alibek Posted May 11, 2017 · Report post Мы (пока) не используем CVLAN и с QinQ разбираться не доводилось. Но вот недавно потребовалось. Мне дают VLAN (L2VPN), через который мне нужно пропустить несколько своих VLAN. Примерная схема на рисунке. SW2 настроен следующим образом: !мои VLAN vlan 10;60;100;200;300 ! !VLAN другого оператора в L2VPN vlan 2000 ! !стык с L2VPN int eth 1/25 switchport mode trunk swithport trunk allowed vlan 2000 ! !коммутаторы доступа int eth 1/26 switchport mode trunk swithport trunk allowed vlan 10;60;100;200;300 ! int eth 1/27 switchport mode access swithport access vlan 2000 dot1q-tunnel enable ! int eth 1/28 switchport mode trunk ! dot1q-tunnel selective я не использовал, чтобы с конфигурацией не заморачиваться (мне проще порты 27-28 соединить патчкордом). На SW1 порт настроен аналогично порту 27 SW2. Вроде бы ошибок не вижу. Но когда все включаю, начинается шторм, который укладывает спать управление (в VLAN 10), поэтому посмотреть по консоли причину пока не получилось. Не подскажите, что не так? UPDATE: Если на SW1 порт настроить так: int eth 1/9 dot1q-tunnel selective s-vlan 2000 c-vlan 10;60;100;200;300 dot1q-tunnel selective enable switchport mode trunk То шторма нет. Но и туннель не работает - оборудование за L2VPN недоступно, на порту SW1 нет MAC-адресов. Share this post Link to post Share on other sites
alibek Posted May 11, 2017 · Report post Если на SW1 и SW2 стыковочные порты настроить так: dot1q-tunnel selective s-vlan 2000 c-vlan 10;60;100;200;300 dot1q-tunnel selective enable switchport mode hybrid switchport hybrid allowed vlan 10;60;100;200;300 tag switchport hybrid allowed vlan 2000 untag switchport hybrid native vlan 2000 то по крайней мере на коммутаторах появляются MAC-адреса. Но связи все равно нет, и у меня сложилось впечатление, что на SW2 все MAC-адреса в моих VLAN продублировались в VLAN 2000. B соответственно я вижу их же на SW1 в VLAN 2000. Share this post Link to post Share on other sites
alibek Posted May 12, 2017 · Report post ТП Нага пояснила пару моментов. Во-первых нужно использовать режим порта hybrid, в режиме trunk метка не снимается. Во-вторых для selective qinq s-vlan должен быть не более 128, это ограничение чипа. Вообщем оптимальным будет на обоих сторонах сделать именно так как в схеме - не использовать selective, а использовать патчкорд. Share this post Link to post Share on other sites
Tau Posted May 12, 2017 · Report post Во-вторых для selective qinq s-vlan должен быть не более 128, это ограничение чипа. QTECH на 2800 и 2850 эту проблему решил года 3 назад. Попробуйте их прошивку. Share this post Link to post Share on other sites
alibek Posted May 12, 2017 · Report post У меня как раз QSW-2800 с последней прошивкой. Значения больше 128 принимаются, но фактически используется остаток от деления на 128, то есть вместо VLAN 2000 фактически используется VLAN 80. Но я решил не заморачиваться с selective q-in-q, физическая петля проще Share this post Link to post Share on other sites
raveren Posted June 11, 2017 · Report post Но я решил не заморачиваться с selective q-in-q, физическая петля проще Ну и какими конкретно настройками победили свой вопрос? А то у меня тоже "петля с патчкордом", broadcast шторм вызывает. Share this post Link to post Share on other sites
alibek Posted June 12, 2017 · Report post Нужно дропать пакеты без тега. И внимательно проверять разрешенные VLAN на портах, чтобы не получилось петли коммутации. Share this post Link to post Share on other sites
raveren Posted June 13, 2017 · Report post Нужно дропать пакеты без тега. И внимательно проверять разрешенные VLAN на портах, чтобы не получилось петли коммутации. Рабочий конфиг своей схемы можешь показать? Share this post Link to post Share on other sites
raveren Posted June 13, 2017 · Report post Тестирую работу QinQ на коммутаторах SNR-S2960-24G и SNR-S2965-8T. Собрал стенд. Схема: Не удаётся получить связь между user1 и user2. Настройки коммутаторов: SNR-S2965-8T SoftWare Version 7.0.3.5(R0241.0155) BootRom Version 7.2.21 HardWare Version 1.0.1 vlan 3 name user vlan 604 name qinq ! Interface Ethernet1/0/1 description qinq dot1q-tunnel enable switchport access vlan 604 ! Interface Ethernet1/0/2 description qinq-loop switchport mode trunk switchport trunk allowed vlan 2-603;605-4094 ! Interface Ethernet1/0/7 description user1 switchport access vlan 3 ! Interface Ethernet1/0/8 description UPLINK switchport access vlan 604 ! SNR-S2960-24G SoftWare Version 7.0.3.5(R0217.0139) BootRom Version 7.1.3 HardWare Version 1.0.2 CPLD Version 1.2 vlan 3 name user ! vlan 604 name qinq ! Interface Ethernet1/1 description qinq-tunnel dot1q-tunnel enable switchport access vlan 604 ! Interface Ethernet1/2 description qinq-tunnel-loop switchport mode trunk switchport trunk allowed vlan 2-603;605-4094 ! Interface Ethernet1/23 description user2 switchport access vlan 3 ! Interface Ethernet1/24 description UPLINK switchport access vlan 604 ! Что я не так делаю? Share this post Link to post Share on other sites
Victor Tkachenko Posted June 14, 2017 · Report post raveren, порты UPLINK должны быть в режиме trunk, чтобы не отбрасывался верхний тег. Share this post Link to post Share on other sites
