[djserg-minyar]

Всем доброго дня.

Ребята есть задача прогнать несколько вланов с удаленной площадки в офис.

Провайдер дает порт TAG до данной площадки вланом 1234.

 

Схема подключения изображена на рисунке.

Подключение к провайдеру портами Gi0/1

 

настройка Cisco 3550

system mtu 1504

vlan 101
name LAN 101

vlan 102
name LAN 102

;-порт который смотрит в сторону провайдера
interface GigabitEthernet0/1
description QnQ
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1234
switchport mode dot1q-tunnel
l2protocol-tunnel cdp
l2protocol-tunnel stp
l2protocol-tunnel vtp

;-Порт который смотрит в локалку
interface GigabitEthernet0/12
description LAN
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 101,102
spanning-tree bpdufilter enable
spanning-tree bpduguard enable
spanning-tree guard root

 

настройка Cisco 3750

system mtu 1504

vlan 101
name LAN 101

vlan 102
name LAN 102

;-порт который смотрит в сторону провайдера
interface GigabitEthernet1/0/1
description QnQ
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1234
switchport mode dot1q-tunnel
l2protocol-tunnel cdp
l2protocol-tunnel stp
l2protocol-tunnel vtp

;-Порт который смотрит в локалку
interface GigabitEthernet0/4
description LAN
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 101,102
spanning-tree bpdufilter enable
spanning-tree bpduguard enable
spanning-tree guard root

 

далее через коммутаторы порты так же ACCESSом выдаются нужным пользователям в нужном влане.

Все ли верно в данном конфиге, и заработает ли такая схема?

или надо у провайдера просить, что бы он выдал порты в нетегированном виде?

 

 

[mixerinc]

У вас тунель не в ту сторону смотрит, в классической схеме вы должны отдать в сторону провайдера транк с вашими vlan, а уж провайдер их завернет в тунель, если договоритесь.

На крайний случай можете сделать физическую петлю на каталистах и отдать одним вланом провайдеру.

MTU у провайдера должен позволять пропускать пакеты с двойной меткой на всем оборудовании между вашими точками включения.

 

тунели настраиваются вот так:

 

switchport access vlan XXX

switchport mode dot1q-tunnel

 

vlan XXX это PE-VID

Изменено 24 февраля, 2016 пользователем mixerinc

[djserg-minyar]

Мне необходимо завернуть мои вланы, в влан провайдера, Который они дают.

[mixerinc]

либо 2 свича, либо петлю делайте, но петля это так себе решение, можно получить некоторую порцию геммороя.

[djserg-minyar]

C петлей видел где то, что надо STP отключить на данных портах.

Вопрос какие настройки произвести, что бы этот трафик направить в Влан оператора.

[mixerinc]

Выделяете два порта, соединяете их между собой

 

на одном порту:

 

switchport mode trunk

switchport trunk allowed vlan 101,102

spanning-tree bpdufilter enable

 

на другом:

 

switchport access vlan 1234

switchport mode dot1q-tunnel

spanning-tree bpdufilter enable

 

ну и vlan 1234 отдаете в порт провайдера

[djserg-minyar]

Если провайдер порт без ТЭГа отдаст, т.е. сразу ACCESS Vlan на него повесит? это не поможет избавиться от т.н. петли?

что бы лишние порты не задействовать.

[Kergorn]

Просто договоритесь c провайдером, чтобы они сделали QinQ туннель для вас в рамках своей сети.

Вы будете отдавать транком им все свои вланы:

 

switchport mode trunk

switchport trunk allowed vlan 101,102,XXX

 

а они со своей стороны примут с конфигурацией:

 

switchport access vlan 1234

switchport mode dot1q-tunnel

 

И точно также вам отдадут на другом конце, а вы транком вытащите необходимые вам вланы.

Изменено 24 февраля, 2016 пользователем Kergorn

[djserg-minyar]

это вариант был предложен им, но у них какие то сложности с этим.

