не приходят маки и арпы VLAN

[jone31]

уже 3 дня бьюсь с оператором(ЭРТХ)...

Отдаем им в стык L2 канал до удаленной точки в области.

Они во влане видят мой мак, я в своем влане их мак не вижу. Я вижу только наше оборудование в этом влане.

 

ЭРТХ упорно утверждает что проблема не у них, а у нас.

У нас с ними три влана - два до момента добавления третьего работали без проблем. После того как добавили третий влан - сломался и второй, с точно такими же симптомами.

Единственный влан в котором гоняем BGP трафик работает без сбоев.

 

Не могу понять в чем именно с нашей стороны может быть проблема.

 

Из оборудования:

стык D-LINK DGS-1500-28 - настроены влан тегом из одного порта в другой.

в выходном порту длинка включен микрот 951(для тестов) - на нем тоже завел влан - маков нет. канал не работает. Если закидываю в этот влан удаленную точку - вижу её мак с микрота. ЭРТХ видит но подключится не может. Я не вижу маки эртх.

 

ЭРТХ клянется что проблема не у них(типа у них админы самые опытные и не косячат),что у них вланы настроены идентично с нашим основным каналом(где BGP), соответственно проблема 100% у нас.

 

Прошу помощи - куда копать и какие проблемы я мог упустить.

[vurd]

Вешайте ип на int vlan, просите оператора сделать тоже самое. Пингуете. Всё.

[jone31]

Только что, vurd сказал:

Вешайте ип на int vlan, просите оператора сделать тоже самое. Пингуете. Всё.

они не могут повесить ИП на стыковом узле. У них там какой-то хуавей стоит, который не умеет. В итогу они вешают ИП только на брасе, который хрен знает где стоит и какой до него маршрут.

Канал им с 15 числа отдаем, 20 сообщили что он не работает, принять не могут, но т.к. мак наш виделипризнали что проблема у них. С 23 проблему перевели опять на нас, типо мак видим, но канал не работает.

С тех пор буксуем на том же месте.

 

Одновременно с тем как они пробрасывали у себя влан 17 октября, сломали так же другой влан к своему клиенту. и то же говорят что проблема у нас.

Вланы меняли, че то тамони тоже у себя меняли и говорят сделали все возможное со своей стороны. А у меня между ними и микротом один коммутатор и все, проблеме даже не откуда выплыть. У них узел находится не менее чем в 40км от нашего стыка и там хрен знает сколько их свичей между ними и нами, где мог потерятся трафик.

Объясняю имчто пока я на L2 не увижу их мак, L3 не будет работать. Говорят типо уже тыщу раз так делали все работало.

Их местный админ вечно занят ему не когда искать проблему. По почте пишут что проблема не у них.

 

 

[vurd]

Тогда делайте мирор порта где у вас стык выполнен и снимайте дамп. С фильтром по vlan-id. 

[TheUser]

@jone31 Убедитесь что проблема точно не у Вас и пишите официальное письмо-вонючку руководителю "местного админа" с копией в головной офис. Гните линию, типа, "непрофессиональные действия сотрудников ЭРТХ, отказ выполнять прямые должностные обязанности, перекладывание ответственности из своей зоны бросают тень на нашу компанию и могут иметь негативные последствия для дальнейшего сотрудничества. Во избежание этого просим: 1) назначить компетентного специалиста ... 2) согласовать дату и время проведения совместной диагностики,  перечень используемых средств ...".

[YuryD]

 Бывало с ними и не такое, особенно если у них хуавей а у нас циско. Местные qinq так и не сумели сделать на своём l2. Аж ухо уставало от их телефонконферренции слушать. Ругаться не надо - это мы им услугу ластмили оказываем, надо помогать, но ***, сложно. Даю l2 в ассессе с охеренным mtu, один влан проходит у них, другого нету... Пробуем транком (у меня на киско нет расширенного диапазона влан) - они не сумели сделать vlan translate у себя. В общем местные наземные подключатели - адекваты, а вот суперадмины свыше явно не хотят вникать в детали. Понятно почему - Местному скинули заявку на переподключение местного клиента,  а то что ластмили у них там своей нету, и кофигурить местные железяки местные спецы не умеют - это голая правда жизни :) Железяки и настройки с моей стороны точно не причём, там нормально бегают вланы почти всех магистралов, некоторые сильно завышают количество вланов, некоторым хватает акцесса с должным mtu.

