alibek Posted June 8, 2017 Posted June 8, 2017 Никак не могу понять, в чем дело. Беру у магистрала выделенный VLAN (L2VPN), через который мне нужно подключить часть оборудования и клиентов. Чтобы не усложнять, хочу все завернуть в Q-in-Q, тем более что магистрал дает увеличенный MTU. В теории должно получиться согласно иллюстрации. Коммутаторы QTECH QSW-2800 и SNR-S2960-24G. Коммутатор SW1 настроен так: ! Interface Ethernet1/25 description CORE switchport mode trunk switchport trunk allowed vlan 10;60;400 ! Interface Ethernet1/26 description QINQ-OUT switchport discard packet untag switchport mode trunk switchport trunk allowed vlan 2000 ! Interface Ethernet1/27 description QINQ-LOOP-SVLAN dot1q-tunnel enable switchport access vlan 2000 ! Interface Ethernet1/28 description QINQ-LOOP-CVLAN switchport discard packet untag switchport mode trunk switchport trunk allowed vlan 10;60;400 ! Коммутатор SW2 настроен почти так же: ! Interface Ethernet1/25 description QINQ-IN switchport discard packet untag switchport mode trunk switchport trunk allowed vlan 2000 ! Interface Ethernet1/26 description QINQ-OUT switchport mode trunk switchport trunk allowed vlan 10;60;400 ! Interface Ethernet1/27 description QINQ-LOOP-SVLAN dot1q-tunnel enable switchport access vlan 2000 ! Interface Ethernet1/28 description QINQ-LOOP-CVLAN switchport discard packet untag switchport mode trunk switchport trunk allowed vlan 10;60;400 ! Ну а SW3 настроен стандартно: ! Interface Ethernet1/1 switchport mode access switchport access vlan 400 ! Interface Ethernet1/25 switchport mode trunk switchport trunk allowed vlan 10;60;400 ! Здесь VLAN 10 это управление, VLAN 400 это абонентский VLAN, VLAN 60 это IPTV. VLAN 2000 это выделенный VLAN, который дает магистрал. Порты 27-28 на коммутаторах SW1 и SW2 соединены перемычкой, это для того, чтобы упаковать мои VLAN в VLAN 2000. Порт 26 на SW1 и порт 25 на SW2 сейчас соединены патчкордом, он эмулирует выделенный VLAN магистрала. В теории должно работать. ТП Нага говорит, что у них на стенде эта конфигурация работает. У меня она вначале тоже работала, но сильно флудила в сеть, потому что получалась петля коммутации (из-за этого я потом добавил discard packet untag). Но сейчас оно не работает вообще, не работает ни управление, ни абонентские сервисы. На SW1 в порту 27 продублирована вся FDB коммутатора в VLAN 2000. ТП сказала, что это нормально, так и должно быть. На SW1 в порту 26 я вижу MAC-адреса удаленной площадки, но все они в VLAN 2000, внешний тег не снимается. На SW2 в порту 26 я вижу MAC-адрес коммутатора SW3 в VLAN 10 и абонентский MAC-адрес в VLAN 400. Все как и должно быть. Эти же MAC-адреса я вижу на порту 27 в VLAN 2000 - опять же, так и должно быть. На SW2 в порту 25 я вижу только один MAC-адрес в VLAN 2000. Причем это MAC-адрес L3-интерфейса в VLAN 60. Насколько я понимаю, проблема в том, что внешний тег не снимается на портах с dot1q-tunnel. А вот почему - непонятно, в ТП сообщили, что у них все работает. Я попросил ТП прислать рабочую конфигурацию со стенда, но она принципиально ничем от моей не отличается. На стенде использовались SNR-S2960-24G и SNR-S2990G-48TX. На обоих коммутаторах порты 1 и 3 соединены перемычкой, в роли l2-канала выступает 23 порт. Схема рабочая: 2960 пингуется с коммутатора, подключенного к 2990 eth 1/0/43; клиент с адресом 