iostream Posted September 12, 2015 Posted September 12, 2015 Добрый день! Сначала расскажу вводную - конфигурация свитчей: Имеется два свитча DES 3028 A1 - оба прошиты последней версией прошивки #sh sw Command: show switch Device Type : DES-3028 Fast Ethernet Switch MAC Address : 00-1E-58-45-A4-8C IP Address : 10.1.1.3 (Manual) VLAN Name : 40 Subnet Mask : 255.255.255.224 Default Gateway : 10.1.1.1 Boot PROM Version : Build 1.00.B06 Firmware Version : Build 2.94.B08 Hardware Version : A1 На каждом из свитчей объявлено 3 VLAN - для голоса ( VID - 10), для данных (VID - 20), и для управления ( VID - 40) #show vlan Command: show vlan VLAN Trunk State : Disabled VLAN Trunk Member Ports : VID : 1 VLAN Name : default VLAN Type : Static Advertisement : Disabled Member Ports : Static Ports : Current Tagged Ports : Current Untagged Ports : Static Tagged Ports : Static Untagged Ports : Forbidden Ports : VID : 10 VLAN Name : Voice_Vlan VLAN Type : Static Advertisement : Disabled Member Ports : 1-26 Static Ports : 1-26 Current Tagged Ports : 1-26 Current Untagged Ports : Static Tagged Ports : 1-26 Static Untagged Ports : Forbidden Ports : VID : 20 VLAN Name : Data VLAN Type : Static Advertisement : Disabled Member Ports : 1-28 Static Ports : 1-28 Current Tagged Ports : 25-28 Current Untagged Ports : 1-24 Static Tagged Ports : 25-28 Static Untagged Ports : 1-24 Forbidden Ports : VID : 40 VLAN Name : Managment VLAN Type : Static Advertisement : Disabled Member Ports : 25-28 Static Ports : 25-28 Current Tagged Ports : 25-28 Current Untagged Ports : Static Tagged Ports : 25-28 Static Untagged Ports : Forbidden Ports : Total Entries : 4 Оба свитча с одинаковой конфигурацией и соединены 26 и 25 портом. Проблема - не передается мак в Voice_Vlan на следующий коммутатор ( не видно мака на аплинке). На первом коммутаторе ( коммутатор А) : #sh fdb p 6 Command: show fdb port 6 VID VLAN Name MAC Address Port Type ---- -------------------------------- ----------------- ---- --------------- 10 Voice_Vlan 70-9F-2D-8C-0C-7E 6 DeleteOnTimeout 20 Data 70-9F-2D-8C-0C-7C 6 DeleteOnTimeout #sh fdb p 26 Command: show fdb port 26 VID VLAN Name MAC Address Port Type ---- -------------------------------- ----------------- ---- --------------- 10 Voice_Vlan 00-00-0C-07-AC-01 26 Dynamic 10 Voice_Vlan C8-4C-75-51-3F-C1 26 Dynamic 10 Voice_Vlan C8-4C-75-51-3F-FF 26 Dynamic 20 Data 00-19-5B-E1-DF-BA 26 Dynamic 20 Data 00-1E-8C-65-E4-E5 26 Dynamic 20 Data 00-25-22-B1-A7-85 26 Dynamic 20 Data 00-30-67-E5-44-42 26 Dynamic 20 Data 2C-54-2D-07-97-00 26 Dynamic 20 Data 2C-54-2D-07-99-00 26 Dynamic 20 Data C8-4C-75-51-3F-C1 26 Dynamic 20 Data EC-43-F6-DF-9E-C9 26 Dynamic 40 Managment 00-00-0C-9F-F0-01 26 Dynamic 40 Managment 00-1E-58-45-A7-4C 26 Dynamic 40 Managment 00-1E-F7-DE-75-3F 26 Dynamic 40 Managment C8-4C-75-51-3F-C1 26 Dynamic 40 Managment C8-4C-75-51-3F-FF 26 Dynamic На втором коммутаторе ( коммутатор B) : #show vlan Command: show vlan VLAN Trunk State : Disabled VLAN Trunk Member Ports : VID : 1 VLAN Name : default VLAN Type : Static Advertisement : Disabled Member Ports : Static Ports : Current Tagged Ports : Current Untagged Ports : Static Tagged Ports : Static Untagged Ports : Forbidden Ports : VID : 10 VLAN Name : Voice_Vlan VLAN Type : Static Advertisement : Disabled Member Ports : 1-26 Static Ports : 1-26 Current Tagged Ports : 1-26 Current Untagged Ports : Static Tagged Ports : 1-26 Static Untagged Ports : Forbidden Ports : VID : 20 VLAN Name : Data VLAN Type : Static Advertisement : Disabled Member Ports : 1-28 Static Ports : 1-28 Current Tagged Ports : 25-28 Current Untagged Ports : 1-24 Static Tagged Ports : 25-28 Static Untagged Ports : 1-24 Forbidden Ports : VID : 40 VLAN Name : Managment VLAN Type : Static Advertisement : Disabled Member Ports : 25-28 Static Ports : 25-28 Current Tagged Ports : 25-28 Current Untagged Ports : Static Tagged Ports : 25-28 Static Untagged Ports : Forbidden Ports : Total Entries : 4 #sh fdb p 25 Command: show fdb port 25 VID VLAN Name MAC Address Port Type ---- -------------------------------- ----------------- ---- --------------- 20 Data 2C-41-38-9C-5F-EA 25 Dynamic 20 Data 54-04-A6-8C-4C-49 25 Dynamic 20 Data 70-9F-2D-8C-0C-7D 25 Dynamic 20 Data 74-46-A0-80-6B-9E 25 Dynamic 40 Managment 00-1E-58-45-A4-8C 25 Dynamic Схему прикрепил. Помогите, объясните почему так происходит, может какие идеи... уже всю голову поломал - не могу понять почему не работает... P.S: Все ацл удалил с обоих свитчей, ребутал) P.P.S:По поиску искал - ничего похожего не нашел. Схему прикрепил.
