Jump to content
Калькуляторы

Никак не заводится QINQ-туннель что делаю неправильно?

Никак не могу понять, в чем дело.

 

Беру у магистрала выделенный VLAN (L2VPN), через который мне нужно подключить часть оборудования и клиентов.

Чтобы не усложнять, хочу все завернуть в Q-in-Q, тем более что магистрал дает увеличенный MTU.

В теории должно получиться согласно иллюстрации. Коммутаторы QTECH QSW-2800 и SNR-S2960-24G.

 

Коммутатор SW1 настроен так:

!
Interface Ethernet1/25
description CORE
switchport mode trunk
switchport trunk allowed vlan 10;60;400
!
Interface Ethernet1/26
description QINQ-OUT
switchport discard packet untag
switchport mode trunk
switchport trunk allowed vlan 2000
!
Interface Ethernet1/27
description QINQ-LOOP-SVLAN
dot1q-tunnel enable
switchport access vlan 2000
!
Interface Ethernet1/28
description QINQ-LOOP-CVLAN
switchport discard packet untag
switchport mode trunk
switchport trunk allowed vlan 10;60;400
!

 

Коммутатор SW2 настроен почти так же:

!
Interface Ethernet1/25
description QINQ-IN
switchport discard packet untag
switchport mode trunk
switchport trunk allowed vlan 2000
!
Interface Ethernet1/26
description QINQ-OUT
switchport mode trunk
switchport trunk allowed vlan 10;60;400
!
Interface Ethernet1/27
description QINQ-LOOP-SVLAN
dot1q-tunnel enable
switchport access vlan 2000
!
Interface Ethernet1/28
description QINQ-LOOP-CVLAN
switchport discard packet untag
switchport mode trunk
switchport trunk allowed vlan 10;60;400
!

 

Ну а SW3 настроен стандартно:

!
Interface Ethernet1/1
switchport mode access
switchport access vlan 400
!
Interface Ethernet1/25
switchport mode trunk
switchport trunk allowed vlan 10;60;400
!

 

Здесь VLAN 10 это управление, VLAN 400 это абонентский VLAN, VLAN 60 это IPTV.

VLAN 2000 это выделенный VLAN, который дает магистрал.

Порты 27-28 на коммутаторах SW1 и SW2 соединены перемычкой, это для того, чтобы упаковать мои VLAN в VLAN 2000.

Порт 26 на SW1 и порт 25 на SW2 сейчас соединены патчкордом, он эмулирует выделенный VLAN магистрала.

 

В теории должно работать. ТП Нага говорит, что у них на стенде эта конфигурация работает.

У меня она вначале тоже работала, но сильно флудила в сеть, потому что получалась петля коммутации (из-за этого я потом добавил discard packet untag).

Но сейчас оно не работает вообще, не работает ни управление, ни абонентские сервисы.

 

На SW1 в порту 27 продублирована вся FDB коммутатора в VLAN 2000. ТП сказала, что это нормально, так и должно быть.

На SW1 в порту 26 я вижу MAC-адреса удаленной площадки, но все они в VLAN 2000, внешний тег не снимается.

 

На SW2 в порту 26 я вижу MAC-адрес коммутатора SW3 в VLAN 10 и абонентский MAC-адрес в VLAN 400. Все как и должно быть.

Эти же MAC-адреса я вижу на порту 27 в VLAN 2000 - опять же, так и должно быть.

На SW2 в порту 25 я вижу только один MAC-адрес в VLAN 2000. Причем это MAC-адрес L3-интерфейса в VLAN 60.

 

Насколько я понимаю, проблема в том, что внешний тег не снимается на портах с dot1q-tunnel.

А вот почему - непонятно, в ТП сообщили, что у них все работает.

Я попросил ТП прислать рабочую конфигурацию со стенда, но она принципиально ничем от моей не отличается.

 

 

 

На стенде использовались SNR-S2960-24G и SNR-S2990G-48TX.

На обоих коммутаторах порты 1 и 3 соединены перемычкой, в роли l2-канала выступает 23 порт.

Схема рабочая: 2960 пингуется с коммутатора, подключенного к 2990 eth 1/0/43; клиент с адресом 192.168.0.1, подключенный к 2960 1/10, пингуется с 2990.