raveren Posted June 14, 2017 · Report post порты UPLINK должны быть в режиме trunk, чтобы не отбрасывался верхний тег. Делал. Не помогает. SNR-S2965-8T Interface Ethernet1/0/8 description UPLINK switchport mode trunk switchport trunk allowed vlan 604 ! SNR-S2960-24G Interface Ethernet1/24 description UPLINK switchport mode trunk switchport trunk allowed vlan 604 ! На UPLINK-портах MAC-адреса не появляются. Можете показать рабочий конфиг для моей схемы? Share this post Link to post Share on other sites
raveren Posted June 14, 2017 · Report post victor.tkachenko Спасибо! Заработало после того, как с user1 пропинговал user2. Хотя до этого пинговал IP-адрес прописанный на интерфейсе противоположного коммутатора. Share this post Link to post Share on other sites
Victor Tkachenko Posted June 14, 2017 · Report post raveren, рабочий конфиг аналогичен вашему. Для ускорения решения проблемы, пожалуйста, обратитесь к нам в support. К обращению приложите полный вывод `sh run` с обоих коммутаторов и уточните каким образом они соединены (напрямую патч-кордом или через транзитную сеть). Share this post Link to post Share on other sites
raveren Posted June 16, 2017 · Report post raveren, рабочий конфиг аналогичен вашему. Для ускорения решения проблемы, пожалуйста, обратитесь к нам в support. К обращению приложите полный вывод `sh run` с обоих коммутаторов и уточните каким образом они соединены (напрямую патч-кордом или через транзитную сеть). Ещё раз спасибо! Помощь больше не требуется. Я сам разобрался. Для тех, кому может понадобится, выкладываю рабочие конфигурации: SNR-S2965-8T vlan 3 name user vlan 604 name qinq ! Interface Ethernet1/0/1 description qinq dot1q-tunnel enable switchport access vlan 604 ! Interface Ethernet1/0/2 description qinq-loop switchport mode trunk switchport trunk allowed vlan 2-603;605-4094 ! Interface Ethernet1/0/7 description user1 switchport access vlan 3 ! Interface Ethernet1/0/8 description UPLINK switchport mode trunk switchport trunk allowed vlan 604 ! SNR-S2960-24G vlan 3 name user ! vlan 604 name qinq ! Interface Ethernet1/1 description qinq-tunnel dot1q-tunnel enable switchport access vlan 604 ! Interface Ethernet1/2 description qinq-tunnel-loop switchport mode trunk switchport trunk allowed vlan 2-603;605-4094 ! Interface Ethernet1/23 description user2 switchport access vlan 3 ! Interface Ethernet1/24 description UPLINK switchport mode trunk switchport trunk allowed vlan 604 ! UPLINK-порты нельзя использовать с настройкой switchport trunk native vlan и режиме switchport mode access! Share this post Link to post Share on other sites
alibek Posted August 23, 2017 · Report post Спрошу еще. Текущая конфигурация такая: Interface Ethernet1/25 description QINQ-IN (приходящий линк с туннеля) switchport discard packet untag switchport mode trunk switchport trunk allowed vlan 2000 ! Interface Ethernet1/26 description QINQ-OUT (уходящий линк на коммутаторы доступа) switchport mode trunk switchport trunk allowed vlan 10;60;100-999 ! Interface Ethernet1/27 description QINQ-LOOP-SVLAN dot1q-tunnel enable switchport access vlan 2000 ! Interface Ethernet1/28 description QINQ-LOOP-CVLAN switchport mode trunk switchport trunk allowed vlan 10;60;100-999 ну и аналогичная с другой стороны туннеля. Все вроде бы работает нормально. Но не нравится то, что на "приемный" коммутатор туннеля попадает вся FDB (из VLAN 10;60;100-999), плюс она дублируется в VLAN 2000. Большая часть FDB на этом коммутаторе не нужна. Нужны только: VLAN 10 (управление) - MAC-адрес шлюза управляющей подсети (плюс, возможно, MAC-адрес "передающего" коммутатора туннеля, для пинга их между собой) VLAN 60 (мультикаст) - MAC-адрес igmp querier VLAN 100-999 (сервисы) - MAC-адреса BRAS-ов и шлюзов Всё остальное я хочу убрать. Как это лучше сделать? Изоляцию порта на "передающем" коммутаторе туннеля я пока не включал, при включении FDB "похудеет", но все равно часть адресов останется (в том числе почти все адреса из управляющего VLAN). Как убрать остальное? ACL 1100-1199? Share this post Link to post Share on other sites
Victor Tkachenko Posted August 23, 2017 · Report post alibek, можно отключить изучение маков для влана или интерфейса: mac-address-learning disable {vlan <vlan_id> | interface <ifname>} Share this post Link to post Share on other sites
alibek Posted August 23, 2017 · Report post То есть отключить на интерфейсе и нужные MAC-адреса добавить статикой? А на каком интерфейсе правильнее отключать на 25 или 27? Share this post Link to post Share on other sites
Victor Tkachenko Posted August 23, 2017 · Report post alibek, можно просто отключить изучение маков в 2000 влане, так как там у вас всего 2 порта и трафик просто будет летать из одного в другой. Share this post Link to post Share on other sites
alibek Posted August 23, 2017 · Report post На SNR-2960 нельзя отключить обучение в VLAN, только на интерфейсе. Кстати, отключение learning ведь не отменит прохождение пакетов. Поэтому ACL все же нужны. Share this post Link to post Share on other sites
Victor Tkachenko Posted August 23, 2017 · Report post alibek, да, в таком случае можете отключить на обоих портах (25 и 27), тогда на коммутаторе не будет дублей в 2000 влане. Share this post Link to post Share on other sites
