djserg-minyar Posted February 24, 2016 Всем доброго дня. Ребята есть задача прогнать несколько вланов с удаленной площадки в офис. Провайдер дает порт TAG до данной площадки вланом 1234. Схема подключения изображена на рисунке. Подключение к провайдеру портами Gi0/1 настройка Cisco 3550 system mtu 1504 vlan 101 name LAN 101 vlan 102 name LAN 102 ;-порт который смотрит в сторону провайдера interface GigabitEthernet0/1 description QnQ switchport trunk encapsulation dot1q switchport trunk allowed vlan 1234 switchport mode dot1q-tunnel l2protocol-tunnel cdp l2protocol-tunnel stp l2protocol-tunnel vtp ;-Порт который смотрит в локалку interface GigabitEthernet0/12 description LAN switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 101,102 spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root настройка Cisco 3750 system mtu 1504 vlan 101 name LAN 101 vlan 102 name LAN 102 ;-порт который смотрит в сторону провайдера interface GigabitEthernet1/0/1 description QnQ switchport trunk encapsulation dot1q switchport trunk allowed vlan 1234 switchport mode dot1q-tunnel l2protocol-tunnel cdp l2protocol-tunnel stp l2protocol-tunnel vtp ;-Порт который смотрит в локалку interface GigabitEthernet0/4 description LAN switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 101,102 spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root далее через коммутаторы порты так же ACCESSом выдаются нужным пользователям в нужном влане. Все ли верно в данном конфиге, и заработает ли такая схема? или надо у провайдера просить, что бы он выдал порты в нетегированном виде? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mixerinc Posted February 24, 2016 (edited) У вас тунель не в ту сторону смотрит, в классической схеме вы должны отдать в сторону провайдера транк с вашими vlan, а уж провайдер их завернет в тунель, если договоритесь. На крайний случай можете сделать физическую петлю на каталистах и отдать одним вланом провайдеру. MTU у провайдера должен позволять пропускать пакеты с двойной меткой на всем оборудовании между вашими точками включения. тунели настраиваются вот так: switchport access vlan XXX switchport mode dot1q-tunnel vlan XXX это PE-VID Edited February 24, 2016 by mixerinc Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
djserg-minyar Posted February 24, 2016 Мне необходимо завернуть мои вланы, в влан провайдера, Который они дают. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mixerinc Posted February 24, 2016 либо 2 свича, либо петлю делайте, но петля это так себе решение, можно получить некоторую порцию геммороя. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
djserg-minyar Posted February 24, 2016 C петлей видел где то, что надо STP отключить на данных портах. Вопрос какие настройки произвести, что бы этот трафик направить в Влан оператора. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mixerinc Posted February 24, 2016 Выделяете два порта, соединяете их между собой на одном порту: switchport mode trunk switchport trunk allowed vlan 101,102 spanning-tree bpdufilter enable на другом: switchport access vlan 1234 switchport mode dot1q-tunnel spanning-tree bpdufilter enable ну и vlan 1234 отдаете в порт провайдера Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
djserg-minyar Posted February 24, 2016 Если провайдер порт без ТЭГа отдаст, т.е. сразу ACCESS Vlan на него повесит? это не поможет избавиться от т.н. петли? что бы лишние порты не задействовать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Kergorn Posted February 24, 2016 (edited) Просто договоритесь c провайдером, чтобы они сделали QinQ туннель для вас в рамках своей сети. Вы будете отдавать транком им все свои вланы: switchport mode trunk switchport trunk allowed vlan 101,102,XXX а они со своей стороны примут с конфигурацией: switchport access vlan 1234 switchport mode dot1q-tunnel И точно также вам отдадут на другом конце, а вы транком вытащите необходимые вам вланы. Edited February 24, 2016 by Kergorn Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
djserg-minyar Posted February 24, 2016 это вариант был предложен им, но у них какие то сложности с этим. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dmvy Posted February 24, 2016 а у них не будет сложности включить jumbo на всей цепочке коммутаторов между вами? без этого совсем не будет работать. Кстати, 3550 разве умеет qinq? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
djserg-minyar Posted February 24, 2016 Кстати, 3550 разве умеет qinq? WS-C3550-12G умеет. а у них не будет сложности включить jumbo на всей цепочке коммутаторов между вами? а разве этого не надо делать при QinQ, если они будут поднимать его со своей стороны? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted February 24, 2016 без этого совсем не будет работать. обычно - таки работает, т.к. коммутаторы обычно умеют фреймы несколько больше стандартных 1518 байт... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mixerinc Posted February 24, 2016 обычно - таки работает, т.к. коммутаторы обычно умеют фреймы несколько больше стандартных 1518 байт... на 3750 нужен system mtu jumbo для гигабитных портов :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted February 24, 2016 длинки, бдкомы, хуавеи - работают и так. так что не показатель. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
djserg-minyar Posted February 25, 2016 У провайдера Dlink, у нас Cisco. Порты без тега могут отдать, т.е. access поднять на данном порту dot1q-tunnel и в него уже отдавать свои вланы Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
