alibek Опубликовано 8 июня, 2017 · Жалоба Никак не могу понять, в чем дело. Беру у магистрала выделенный VLAN (L2VPN), через который мне нужно подключить часть оборудования и клиентов. Чтобы не усложнять, хочу все завернуть в Q-in-Q, тем более что магистрал дает увеличенный MTU. В теории должно получиться согласно иллюстрации. Коммутаторы QTECH QSW-2800 и SNR-S2960-24G. Коммутатор SW1 настроен так: ! Interface Ethernet1/25 description CORE switchport mode trunk switchport trunk allowed vlan 10;60;400 ! Interface Ethernet1/26 description QINQ-OUT switchport discard packet untag switchport mode trunk switchport trunk allowed vlan 2000 ! Interface Ethernet1/27 description QINQ-LOOP-SVLAN dot1q-tunnel enable switchport access vlan 2000 ! Interface Ethernet1/28 description QINQ-LOOP-CVLAN switchport discard packet untag switchport mode trunk switchport trunk allowed vlan 10;60;400 ! Коммутатор SW2 настроен почти так же: ! Interface Ethernet1/25 description QINQ-IN switchport discard packet untag switchport mode trunk switchport trunk allowed vlan 2000 ! Interface Ethernet1/26 description QINQ-OUT switchport mode trunk switchport trunk allowed vlan 10;60;400 ! Interface Ethernet1/27 description QINQ-LOOP-SVLAN dot1q-tunnel enable switchport access vlan 2000 ! Interface Ethernet1/28 description QINQ-LOOP-CVLAN switchport discard packet untag switchport mode trunk switchport trunk allowed vlan 10;60;400 ! Ну а SW3 настроен стандартно: ! Interface Ethernet1/1 switchport mode access switchport access vlan 400 ! Interface Ethernet1/25 switchport mode trunk switchport trunk allowed vlan 10;60;400 ! Здесь VLAN 10 это управление, VLAN 400 это абонентский VLAN, VLAN 60 это IPTV. VLAN 2000 это выделенный VLAN, который дает магистрал. Порты 27-28 на коммутаторах SW1 и SW2 соединены перемычкой, это для того, чтобы упаковать мои VLAN в VLAN 2000. Порт 26 на SW1 и порт 25 на SW2 сейчас соединены патчкордом, он эмулирует выделенный VLAN магистрала. В теории должно работать. ТП Нага говорит, что у них на стенде эта конфигурация работает. У меня она вначале тоже работала, но сильно флудила в сеть, потому что получалась петля коммутации (из-за этого я потом добавил discard packet untag). Но сейчас оно не работает вообще, не работает ни управление, ни абонентские сервисы. На SW1 в порту 27 продублирована вся FDB коммутатора в VLAN 2000. ТП сказала, что это нормально, так и должно быть. На SW1 в порту 26 я вижу MAC-адреса удаленной площадки, но все они в VLAN 2000, внешний тег не снимается. На SW2 в порту 26 я вижу MAC-адрес коммутатора SW3 в VLAN 10 и абонентский MAC-адрес в VLAN 400. Все как и должно быть. Эти же MAC-адреса я вижу на порту 27 в VLAN 2000 - опять же, так и должно быть. На SW2 в порту 25 я вижу только один MAC-адрес в VLAN 2000. Причем это MAC-адрес L3-интерфейса в VLAN 60. Насколько я понимаю, проблема в том, что внешний тег не снимается на портах с dot1q-tunnel. А вот почему - непонятно, в ТП сообщили, что у них все работает. Я попросил ТП прислать рабочую конфигурацию со стенда, но она принципиально ничем от моей не отличается. На стенде использовались SNR-S2960-24G и SNR-S2990G-48TX. На обоих коммутаторах порты 1 и 3 соединены перемычкой, в роли l2-канала выступает 23 порт. Схема рабочая: 2960 пингуется с коммутатора, подключенного к 2990 eth 1/0/43; клиент с адресом 192.168.0.1, подключенный к 2960 1/10, пингуется с 2990. ! no service password-encryption ! hostname SNR-S2960-24G sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia sysContact support@nag.ru ! authentication logging enable ! username admin privilege 15 password 0 admin ! authentication line console login local ! ! ! ! ! ! ! ! ! ! ! ! ! vlan 1 ! vlan 100 name control ! vlan 101 name client ! vlan 1000 name dot1qtunnel ! Interface Ethernet1/1 description dot1qtunnel switchport discard packet untag switchport mode trunk switchport trunk allowed vlan 100-101 ! Interface Ethernet1/2 ! Interface Ethernet1/3 description doq1qtunnel dot1q-tunnel enable switchport access vlan 1000 ! Interface Ethernet1/4 ! Interface Ethernet1/5 ! Interface Ethernet1/6 ! Interface Ethernet1/7 ! Interface Ethernet1/8 ! Interface Ethernet1/9 ! Interface Ethernet1/10 description client switchport access vlan 101 ! Interface Ethernet1/11 ! Interface Ethernet1/12 ! Interface Ethernet1/13 ! Interface Ethernet1/14 ! Interface Ethernet1/15 ! Interface Ethernet1/16 ! Interface Ethernet1/17 ! Interface Ethernet1/18 ! Interface Ethernet1/19 ! Interface Ethernet1/20 ! Interface Ethernet1/21 ! Interface Ethernet1/22 ! Interface