alibek Posted June 8, 2017 Никак не могу понять, в чем дело. Беру у магистрала выделенный VLAN (L2VPN), через который мне нужно подключить часть оборудования и клиентов. Чтобы не усложнять, хочу все завернуть в Q-in-Q, тем более что магистрал дает увеличенный MTU. В теории должно получиться согласно иллюстрации. Коммутаторы QTECH QSW-2800 и SNR-S2960-24G. Коммутатор SW1 настроен так: ! Interface Ethernet1/25 description CORE switchport mode trunk switchport trunk allowed vlan 10;60;400 ! Interface Ethernet1/26 description QINQ-OUT switchport discard packet untag switchport mode trunk switchport trunk allowed vlan 2000 ! Interface Ethernet1/27 description QINQ-LOOP-SVLAN dot1q-tunnel enable switchport access vlan 2000 ! Interface Ethernet1/28 description QINQ-LOOP-CVLAN switchport discard packet untag switchport mode trunk switchport trunk allowed vlan 10;60;400 ! Коммутатор SW2 настроен почти так же: ! Interface Ethernet1/25 description QINQ-IN switchport discard packet untag switchport mode trunk switchport trunk allowed vlan 2000 ! Interface Ethernet1/26 description QINQ-OUT switchport mode trunk switchport trunk allowed vlan 10;60;400 ! Interface Ethernet1/27 description QINQ-LOOP-SVLAN dot1q-tunnel enable switchport access vlan 2000 ! Interface Ethernet1/28 description QINQ-LOOP-CVLAN switchport discard packet untag switchport mode trunk switchport trunk allowed vlan 10;60;400 ! Ну а SW3 настроен стандартно: ! Interface Ethernet1/1 switchport mode access switchport access vlan 400 ! Interface Ethernet1/25 switchport mode trunk switchport trunk allowed vlan 10;60;400 ! Здесь VLAN 10 это управление, VLAN 400 это абонентский VLAN, VLAN 60 это IPTV. VLAN 2000 это выделенный VLAN, который дает магистрал. Порты 27-28 на коммутаторах SW1 и SW2 соединены перемычкой, это для того, чтобы упаковать мои VLAN в VLAN 2000. Порт 26 на SW1 и порт 25 на SW2 сейчас соединены патчкордом, он эмулирует выделенный VLAN магистрала. В теории должно работать. ТП Нага говорит, что у них на стенде эта конфигурация работает. У меня она вначале тоже работала, но сильно флудила в сеть, потому что получалась петля коммутации (из-за этого я потом добавил discard packet untag). Но сейчас оно не работает вообще, не работает ни управление, ни абонентские сервисы. На SW1 в порту 27 продублирована вся FDB коммутатора в VLAN 2000. ТП сказала, что это нормально, так и должно быть. На SW1 в порту 26 я вижу MAC-адреса удаленной площадки, но все они в VLAN 2000, внешний тег не снимается. На SW2 в порту 26 я вижу MAC-адрес коммутатора SW3 в VLAN 10 и абонентский MAC-адрес в VLAN 400. Все как и должно быть. Эти же MAC-адреса я вижу на порту 27 в VLAN 2000 - опять же, так и должно быть. На SW2 в порту 25 я вижу только один MAC-адрес в VLAN 2000. Причем это MAC-адрес L3-интерфейса в VLAN 60. Насколько я понимаю, проблема в том, что внешний тег не снимается на портах с dot1q-tunnel. А вот почему - непонятно, в ТП сообщили, что у них все работает. Я попросил ТП прислать рабочую конфигурацию со стенда, но она принципиально ничем от моей не отличается. На стенде использовались SNR-S2960-24G и SNR-S2990G-48TX. На обоих коммутаторах порты 1 и 3 соединены перемычкой, в роли l2-канала выступает 23 порт. Схема рабочая: 2960 пингуется с коммутатора, подключенного к 2990 eth 1/0/43; клиент с адресом 192.168.0.1, подключенный к 2960 1/10, пингуется с 2990. ! no service password-encryption ! hostname SNR-S2960-24G sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia sysContact support@nag.ru ! authentication logging enable ! username admin privilege 15 password 0 admin ! authentication line console login local ! ! ! ! ! ! ! ! ! ! ! ! ! vlan 1 ! vlan 100 name control ! vlan 101 name client ! vlan 1000 name dot1qtunnel ! Interface Ethernet1/1 description dot1qtunnel switchport discard packet untag switchport mode trunk switchport trunk allowed vlan 100-101 ! Interface Ethernet1/2 ! Interface Ethernet1/3 description doq1qtunnel dot1q-tunnel enable switchport access vlan 1000 ! Interface Ethernet1/4 ! Interface Ethernet1/5 ! Interface Ethernet1/6 ! Interface Ethernet1/7 ! Interface Ethernet1/8 ! Interface Ethernet1/9 ! Interface Ethernet1/10 description client switchport access vlan 101 ! Interface Ethernet1/11 ! Interface Ethernet1/12 ! Interface Ethernet1/13 ! Interface Ethernet1/14 ! Interface Ethernet1/15 ! Interface Ethernet1/16 ! Interface Ethernet1/17 ! Interface Ethernet1/18 ! Interface Ethernet1/19 ! Interface Ethernet1/20 ! Interface Ethernet1/21 ! Interface Ethernet1/22 ! Interface Ethernet1/23 description l2tunnel switchport discard packet untag switchport mode trunk switchport trunk allowed vlan 1000 ! Interface Ethernet1/24 ! Interface Ethernet1/25 ! Interface Ethernet1/26 ! Interface Ethernet1/27 ! Interface Ethernet1/28 ! interface Vlan1 ip address 192.168.1.1 255.255.255.0 ! interface Vlan100 ip address 10.0.0.60 255.255.255.0 ! no login ! end ! no service password-encryption ! hostname SNR-S2990G-48TX sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia sysContact support@nag.ru ! authentication logging enable ! username admin privilege 15 password 0 admin ! authentication line console login local ! ! ! ! ! ! ! ! ! ! ! Interface Ethernet0 ! ! ! vlan 1 ! vlan 100 name control ! vlan 101 name client ! vlan 1000 name dot1qtunnel ! vlan 4094 name stub ! Interface Ethernet1/0/1 description dot1qtunnel switchport mode trunk switchport trunk allowed vlan 100-101 switchport trunk native vlan 4094 ! Interface Ethernet1/0/2 ! Interface Ethernet1/0/3 description dotq1tunnel dot1q-tunnel enable switchport access vlan 1000 ! Interface Ethernet1/0/4 ! Interface Ethernet1/0/5 ! Interface Ethernet1/0/6 ! Interface Ethernet1/0/7 ! Interface Ethernet1/0/8 ! Interface Ethernet1/0/9 ! Interface Ethernet1/0/10 ! Interface Ethernet1/0/11 ! Interface Ethernet1/0/12 ! Interface Ethernet1/0/13 ! Interface Ethernet1/0/14 ! Interface Ethernet1/0/15 ! Interface Ethernet1/0/16 ! Interface Ethernet1/0/17 ! Interface Ethernet1/0/18 ! Interface Ethernet1/0/19 ! Interface Ethernet1/0/20 ! Interface Ethernet1/0/21 ! Interface Ethernet1/0/22 ! Interface Ethernet1/0/23 description l2tunnel switchport mode trunk switchport trunk allowed vlan 1000 ! Interface Ethernet1/0/24 ! Interface Ethernet1/0/25 ! Interface Ethernet1/0/26 ! Interface Ethernet1/0/27 ! Interface Ethernet1/0/28 ! Interface Ethernet1/0/29 ! Interface Ethernet1/0/30 ! Interface Ethernet1/0/31 ! Interface Ethernet1/0/32 ! Interface Ethernet1/0/33 ! Interface Ethernet1/0/34 ! Interface Ethernet1/0/35 ! Interface Ethernet1/0/36 ! Interface Ethernet1/0/37 ! Interface Ethernet1/0/38 ! Interface Ethernet1/0/39 ! Interface Ethernet1/0/40 ! Interface Ethernet1/0/41 ! Interface Ethernet1/0/42 ! Interface Ethernet1/0/43 description network switchport access vlan 100 ! Interface Ethernet1/0/44 ! Interface Ethernet1/0/45 ! Interface Ethernet1/0/46 ! Interface Ethernet1/0/47 ! Interface Ethernet1/0/48 ! Interface Ethernet1/0/49 ! Interface Ethernet1/0/50 ! Interface Ethernet1/0/51 ! Interface Ethernet1/0/52 ! interface Vlan1 ip address 192.168.1.1 255.255.255.0 ! interface Vlan100 ip address 10.0.0.90 255.255.255.0 ! interface Vlan101 ip address 192.168.0.200 255.255.255.0 ! ! no login ! captive-portal ! end Share this post Link to post Share on other sites More sharing options...
Victor Tkachenko Posted June 9, 2017 Interface Ethernet1/26 description QINQ-OUT switchport discard packet untag switchport mode trunk switchport trunk allowed vlan 2000 ! На SW1 в порту 26 я вижу MAC-адреса удаленной площадки, но все они в VLAN 2000, внешний тег не снимается. alibek, так и должно быть, так как, судя по вашей схеме, на 26 порту принимается трафик с внешним тегом. Затем он должен быть скоммутирован в 27 порт, который снимет внешний тег, и поступить на порт 28, на котором вы уже должны увидеть маки во вланах 10,60,400. Приложите вывод `show mac-address-table interface ethernet 1/0/28` с SW1. На SW2 в порту 25 я вижу только один MAC-адрес в VLAN 2000. Причем это MAC-адрес L3-интерфейса в VLAN 60. Это мак L3-интерфейса SW1? Share this post Link to post Share on other sites More sharing options...
Serejka Posted June 9, 2017 STP выключить не забыли на портах/коммутаторах qinq? И о каких коммутаторах речь идёт? Китайчатина какая-то? На cisco не встречал команд (packet untag discard, да и для qinq - switchport mode dot1q-tunnel) Что показывает снифер? ваше оборудование умеет SPAN/RSPAN или хотя бы mirror? Share this post Link to post Share on other sites More sharing options...
Butch3r Posted June 9, 2017 STP выключить не забыли на портах/коммутаторах qinq? И о каких коммутаторах речь идёт? Китайчатина какая-то? На cisco не встречал команд (packet untag discard, да и для qinq - switchport mode dot1q-tunnel) Что показывает снифер? ваше оборудование умеет SPAN/RSPAN или хотя бы mirror? я тоже думал что это кошки, а это оказался какой-то очередной СНР... Share this post Link to post Share on other sites More sharing options...
alibek Posted June 9, 2017 Приложите вывод `show mac-address-table interface ethernet 1/0/28` с SW1. На портах 28 MAC-адресов нет вообще, что на SW1, что на SW2. Это мак L3-интерфейса SW1? Нет, это с ядра (PIM-маршрутизатор). STP выключить не забыли на портах/коммутаторах qinq? Разумеется. Коммутаторы DCN (QTECH QSW-2800 и SNR-S2960-24G), на них qinq должен работать (и у многих работает). packet untag discard — эта команда нужна, чтобы дропать пакеты без тэга, из-за них возникает петля коммутации. Что показывает снифер? Сниффером пока не смотрел. Я еще даже не получаю MAC-адреса в нужных VLAN. Share this post Link to post Share on other sites More sharing options...
Serejka Posted June 9, 2017 Я еще даже не получаю MAC-адреса в нужных VLAN. Так для этого сниффер и нужен. Становитесь и смотрите что улетает с одного коммутатора (сколько тегов в пакете, какой TPID), затем смотрите на другой, тоже самое. Это первое что стоит сделать, когда вы пытаетесь подружить разнородных вендоров. Даже SPAN не обязателен, можно снифер напрямую в аплинк порт коммутатора воткнуть и генерировать нагрузку с тестового порта. Он один хрен будет броадкастить Share this post Link to post Share on other sites More sharing options...
alibek Posted June 9, 2017 сколько тегов в пакете, какой TPID С этим как раз могут быть сложности, есть только ноутбук под Windows со сниффером, а там тэги в дамп не попадают. Мысль понял, попробую проверить. Share this post Link to post Share on other sites More sharing options...
Victor Tkachenko Posted June 9, 2017 alibek, обязательно снимите дамп с 28х портов, так как трафик туда наверняка должен отправляться и отсутствие маков говорит о том, что там нет подходящих тегов. Share this post Link to post Share on other sites More sharing options...
Serejka Posted June 9, 2017 С этим как раз могут быть сложности, есть только ноутбук под Windows со сниффером, а там тэги в дамп не попадают. Мысль понял, попробую проверить. Wireshark отлично ловит и отображает теги, и верхние и вложенные. И не только теги, много всего интересного там. Share this post Link to post Share on other sites More sharing options...
alibek Posted June 9, 2017 Wireshark отлично ловит и отображает теги Wireshark может и ловит, а вот драйвер сетевой карты Windows их теряет. Пакеты есть, а тэга нет. Share this post Link to post Share on other sites More sharing options...
vlad11 Posted June 9, 2017 Беру у магистрала выделенный VLAN (L2VPN), Начинайте проверку отсюда. Ставьте в обе стороны два PC и проверяйте q-in-q. Share this post Link to post Share on other sites More sharing options...
DRiVen Posted June 13, 2017 Wireshark может и ловит, а вот драйвер сетевой карты Windows их теряет.Пакеты есть, а тэга нет. WinPcap стоит? Share this post Link to post Share on other sites More sharing options...
alibek Posted June 13, 2017 Разумеется. Share this post Link to post Share on other sites More sharing options...
DRiVen Posted June 13, 2017 Странно, имеется стопка ноутов с XP/7 и ни на одном такого не наблюдается. Может просто в трафике тэгов нет? Share this post Link to post Share on other sites More sharing options...
zstas Posted June 13, 2017 некоторые сетевухи (или драйверы для сетевух) стирают теги. иногда можно это выключить в свойствах драйвера. Share this post Link to post Share on other sites More sharing options...
alibek Posted June 13, 2017 Я думаю, что не некоторые, а многие. По крайней мере те встроенные сетевые платы, с которыми я сталкивался, теги не поддерживают. На нормальной серверной сетевой плате они скорее всего сохраняются, но такого ноутбука у меня нет. Share this post Link to post Share on other sites More sharing options...
zstas Posted June 13, 2017 такой пункт есть в настройках драйвера? Share this post Link to post Share on other sites More sharing options...
DRiVen Posted June 13, 2017 Есть в драйвере поддержка тэгов или нет - без разницы, winpcap с адаптерами по ndis работает. Может конечно вам "повезло" и у вас именно тот девайс, для которого поддержки в winpcap нет. Галку с promiscuous не снимали случаем? Share this post Link to post Share on other sites More sharing options...
Butch3r Posted June 13, 2017 У меня тоже на Intel не видит тэги почему-то, точнее видит их как-то выборочно. Вин10. Share this post Link to post Share on other sites More sharing options...
Serejka Posted June 13, 2017 Неужели проблема развернуть линукс? делов минут на 20 с перекурами и установком tcpdump/etherdump и пакета vlan ? Не видя ситуацию по тагам в пакетах дебажить можно бесконечно :( Share this post Link to post Share on other sites More sharing options...
DRiVen Posted June 13, 2017 Butch3r, с Win10 все хуже, но попробовать можно. Share this post Link to post Share on other sites More sharing options...
stalker86 Posted June 14, 2017 ну или на худой конец загрузить ноут с какого либо livecd и там уже tcpdump.. Share this post Link to post Share on other sites More sharing options...
Butch3r Posted June 15, 2017 Butch3r, с Win10 все хуже, но попробовать можно. спасибо! мне помогло, буду знать. Share this post Link to post Share on other sites More sharing options...
