alibek Posted May 11, 2017 Мы (пока) не используем CVLAN и с QinQ разбираться не доводилось. Но вот недавно потребовалось. Мне дают VLAN (L2VPN), через который мне нужно пропустить несколько своих VLAN. Примерная схема на рисунке. SW2 настроен следующим образом: !мои VLAN vlan 10;60;100;200;300 ! !VLAN другого оператора в L2VPN vlan 2000 ! !стык с L2VPN int eth 1/25 switchport mode trunk swithport trunk allowed vlan 2000 ! !коммутаторы доступа int eth 1/26 switchport mode trunk swithport trunk allowed vlan 10;60;100;200;300 ! int eth 1/27 switchport mode access swithport access vlan 2000 dot1q-tunnel enable ! int eth 1/28 switchport mode trunk ! dot1q-tunnel selective я не использовал, чтобы с конфигурацией не заморачиваться (мне проще порты 27-28 соединить патчкордом). На SW1 порт настроен аналогично порту 27 SW2. Вроде бы ошибок не вижу. Но когда все включаю, начинается шторм, который укладывает спать управление (в VLAN 10), поэтому посмотреть по консоли причину пока не получилось. Не подскажите, что не так? UPDATE: Если на SW1 порт настроить так: int eth 1/9 dot1q-tunnel selective s-vlan 2000 c-vlan 10;60;100;200;300 dot1q-tunnel selective enable switchport mode trunk То шторма нет. Но и туннель не работает - оборудование за L2VPN недоступно, на порту SW1 нет MAC-адресов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted May 11, 2017 Если на SW1 и SW2 стыковочные порты настроить так: dot1q-tunnel selective s-vlan 2000 c-vlan 10;60;100;200;300 dot1q-tunnel selective enable switchport mode hybrid switchport hybrid allowed vlan 10;60;100;200;300 tag switchport hybrid allowed vlan 2000 untag switchport hybrid native vlan 2000 то по крайней мере на коммутаторах появляются MAC-адреса. Но связи все равно нет, и у меня сложилось впечатление, что на SW2 все MAC-адреса в моих VLAN продублировались в VLAN 2000. B соответственно я вижу их же на SW1 в VLAN 2000. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted May 12, 2017 ТП Нага пояснила пару моментов. Во-первых нужно использовать режим порта hybrid, в режиме trunk метка не снимается. Во-вторых для selective qinq s-vlan должен быть не более 128, это ограничение чипа. Вообщем оптимальным будет на обоих сторонах сделать именно так как в схеме - не использовать selective, а использовать патчкорд. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Tau Posted May 12, 2017 Во-вторых для selective qinq s-vlan должен быть не более 128, это ограничение чипа. QTECH на 2800 и 2850 эту проблему решил года 3 назад. Попробуйте их прошивку. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted May 12, 2017 У меня как раз QSW-2800 с последней прошивкой. Значения больше 128 принимаются, но фактически используется остаток от деления на 128, то есть вместо VLAN 2000 фактически используется VLAN 80. Но я решил не заморачиваться с selective q-in-q, физическая петля проще Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
raveren Posted June 11, 2017 Но я решил не заморачиваться с selective q-in-q, физическая петля проще Ну и какими конкретно настройками победили свой вопрос? А то у меня тоже "петля с патчкордом", broadcast шторм вызывает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted June 12, 2017 Нужно дропать пакеты без тега. И внимательно проверять разрешенные VLAN на портах, чтобы не получилось петли коммутации. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
raveren Posted June 13, 2017 Нужно дропать пакеты без тега. И внимательно проверять разрешенные VLAN на портах, чтобы не получилось петли коммутации. Рабочий конфиг своей схемы можешь показать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
raveren Posted June 13, 2017 Тестирую работу QinQ на коммутаторах SNR-S2960-24G и SNR-S2965-8T. Собрал стенд. Схема: Не удаётся получить связь между user1 и user2. Настройки коммутаторов: SNR-S2965-8T SoftWare Version 7.0.3.5(R0241.0155) BootRom Version 7.2.21 HardWare Version 1.0.1 vlan 3 name user vlan 604 name qinq ! Interface Ethernet1/0/1 description qinq dot1q-tunnel enable switchport access vlan 604 ! Interface Ethernet1/0/2 description qinq-loop switchport mode trunk switchport trunk allowed vlan 2-603;605-4094 ! Interface Ethernet1/0/7 description user1 switchport access vlan 3 ! Interface Ethernet1/0/8 description UPLINK switchport access vlan 604 ! SNR-S2960-24G SoftWare Version 7.0.3.5(R0217.0139) BootRom Version 7.1.3 HardWare Version 1.0.2 CPLD Version 1.2 vlan 3 name user ! vlan 604 name qinq ! Interface Ethernet1/1 description qinq-tunnel dot1q-tunnel enable switchport access vlan 604 ! Interface Ethernet1/2 description qinq-tunnel-loop switchport mode trunk switchport trunk allowed vlan 2-603;605-4094 ! Interface Ethernet1/23 description user2 switchport access vlan 3 ! Interface Ethernet1/24 description UPLINK switchport access vlan 604 ! Что я не так делаю? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Victor Tkachenko Posted June 14, 2017 raveren, порты UPLINK должны быть в режиме trunk, чтобы не отбрасывался верхний тег. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
