 C 127.0.0.0/8 is directly connected, Loopback tag:0 O IA 172.16.48.0/30 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O 172.16.255.0/24 [110/12] via 172.17.1.153, Vlan2, 00:00:54 tag:0 O 172.17.1.0/30 [110/2] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O 172.17.1.4/30 [110/3] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O 172.17.1.8/30 [110/2] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O 172.17.1.12/30 [110/3] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O 172.17.1.16/30 [110/2] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O 172.17.1.20/30 [110/3] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O 172.17.1.32/30 [110/2] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O 172.17.1.40/30 [110/2] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O 172.17.1.44/30 [110/3] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O 172.17.1.112/30 [110/2] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O 172.17.1.116/30 [110/3] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O 172.17.1.120/30 [110/2] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O 172.17.1.124/30 [110/3] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O 172.17.1.128/30 [110/2] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O 172.17.1.132/30 [110/3] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O 172.17.1.136/30 [110/2] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O 172.17.1.140/30 [110/3] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O 172.17.1.144/30 [110/2] via 172.17.1.153, Vlan2, 17:10:38 tag:0 O 172.17.1.148/30 [110/3] via 172.17.1.153, Vlan2, 17:10:38 tag:0 C 172.17.1.152/30 is directly connected, Vlan2 tag:0 O 172.17.255.0/30 [110/2] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O 172.17.255.4/30 [110/2] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O 172.18.254.1/32 [110/2] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O 172.18.254.2/32 [110/3] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O 172.18.254.3/32 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O 172.18.254.4/32 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O 172.18.254.5/32 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O 172.18.254.7/32 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O 172.18.254.8/32 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O 172.18.254.17/32 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O IA 172.18.254.21/32 [110/3] via 172.17.1.153, Vlan2, 17:09:58 tag:0 C 172.18.254.22/32 is directly connected, Loopback1 tag:0 O 172.19.1.0/30 [110/2] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O 172.19.1.4/30 [110/3] via 172.17.1.153, Vlan2, 4d18h28m tag:0 C 172.30.0.0/30 is directly connected, Vlan4 tag:0 O IA 192.168.0.0/24 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 C 192.168.1.0/24 is directly connected, Vlan111 tag:0 O IA 192.168.2.0/24 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O IA 192.168.3.0/24 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O IA 192.168.4.0/24 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O IA 192.168.11.0/24 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O IA 192.168.12.0/24 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O IA 192.168.13.0/24 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O IA 192.168.15.0/24 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O IA 192.168.16.0/24 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O IA 192.168.17.0/24 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O IA 192.168.18.0/24 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O IA 192.168.19.0/24 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O IA 192.168.20.0/24 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O IA 192.168.21.0/24 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O IA 192.168.22.0/24 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O IA 192.168.23.0/24 