djserg-minyar Опубликовано 24 февраля, 2016 · Жалоба Всем доброго дня. Ребята есть задача прогнать несколько вланов с удаленной площадки в офис. Провайдер дает порт TAG до данной площадки вланом 1234. Схема подключения изображена на рисунке. Подключение к провайдеру портами Gi0/1 настройка Cisco 3550 system mtu 1504 vlan 101 name LAN 101 vlan 102 name LAN 102 ;-порт который смотрит в сторону провайдера interface GigabitEthernet0/1 description QnQ switchport trunk encapsulation dot1q switchport trunk allowed vlan 1234 switchport mode dot1q-tunnel l2protocol-tunnel cdp l2protocol-tunnel stp l2protocol-tunnel vtp ;-Порт который смотрит в локалку interface GigabitEthernet0/12 description LAN switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 101,102 spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root настройка Cisco 3750 system mtu 1504 vlan 101 name LAN 101 vlan 102 name LAN 102 ;-порт который смотрит в сторону провайдера interface GigabitEthernet1/0/1 description QnQ switchport trunk encapsulation dot1q switchport trunk allowed vlan 1234 switchport mode dot1q-tunnel l2protocol-tunnel cdp l2protocol-tunnel stp l2protocol-tunnel vtp ;-Порт который смотрит в локалку interface GigabitEthernet0/4 description LAN switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 101,102 spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root далее через коммутаторы порты так же ACCESSом выдаются нужным пользователям в нужном влане. Все ли верно в данном конфиге, и заработает ли такая схема? или надо у провайдера просить, что бы он выдал порты в нетегированном виде? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mixerinc Опубликовано 24 февраля, 2016 (изменено) · Жалоба У вас тунель не в ту сторону смотрит, в классической схеме вы должны отдать в сторону провайдера транк с вашими vlan, а уж провайдер их завернет в тунель, если договоритесь. На крайний случай можете сделать физическую петлю на каталистах и отдать одним вланом провайдеру. MTU у провайдера должен позволять пропускать пакеты с двойной меткой на всем оборудовании между вашими точками включения. тунели настраиваются вот так: switchport access vlan XXX switchport mode dot1q-tunnel vlan XXX это PE-VID Изменено 24 февраля, 2016 пользователем mixerinc Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
djserg-minyar Опубликовано 24 февраля, 2016 · Жалоба Мне необходимо завернуть мои вланы, в влан провайдера, Который они дают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mixerinc Опубликовано 24 февраля, 2016 · Жалоба либо 2 свича, либо петлю делайте, но петля это так себе решение, можно получить некоторую порцию геммороя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
djserg-minyar Опубликовано 24 февраля, 2016 · Жалоба C петлей видел где то, что надо STP отключить на данных портах. Вопрос какие настройки произвести, что бы этот трафик направить в Влан оператора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mixerinc Опубликовано 24 февраля, 2016 · Жалоба Выделяете два порта, соединяете их между собой на одном порту: switchport mode trunk switchport trunk allowed vlan 101,102 spanning-tree bpdufilter enable на другом: switchport access vlan 1234 switchport mode dot1q-tunnel spanning-tree bpdufilter enable ну и vlan 1234 отдаете в порт провайдера Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
djserg-minyar Опубликовано 24 февраля, 2016 · Жалоба Если провайдер порт без ТЭГа отдаст, т.е. сразу ACCESS Vlan на него повесит? это не поможет избавиться от т.н. петли? что бы лишние порты не задействовать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kergorn Опубликовано 24 февраля, 2016 (изменено) · Жалоба Просто договоритесь c провайдером, чтобы они сделали QinQ туннель для вас в рамках своей сети. Вы будете отдавать транком им все свои вланы: switchport mode trunk switchport trunk allowed vlan 101,102,XXX а они со своей стороны примут с конфигурацией: switchport access vlan 1234 switchport mode dot1q-tunnel И точно также вам отдадут на другом конце, а вы транком вытащите необходимые вам вланы. Изменено 24 февраля, 2016 пользователем Kergorn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
djserg-minyar Опубликовано 24 февраля, 2016 · Жалоба это вариант был предложен им, но у них какие то сложности с этим. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 24 февраля, 2016 · Жалоба а у них не будет сложности включить jumbo на всей цепочке коммутаторов между вами? без этого совсем не будет работать. Кстати, 3550 разве умеет qinq? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
djserg-minyar Опубликовано 24 февраля, 2016 · Жалоба Кстати, 3550 разве умеет qinq? WS-C3550-12G умеет. а у них не будет сложности включить jumbo на всей цепочке коммутаторов между вами? а разве этого не надо делать при QinQ, если они будут поднимать его со своей стороны? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 24 февраля, 2016 · Жалоба без этого совсем не будет работать. обычно - таки работает, т.к. коммутаторы обычно умеют фреймы несколько больше стандартных 1518 байт... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mixerinc Опубликовано 24 февраля, 2016 · Жалоба обычно - таки работает, т.к. коммутаторы обычно умеют фреймы несколько больше стандартных 1518 байт... на 3750 нужен system mtu jumbo для гигабитных портов :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 24 февраля, 2016 · Жалоба длинки, бдкомы, хуавеи - работают и так. так что не показатель. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
djserg-minyar Опубликовано 25 февраля, 2016 · Жалоба У провайдера Dlink, у нас Cisco. Порты без тега могут отдать, т.е. access поднять на данном порту dot1q-tunnel и в него уже отдавать свои вланы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
djserg-minyar Опубликовано 25 февраля, 2016 · Жалоба Планирую такие настройки, все ли корректно в них, и достаточно ли этого? Порты подключения к провайдеру не изменились, Gi0/1 настройка Cisco 3550 system mtu 1504 vlan 101 name LAN 101 vlan 102 name LAN 102 ;-порт который смотрит в сторону провайдера interface GigabitEthernet0/1 description QnQ switchport access vlan 1234 switchport mode dot1q-tunnel l2protocol-tunnel cdp l2protocol-tunnel stp l2protocol-tunnel vtp spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root ;-Порт который смотрит в локалку interface GigabitEthernet0/12 description LAN switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 101,102 spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root настройка Cisco 3750 system mtu 1504 vlan 101 name LAN 101 vlan 102 name LAN 102 ;-порт который смотрит в сторону провайдера interface GigabitEthernet1/0/1 description QnQ switchport access vlan 1234 switchport mode dot1q-tunnel l2protocol-tunnel cdp l2protocol-tunnel stp l2protocol-tunnel vtp spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root ;-Порт который смотрит в локалку interface GigabitEthernet0/4 description LAN switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 101,102 spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 25 февраля, 2016 · Жалоба Так не получится. Вам придется использовать петлю между двумя портами. Что-то вроде такого конфига для каждого свитча (тут совсем примерно, см. гугл) int gi0/1 desc To transit ISP switchport mode trunk switchport trunk allowed vlan 1234 ! int gi0/2 desc QnQ packer switchport access vlan 1234 switchport mode dot1q-tunnel ! int gi0/3 desc QnQ unpacker switchport mode trunk switchport trunk allowed vlan 101,102 Порты 2 и 3 нужно будет соединить патчкордом. В сторону провайдера выплевываем один влан, суть не меняется транком или аксесом. И MTU разумеется нужен увеличенный у вас и на всем оборудовании isp сквозь которое прокинут vlan 1234. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
djserg-minyar Опубликовано 25 февраля, 2016 · Жалоба Не совсем понимаю зачем при подключении к провайдеру портами без TAG делать петлю? Это для тегированного порта, необходимо сначала снять первую метку, и потом уже из access порта распаковать из тунеля вланы. Или я это не правильно понимаю? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kergorn Опубликовано 25 февраля, 2016 · Жалоба Не правильно понимаете. vurd вам все верно написал. При той конфигурации, которую предложили вы, у вас будет навешиваться второй тэг(1234) на фреймы, получаемые от провайдера. И, соответственно, сниматься тэг 1234, для фреймов, которые вы отправляете в порт. А вам нужно делать это самостоятельно (при помощи петли) или, чтобы за вас это сделал оператор связи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
djserg-minyar Опубликовано 25 февраля, 2016 · Жалоба а если не менять схему связи с Оператором, пока он дает нам ТЕГИРОВАнный порт с обоих сторон, тоже петлю делать надо будет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 25 февраля, 2016 · Жалоба Не меняйте схему, он вам дает тегированный порт, в который вы нальете свой трафик со вторым тегом. Всё нормально будет. Только вам надо понять принцип и зачем тут петля. Возьмите бумагу и карандаш, нарисуйте там пакет, потом поместите его в порт, добавьте к нему TAG, потом прокоммутируйте его по листочку дальше и добавьте второй тег :) Принцип работы dotйq тунеля в том, что в него(и из него) поступает трафик с тэгами, которые он не снимает, а просто коммутирует дальше уже в своем (внешнем) vlan-е. Таким образом вы получаете следующее: tag[1234]tag[101][payload] и tag[1234]tag[102][payload]. Соответственно коммутатор оперирует пакетами по tag[1234] игнорируя последующие, вот именно этот трафик вы и передаете своему ISP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
djserg-minyar Опубликовано 25 февраля, 2016 (изменено) · Жалоба Понял, что надо два раза прогнать пакет через разные порты, на первый навешиваються теги моих вланов, на втором ставиться метка dot1q-tunnel и передается с тегом влана провайдера Схема вижу такую порты Gi0/1 так остаются подключенные к провайдеру сетевая петля делается между портами коммутаторов Gi0/11 и Gi0/12 Локальная сеть с тегироваными вланами подключается к порту Gi0/9 настройка Cisco 3550 system mtu 1504 vlan 101 name LAN 101 vlan 102 name LAN 102 ;-порт который смотрит в сторону провайдера interface GigabitEthernet0/1 description QnQ switchport trunk encapsulation dot1q switchport trunk allowed vlan 1234 switchport mode trunk spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root ;-Сетевая петля-1 interface GigabitEthernet0/11 description Loop switchport access vlan 1234 switchport mode dot1q-tunnel ;-Сетевая петля-2 interface GigabitEthernet0/12 description Loop switchport trunk encapsulation dot1q switchport mode trunk ;-Порт который смотрит в локалку interface GigabitEthernet0/9 description LAN switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 101,102 spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root настройка Cisco 3750 system mtu 1504 vlan 101 name LAN 101 vlan 102 name LAN 102 ;-порт который смотрит в сторону провайдера interface GigabitEthernet1/0/1 description QnQ switchport trunk encapsulation dot1q switchport trunk allowed vlan 1234 switchport mode trunk spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root ;-Сетевая петля-1 interface GigabitEthernet1/0/11 description Loop switchport access vlan 1234 switchport mode dot1q-tunnel ;-Сетевая петля-2 interface GigabitEthernet1/0/12 description Loop switchport trunk encapsulation dot1q switchport mode trunk ;-Порт который смотрит в локалку interface GigabitEthernet1/0/9 description LAN switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 101,102 spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root Изменено 25 февраля, 2016 пользователем djserg-minyar Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
djserg-minyar Опубликовано 25 февраля, 2016 · Жалоба надо ли STP в данной конфигурации как то настраивать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
swelf Опубликовано 25 февраля, 2016 (изменено) · Жалоба Зачем петля, если в сторону локалки и так транк смотрит, петля нужна чтобы в пределах одного коммутатора сразу 2 метки повесить, в данном случае пакеты из локалки приходят уже с тегами 101 и 102, на них на порту вешаем второй тег 1234 и все. линк с провайдером просто транк, без всяких dot1qtunnel. линк в сторону локалки switchport access vlan 1234 switchport mode dot1q-tunnel Изменено 25 февраля, 2016 пользователем swelf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 25 февраля, 2016 · Жалоба Так вы на все входящие от провайдера повешаете второй тэг, а где его снимать будете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...