[jone31]

Ругаться не хотим, у них много точек по области, где есть только мы... 

но хотя бы адекватный подход ожидали от них. А не это вытирание ног. ТП Ростелекома и то более адекватна, на удивление.

 

буду пробовать порт мирор и дамп и искать там...

[semop]

МАКи должны быть с обеих сторон. Внезависимости от верности настроек уровня выше L3.

Пинг с офиса - ЭРТХ должен увидеть мак из офиса. 

Пинг из удаленной точки - ЭРТХ должен увидеть мак из удаленной точки.

Если одно из этих условий не выполняется - влан не проключен, либо неверные настройки типа порта/ влана / сегментэйшэны всякие / куинку паковка с забытым включением трансляции / миллиард маков которые сожрали всю табличку.

 

Маки должны быть с обеих сторон.

Сторона, от которой нет мака - там и проблема.

[pingz]

@jone31  точка №1 ----- транзитный оператор(должно видно 2 мака, так же не указанно они вам дают чистый L2 или MPLS или QnQ) ------ точка№2 вы пишите, что они видят 1 мак. Проверти настройки MTU возможно стоит понизить с двух сторон. 

 

ИМХО у вас должен быть договор, отталкивайтесь от него. 

 

Сразу пишите письма, на согласование выезда вашего специалиста и их.(так поржать может им лень будет ехать) 

 

А у вашего директора религия не позволяет позвонить другому директору и сказать "Добрый день". Да тупо, но если сани не едут их нужно толкать. 

 

 

 

[jone31]

1 час назад, pingz сказал:

@jone31  точка №1 ----- транзитный оператор(должно видно 2 мака, так же не указанно они вам дают чистый L2 или MPLS или QnQ) ------ точка№2 вы пишите, что они видят 1 мак. Проверти настройки MTU возможно стоит понизить с двух сторон. 

 

транзитный оператор это и есть мы. Мы даем им L2 канал  из удаленной точки в стык.

По договору мы им отдаем ethernet с двух сторон.

[pingz]

@jone31 на точке #1 сколько маков? На точке #2 сколько маков? Если точки ваши, берутся два бойца с машинами и коммутаторами и ПК едут на точку 1 и 2 и проверяете свой канал l2 если вы уверенны, что канал рабочий в центре заведите этот вилан и повешали там ip пусть проверяют с двух сторон, или их попросите в этом вилане настроить технические ip адреса, под предлогом проверки доступности канала в забикс

 

У меня была подобная проблема, пришлось один раз выдать тех ИП в разрывах, с фразой "это точка а" "а это мое ядро" " а это поселок " "а это порт на котором я с вами граничу" "а теперь с той стороны сделайте пинг, чё нету? Ааа я виноват?" Ну как то так)))

Пришлось ехать на удалённую точку.

[YuryD]

 Есть там подводные камни. Например у нас блочатся  bpdu и dhcp на просто клиентских портах и вланах, что иногда вылезает боком. Или ограничение по кол-ву маков на порту. Кстати - если длинку эровскому случайно скормить pvst+ от киско - он становится кирпичом.

[jone31]

Снимал дамп с порта, во влане от них ничего неприходит вообще. Сегодня они выделили специалиста который посмотрит прохождение мака на их хуавей... на моем свиче ничего нет, все отключено. Там тока вланы юзаются и все. Асл и прочие возможности не используются.

[YuryD]

 Сюрреализм с маками иногда наблюдается, недавно сдавал два влана от одной из ix до техкогонадо. Маки - только с той стороны, и никакого здесь. Как я понял - у техкогонадо стоит пассивный съемник. Это была та еще опупея....

[jone31]

31 минуту назад, YuryD сказал:

 Сюрреализм с маками иногда наблюдается, недавно сдавал два влана от одной из ix до техкогонадо. Маки - только с той стороны, и никакого здесь. Как я понял - у техкогонадо стоит пассивный съемник. Это была та еще опупея....

У нас так же. Просто порт мирор  портов туда и все. От них ни привета ничего не прилетает.