[dmvy]

а у них не будет сложности включить jumbo на всей цепочке коммутаторов между вами? без этого совсем не будет работать. Кстати, 3550 разве умеет qinq?

[djserg-minyar]

Кстати, 3550 разве умеет qinq?

 

WS-C3550-12G умеет.

 

 

 

а у них не будет сложности включить jumbo на всей цепочке коммутаторов между вами?

а разве этого не надо делать при QinQ, если они будут поднимать его со своей стороны?

[NiTr0]

без этого совсем не будет работать.

обычно - таки работает, т.к. коммутаторы обычно умеют фреймы несколько больше стандартных 1518 байт...

[mixerinc]

обычно - таки работает, т.к. коммутаторы обычно умеют фреймы несколько больше стандартных 1518 байт...

 

на 3750 нужен system mtu jumbo для гигабитных портов :)

[NiTr0]

длинки, бдкомы, хуавеи - работают и так. так что не показатель.

[djserg-minyar]

У провайдера Dlink, у нас Cisco.

Порты без тега могут отдать, т.е. access

поднять на данном порту dot1q-tunnel и в него уже отдавать свои вланы

[djserg-minyar]

Планирую такие настройки, все ли корректно в них, и достаточно ли этого?

 

Порты подключения к провайдеру не изменились, Gi0/1

 

настройка Cisco 3550

system mtu 1504

vlan 101
name LAN 101

vlan 102
name LAN 102

;-порт который смотрит в сторону провайдера
interface GigabitEthernet0/1
description QnQ
switchport access vlan 1234
switchport mode dot1q-tunnel
l2protocol-tunnel cdp
l2protocol-tunnel stp
l2protocol-tunnel vtp
spanning-tree bpdufilter enable
spanning-tree bpduguard enable
spanning-tree guard root

;-Порт который смотрит в локалку
interface GigabitEthernet0/12
description LAN
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 101,102
spanning-tree bpdufilter enable
spanning-tree bpduguard enable
spanning-tree guard root

 

настройка Cisco 3750

system mtu 1504

vlan 101
name LAN 101

vlan 102
name LAN 102

;-порт который смотрит в сторону провайдера
interface GigabitEthernet1/0/1
description QnQ
switchport access vlan 1234
switchport mode dot1q-tunnel
l2protocol-tunnel cdp
l2protocol-tunnel stp
l2protocol-tunnel vtp
spanning-tree bpdufilter enable
spanning-tree bpduguard enable
spanning-tree guard root

;-Порт который смотрит в локалку
interface GigabitEthernet0/4
description LAN
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 101,102
spanning-tree bpdufilter enable
spanning-tree bpduguard enable
spanning-tree guard root

[vurd]

Так не получится. Вам придется использовать петлю между двумя портами.

Что-то вроде такого конфига для каждого свитча (тут совсем примерно, см. гугл)

int gi0/1
desc To transit ISP
switchport mode trunk
switchport trunk allowed vlan 1234
!
int gi0/2
desc QnQ packer
switchport access vlan 1234
switchport mode dot1q-tunnel
!
int gi0/3
desc QnQ unpacker
switchport mode trunk
switchport trunk allowed vlan 101,102

 

Порты 2 и 3 нужно будет соединить патчкордом. В сторону провайдера выплевываем один влан, суть не меняется транком или аксесом.

И MTU разумеется нужен увеличенный у вас и на всем оборудовании isp сквозь которое прокинут vlan 1234.

[djserg-minyar]

Не совсем понимаю зачем при подключении к провайдеру портами без TAG делать петлю?

Это для тегированного порта, необходимо сначала снять первую метку, и потом уже из access порта распаковать из тунеля вланы.

 

Или я это не правильно понимаю?

[Kergorn]

Не правильно понимаете.

vurd вам все верно написал.

При той конфигурации, которую предложили вы, у вас будет навешиваться второй тэг(1234) на фреймы, получаемые от провайдера. И, соответственно, сниматься тэг 1234, для фреймов, которые вы отправляете в порт.