!
no service password-encryption
!
hostname SNR-S2960-24G
sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia
sysContact support@nag.ru
!
authentication logging enable
!
username admin privilege 15 password 0 admin
!
authentication line console login local
!
!
!
!
!
!
!
!
!
!
!
!
!
vlan 1 
!
vlan 100
name control
!
vlan 101
name client
!
vlan 1000
name dot1qtunnel
!
Interface Ethernet1/1
description dot1qtunnel
switchport discard packet untag
switchport mode trunk
switchport trunk allowed vlan 100-101 
!
Interface Ethernet1/2
!
Interface Ethernet1/3
description doq1qtunnel
dot1q-tunnel enable
switchport access vlan 1000
!
Interface Ethernet1/4
!
Interface Ethernet1/5
!
Interface Ethernet1/6
!
Interface Ethernet1/7
!
Interface Ethernet1/8
!
Interface Ethernet1/9
!
Interface Ethernet1/10
description client
switchport access vlan 101
!
Interface Ethernet1/11
!
Interface Ethernet1/12
!
Interface Ethernet1/13
!
Interface Ethernet1/14
!
Interface Ethernet1/15
!
Interface Ethernet1/16
!
Interface Ethernet1/17
!
Interface Ethernet1/18
!
Interface Ethernet1/19
!
Interface Ethernet1/20
!
Interface Ethernet1/21
!
Interface Ethernet1/22
!
Interface Ethernet1/23
description l2tunnel
switchport discard packet untag
switchport mode trunk
switchport trunk allowed vlan 1000 
!
Interface Ethernet1/24
!
Interface Ethernet1/25
!
Interface Ethernet1/26
!
Interface Ethernet1/27
!
Interface Ethernet1/28
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
!
interface Vlan100
ip address 10.0.0.60 255.255.255.0
!
no login
!
end

!
no service password-encryption
!
hostname SNR-S2990G-48TX
sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia
sysContact support@nag.ru
!
authentication logging enable
!
username admin privilege 15 password 0 admin
!
authentication line console login local
!
!
!
!
!
!
!
!
!
!
!
Interface Ethernet0
!
!
!
vlan 1 
!
vlan 100
name control
!
vlan 101
name client
!
vlan 1000
name dot1qtunnel
!
vlan 4094
name stub
!
Interface Ethernet1/0/1
description dot1qtunnel
switchport mode trunk
switchport trunk allowed vlan 100-101 
switchport trunk native vlan 4094
!
Interface Ethernet1/0/2
!
Interface Ethernet1/0/3
description dotq1tunnel
dot1q-tunnel enable
switchport access vlan 1000
!
Interface Ethernet1/0/4
!
Interface Ethernet1/0/5
!
Interface Ethernet1/0/6
!
Interface Ethernet1/0/7
!
Interface Ethernet1/0/8
!
Interface Ethernet1/0/9
!
Interface Ethernet1/0/10
!
Interface Ethernet1/0/11
!
Interface Ethernet1/0/12
!
Interface Ethernet1/0/13
!
Interface Ethernet1/0/14
!
Interface Ethernet1/0/15
!
Interface Ethernet1/0/16
!
Interface Ethernet1/0/17
!
Interface Ethernet1/0/18
!
Interface Ethernet1/0/19
!
Interface Ethernet1/0/20
!
Interface Ethernet1/0/21
!
Interface Ethernet1/0/22
!
Interface Ethernet1/0/23
description l2tunnel
switchport mode trunk
switchport trunk allowed vlan 1000 
!
Interface Ethernet1/0/24
!
Interface Ethernet1/0/25
!
Interface Ethernet1/0/26
!
Interface Ethernet1/0/27
!
Interface Ethernet1/0/28
!
Interface Ethernet1/0/29
!
Interface Ethernet1/0/30
!
Interface Ethernet1/0/31
!
Interface Ethernet1/0/32
!
Interface Ethernet1/0/33
!
Interface Ethernet1/0/34
!
Interface Ethernet1/0/35
!
Interface Ethernet1/0/36
!
Interface Ethernet1/0/37
!
Interface Ethernet1/0/38
!
Interface Ethernet1/0/39
!
Interface Ethernet1/0/40
!
Interface Ethernet1/0/41
!
Interface Ethernet1/0/42
!
Interface Ethernet1/0/43
description network
switchport access vlan 100
!
Interface Ethernet1/0/44
!
Interface Ethernet1/0/45
!
Interface Ethernet1/0/46
!
Interface Ethernet1/0/47
!
Interface Ethernet1/0/48
!
Interface Ethernet1/0/49
!
Interface Ethernet1/0/50
!
Interface Ethernet1/0/51
!
Interface Ethernet1/0/52
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
!
interface Vlan100
ip address 10.0.0.90 255.255.255.0
!
interface Vlan101
ip address 192.168.0.200 255.255.255.0
!
!
no login
!
captive-portal
!
end

 

qinq.png

Share this post


Link to post
Share on other sites

Interface Ethernet1/26

description QINQ-OUT

switchport discard packet untag

switchport mode trunk

switchport trunk allowed vlan 2000

!

На SW1 в порту 26 я вижу MAC-адреса удаленной площадки, но все они в VLAN 2000, внешний тег не снимается.

alibek, так и должно быть, так как, судя по вашей схеме, на 26 порту принимается трафик с внешним тегом. Затем он должен быть скоммутирован в 27 порт, который снимет внешний тег, и поступить на порт 28, на котором вы уже должны увидеть маки во вланах 10,60,400.

Приложите вывод `show mac-address-table interface ethernet 1/0/28` с SW1.

 

На SW2 в порту 25 я вижу только один MAC-адрес в VLAN 2000. Причем это MAC-адрес L3-интерфейса в VLAN 60.

Это мак L3-интерфейса SW1?

Share this post


Link to post
Share on other sites

STP выключить не забыли на портах/коммутаторах qinq?

И о каких коммутаторах речь идёт? Китайчатина какая-то?

На cisco не встречал команд (packet untag discard, да и для qinq - switchport mode dot1q-tunnel)

 

Что показывает снифер? ваше оборудование умеет SPAN/RSPAN или хотя бы mirror?

Share this post


Link to post
Share on other sites

STP выключить не забыли на портах/коммутаторах qinq?

И о каких коммутаторах речь идёт? Китайчатина какая-то?

На cisco не встречал команд (packet untag discard, да и для qinq - switchport mode dot1q-tunnel)

 

Что показывает снифер? ваше оборудование умеет SPAN/RSPAN или хотя бы mirror?

я тоже думал что это кошки, а это оказался какой-то очередной СНР...

Share this post


Link to post
Share on other sites

Приложите вывод `show mac-address-table interface ethernet 1/0/28` с SW1.

На портах 28 MAC-адресов нет вообще, что на SW1, что на SW2.

 

Это мак L3-интерфейса SW1?

Нет, это с ядра (PIM-маршрутизатор).

 

STP выключить не забыли на портах/коммутаторах qinq?

Разумеется.

Коммутаторы DCN (QTECH QSW-2800 и SNR-S2960-24G), на них qinq должен работать (и у многих работает).

packet untag discard — эта команда нужна, чтобы дропать пакеты без тэга, из-за них возникает петля коммутации.

 

Что показывает снифер?

Сниффером пока не смотрел.

Я еще даже не получаю MAC-адреса в нужных VLAN.

Share this post


Link to post
Share on other sites

Я еще даже не получаю MAC-адреса в нужных VLAN.

 

Так для этого сниффер и нужен. Становитесь и смотрите что улетает с одного коммутатора (сколько тегов в пакете, какой TPID), затем смотрите на другой, тоже самое.

Это первое что стоит сделать, когда вы пытаетесь подружить разнородных вендоров.

 

Даже SPAN не обязателен, можно снифер напрямую в аплинк порт коммутатора воткнуть и генерировать нагрузку с тестового порта. Он один хрен будет броадкастить

Share this post


Link to post
Share on other sites

сколько тегов в пакете, какой TPID

С этим как раз могут быть сложности, есть только ноутбук под Windows со сниффером, а там тэги в дамп не попадают.

Мысль понял, попробую проверить.

Share this post


Link to post
Share on other sites

alibek, обязательно снимите дамп с 28х портов, так как трафик туда наверняка должен отправляться и отсутствие маков говорит о том, что там нет подходящих тегов.

Share this post


Link to post
Share on other sites

С этим как раз могут быть сложности, есть только ноутбук под Windows со сниффером, а там тэги в дамп не попадают.

Мысль понял, попробую проверить.

 

Wireshark отлично ловит и отображает теги, и верхние и вложенные. И не только теги, много всего интересного там.

Share this post


Link to post
Share on other sites

Wireshark отлично ловит и отображает теги

Wireshark может и ловит, а вот драйвер сетевой карты Windows их теряет.

Пакеты есть, а тэга нет.

Share this post


Link to post
Share on other sites

 

Беру у магистрала выделенный VLAN (L2VPN),

 

Начинайте проверку отсюда.

Ставьте в обе стороны два PC и проверяйте q-in-q.

Share this post


Link to post
Share on other sites

некоторые сетевухи (или драйверы для сетевух) стирают теги. иногда можно это выключить в свойствах драйвера.

Share this post


Link to post
Share on other sites

Я думаю, что не некоторые, а многие.

По крайней мере те встроенные сетевые платы, с которыми я сталкивался, теги не поддерживают.

На нормальной серверной сетевой плате они скорее всего сохраняются, но такого ноутбука у меня нет.

Share this post


Link to post
Share on other sites

Есть в драйвере поддержка тэгов или нет - без разницы, winpcap с адаптерами по ndis работает. Может конечно вам "повезло" и у вас именно тот девайс, для которого поддержки в winpcap нет. Галку с promiscuous не снимали случаем?

Share this post


Link to post
Share on other sites

Неужели проблема развернуть линукс? делов минут на 20 с перекурами и установком tcpdump/etherdump и пакета vlan ?

 

Не видя ситуацию по тагам в пакетах дебажить можно бесконечно :(

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.