[alibek]

Никак не могу понять, в чем дело.

 

Беру у магистрала выделенный VLAN (L2VPN), через который мне нужно подключить часть оборудования и клиентов.

Чтобы не усложнять, хочу все завернуть в Q-in-Q, тем более что магистрал дает увеличенный MTU.

В теории должно получиться согласно иллюстрации. Коммутаторы QTECH QSW-2800 и SNR-S2960-24G.

 

Коммутатор SW1 настроен так:

!
Interface Ethernet1/25
description CORE
switchport mode trunk
switchport trunk allowed vlan 10;60;400
!
Interface Ethernet1/26
description QINQ-OUT
switchport discard packet untag
switchport mode trunk
switchport trunk allowed vlan 2000
!
Interface Ethernet1/27
description QINQ-LOOP-SVLAN
dot1q-tunnel enable
switchport access vlan 2000
!
Interface Ethernet1/28
description QINQ-LOOP-CVLAN
switchport discard packet untag
switchport mode trunk
switchport trunk allowed vlan 10;60;400
!

 

Коммутатор SW2 настроен почти так же:

!
Interface Ethernet1/25
description QINQ-IN
switchport discard packet untag
switchport mode trunk
switchport trunk allowed vlan 2000
!
Interface Ethernet1/26
description QINQ-OUT
switchport mode trunk
switchport trunk allowed vlan 10;60;400
!
Interface Ethernet1/27
description QINQ-LOOP-SVLAN
dot1q-tunnel enable
switchport access vlan 2000
!
Interface Ethernet1/28
description QINQ-LOOP-CVLAN
switchport discard packet untag
switchport mode trunk
switchport trunk allowed vlan 10;60;400
!

 

Ну а SW3 настроен стандартно:

!
Interface Ethernet1/1
switchport mode access
switchport access vlan 400
!
Interface Ethernet1/25
switchport mode trunk
switchport trunk allowed vlan 10;60;400
!

 

Здесь VLAN 10 это управление, VLAN 400 это абонентский VLAN, VLAN 60 это IPTV.

VLAN 2000 это выделенный VLAN, который дает магистрал.

Порты 27-28 на коммутаторах SW1 и SW2 соединены перемычкой, это для того, чтобы упаковать мои VLAN в VLAN 2000.

Порт 26 на SW1 и порт 25 на SW2 сейчас соединены патчкордом, он эмулирует выделенный VLAN магистрала.

 

В теории должно работать. ТП Нага говорит, что у них на стенде эта конфигурация работает.

У меня она вначале тоже работала, но сильно флудила в сеть, потому что получалась петля коммутации (из-за этого я потом добавил discard packet untag).

Но сейчас оно не работает вообще, не работает ни управление, ни абонентские сервисы.

 

На SW1 в порту 27 продублирована вся FDB коммутатора в VLAN 2000. ТП сказала, что это нормально, так и должно быть.

На SW1 в порту 26 я вижу MAC-адреса удаленной площадки, но все они в VLAN 2000, внешний тег не снимается.

 

На SW2 в порту 26 я вижу MAC-адрес коммутатора SW3 в VLAN 10 и абонентский MAC-адрес в VLAN 400. Все как и должно быть.

Эти же MAC-адреса я вижу на порту 27 в VLAN 2000 - опять же, так и должно быть.

На SW2 в порту 25 я вижу только один MAC-адрес в VLAN 2000. Причем это MAC-адрес L3-интерфейса в VLAN 60.

 

Насколько я понимаю, проблема в том, что внешний тег не снимается на портах с dot1q-tunnel.

А вот почему - непонятно, в ТП сообщили, что у них все работает.

Я попросил ТП прислать рабочую конфигурацию со стенда, но она принципиально ничем от моей не отличается.

 

 

 

На стенде использовались SNR-S2960-24G и SNR-S2990G-48TX.

На обоих коммутаторах порты 1 и 3 соединены перемычкой, в роли l2-канала выступает 23 порт.

Схема рабочая: 2960 пингуется с коммутатора, подключенного к 2990 eth 1/0/43; клиент с адресом 192.168.0.1, подключенный к 2960 1/10, пингуется с 2990.