192.168.0.1, подключенный к 2960 1/10, пингуется с 2990. ! no service password-encryption ! hostname SNR-S2960-24G sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia sysContact support@nag.ru ! authentication logging enable ! username admin privilege 15 password 0 admin ! authentication line console login local ! ! ! ! ! ! ! ! ! ! ! ! ! vlan 1 ! vlan 100 name control ! vlan 101 name client ! vlan 1000 name dot1qtunnel ! Interface Ethernet1/1 description dot1qtunnel switchport discard packet untag switchport mode trunk switchport trunk allowed vlan 100-101 ! Interface Ethernet1/2 ! Interface Ethernet1/3 description doq1qtunnel dot1q-tunnel enable switchport access vlan 1000 ! Interface Ethernet1/4 ! Interface Ethernet1/5 ! Interface Ethernet1/6 ! Interface Ethernet1/7 ! Interface Ethernet1/8 ! Interface Ethernet1/9 ! Interface Ethernet1/10 description client switchport access vlan 101 ! Interface Ethernet1/11 ! Interface Ethernet1/12 ! Interface Ethernet1/13 ! Interface Ethernet1/14 ! Interface Ethernet1/15 ! Interface Ethernet1/16 ! Interface Ethernet1/17 ! Interface Ethernet1/18 ! Interface Ethernet1/19 ! Interface Ethernet1/20 ! Interface Ethernet1/21 ! Interface Ethernet1/22 ! Interface Ethernet1/23 description l2tunnel switchport discard packet untag switchport mode trunk switchport trunk allowed vlan 1000 ! Interface Ethernet1/24 ! Interface Ethernet1/25 ! Interface Ethernet1/26 ! Interface Ethernet1/27 ! Interface Ethernet1/28 ! interface Vlan1 ip address 192.168.1.1 255.255.255.0 ! interface Vlan100 ip address 10.0.0.60 255.255.255.0 ! no login ! end ! no service password-encryption ! hostname SNR-S2990G-48TX sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia sysContact support@nag.ru ! authentication logging enable ! username admin privilege 15 password 0 admin ! authentication line console login local ! ! ! ! ! ! ! ! ! ! ! Interface Ethernet0 ! ! ! vlan 1 ! vlan 100 name control ! vlan 101 name client ! vlan 1000 name dot1qtunnel ! vlan 4094 name stub ! Interface Ethernet1/0/1 description dot1qtunnel switchport mode trunk switchport trunk allowed vlan 100-101 switchport trunk native vlan 4094 ! Interface Ethernet1/0/2 ! Interface Ethernet1/0/3 description dotq1tunnel dot1q-tunnel enable switchport access vlan 1000 ! Interface Ethernet1/0/4 ! Interface Ethernet1/0/5 ! Interface Ethernet1/0/6 ! Interface Ethernet1/0/7 ! Interface Ethernet1/0/8 ! Interface Ethernet1/0/9 ! Interface Ethernet1/0/10 ! Interface Ethernet1/0/11 ! Interface Ethernet1/0/12 ! Interface Ethernet1/0/13 ! Interface Ethernet1/0/14 ! Interface Ethernet1/0/15 ! Interface Ethernet1/0/16 ! Interface Ethernet1/0/17 ! Interface Ethernet1/0/18 ! Interface Ethernet1/0/19 ! Interface Ethernet1/0/20 ! Interface Ethernet1/0/21 ! Interface Ethernet1/0/22 ! Interface Ethernet1/0/23 description l2tunnel switchport mode trunk switchport trunk allowed vlan 1000 ! Interface Ethernet1/0/24 ! Interface Ethernet1/0/25 ! Interface Ethernet1/0/26 ! Interface Ethernet1/0/27 ! Interface Ethernet1/0/28 ! Interface Ethernet1/0/29 ! Interface Ethernet1/0/30 ! Interface Ethernet1/0/31 ! Interface Ethernet1/0/32 ! Interface Ethernet1/0/33 ! Interface Ethernet1/0/34 ! Interface Ethernet1/0/35 ! Interface Ethernet1/0/36 ! Interface Ethernet1/0/37 ! Interface Ethernet1/0/38 ! Interface Ethernet1/0/39 ! Interface Ethernet1/0/40 ! Interface Ethernet1/0/41 ! Interface Ethernet1/0/42 ! Interface Ethernet1/0/43 description network switchport access vlan 100 ! Interface Ethernet1/0/44 ! Interface Ethernet1/0/45 ! Interface Ethernet1/0/46 ! Interface Ethernet1/0/47 ! Interface Ethernet1/0/48 ! Interface Ethernet1/0/49 ! Interface Ethernet1/0/50 ! Interface Ethernet1/0/51 ! Interface Ethernet1/0/52 ! interface Vlan1 ip address 192.168.1.1 255.255.255.0 ! interface Vlan100 ip address 10.0.0.90 255.255.255.0 ! interface Vlan101 ip address 192.168.0.200 255.255.255.0 ! ! no login ! captive-portal ! end Вставить ник Quote
Victor Tkachenko Posted June 9, 2017 Posted June 9, 2017 Interface Ethernet1/26 description QINQ-OUT switchport discard packet untag switchport mode trunk switchport trunk allowed vlan 2000 ! На SW1 в порту 26 я вижу MAC-адреса удаленной площадки, но все они в VLAN 2000, внешний тег не снимается. alibek, так и должно быть, так как, судя по вашей схеме, на 26 порту принимается трафик с внешним тегом. Затем он должен быть скоммутирован в 27 порт, который снимет внешний тег, и поступить на порт 28, на котором вы уже должны увидеть маки во вланах 10,60,400. Приложите вывод `show mac-address-table interface ethernet 1/0/28` с SW1. На SW2 в порту 25 я вижу только один MAC-адрес в VLAN 2000. Причем это MAC-адрес L3-интерфейса в VLAN 60. Это мак L3-интерфейса SW1? Вставить ник Quote
Serejka Posted June 9, 2017 Posted June 9, 2017 STP выключить не забыли на портах/коммутаторах qinq? И о каких коммутаторах речь идёт? Китайчатина какая-то? На cisco не встречал команд (packet untag discard, да и для qinq - switchport mode dot1q-tunnel) Что показывает снифер? ваше оборудование умеет SPAN/RSPAN или хотя бы mirror? Вставить ник Quote
Butch3r Posted June 9, 2017 Posted June 9, 2017 STP выключить не забыли на портах/коммутаторах qinq? И о каких коммутаторах речь идёт? Китайчатина какая-то? На cisco не встречал команд (packet untag discard, да и для qinq - switchport mode dot1q-tunnel) Что показывает снифер? ваше оборудование умеет SPAN/RSPAN или хотя бы mirror? я тоже думал что это кошки, а это оказался какой-то очередной СНР... Вставить ник Quote
alibek Posted June 9, 2017 Author Posted June 9, 2017 Приложите вывод `show mac-address-table interface ethernet 1/0/28` с SW1. На портах 28 MAC-адресов нет вообще, что на SW1, что на SW2. Это мак L3-интерфейса SW1? Нет, это с ядра (PIM-маршрутизатор). STP выключить не забыли на портах/коммутаторах qinq? Разумеется. Коммутаторы DCN (QTECH QSW-2800 и SNR-S2960-24G), на них qinq должен работать (и у многих работает). packet untag discard — эта команда нужна, чтобы дропать пакеты без тэга, из-за них возникает петля коммутации. Что показывает снифер? Сниффером пока не смотрел. Я еще даже не получаю MAC-адреса в нужных VLAN. Вставить ник Quote
Serejka Posted June 9, 2017 Posted June 9, 2017 Я еще даже не получаю MAC-адреса в нужных VLAN. Так для этого сниффер и нужен. Становитесь и смотрите что улетает с одного коммутатора (сколько тегов в пакете, какой TPID), затем смотрите на другой, тоже самое. Это первое что стоит сделать, когда вы пытаетесь подружить разнородных вендоров. Даже SPAN не обязателен, можно снифер напрямую в аплинк порт коммутатора воткнуть и генерировать нагрузку с тестового порта. Он один хрен будет броадкастить Вставить ник Quote