А вам нужно делать это самостоятельно (при помощи петли) или, чтобы за вас это сделал оператор связи.

[djserg-minyar]

а если не менять схему связи с Оператором, пока он дает нам ТЕГИРОВАнный порт с обоих сторон, тоже петлю делать надо будет?

[vurd]

Не меняйте схему, он вам дает тегированный порт, в который вы нальете свой трафик со вторым тегом. Всё нормально будет.

 

Только вам надо понять принцип и зачем тут петля. Возьмите бумагу и карандаш, нарисуйте там пакет, потом поместите его в порт, добавьте к нему TAG, потом прокоммутируйте его по листочку дальше и добавьте второй тег :)

 

Принцип работы dotйq тунеля в том, что в него(и из него) поступает трафик с тэгами, которые он не снимает, а просто коммутирует дальше уже в своем (внешнем) vlan-е. Таким образом вы получаете следующее:

tag[1234]tag[101][payload] и tag[1234]tag[102][payload]. Соответственно коммутатор оперирует пакетами по tag[1234] игнорируя последующие, вот именно этот трафик вы и передаете своему ISP.

[djserg-minyar]

Понял, что надо два раза прогнать пакет через разные порты, на первый навешиваються теги моих вланов, на втором ставиться метка dot1q-tunnel и передается с тегом влана провайдера

 

Схема вижу такую

 

порты Gi0/1 так остаются подключенные к провайдеру

 

сетевая петля делается между портами коммутаторов Gi0/11 и Gi0/12

 

Локальная сеть с тегироваными вланами подключается к порту Gi0/9

 

настройка Cisco 3550

system mtu 1504

vlan 101
name LAN 101

vlan 102
name LAN 102

;-порт который смотрит в сторону провайдера
interface GigabitEthernet0/1
description QnQ
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1234
switchport mode trunk
spanning-tree bpdufilter enable
spanning-tree bpduguard enable
spanning-tree guard root


;-Сетевая петля-1
interface GigabitEthernet0/11
description Loop
switchport access vlan 1234
switchport mode dot1q-tunnel

;-Сетевая петля-2
interface GigabitEthernet0/12
description Loop
switchport trunk encapsulation dot1q
switchport mode trunk


;-Порт который смотрит в локалку
interface GigabitEthernet0/9
description LAN
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 101,102
spanning-tree bpdufilter enable
spanning-tree bpduguard enable
spanning-tree guard root

 

настройка Cisco 3750

system mtu 1504

vlan 101
name LAN 101

vlan 102
name LAN 102

;-порт который смотрит в сторону провайдера
interface GigabitEthernet1/0/1
description QnQ
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1234
switchport mode trunk
spanning-tree bpdufilter enable
spanning-tree bpduguard enable
spanning-tree guard root

;-Сетевая петля-1
interface GigabitEthernet1/0/11
description Loop
switchport access vlan 1234
switchport mode dot1q-tunnel

;-Сетевая петля-2
interface GigabitEthernet1/0/12
description Loop
switchport trunk encapsulation dot1q
switchport mode trunk

;-Порт который смотрит в локалку
interface GigabitEthernet1/0/9
description LAN
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 101,102
spanning-tree bpdufilter enable
spanning-tree bpduguard enable
spanning-tree guard root

Изменено 25 февраля, 2016 пользователем djserg-minyar

[djserg-minyar]

надо ли STP в данной конфигурации как то настраивать?

[swelf]

Зачем петля, если в сторону локалки и так транк смотрит, петля нужна чтобы в пределах одного коммутатора сразу 2 метки повесить, в данном случае пакеты из локалки приходят уже с тегами 101 и 102, на них на порту вешаем второй тег 1234 и все. линк с провайдером просто транк, без всяких dot1qtunnel. линк в сторону локалки

switchport access vlan 1234
switchport mode dot1q-tunnel

Изменено 25 февраля, 2016 пользователем swelf

[Butch3r]

Так вы на все входящие от провайдера повешаете второй тэг, а где его снимать будете?