djserg-minyar Posted February 25, 2016 Планирую такие настройки, все ли корректно в них, и достаточно ли этого? Порты подключения к провайдеру не изменились, Gi0/1 настройка Cisco 3550 system mtu 1504 vlan 101 name LAN 101 vlan 102 name LAN 102 ;-порт который смотрит в сторону провайдера interface GigabitEthernet0/1 description QnQ switchport access vlan 1234 switchport mode dot1q-tunnel l2protocol-tunnel cdp l2protocol-tunnel stp l2protocol-tunnel vtp spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root ;-Порт который смотрит в локалку interface GigabitEthernet0/12 description LAN switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 101,102 spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root настройка Cisco 3750 system mtu 1504 vlan 101 name LAN 101 vlan 102 name LAN 102 ;-порт который смотрит в сторону провайдера interface GigabitEthernet1/0/1 description QnQ switchport access vlan 1234 switchport mode dot1q-tunnel l2protocol-tunnel cdp l2protocol-tunnel stp l2protocol-tunnel vtp spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root ;-Порт который смотрит в локалку interface GigabitEthernet0/4 description LAN switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 101,102 spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted February 25, 2016 Так не получится. Вам придется использовать петлю между двумя портами. Что-то вроде такого конфига для каждого свитча (тут совсем примерно, см. гугл) int gi0/1 desc To transit ISP switchport mode trunk switchport trunk allowed vlan 1234 ! int gi0/2 desc QnQ packer switchport access vlan 1234 switchport mode dot1q-tunnel ! int gi0/3 desc QnQ unpacker switchport mode trunk switchport trunk allowed vlan 101,102 Порты 2 и 3 нужно будет соединить патчкордом. В сторону провайдера выплевываем один влан, суть не меняется транком или аксесом. И MTU разумеется нужен увеличенный у вас и на всем оборудовании isp сквозь которое прокинут vlan 1234. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
djserg-minyar Posted February 25, 2016 Не совсем понимаю зачем при подключении к провайдеру портами без TAG делать петлю? Это для тегированного порта, необходимо сначала снять первую метку, и потом уже из access порта распаковать из тунеля вланы. Или я это не правильно понимаю? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Kergorn Posted February 25, 2016 Не правильно понимаете. vurd вам все верно написал. При той конфигурации, которую предложили вы, у вас будет навешиваться второй тэг(1234) на фреймы, получаемые от провайдера. И, соответственно, сниматься тэг 1234, для фреймов, которые вы отправляете в порт. А вам нужно делать это самостоятельно (при помощи петли) или, чтобы за вас это сделал оператор связи. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
djserg-minyar Posted February 25, 2016 а если не менять схему связи с Оператором, пока он дает нам ТЕГИРОВАнный порт с обоих сторон, тоже петлю делать надо будет? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted February 25, 2016 Не меняйте схему, он вам дает тегированный порт, в который вы нальете свой трафик со вторым тегом. Всё нормально будет. Только вам надо понять принцип и зачем тут петля. Возьмите бумагу и карандаш, нарисуйте там пакет, потом поместите его в порт, добавьте к нему TAG, потом прокоммутируйте его по листочку дальше и добавьте второй тег :) Принцип работы dotйq тунеля в том, что в него(и из него) поступает трафик с тэгами, которые он не снимает, а просто коммутирует дальше уже в своем (внешнем) vlan-е. Таким образом вы получаете следующее: tag[1234]tag[101][payload] и tag[1234]tag[102][payload]. Соответственно коммутатор оперирует пакетами по tag[1234] игнорируя последующие, вот именно этот трафик вы и передаете своему ISP. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
djserg-minyar Posted February 25, 2016 (edited) Понял, что надо два раза прогнать пакет через разные порты, на первый навешиваються теги моих вланов, на втором ставиться метка dot1q-tunnel и передается с тегом влана провайдера Схема вижу такую порты Gi0/1 так остаются подключенные к провайдеру сетевая петля делается между портами коммутаторов Gi0/11 и Gi0/12 Локальная сеть с тегироваными вланами подключается к порту Gi0/9 настройка Cisco 3550 system mtu 1504 vlan 101 name LAN 101 vlan 102 name LAN 102 ;-порт который смотрит в сторону провайдера interface GigabitEthernet0/1 description QnQ switchport trunk encapsulation dot1q switchport trunk allowed vlan 1234 switchport mode trunk spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root ;-Сетевая петля-1 interface GigabitEthernet0/11 description Loop switchport access vlan 1234 switchport mode dot1q-tunnel ;-Сетевая петля-2 interface GigabitEthernet0/12 description Loop switchport trunk encapsulation dot1q switchport mode trunk ;-Порт который смотрит в локалку interface GigabitEthernet0/9 description LAN switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 101,102 spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root настройка Cisco 3750 system mtu 1504 vlan 101 name LAN 101 vlan 102 name LAN 102 ;-порт который смотрит в сторону провайдера interface GigabitEthernet1/0/1 description QnQ switchport trunk encapsulation dot1q switchport trunk allowed vlan 1234 switchport mode trunk spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root ;-Сетевая петля-1 interface GigabitEthernet1/0/11 description Loop switchport access vlan 1234 switchport mode dot1q-tunnel ;-Сетевая петля-2 interface GigabitEthernet1/0/12 description Loop switchport trunk encapsulation dot1q switchport mode trunk ;-Порт который смотрит в локалку interface GigabitEthernet1/0/9 description LAN switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 101,102 spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root Edited February 25, 2016 by djserg-minyar Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
djserg-minyar Posted February 25, 2016 надо ли STP в данной конфигурации как то настраивать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
swelf Posted February 25, 2016 (edited) Зачем петля, если в сторону локалки и так транк смотрит, петля нужна чтобы в пределах одного коммутатора сразу 2 метки повесить, в данном случае пакеты из локалки приходят уже с тегами 101 и 102, на них на порту вешаем второй тег 1234 и все. линк с провайдером просто транк, без всяких dot1qtunnel. линк в сторону локалки switchport access vlan 1234 switchport mode dot1q-tunnel Edited February 25, 2016 by swelf Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Butch3r Posted February 25, 2016 Так вы на все входящие от провайдера повешаете второй тэг, а где его снимать будете? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