alibek Posted June 9, 2017 Author Posted June 9, 2017 сколько тегов в пакете, какой TPID С этим как раз могут быть сложности, есть только ноутбук под Windows со сниффером, а там тэги в дамп не попадают. Мысль понял, попробую проверить. Вставить ник Quote
Victor Tkachenko Posted June 9, 2017 Posted June 9, 2017 alibek, обязательно снимите дамп с 28х портов, так как трафик туда наверняка должен отправляться и отсутствие маков говорит о том, что там нет подходящих тегов. Вставить ник Quote
Serejka Posted June 9, 2017 Posted June 9, 2017 С этим как раз могут быть сложности, есть только ноутбук под Windows со сниффером, а там тэги в дамп не попадают. Мысль понял, попробую проверить. Wireshark отлично ловит и отображает теги, и верхние и вложенные. И не только теги, много всего интересного там. Вставить ник Quote
alibek Posted June 9, 2017 Author Posted June 9, 2017 Wireshark отлично ловит и отображает теги Wireshark может и ловит, а вот драйвер сетевой карты Windows их теряет. Пакеты есть, а тэга нет. Вставить ник Quote
vlad11 Posted June 9, 2017 Posted June 9, 2017 Беру у магистрала выделенный VLAN (L2VPN), Начинайте проверку отсюда. Ставьте в обе стороны два PC и проверяйте q-in-q. Вставить ник Quote
DRiVen Posted June 13, 2017 Posted June 13, 2017 Wireshark может и ловит, а вот драйвер сетевой карты Windows их теряет.Пакеты есть, а тэга нет. WinPcap стоит? Вставить ник Quote
DRiVen Posted June 13, 2017 Posted June 13, 2017 Странно, имеется стопка ноутов с XP/7 и ни на одном такого не наблюдается. Может просто в трафике тэгов нет? Вставить ник Quote
zstas Posted June 13, 2017 Posted June 13, 2017 некоторые сетевухи (или драйверы для сетевух) стирают теги. иногда можно это выключить в свойствах драйвера. Вставить ник Quote
alibek Posted June 13, 2017 Author Posted June 13, 2017 Я думаю, что не некоторые, а многие. По крайней мере те встроенные сетевые платы, с которыми я сталкивался, теги не поддерживают. На нормальной серверной сетевой плате они скорее всего сохраняются, но такого ноутбука у меня нет. Вставить ник Quote
zstas Posted June 13, 2017 Posted June 13, 2017 такой пункт есть в настройках драйвера? Вставить ник Quote
DRiVen Posted June 13, 2017 Posted June 13, 2017 Есть в драйвере поддержка тэгов или нет - без разницы, winpcap с адаптерами по ndis работает. Может конечно вам "повезло" и у вас именно тот девайс, для которого поддержки в winpcap нет. Галку с promiscuous не снимали случаем? Вставить ник Quote
Butch3r Posted June 13, 2017 Posted June 13, 2017 У меня тоже на Intel не видит тэги почему-то, точнее видит их как-то выборочно. Вин10. Вставить ник Quote
Serejka Posted June 13, 2017 Posted June 13, 2017 Неужели проблема развернуть линукс? делов минут на 20 с перекурами и установком tcpdump/etherdump и пакета vlan ? Не видя ситуацию по тагам в пакетах дебажить можно бесконечно :( Вставить ник Quote
DRiVen Posted June 13, 2017 Posted June 13, 2017 Butch3r, с Win10 все хуже, но попробовать можно. Вставить ник Quote
stalker86 Posted June 14, 2017 Posted June 14, 2017 ну или на худой конец загрузить ноут с какого либо livecd и там уже tcpdump.. Вставить ник Quote
Butch3r Posted June 15, 2017 Posted June 15, 2017 Butch3r, с Win10 все хуже, но попробовать можно. спасибо! мне помогло, буду знать. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.