s2n Опубликовано 15 апреля, 2015 · Жалоба Внизу - 2950 на доступе, вверху x670 с VMAN на порту. VLAN 150 - управление. class-map cls-dot1q-tunnel match vlan range 1001-1096 ! policy-map pol-dot1q-1 class cls-dot1q-tunnel add s-vid 2101 exit Interface Ethernet1/0/1 service-policy input pol-dot1q-1 switchport mode hybrid switchport hybrid allowed vlan 150;1001-1096 tag switchport hybrid allowed vlan 2101 untag Абонент на доступе получает DHCP, т.е. в туннеле трафик бегает нормально. Но интернета нет. Отзеркалил аплинковый и даунлинковый порты на Wireshark, отчетливо видно что DHCP прекрасно бегает и заворачивается во второй VLAN, а вот ARP только прилетает снизу, с одним тегом - очевидно, по какой-то причине не обрабатывается политикой. Соответственно, без арп абон никуда не ходит. Аплинковый настраивал и так Interface Ethernet1/0/24 switchport mode trunk switchport trunk allowed vlan 150;2101-2111 и так Interface Ethernet1/0/24 switchport mode hybrid switchport hybrid allowed vlan 150;2101-2111 tag - все едино. Вопрос: от чего так может быть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mikhail Burnin Опубликовано 16 апреля, 2015 · Жалоба добрый день, У Вас mac-address-learning cpu-control включен ? Покажите "sh ver" и "sh ven" с коммутатора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s2n Опубликовано 16 апреля, 2015 · Жалоба добрый день, У Вас mac-address-learning cpu-control включен ? Здравствуйте Специально не включал. Он же вроде по умолчанию включен? SNR-S3650G-24S Device, Compiled on Aug 25 15:00:33 2014 sysLocation Ak.Vonsovskogo str. 1-118, Ekaterinburg, Russia CPU Mac f8:f0:82:10:1c:f9 Vlan MAC f8:f0:82:10:1c:f8 SoftWare Package Version 7.0.3.5(R0224.0027) BootRom Version 7.2.200 HardWare Version 2.0.3 CPLD Version N/A Serial No.:SW032510D609000098 Copyright (C) 2014 NAG LLC All rights reserved Last reboot is warm reset. Uptime is 0 weeks, 1 days, 0 hours, 25 minutes NAME LEN VALUE ------------ ----- ------------------------------ SwitchName 14 SNR-S3650G-24S VersionPre 0 VendNameEn 7 NAG LLC VendNameBr 3 NAG VendWWW 18 http://shop.nag.ru VendLocate 47 Ak.Vonsovskogo str. 1-118, Ekaterinburg, Russia CopyRight 26 Copyright (C) 2014 NAG LLC VendContact 14 support@nag.ru WebLogo 10976 WebLogin 5597 WebFacebd 12701 WebBG 13495 WebLang 2 cn VendorOid 19 1.3.6.1.4.1.40418.7 DeviceOid 22 1.3.6.1.4.1.40418.7.11 KeyNeed 4 0 BaseMac 6 f8 f0 82 10 00 00 CliStyle 3 0 HsrpNeed 4 0 DevType(ID) 4 190 ChassisCard 0 FileVersion 7 10.0.70 IMGPrefix 0 RomPrefix 0 HardWarePre 0 Prompt 0 UserName 5 admin PassWord 5 admin ManageIP 4 10.10.10.1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mikhail Burnin Опубликовано 16 апреля, 2015 · Жалоба команда mac-address-learning cpu-control должна присутствовать в конфиге Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s2n Опубликовано 16 апреля, 2015 · Жалоба команда mac-address-learning cpu-control должна присутствовать в конфиге сделал, перегрузил - изменений нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s2n Опубликовано 16 апреля, 2015 · Жалоба Этот mac-address-learning cpu-control прямо-таки волшебная пилюля у SNR-ов - его рекомендуют практически при любых проблемах))) Непонятно как он мог повлиять в данном случае, ибо маку абона и DHCP коммутатор прекрасно обучился - судя как по выводу таблицы адресов, так и по успешному получению адреса. Вот тут видно, что DCHP запрос влетел с 1 порта с одним тегом и вылетел из 24 с двумя, увеличившись на 4 байта. С ответом обратный процесс - зашел в 24 с двумя и вышел из 1 укоротившись. С ARP запросом такого не происходит - только входящий в 1 порт в 1004 влане. Отсюда вывод, что вышеприведенная service policy на 1 порту не обрабатывает фрейм, содержащий ARP запрос и формально подходящий под критерий vlan range. Как это связано с обучением/необучением маку источника на порту, если назначение - бродкаст? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehmeh Опубликовано 17 апреля, 2015 · Жалоба Могу ошибаться, но насколько я помню, когда собирал похожую схему, на агрегации CVLAN вообще не создавал. Можно попробовать удалить их (1001-1096) из базы и запрунить на 1/0/1, оставить только SVLAN. Потом послушать трафик и посмотреть, куда свалится ARP. По поводу mac-address-learning cpu-control, тут скорее дело не в обучении, а в том, кто этим процессом управляет - CPU или ASIC, в первом случае больше фич будет работать (порт-секьюрити и т.