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O IA 192.168.120.0/24 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 O IA 192.168.250.0/24 [110/12] via 172.17.1.153, Vlan2, 4d18h28m tag:0 Total routes are : 71 item(s) Show arp Vlan 2 (входящий вилан) SNR-S2995G-48TX#sh arp vlan 2 ARP Unicast Items: 33, Valid: 70, Matched: 1, Verifying: 0, Incomplete: 0, Failed: 0, None: 0 Ethernet Manager Port ARP Items: 38 Address Hardware Addr Interface Port Flag Age-time(sec) subvlanVID 172.17.1.153 e0-d9-e3-34-26-43 Vlan2 Ethernet1/0/49 Dynamic 132 2 Полный конфиг SNR-S2995G-48TX#show run !! switch convert mode stand-alone !! ! no service password-encryption ! hostname SNR-S2995G-48TX sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia sysContact support@nag.ru ! authentication logging enable ! username admin privilege 15 password 0 admin ! authentication line console login local ! ! ! ! ! info-center source debug level 8 prefix on channel 0 info-center source debug level 8 prefix on channel 1 ! ! ! ! ! Interface Ethernet0 ip address 10.11.0.5 255.255.0.0 ! ! ! vlan 1-4;111 ! ip access-list standard GUEST permit 172.16.255.0 0.0.0.255 exit ip access-list standard USER permit 10.0.0.0 0.255.255.255 permit 192.168.0.0 0.0.255.255 exit ! class-map CLASS_MAP_USER match access-group USER ! class-map CLASS_MAP_GUEST match access-group GUEST ! policy-map INTERNET class CLASS_MAP_USER set ip nexthop 192.168.1.18 exit class CLASS_MAP_GUEST set ip nexthop 10.30.0.1 exit ! service-policy input INTERNET vlan 2-3 ! Interface Ethernet1/0/1 description TO_CISCO_2911 switchport access vlan 4 ! Interface Ethernet1/0/2 description TO_PFSENSE switchport access vlan 111 ! Interface Ethernet1/0/3 ! Interface Ethernet1/0/4 ! Interface Ethernet1/0/5 ! Interface Ethernet1/0/6 ! Interface Ethernet1/0/7 ! Interface Ethernet1/0/8 ! Interface Ethernet1/0/9 ! Interface Ethernet1/0/10 ! Interface Ethernet1/0/11 ! Interface Ethernet1/0/12 ! Interface Ethernet1/0/13 ! Interface Ethernet1/0/14 ! Interface Ethernet1/0/15 ! Interface Ethernet1/0/16 ! Interface Ethernet1/0/17 ! Interface Ethernet1/0/18 ! Interface Ethernet1/0/19 ! Interface Ethernet1/0/20 ! Interface Ethernet1/0/21 ! Interface Ethernet1/0/22 ! Interface Ethernet1/0/23 ! Interface Ethernet1/0/24 ! Interface Ethernet1/0/25 ! Interface Ethernet1/0/26 ! Interface Ethernet1/0/27 ! Interface Ethernet1/0/28 ! Interface Ethernet1/0/29 ! Interface Ethernet1/0/30 ! Interface Ethernet1/0/31 ! Interface Ethernet1/0/32 ! Interface Ethernet1/0/33 ! Interface Ethernet1/0/34 ! Interface Ethernet1/0/35 ! Interface Ethernet1/0/36 ! Interface Ethernet1/0/37 ! Interface Ethernet1/0/38 ! Interface Ethernet1/0/39 ! Interface Ethernet1/0/40 ! Interface Ethernet1/0/41 ! Interface Ethernet1/0/42 ! Interface Ethernet1/0/43 ! Interface Ethernet1/0/44 ! Interface Ethernet1/0/45 ! Interface Ethernet1/0/46 ! Interface Ethernet1/0/47 ! Interface Ethernet1/0/48 ! Interface Ethernet1/0/49 speed-duplex force1g-full description TO_CORE_1 switchport access vlan 2 ! Interface Ethernet1/0/50 speed-duplex force1g-full description TO_CORE_2 switchport access vlan 3 ! Interface Ethernet1/0/51 ! Interface Ethernet1/0/52 ! interface Vlan1 shutdown ! interface Vlan2 description TO_CORE_1 ip ospf priority 0 ip address 172.17.1.154 255.255.255.252 ! interface Vlan3 description TO_CORE_2 ip ospf priority 0 ip address 172.17.1.158 255.255.255.252 ! interface Vlan4 description TO_CISCO_2911 ip address 172.30.0.2 255.255.255.252 ! interface Vlan111 description TO_PFSENSE ip address 192.168.1.23 255.255.255.0 ! interface Loopback1 description MANAGEMENT ip address 172.18.254.22 255.255.255.255 ! router ospf 1 ospf router-id 253.253.253.253 network 172.17.1.152 0.0.0.3 area 0 network 172.17.1.156 0.0.0.3 area 0 network 172.18.254.22 0.0.0.0 area 0 redistribute static default-information originate ! ip route 0.0.0.0/0 172.30.0.1 ip route 0.0.0.0/0 192.168.1.18 ! ! no login ! captive-portal ! end SNR-S2995G-48TX#

@Aleksey Sonkin Доброго вечера! Есть ли возможность разрулить трафик именно по двум шлюзам? Например: Vlan 10 - входящий канал с ядра сети на SNRS2995G-48T находящийся в процессе OSPF 10.1.0.1 - первый шлюз 10.1.0.2 - второй шлюз Шлюзы слинкованы с SNRS2995G-48T На SNRS2995G-48T в OSPF объявлен дефолтный маршрут default-information originate и статикой прописано (думаю что лишнее): 0.0.0.0/0 10.1.0.1 0.0.0.0/0 10.2.0.1 Далее делаю PBR: ip access-list standard ONE permit 192.168.1.0 0.0.0.255 ip access-list standart TWO permit 192.168.2.0 0.0.0.255 class-map TO_ONE match access-group ONE class-map TO_TWO match access-group TWO policy-map INTERNET class TO_ONE set ip nexthop 10.1.0.1 exit class TO_TWO set ip nexthop 10.2.0.1 exit service-policy input INTERNET vlan 10 По этому правилу отрабатывает только set ip nexthop 10.1.0.1 Сломал всю голову как направить трафик от 192.168.2.0 0.0.0.255 на шлюз 10.2.0.1 Прошу помощи!!!!

Огромное спасибо! Настроил по Вашей подсказке - всё работает!

Всем привет! Решили поставить данный аппарат в сеть OSPF и повесить на него маршрут по умолчанию на два маршрутизатора, потом весть поток запросов раскидать с помощью ЗАЯВЛЕННОГО PBR! Создал два акцесс-листа ip access-list standart ONE permit 192.168.0.0 0.0.0.255 ip access-list standart TWO permit 192.168.1.0 0.0.0.255 Создал ЗАЯВЛЕННЫЙ PBR: route-map INTERNET permit 10 match ip address ONE set ip next-hop 10.1.0.1 route-map INTERNET permit 20 match ip address TWO set ip next-hop 10.2.0.1 Теперь вопрос!!! Как привязать созданный роут-мап к интерфейсам для разруливания трафика??? Внимание!!! Команда SNR(config-if)# ip policy route-map INTERNET НЕ ПОДХОДИТ НИ К ОДНОМУ ИНТЕРФЕЙСУ!!! НИ К ФИЗИЧЕСКОМУ НИК ЛОГИЧЕСКОМУ!!! Прошу помощи!!!

Всё верно. У меня есть направления где можно экспериментировать и разбираться в разнице настроек физики и svi (сейчас ломаем SNR S2995G с хуавеевской логикой L3), но в боевых условиях предпочитаю работать так, как учили на CCNA и CCNP.

Тоже брали у интеграторов на тест две балалайки. S5730EI и S5730HI Для меня принципиально важно чтобы на L3 коммутаторах можно было повесить ip на физический интерфейс, а не плодить кучу локальных виланов и запихивать их потом в процесс ospf. Так вот, на серии EI маршрутизация вся построена на виланах, другими словами на inter vlan routing. Эта логика работы с L3 была ещё на 3COM 5500 и потом соответсвенно была перенесана на HPE (HP купила 3COM), но я никак не думал что такой крупный вендор как хуавей будет применять этот недороутинг у себя. Хотя на серии HI возможность повесить ip на физические порты есть (undo portswitch и затем по феншую ip address). Прикол весь в том, что цена таких хуавеек сравнима с топовым сегментом цисок и крутится у порога в 300 тыров. Допустим у меня есть здание на 40 рабочих мест и мне его нужно подключить к ospf сети, то есть взять L3 коммутатор и на аплинках прописать ip в сети ядра, создать юзерский (или несколько) вилан и пихнуть его в свою area. Сложного ничего нет, можно это намутить и на локальных vlan без физики. Но цена коммутаторов никак не сравнима с теми же Элтексами где и физика нормально маршрутизируется и ospf нормально обруливается. Так за каким хреном мне покупать дорогой хуавей с межвилановым роутингом или совсем топовый хуавей чтобы пользоваться классическим роутингом, когда это всё реализовано на Элтексах??? Те кто орёт что "вы не умеете его готовить" вероятно не стеснены в средствах. Я бы тоже не отказался построить у себя сетку на топовых балалайках HI серии вместо цисок 36-ой серии, но такое понятие как бюджет этого мне не позволяет. Главное не унывать, будем дружить с Элтексами и SNR.

Аптайм уже 5 месяцев. Загрузка балалаек не более 20% в пике. ccna'шники справляются с конфигами под наши нужды на раз-два. Не вижу ни одного повода перехода на ***вей )

Всем привет! Проблему импортозамещения тоже переживали достаточно остро. Сеть на 3000 портов, магистрали ВОЛС от 1 до 5 км, задачи и права у групп пользователей разные. До санкций старались работать только с кошками, специалистов учили на ccna и ccnp. Сейчас распределили оборудование по задачам. На уровень доступа берём SNR 29-ой серии, там нужен только L2 и иногда статика. До этого брали каталисты 2960X (статика включается через sdm prefer). Было предложение брать под юзерские порты дешевые HP Aruba 2530, но что-то опять не сраслось по ФЗ, а DLink ставить 100%-ный зашквар ))) На уровень распределения/агрегации берём элтексы mes33-ей серии. Это отдельная история. Много писали по тематическим форумам про глюки железа, НО там вменяемая логика работы с L3 практически слизанная у каталистов 36-ой серии. Надеюсь никому не нужно объяснять что при работе с активкой на этом уровне не нужно ничего выдумывать нового чтобы не случалось фиаско. Интеграторов предлагающих переход на хуавей кошководы закидали ссаными тряпками и открестились сертификатами и курсами за которые платило само производство собссно. Договорились что без hcna смотреть в их сторону не станем и я уверен что это абсолютно верное решение. Ядро успели обновить до санкций на 55-ые нексусы как и маршрутизаторы до 29-ой серии. Я вообще не могу представить чем заменить роутеры циски настроенные на ISP Dual-Homed с использованием IP CEF и чем заменить грамотно настроенный ZBF. Использовать вместо IP CEF полуобморочный ECMP? Возможно, но заниматься анонизмом на этом уровне будет только идиот. В любом случае только Элтексы на L3 и SNR на L2. Других вменяемых вариантов на сегодняшний день просто не существует.

Всем привет! Приобрели "на пробу" коммутатор snr-s2995G-48tx в рамках импортозамещения Catalyst ws-c3650-48ps-s Как раз подключали новое здание в общую сеть под OSPF. Аппарат cisco-like что сначала обрадовало неописуемо. Что планировалось сделать: 1. Два аплинка 10GE перевести в L3, подключить к ядру (Cisco Nexus 5500) и area0 2. Медные порты развиланить на две группы пользователей. Интерфейсы vlan А и vlan B (шлюзы этих групп) завести в свои area OSPF Коммутатор в сети должен стать одним из ABR. Вроде как задача ненапряжная, но смутили два момента: В глобальной конфигурации роутинг включить так и не догадались как (аналог ip routing) Не смогли перевести физические порты (аплинки) в L3 и повесить на них ip (аналог no switchport) Я так понял этот аппарат не понимает классическую ip маршрутизацию и работает как хуавеевские балалайки серии s5700 только с виланами (межвилановая маршрутизация) Но плодить кучу локальных виланов (которые потом включать в OSPF как во времена господства 3COM 5500) вместо того чтобы просто повесить ip на физический порт нет никакого желания. Коммутатор отправили на уровень доступа, заменили на mes3348, хотя не хотели связываться с Элтексами от слова "совсем"!