raveren Posted June 14, 2017 порты UPLINK должны быть в режиме trunk, чтобы не отбрасывался верхний тег. Делал. Не помогает. SNR-S2965-8T Interface Ethernet1/0/8 description UPLINK switchport mode trunk switchport trunk allowed vlan 604 ! SNR-S2960-24G Interface Ethernet1/24 description UPLINK switchport mode trunk switchport trunk allowed vlan 604 ! На UPLINK-портах MAC-адреса не появляются. Можете показать рабочий конфиг для моей схемы? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
raveren Posted June 14, 2017 victor.tkachenko Спасибо! Заработало после того, как с user1 пропинговал user2. Хотя до этого пинговал IP-адрес прописанный на интерфейсе противоположного коммутатора. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Victor Tkachenko Posted June 14, 2017 raveren, рабочий конфиг аналогичен вашему. Для ускорения решения проблемы, пожалуйста, обратитесь к нам в support. К обращению приложите полный вывод `sh run` с обоих коммутаторов и уточните каким образом они соединены (напрямую патч-кордом или через транзитную сеть). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
raveren Posted June 16, 2017 raveren, рабочий конфиг аналогичен вашему. Для ускорения решения проблемы, пожалуйста, обратитесь к нам в support. К обращению приложите полный вывод `sh run` с обоих коммутаторов и уточните каким образом они соединены (напрямую патч-кордом или через транзитную сеть). Ещё раз спасибо! Помощь больше не требуется. Я сам разобрался. Для тех, кому может понадобится, выкладываю рабочие конфигурации: SNR-S2965-8T vlan 3 name user vlan 604 name qinq ! Interface Ethernet1/0/1 description qinq dot1q-tunnel enable switchport access vlan 604 ! Interface Ethernet1/0/2 description qinq-loop switchport mode trunk switchport trunk allowed vlan 2-603;605-4094 ! Interface Ethernet1/0/7 description user1 switchport access vlan 3 ! Interface Ethernet1/0/8 description UPLINK switchport mode trunk switchport trunk allowed vlan 604 ! SNR-S2960-24G vlan 3 name user ! vlan 604 name qinq ! Interface Ethernet1/1 description qinq-tunnel dot1q-tunnel enable switchport access vlan 604 ! Interface Ethernet1/2 description qinq-tunnel-loop switchport mode trunk switchport trunk allowed vlan 2-603;605-4094 ! Interface Ethernet1/23 description user2 switchport access vlan 3 ! Interface Ethernet1/24 description UPLINK switchport mode trunk switchport trunk allowed vlan 604 ! UPLINK-порты нельзя использовать с настройкой switchport trunk native vlan и режиме switchport mode access! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted August 23, 2017 Спрошу еще. Текущая конфигурация такая: Interface Ethernet1/25 description QINQ-IN (приходящий линк с туннеля) switchport discard packet untag switchport mode trunk switchport trunk allowed vlan 2000 ! Interface Ethernet1/26 description QINQ-OUT (уходящий линк на коммутаторы доступа) switchport mode trunk switchport trunk allowed vlan 10;60;100-999 ! Interface Ethernet1/27 description QINQ-LOOP-SVLAN dot1q-tunnel enable switchport access vlan 2000 ! Interface Ethernet1/28 description QINQ-LOOP-CVLAN switchport mode trunk switchport trunk allowed vlan 10;60;100-999 ну и аналогичная с другой стороны туннеля. Все вроде бы работает нормально. Но не нравится то, что на "приемный" коммутатор туннеля попадает вся FDB (из VLAN 10;60;100-999), плюс она дублируется в VLAN 2000. Большая часть FDB на этом коммутаторе не нужна. Нужны только: VLAN 10 (управление) - MAC-адрес шлюза управляющей подсети (плюс, возможно, MAC-адрес "передающего" коммутатора туннеля, для пинга их между собой) VLAN 60 (мультикаст) - MAC-адрес igmp querier VLAN 100-999 (сервисы) - MAC-адреса BRAS-ов и шлюзов Всё остальное я хочу убрать. Как это лучше сделать? Изоляцию порта на "передающем" коммутаторе туннеля я пока не включал, при включении FDB "похудеет", но все равно часть адресов останется (в том числе почти все адреса из управляющего VLAN). Как убрать остальное? ACL 1100-1199? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Victor Tkachenko Posted August 23, 2017 alibek, можно отключить изучение маков для влана или интерфейса: mac-address-learning disable {vlan <vlan_id> | interface <ifname>} Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted August 23, 2017 То есть отключить на интерфейсе и нужные MAC-адреса добавить статикой? А на каком интерфейсе правильнее отключать на 25 или 27? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Victor Tkachenko Posted August 23, 2017 alibek, можно просто отключить изучение маков в 2000 влане, так как там у вас всего 2 порта и трафик просто будет летать из одного в другой. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted August 23, 2017 На SNR-2960 нельзя отключить обучение в VLAN, только на интерфейсе. Кстати, отключение learning ведь не отменит прохождение пакетов. Поэтому ACL все же нужны. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Victor Tkachenko Posted August 23, 2017 alibek, да, в таком случае можете отключить на обоих портах (25 и 27), тогда на коммутаторе не будет дублей в 2000 влане. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