д.), видимо в том числе и Selective QinQ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s2n Опубликовано 17 апреля, 2015 · Жалоба Могу ошибаться, но насколько я помню, когда собирал похожую схему, на агрегации CVLAN вообще не создавал. Аналогично, прописал 1001-1096 только в hybrid allowed vlan даунлинка. Создавать их на агрегации пробовал, не влияет ни на что. Можно попробовать удалить их (1001-1096) из базы и запрунить на 1/0/1, оставить только SVLAN. Потом послушать трафик и посмотреть, куда свалится ARP. Убрал из allowed vlan - не повлияло. Все так же, DHCP заворачивается в 2101 и разворачивается, а ARP влетает как есть и никуда не вылетает. Не подскажете, на какой версии софта у вас работало? Надо уже как-то запускать, сроки поджимают( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehmeh Опубликовано 17 апреля, 2015 · Жалоба Версию только в понедельник, когда буду в офисе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VVSina Опубликовано 17 апреля, 2015 · Жалоба #sh ver SNR-S3650G-48S Device, Compiled on Jun 13 14:14:36 2014 SoftWare Version 7.0.3.5(B0207.0011) switchport hybrid allowed vlan 150;1001-1096 tag заменить на switchport hybrid allowed vlan 150 tag В остальном всё правильно. Никакого mac-address-learning cpu-control в конфиге нету. есть проблемы с dhcp лечится так double-tagged forwarding c-tpid 0x800 double-tagged forwarding c-tpid 0x8100 на интерфесе, корректно сохраняется в следующей версии софта Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mikhail Burnin Опубликовано 17 апреля, 2015 · Жалоба Проверил на той-же прошивке с конфигом s2n, все работает нормально SNR-S3650G-24S#sh ver SNR-S3650G-24S Device, Compiled on Aug 25 15:00:33 2014 sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia CPU Mac 00:03:0f:27:89:eb Vlan MAC 00:03:0f:27:89:ea SoftWare Package Version 7.0.3.5(R0224.0027) double-tagged forwarding тут не поможет, s2n приложите полный конфиг и вывод sh tcam usage, а лучше напишите нам на support.nag.ru Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s2n Опубликовано 17 апреля, 2015 · Жалоба Проверил на той-же прошивке с конфигом s2n, все работает нормально SNR-S3650G-24S#sh ver SNR-S3650G-24S Device, Compiled on Aug 25 15:00:33 2014 sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia CPU Mac 00:03:0f:27:89:eb Vlan MAC 00:03:0f:27:89:ea SoftWare Package Version 7.0.3.5(R0224.0027) double-tagged forwarding тут не поможет, s2n приложите полный конфиг и вывод sh tcam usage, а лучше напишите нам на support.nag.ru Тикет 9711 открыт 2 дня назад Полный конфиг бросил в личку. TCAM Total: 512 extended (1024 standard) entries on unit: 0 USED: 129 extended entries for l4 function USED: 0 extended entries for IP forwarding FREE: 383 extended entries Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s2n Опубликовано 20 апреля, 2015 · Жалоба Выяснили, если в arp пакете ip-адрес из сети, которая присутствует на L3 интерфейсе коммутатора, этот arp попадает в CPU коммутатора и второй тег не навешивается.Данный баг сдан разработчикам, пока в качестве временного решения сделайте в vlan управления более длинную маску, чтобы ip адреса клиентов и коммутатора не пересекались. Поменяли маску на management - все залетало. Спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
baronzzz Опубликовано 9 июня, 2015 · Жалоба Уважаемый s2n, подскажите, конченый кофниг для коммутатора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s2n Опубликовано 10 июня, 2015 · Жалоба Уважаемый s2n, подскажите, конченый кофниг для коммутатора. л/с Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
baronzzz Опубликовано 10 июня, 2015 · Жалоба Спаибо... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s2n Опубликовано 19 августа, 2015 · Жалоба Параметр Статус изменился с В ожидании на Закрыта, Дан ответ Добрый день, R&D ответили что исправление этого бага невозможно на данной аппаратной платформе , обращение закрыто. ( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...