iostream Posted September 13, 2015 Author Posted September 13, 2015 О проблеме с flood_fdb на этих свитчах знаю. Но это не она - объясняю почему: а) На коммутаторе "А" и "В" вывод sh flood_fdb: Коммутатор "А": #sh fdb p 6 Command: show fdb port 6 VID VLAN Name MAC Address Port Type ---- -------------------------------- ----------------- ---- --------------- 10 Voice_Vlan 70-9F-2D-8C-0C-7E 6 DeleteOnTimeout 20 Data 70-9F-2D-8C-0C-7C 6 DeleteOnTimeout Total Entries : 3 #show flood_fdb Command: show flood_fdb Flooding FDB State : Enabled Log State : Enabled Trap State : Enabled Value VLAN ID MAC Address Time Stamp ------ ------- ------------------- ---------- Коммутатор "B": #sh fdb p 25 Command: show fdb port 25 VID VLAN Name MAC Address Port Type ---- -------------------------------- ----------------- ---- --------------- 20 Data 2C-41-38-9C-5F-EA 25 Dynamic 20 Data 54-04-A6-8C-4C-49 25 Dynamic 20 Data 70-9F-2D-8C-0C-7D 25 Dynamic 20 Data 74-46-A0-80-6B-9E 25 Dynamic 40 Managment 00-1E-58-45-A4-8C 25 Dynamic #show flood_fdb Command: show flood_fdb Flooding FDB State : Enabled Log State : Enabled Trap State : Enabled Value VLAN ID MAC Address Time Stamp ------ ------- ------------------- ---------- б) Если я меняю настройки на коммутаторе "А" для порта и делаю Vlan 10 access (untagged) и подключаю устройство на котором прописываю этот же мак (70-9F-2D-8C-0C-7E) - то этот мак мигом появляется на 25 порту коммутатора "В". Устройство CPE настроено и работает верно, т.к при замене Д-линков на, к примеру, Huawei S2326 или Linksys SPS224G4 - такой проблемы не наблюдается и все работает....
iostream Posted September 13, 2015 Author Posted September 13, 2015 Если не ошибаюсь, на cisco каталистах нельзя запихнуть порт одновременно в режим access и trunk. Это да, в каталистах можно сделать дата трафик - как натив влан, а голосовой с тэгом, и сам порт как транк). К примеру так и работает у нас на линейке Linksys SPS224G4. В общем на портах 1-24 у вас PVID = 20, и про VLAN 10 на портах 1-26 ничего не знают. Про вланы эти порт знает - конфигурация и вывод sh fdb p тому доказательство.. И на 25-26 портах у вас скорее всего PVID = 1, т.е отправлять всё неизвестное в VLAN 1, которого у вас нет. PVID=1 сейчас нет ни на одном порту. Ни с ним, ни без него не работает - все так же (устанавливал на аплинки как тэгированный, и как нетегированный - это все было в рамках танцев с бубном - "А вдруг заработает? Для LLDP же помогло!") - не помогло. Еще одно - на свитче 3200-28 С1 была такая же проблема - не передавался мак на аплинк дальше по каскаду (но там следующим свитчом стоял Linksys, хотя вообщем-то это, по-видимому, не важно) - проблема решилась банальным ребутом Д-линка.. А здесь уже раз 7 ребутал, конфиг по-разному менял - и нифига... нет связности по L2.