!
no service password-encryption
!
hostname SNR-S2960-24G
sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia
sysContact support@nag.ru
!
authentication logging enable
!
username admin privilege 15 password 0 admin
!
authentication line console login local
!
!
!
!
!
!
!
!
!
!
!
!
!
vlan 1 
!
vlan 100
name control
!
vlan 101
name client
!
vlan 1000
name dot1qtunnel
!
Interface Ethernet1/1
description dot1qtunnel
switchport discard packet untag
switchport mode trunk
switchport trunk allowed vlan 100-101 
!
Interface Ethernet1/2
!
Interface Ethernet1/3
description doq1qtunnel
dot1q-tunnel enable
switchport access vlan 1000
!
Interface Ethernet1/4
!
Interface Ethernet1/5
!
Interface Ethernet1/6
!
Interface Ethernet1/7
!
Interface Ethernet1/8
!
Interface Ethernet1/9
!
Interface Ethernet1/10
description client
switchport access vlan 101
!
Interface Ethernet1/11
!
Interface Ethernet1/12
!
Interface Ethernet1/13
!
Interface Ethernet1/14
!
Interface Ethernet1/15
!
Interface Ethernet1/16
!
Interface Ethernet1/17
!
Interface Ethernet1/18
!
Interface Ethernet1/19
!
Interface Ethernet1/20
!
Interface Ethernet1/21
!
Interface Ethernet1/22
!
Interface Ethernet1/23
description l2tunnel
switchport discard packet untag
switchport mode trunk
switchport trunk allowed vlan 1000 
!
Interface Ethernet1/24
!
Interface Ethernet1/25
!
Interface Ethernet1/26
!
Interface Ethernet1/27
!
Interface Ethernet1/28
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
!
interface Vlan100
ip address 10.0.0.60 255.255.255.0
!
no login
!
end

!
no service password-encryption
!
hostname SNR-S2990G-48TX
sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia
sysContact support@nag.ru
!
authentication logging enable
!
username admin privilege 15 password 0 admin
!
authentication line console login local
!
!
!
!
!
!
!
!
!
!
!
Interface Ethernet0
!
!
!
vlan 1 
!
vlan 100
name control
!
vlan 101
name client
!
vlan 1000
name dot1qtunnel
!
vlan 4094
name stub
!
Interface Ethernet1/0/1
description dot1qtunnel
switchport mode trunk
switchport trunk allowed vlan 100-101 
switchport trunk native vlan 4094
!
Interface Ethernet1/0/2
!
Interface Ethernet1/0/3
description dotq1tunnel
dot1q-tunnel enable
switchport access vlan 1000
!
Interface Ethernet1/0/4
!
Interface Ethernet1/0/5
!
Interface Ethernet1/0/6
!
Interface Ethernet1/0/7
!
Interface Ethernet1/0/8
!
Interface Ethernet1/0/9
!
Interface Ethernet1/0/10
!
Interface Ethernet1/0/11
!
Interface Ethernet1/0/12
!
Interface Ethernet1/0/13
!
Interface Ethernet1/0/14
!
Interface Ethernet1/0/15
!
Interface Ethernet1/0/16
!
Interface Ethernet1/0/17
!
Interface Ethernet1/0/18
!
Interface Ethernet1/0/19
!
Interface Ethernet1/0/20
!
Interface Ethernet1/0/21
!
Interface Ethernet1/0/22
!
Interface Ethernet1/0/23
description l2tunnel
switchport mode trunk
switchport trunk allowed vlan 1000 
!
Interface Ethernet1/0/24
!
Interface Ethernet1/0/25
!
Interface Ethernet1/0/26
!
Interface Ethernet1/0/27
!
Interface Ethernet1/0/28
!
Interface Ethernet1/0/29
!
Interface Ethernet1/0/30
!
Interface Ethernet1/0/31
!
Interface Ethernet1/0/32
!
Interface Ethernet1/0/33
!
Interface Ethernet1/0/34
!
Interface Ethernet1/0/35
!
Interface Ethernet1/0/36
!
Interface Ethernet1/0/37
!
Interface Ethernet1/0/38
!
Interface Ethernet1/0/39
!
Interface Ethernet1/0/40
!
Interface Ethernet1/0/41
!
Interface Ethernet1/0/42
!
Interface Ethernet1/0/43
description network
switchport access vlan 100
!
Interface Ethernet1/0/44
!
Interface Ethernet1/0/45
!
Interface Ethernet1/0/46
!
Interface Ethernet1/0/47
!
Interface Ethernet1/0/48
!
Interface Ethernet1/0/49
!
Interface Ethernet1/0/50
!
Interface Ethernet1/0/51
!
Interface Ethernet1/0/52
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
!
interface Vlan100
ip address 10.0.0.90 255.255.255.0
!
interface Vlan101
ip address 192.168.0.200 255.255.255.0
!
!
no login
!
captive-portal
!
end

 

[Victor Tkachenko]

Interface Ethernet1/26

description QINQ-OUT

switchport discard packet untag

switchport mode trunk

switchport trunk allowed vlan 2000

!

На SW1 в порту 26 я вижу MAC-адреса удаленной площадки, но все они в VLAN 2000, внешний тег не снимается.

alibek, так и должно быть, так как, судя по вашей схеме, на 26 порту принимается трафик с внешним тегом. Затем он должен быть скоммутирован в 27 порт, который снимет внешний тег, и поступить на порт 28, на котором вы уже должны увидеть маки во вланах 10,60,400.

Приложите вывод `show mac-address-table interface ethernet 1/0/28` с SW1.

 

На SW2 в порту 25 я вижу только один MAC-адрес в VLAN 2000. Причем это MAC-адрес L3-интерфейса в VLAN 60.

Это мак L3-интерфейса SW1?

[Serejka]

STP выключить не забыли на портах/коммутаторах qinq?

И о каких коммутаторах речь идёт? Китайчатина какая-то?

На cisco не встречал команд (packet untag discard, да и для qinq - switchport mode dot1q-tunnel)

 

Что показывает снифер? ваше оборудование умеет SPAN/RSPAN или хотя бы mirror?

[Butch3r]

STP выключить не забыли на портах/коммутаторах qinq?

И о каких коммутаторах речь идёт? Китайчатина какая-то?

На cisco не встречал команд (packet untag discard, да и для qinq - switchport mode dot1q-tunnel)

 

Что показывает снифер? ваше оборудование умеет SPAN/RSPAN или хотя бы mirror?

я тоже думал что это кошки, а это оказался какой-то очередной СНР...

[alibek]

Приложите вывод `show mac-address-table interface ethernet 1/0/28` с SW1.

На портах 28 MAC-адресов нет вообще, что на SW1, что на SW2.

 

Это мак L3-интерфейса SW1?

Нет, это с ядра (PIM-маршрутизатор).

 

STP выключить не забыли на портах/коммутаторах qinq?

Разумеется.

Коммутаторы DCN (QTECH QSW-2800 и SNR-S2960-24G), на них qinq должен работать (и у многих работает).

packet untag discard — эта команда нужна, чтобы дропать пакеты без тэга, из-за них возникает петля коммутации.

 

Что показывает снифер?

Сниффером пока не смотрел.

Я еще даже не получаю MAC-адреса в нужных VLAN.

[Serejka]

Я еще даже не получаю MAC-адреса в нужных VLAN.

 

Так для этого сниффер и нужен. Становитесь и смотрите что улетает с одного коммутатора (сколько тегов в пакете, какой TPID), затем смотрите на другой, тоже самое.

Это первое что стоит сделать, когда вы пытаетесь подружить разнородных вендоров.

 

Даже SPAN не обязателен, можно снифер напрямую в аплинк порт коммутатора воткнуть и генерировать нагрузку с тестового порта. Он один хрен будет броадкастить

[alibek]

сколько тегов в пакете, какой TPID

С этим как раз могут быть сложности, есть только ноутбук под Windows со сниффером, а там тэги в дамп не попадают.

Мысль понял, попробую проверить.

[Victor Tkachenko]

alibek, обязательно снимите дамп с 28х портов, так как трафик туда наверняка должен отправляться и отсутствие маков говорит о том, что там нет подходящих тегов.

[Serejka]

С этим как раз могут быть сложности, есть только ноутбук под Windows со сниффером, а там тэги в дамп не попадают.

Мысль понял, попробую проверить.

 

Wireshark отлично ловит и отображает теги, и верхние и вложенные. И не только теги, много всего интересного там.

[alibek]

Wireshark отлично ловит и отображает теги

Wireshark может и ловит, а вот драйвер сетевой карты Windows их теряет.

Пакеты есть, а тэга нет.

[vlad11]

 

Беру у магистрала выделенный VLAN (L2VPN),

 

Начинайте проверку отсюда.

Ставьте в обе стороны два PC и проверяйте q-in-q.

[DRiVen]

Wireshark может и ловит, а вот драйвер сетевой карты Windows их теряет.

Пакеты есть, а тэга нет.

WinPcap стоит?

[alibek]

Разумеется.

[DRiVen]

Странно, имеется стопка ноутов с XP/7 и ни на одном такого не наблюдается. Может просто в трафике тэгов нет?

[zstas]

некоторые сетевухи (или драйверы для сетевух) стирают теги. иногда можно это выключить в свойствах драйвера.

[alibek]

Я думаю, что не некоторые, а многие.

По крайней мере те встроенные сетевые платы, с которыми я сталкивался, теги не поддерживают.

На нормальной серверной сетевой плате они скорее всего сохраняются, но такого ноутбука у меня нет.

[zstas]

такой пункт есть в настройках драйвера?

[DRiVen]

Есть в драйвере поддержка тэгов или нет - без разницы, winpcap с адаптерами по ndis работает. Может конечно вам "повезло" и у вас именно тот девайс, для которого поддержки в winpcap нет. Галку с promiscuous не снимали случаем?

[Butch3r]

У меня тоже на Intel не видит тэги почему-то, точнее видит их как-то выборочно. Вин10.

[Serejka]

Неужели проблема развернуть линукс? делов минут на 20 с перекурами и установком tcpdump/etherdump и пакета vlan ?

 

Не видя ситуацию по тагам в пакетах дебажить можно бесконечно :(

[DRiVen]

Butch3r, с Win10 все хуже, но попробовать можно.

[stalker86]

ну или на худой конец загрузить ноут с какого либо livecd и там уже tcpdump..

[Butch3r]

Butch3r, с Win10 все хуже, но попробовать можно.

спасибо! мне помогло, буду знать.