[YuryD]

Ну понятно, траблема виртуальных опсосов. Трафик текомунадо и так снимут на местах, а вот биллинг, поэтому и зеркалят, и видимо во все местные управления. Копейки конечно.

[Renaissance87]

Они вам предоставили канал, 

Вы говорите, что канал не работает.

Пусть приедут покажут что работает, в чем проблема -то? 

Попросите организовать совместный выезд. Я так  с мегафоном разбирался, пока их СУПЕР админы сами не увидели, что не работает, так как надо, ничего не сдвинулось.

 

[jone31]

28 минут назад, Renaissance87 сказал:

Они вам предоставили канал, 

 

нет,  мы им предоставили L2 канал.

Сегодня приехал "системный инженер" посмотрел с ноутбука - сказал что ничего не работает из-за неверной настройки моего коммутатора. Показал ему настройки коммутатор - сказал что вероятно мой коммутатор не исправен. Обещал вернуться со своим коммутатором и что бы я ночью его переключил, а далее уже будут тестить только до своего коммутатора.

[jone31]

в общем, в сотый раз разочарован в длинке. Используем его как простейший коммутатор для разброса вланов(без acl и всего прочего) и даже тут он подводит.

Ребут девайса решил проблему с видимостью маков. Аптайм у него правда был 596 дней, возможно это как-то повлияло.

[vurd]

Не нужно ставить коммутатор доступа (причем даже не /ME) на стыки с операторами. Ситуация теперь выглядит совсем по другому, да? Что планируете делать?)

 

P.S. Имею парк в районе ста dgs1510/me - никаких проблем с вланами и транзитом не было ни разу.

[alibek]

18 минут назад, vurd сказал:

Не нужно ставить коммутатор доступа

Я бы не был столь категоричен. Коммутатор доступа - это вообще искусственное понятие, в спецификациях такого нет, в спецификациях это коммутатор L2 с такой-то производительностью, буферами и FDB.

Вот например у меня два стыка с магистралом. На одном стоит Extreme X670 - у меня это ядро, а есть операторы, которые их на доступ ставят. А на другом стыке стоит Орион, чтобы VLAN для ПМ принять и сменить тэг. И нормально работает.

[vurd]

2 часа назад, alibek сказал:

Я бы не был столь категоричен. Коммутатор доступа - это вообще искусственное понятие, в спецификациях такого нет, в спецификациях это коммутатор L2 с такой-то производительностью, буферами и FDB.

Вот например у меня два стыка с магистралом. На одном стоит Extreme X670 - у меня это ядро, а есть операторы, которые их на доступ ставят. А на другом стыке стоит Орион, чтобы VLAN для ПМ принять и сменить тэг. И нормально работает.

Хочу подключиться к оператору, у которого 670 на доступе.

Да ладно, хотя бы город скажите, мы туда с пацанами выедем прямо сегодня, немного ящики пооткрывать)))

[alibek]

51 минуту назад, vurd сказал:

Хочу подключиться к оператору, у которого 670 на доступе.

Речь не про городского домового оператора, естественно.

Это оператор, который в основном дает транзиты по стране.

Вот у них X670 — это считается оборудование доступа (т.к. у них редко берут просто L2VPN, обычно MPLS).

[Renaissance87]

:)) Ну думаю какой -нибудь RetN как раз на доступ такое и ставит, только доступ у всех разный, кто -то операторов подключает, а кто -то по частному сектору ходит побирается...

 

[vurd]

54 минуты назад, alibek сказал:

Вот у них X670 — это считается оборудование доступа (т.к. у них редко берут просто L2VPN, обычно MPLS).

А в чем разница собственно для заказчика? Вообще я ни разу не видел заказ на "MPLS", а вот на L2VPN тысячи их. Вы что-то путаете похоже.

И никто не будет ставить такие свитчи на доступ, именно в том ключе, в котором я подразумевал. Даже в случае ретна, никто не будет тащить в ваш задрищенск с одним клиентом такие свитчи, их место на площадках аля бутлерова.

А вот то, что у вас транзит через орион проключен - вот это жопа. Сколько там буфер? Сколько трафика? Делает вид что работает, дай угадаю?