rdc Posted September 13, 2015 Posted September 13, 2015 В этом случае data-трафик в сторону железки пойдёт с тэгом. По сути вопроса - могу помочь, если меня запустите на железку - исправлю проблему.
iostream Posted September 13, 2015 Author Posted September 13, 2015 А если прописать на свитчах: config gvrp 1-26 pvid 10 Я конечно немного не понимаю зачем gvrp включать, но если включить - то, да - мак передается на аплинк, но все остальные маки из дата влана стали "переформировываться" в Voice_Vlan. Тогда начинают страдать пользователи из дата-влана.. Т.е на 6 порту стало: #sh fdb p 6 Command: show fdb port 6 VID VLAN Name MAC Address Port Type ---- -------------------------------- ----------------- ---- --------------- 10 Voice_Vlan 70-9F-2D-8C-0C-7C 6 DeleteOnTimeout 10 Voice_Vlan 70-9F-2D-8C-0C-7D 6 DeleteOnTimeout А на 25 порту коммутатора "В": #sh fdb p 25 Command: show fdb port 25 VID VLAN Name MAC Address Port Type ---- -------------------------------- ----------------- ---- --------------- 10 Voice_Vlan 2C-41-38-9C-5F-EA 25 Dynamic 10 Voice_Vlan 54-04-A6-8C-4C-49 25 Dynamic 10 Voice_Vlan 70-9F-2D-8C-0C-7D 25 Dynamic 20 Data 2C-41-38-9C-5F-EA 25 Dynamic 20 Data 54-04-A6-8C-4C-49 25 Dynamic 20 Data 70-9F-2D-8C-0C-7D 25 Dynamic 40 Managment 00-1E-58-45-A4-8C 25 Dynamic По сути вопроса - могу помочь, если меня запустите на железку - исправлю проблему. Железка в продакшене, поэтому этого сделать не могу. А так просто поделиться советом нельзя? :) Коллеги, а кто-нибудь может собрать такую же лабу и протестить - может это реально глюк D-link? На их профильном форуме пока тишина, а ТП работает только в будни.
xcme Posted September 14, 2015 Posted September 14, 2015 Я конечно немного не понимаю зачем gvrp включать GVRP не включается. Это просто фича старых ревизий такая - настройки PVID в разделе GVRP. Коллеги, а кто-нибудь может собрать такую же лабу и протестить - может это реально глюк D-link? PortSecurity часом не используете?
iostream Posted September 14, 2015 Author Posted September 14, 2015 " Порт секурити " используем - но это оказался не он! Виновник - dhcp_relay. Когда включен - мака на аплинке нет, когда выключен - мак появляется. И это только если порт tagged ( как у меня на схеме). Если порт в чистом access (untagged) - то все работает ( не важно включен релей или выключен). Снял дампы в двух состояниях и хочу разобраться - что это : фича или баг?
xcme Posted September 14, 2015 Posted September 14, 2015 " Порт секурити " используем - но это оказался не он! А точно не он? У вас напротив адреса написано DeleteOnTimeout. ...Port Security – это функция безопасности, которая предотвращает подключение к заблокированным портам коммутатора неавторизованных компьютеров (с МАС-адресами источников, неизвестными компьютеру до блокировки порта или портов) и получении ими доступа к сети.... DeleteOnTimeout – заблокированные адреса будут устаревать после истечения таймера. Виновник - dhcp_relay. Когда включен - мака на аплинке нет, когда выключен - мак появляется. Пакет перехватывается и пересылается самим коммутатором, а исходный, видимо, дропается. Потому и адреса нет. Насчет untagged пока не понятно. Покажите настройки релея. Кстати, relay можно настроить по vlan'ам.
iostream Posted September 14, 2015 Author Posted September 14, 2015 Было так: enable dhcp_relay config dhcp_relay hops 4 time 0 config dhcp_relay option_82 state enable config dhcp_relay option_82 check disable config dhcp_relay option_82 policy replace config dhcp_relay option_82 remote_id default config dhcp_relay add ipif System 10.x.x.x config dhcp_relay add ipif System 10.x.x.y config dhcp_relay ports 1-24 state enable То, что релей настраивать можно по Vlan я в курсе, но сейчас нет надобности использовать релей на этих свитчах. Поэтому я его просто выключил. Дампы мне ясности - не внесли (почему в tagged случае по L2 другие пакеты не уходят (кроме DHCP_Discover, которые по ясным причинам перехватывал Relay)). К примеру - PPPoE PADI - тоже наверное не пройдет (эксперимент я не ставил). Вообщем с проблемой справился, всем спасибо за помощь, тему можно закрывать :)
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts