alibek Опубликовано 11 мая, 2017 · Жалоба Мы (пока) не используем CVLAN и с QinQ разбираться не доводилось. Но вот недавно потребовалось. Мне дают VLAN (L2VPN), через который мне нужно пропустить несколько своих VLAN. Примерная схема на рисунке. SW2 настроен следующим образом: !мои VLAN vlan 10;60;100;200;300 ! !VLAN другого оператора в L2VPN vlan 2000 ! !стык с L2VPN int eth 1/25 switchport mode trunk swithport trunk allowed vlan 2000 ! !коммутаторы доступа int eth 1/26 switchport mode trunk swithport trunk allowed vlan 10;60;100;200;300 ! int eth 1/27 switchport mode access swithport access vlan 2000 dot1q-tunnel enable ! int eth 1/28 switchport mode trunk ! dot1q-tunnel selective я не использовал, чтобы с конфигурацией не заморачиваться (мне проще порты 27-28 соединить патчкордом). На SW1 порт настроен аналогично порту 27 SW2. Вроде бы ошибок не вижу. Но когда все включаю, начинается шторм, который укладывает спать управление (в VLAN 10), поэтому посмотреть по консоли причину пока не получилось. Не подскажите, что не так? UPDATE: Если на SW1 порт настроить так: int eth 1/9 dot1q-tunnel selective s-vlan 2000 c-vlan 10;60;100;200;300 dot1q-tunnel selective enable switchport mode trunk То шторма нет. Но и туннель не работает - оборудование за L2VPN недоступно, на порту SW1 нет MAC-адресов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 11 мая, 2017 · Жалоба Если на SW1 и SW2 стыковочные порты настроить так: dot1q-tunnel selective s-vlan 2000 c-vlan 10;60;100;200;300 dot1q-tunnel selective enable switchport mode hybrid switchport hybrid allowed vlan 10;60;100;200;300 tag switchport hybrid allowed vlan 2000 untag switchport hybrid native vlan 2000 то по крайней мере на коммутаторах появляются MAC-адреса. Но связи все равно нет, и у меня сложилось впечатление, что на SW2 все MAC-адреса в моих VLAN продублировались в VLAN 2000. B соответственно я вижу их же на SW1 в VLAN 2000. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 12 мая, 2017 · Жалоба ТП Нага пояснила пару моментов. Во-первых нужно использовать режим порта hybrid, в режиме trunk метка не снимается. Во-вторых для selective qinq s-vlan должен быть не более 128, это ограничение чипа. Вообщем оптимальным будет на обоих сторонах сделать именно так как в схеме - не использовать selective, а использовать патчкорд. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tau Опубликовано 12 мая, 2017 · Жалоба Во-вторых для selective qinq s-vlan должен быть не более 128, это ограничение чипа. QTECH на 2800 и 2850 эту проблему решил года 3 назад. Попробуйте их прошивку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 12 мая, 2017 · Жалоба У меня как раз QSW-2800 с последней прошивкой. Значения больше 128 принимаются, но фактически используется остаток от деления на 128, то есть вместо VLAN 2000 фактически используется VLAN 80. Но я решил не заморачиваться с selective q-in-q, физическая петля проще Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
raveren Опубликовано 11 июня, 2017 · Жалоба Но я решил не заморачиваться с selective q-in-q, физическая петля проще Ну и какими конкретно настройками победили свой вопрос? А то у меня тоже "петля с патчкордом", broadcast шторм вызывает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 12 июня, 2017 · Жалоба Нужно дропать пакеты без тега. И внимательно проверять разрешенные VLAN на портах, чтобы не получилось петли коммутации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
raveren Опубликовано 13 июня, 2017 · Жалоба Нужно дропать пакеты без тега. И внимательно проверять разрешенные VLAN на портах, чтобы не получилось петли коммутации. Рабочий конфиг своей схемы можешь показать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
raveren Опубликовано 13 июня, 2017 · Жалоба Тестирую работу QinQ на коммутаторах SNR-S2960-24G и SNR-S2965-8T. Собрал стенд. Схема: Не удаётся получить связь между user1 и user2. Настройки коммутаторов: SNR-S2965-8T SoftWare Version 7.0.3.5(R0241.0155) BootRom Version 7.2.21 HardWare Version 1.0.1 vlan 3 name user vlan 604 name qinq ! Interface Ethernet1/0/1 description qinq dot1q-tunnel enable switchport access vlan 604 ! Interface Ethernet1/0/2 description qinq-loop switchport mode trunk switchport trunk allowed vlan 2-603;605-4094 ! Interface Ethernet1/0/7 description user1 switchport access vlan 3 ! Interface Ethernet1/0/8 description UPLINK switchport access vlan 604 ! SNR-S2960-24G SoftWare Version 7.0.3.5(R0217.0139) BootRom Version 7.1.3 HardWare Version 1.0.2 CPLD Version 1.2 vlan 3 name user ! vlan 604 name qinq ! Interface Ethernet1/1 description qinq-tunnel dot1q-tunnel enable switchport access vlan 604 ! Interface Ethernet1/2 description qinq-tunnel-loop switchport mode trunk switchport trunk allowed vlan 2-603;605-4094 ! Interface Ethernet1/23 description user2 switchport access vlan 3 ! Interface Ethernet1/24 description UPLINK switchport access vlan 604 ! Что я не так делаю? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Victor Tkachenko Опубликовано 14 июня, 2017 · Жалоба raveren, порты UPLINK должны быть в режиме trunk, чтобы не отбрасывался верхний тег. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