Ethernet1/23 description l2tunnel switchport discard packet untag switchport mode trunk switchport trunk allowed vlan 1000 ! Interface Ethernet1/24 ! Interface Ethernet1/25 ! Interface Ethernet1/26 ! Interface Ethernet1/27 ! Interface Ethernet1/28 ! interface Vlan1 ip address 192.168.1.1 255.255.255.0 ! interface Vlan100 ip address 10.0.0.60 255.255.255.0 ! no login ! end ! no service password-encryption ! hostname SNR-S2990G-48TX sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia sysContact support@nag.ru ! authentication logging enable ! username admin privilege 15 password 0 admin ! authentication line console login local ! ! ! ! ! ! ! ! ! ! ! Interface Ethernet0 ! ! ! vlan 1 ! vlan 100 name control ! vlan 101 name client ! vlan 1000 name dot1qtunnel ! vlan 4094 name stub ! Interface Ethernet1/0/1 description dot1qtunnel switchport mode trunk switchport trunk allowed vlan 100-101 switchport trunk native vlan 4094 ! Interface Ethernet1/0/2 ! Interface Ethernet1/0/3 description dotq1tunnel dot1q-tunnel enable switchport access vlan 1000 ! Interface Ethernet1/0/4 ! Interface Ethernet1/0/5 ! Interface Ethernet1/0/6 ! Interface Ethernet1/0/7 ! Interface Ethernet1/0/8 ! Interface Ethernet1/0/9 ! Interface Ethernet1/0/10 ! Interface Ethernet1/0/11 ! Interface Ethernet1/0/12 ! Interface Ethernet1/0/13 ! Interface Ethernet1/0/14 ! Interface Ethernet1/0/15 ! Interface Ethernet1/0/16 ! Interface Ethernet1/0/17 ! Interface Ethernet1/0/18 ! Interface Ethernet1/0/19 ! Interface Ethernet1/0/20 ! Interface Ethernet1/0/21 ! Interface Ethernet1/0/22 ! Interface Ethernet1/0/23 description l2tunnel switchport mode trunk switchport trunk allowed vlan 1000 ! Interface Ethernet1/0/24 ! Interface Ethernet1/0/25 ! Interface Ethernet1/0/26 ! Interface Ethernet1/0/27 ! Interface Ethernet1/0/28 ! Interface Ethernet1/0/29 ! Interface Ethernet1/0/30 ! Interface Ethernet1/0/31 ! Interface Ethernet1/0/32 ! Interface Ethernet1/0/33 ! Interface Ethernet1/0/34 ! Interface Ethernet1/0/35 ! Interface Ethernet1/0/36 ! Interface Ethernet1/0/37 ! Interface Ethernet1/0/38 ! Interface Ethernet1/0/39 ! Interface Ethernet1/0/40 ! Interface Ethernet1/0/41 ! Interface Ethernet1/0/42 ! Interface Ethernet1/0/43 description network switchport access vlan 100 ! Interface Ethernet1/0/44 ! Interface Ethernet1/0/45 ! Interface Ethernet1/0/46 ! Interface Ethernet1/0/47 ! Interface Ethernet1/0/48 ! Interface Ethernet1/0/49 ! Interface Ethernet1/0/50 ! Interface Ethernet1/0/51 ! Interface Ethernet1/0/52 ! interface Vlan1 ip address 192.168.1.1 255.255.255.0 ! interface Vlan100 ip address 10.0.0.90 255.255.255.0 ! interface Vlan101 ip address 192.168.0.200 255.255.255.0 ! ! no login ! captive-portal ! end Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Victor Tkachenko Опубликовано 9 июня, 2017 · Жалоба Interface Ethernet1/26 description QINQ-OUT switchport discard packet untag switchport mode trunk switchport trunk allowed vlan 2000 ! На SW1 в порту 26 я вижу MAC-адреса удаленной площадки, но все они в VLAN 2000, внешний тег не снимается. alibek, так и должно быть, так как, судя по вашей схеме, на 26 порту принимается трафик с внешним тегом. Затем он должен быть скоммутирован в 27 порт, который снимет внешний тег, и поступить на порт 28, на котором вы уже должны увидеть маки во вланах 10,60,400. Приложите вывод `show mac-address-table interface ethernet 1/0/28` с SW1. На SW2 в порту 25 я вижу только один MAC-адрес в VLAN 2000. Причем это MAC-адрес L3-интерфейса в VLAN 60. Это мак L3-интерфейса SW1? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Serejka Опубликовано 9 июня, 2017 · Жалоба STP выключить не забыли на портах/коммутаторах qinq? И о каких коммутаторах речь идёт? Китайчатина какая-то? На cisco не встречал команд (packet untag discard, да и для qinq - switchport mode dot1q-tunnel) Что показывает снифер? ваше оборудование умеет SPAN/RSPAN или хотя бы mirror? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 9 июня, 2017 · Жалоба STP выключить не забыли на портах/коммутаторах qinq? И о каких коммутаторах речь идёт? Китайчатина какая-то? На cisco не встречал команд (packet untag discard, да и для qinq - switchport mode dot1q-tunnel) Что показывает снифер? ваше оборудование умеет SPAN/RSPAN или хотя бы mirror? я тоже думал что это кошки, а это оказался какой-то очередной СНР... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 9 июня, 2017 · Жалоба Приложите вывод `show mac-address-table interface ethernet 1/0/28` с SW1. На портах 28 MAC-адресов нет вообще, что на SW1, что на SW2. Это мак L3-интерфейса SW1? Нет, это с ядра (PIM-маршрутизатор). STP выключить не забыли на портах/коммутаторах qinq? Разумеется. Коммутаторы DCN (QTECH QSW-2800 и SNR-S2960-24G), на них qinq должен работать (и у многих работает). packet untag discard — эта команда нужна, чтобы дропать пакеты без тэга, из-за них возникает петля коммутации. Что показывает снифер? Сниффером пока не смотрел. Я еще даже не получаю MAC-адреса в нужных VLAN. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Serejka Опубликовано 9 июня, 2017 · Жалоба Я еще даже не получаю MAC-адреса в нужных VLAN. Так для этого сниффер и нужен. Становитесь и смотрите что улетает с одного коммутатора (сколько тегов в пакете, какой TPID), затем смотрите на другой, тоже самое. Это первое что стоит сделать, когда вы пытаетесь подружить разнородных вендоров. Даже SPAN не обязателен, можно снифер напрямую в аплинк порт коммутатора воткнуть и генерировать нагрузку с тестового порта. Он один хрен будет броадкастить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 9 июня, 2017 · Жалоба сколько тегов в пакете, какой TPID С этим как раз могут быть сложности, есть только ноутбук под Windows со сниффером, а там тэги в дамп не попадают. Мысль понял, попробую проверить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Victor Tkachenko Опубликовано 9 июня, 2017 · Жалоба alibek, обязательно снимите дамп с 28х портов, так как трафик туда наверняка должен отправляться и отсутствие маков говорит о том, что там нет подходящих тегов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Serejka Опубликовано 9 июня, 2017 · Жалоба С этим как раз могут быть сложности, есть только ноутбук под Windows со сниффером, а там тэги в дамп не попадают. Мысль понял, попробую проверить. Wireshark отлично ловит и отображает теги, и верхние и вложенные. И не только теги, много всего интересного там. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 9 июня, 2017 · Жалоба Wireshark отлично ловит и отображает теги Wireshark может и ловит, а вот драйвер сетевой карты Windows их теряет. Пакеты есть, а тэга нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 9 июня, 2017 · Жалоба Беру у магистрала выделенный VLAN (L2VPN), Начинайте проверку отсюда. Ставьте в обе стороны два PC и проверяйте q-in-q. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 13 июня, 2017 · Жалоба Wireshark может и ловит, а вот драйвер сетевой карты Windows их теряет.Пакеты есть, а тэга нет. WinPcap стоит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 13 июня, 2017 · Жалоба Разумеется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 13 июня, 2017 · Жалоба Странно, имеется стопка ноутов с XP/7 и ни на одном такого не наблюдается. Может просто в трафике тэгов нет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 13 июня, 2017 · Жалоба некоторые сетевухи (или драйверы для сетевух) стирают теги. иногда можно это выключить в свойствах драйвера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 13 июня, 2017 · Жалоба Я думаю, что не некоторые, а многие. По крайней мере те встроенные сетевые платы, с которыми я сталкивался, теги не поддерживают. На нормальной серверной сетевой плате они скорее всего сохраняются, но такого ноутбука у меня нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 13 июня, 2017 · Жалоба такой пункт есть в настройках драйвера? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 13 июня, 2017 · Жалоба Есть в драйвере поддержка тэгов или нет - без разницы, winpcap с адаптерами по ndis работает. Может конечно вам "повезло" и у вас именно тот девайс, для которого поддержки в winpcap нет. Галку с promiscuous не снимали случаем? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 13 июня, 2017 · Жалоба У меня тоже на Intel не видит тэги почему-то, точнее видит их как-то выборочно. Вин10. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Serejka Опубликовано 13 июня, 2017 · Жалоба Неужели проблема развернуть линукс? делов минут на 20 с перекурами и установком tcpdump/etherdump и пакета vlan ? Не видя ситуацию по тагам в пакетах дебажить можно бесконечно :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 13 июня, 2017 · Жалоба Butch3r, с Win10 все хуже, но попробовать можно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 14 июня, 2017 · Жалоба ну или на худой конец загрузить ноут с какого либо livecd и там уже tcpdump.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 15 июня, 2017 · Жалоба Butch3r, с Win10 все хуже, но попробовать можно. спасибо! мне помогло, буду знать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...