raveren Опубликовано 14 июня, 2017 · Жалоба порты UPLINK должны быть в режиме trunk, чтобы не отбрасывался верхний тег. Делал. Не помогает. SNR-S2965-8T Interface Ethernet1/0/8 description UPLINK switchport mode trunk switchport trunk allowed vlan 604 ! SNR-S2960-24G Interface Ethernet1/24 description UPLINK switchport mode trunk switchport trunk allowed vlan 604 ! На UPLINK-портах MAC-адреса не появляются. Можете показать рабочий конфиг для моей схемы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
raveren Опубликовано 14 июня, 2017 · Жалоба victor.tkachenko Спасибо! Заработало после того, как с user1 пропинговал user2. Хотя до этого пинговал IP-адрес прописанный на интерфейсе противоположного коммутатора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Victor Tkachenko Опубликовано 14 июня, 2017 · Жалоба raveren, рабочий конфиг аналогичен вашему. Для ускорения решения проблемы, пожалуйста, обратитесь к нам в support. К обращению приложите полный вывод `sh run` с обоих коммутаторов и уточните каким образом они соединены (напрямую патч-кордом или через транзитную сеть). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
raveren Опубликовано 16 июня, 2017 · Жалоба raveren, рабочий конфиг аналогичен вашему. Для ускорения решения проблемы, пожалуйста, обратитесь к нам в support. К обращению приложите полный вывод `sh run` с обоих коммутаторов и уточните каким образом они соединены (напрямую патч-кордом или через транзитную сеть). Ещё раз спасибо! Помощь больше не требуется. Я сам разобрался. Для тех, кому может понадобится, выкладываю рабочие конфигурации: SNR-S2965-8T vlan 3 name user vlan 604 name qinq ! Interface Ethernet1/0/1 description qinq dot1q-tunnel enable switchport access vlan 604 ! Interface Ethernet1/0/2 description qinq-loop switchport mode trunk switchport trunk allowed vlan 2-603;605-4094 ! Interface Ethernet1/0/7 description user1 switchport access vlan 3 ! Interface Ethernet1/0/8 description UPLINK switchport mode trunk switchport trunk allowed vlan 604 ! SNR-S2960-24G vlan 3 name user ! vlan 604 name qinq ! Interface Ethernet1/1 description qinq-tunnel dot1q-tunnel enable switchport access vlan 604 ! Interface Ethernet1/2 description qinq-tunnel-loop switchport mode trunk switchport trunk allowed vlan 2-603;605-4094 ! Interface Ethernet1/23 description user2 switchport access vlan 3 ! Interface Ethernet1/24 description UPLINK switchport mode trunk switchport trunk allowed vlan 604 ! UPLINK-порты нельзя использовать с настройкой switchport trunk native vlan и режиме switchport mode access! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 23 августа, 2017 · Жалоба Спрошу еще. Текущая конфигурация такая: Interface Ethernet1/25 description QINQ-IN (приходящий линк с туннеля) switchport discard packet untag switchport mode trunk switchport trunk allowed vlan 2000 ! Interface Ethernet1/26 description QINQ-OUT (уходящий линк на коммутаторы доступа) switchport mode trunk switchport trunk allowed vlan 10;60;100-999 ! Interface Ethernet1/27 description QINQ-LOOP-SVLAN dot1q-tunnel enable switchport access vlan 2000 ! Interface Ethernet1/28 description QINQ-LOOP-CVLAN switchport mode trunk switchport trunk allowed vlan 10;60;100-999 ну и аналогичная с другой стороны туннеля. Все вроде бы работает нормально. Но не нравится то, что на "приемный" коммутатор туннеля попадает вся FDB (из VLAN 10;60;100-999), плюс она дублируется в VLAN 2000. Большая часть FDB на этом коммутаторе не нужна. Нужны только: VLAN 10 (управление) - MAC-адрес шлюза управляющей подсети (плюс, возможно, MAC-адрес "передающего" коммутатора туннеля, для пинга их между собой) VLAN 60 (мультикаст) - MAC-адрес igmp querier VLAN 100-999 (сервисы) - MAC-адреса BRAS-ов и шлюзов Всё остальное я хочу убрать. Как это лучше сделать? Изоляцию порта на "передающем" коммутаторе туннеля я пока не включал, при включении FDB "похудеет", но все равно часть адресов останется (в том числе почти все адреса из управляющего VLAN). Как убрать остальное? ACL 1100-1199? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Victor Tkachenko Опубликовано 23 августа, 2017 · Жалоба alibek, можно отключить изучение маков для влана или интерфейса: mac-address-learning disable {vlan <vlan_id> | interface <ifname>} Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 23 августа, 2017 · Жалоба То есть отключить на интерфейсе и нужные MAC-адреса добавить статикой? А на каком интерфейсе правильнее отключать на 25 или 27? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Victor Tkachenko Опубликовано 23 августа, 2017 · Жалоба alibek, можно просто отключить изучение маков в 2000 влане, так как там у вас всего 2 порта и трафик просто будет летать из одного в другой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 23 августа, 2017 · Жалоба На SNR-2960 нельзя отключить обучение в VLAN, только на интерфейсе. Кстати, отключение learning ведь не отменит прохождение пакетов. Поэтому ACL все же нужны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Victor Tkachenko Опубликовано 23 августа, 2017 · Жалоба alibek, да, в таком случае можете отключить на обоих портах (25 и 27), тогда на коммутаторе не будет дублей в 2000 влане. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...