Jump to content
Калькуляторы

Странные трансформации VLAN ID

Столкнулся с непонятным поведением.

Есть коммутатор QTECH QSW-3900, работающий как L2-агрегация. Настроен так:

![ethernet 0/0/20]
switchport trunk allowed vlan 10,60,300-499,800-999
no dlf-forward multicast
discard-bpdu
igmp-snooping drop query
igmp-snooping multicast vlan 60
igmp-snooping profile refer 10
no spanning-tree

То есть обычный транк с пачкой VLAN.

В порт 20 подключен коммутатор доступа Orion A28F. Настроен так:

create vlan 10,60,300-499,800-1000 active
mvr enable
mvr vlan 60
mvr vlan 60 group any
!
!command in aclmap_mode
access-list-map 10 permit
match vlan 60
access-list-map 100 deny
match ethertype 0000
access-list-map 101 permit
match pppoe
access-list-map 102 permit
match pppoedisc
access-list-map 103 permit
match ip igmp report-v2
access-list-map 104 permit
match ip igmp leave-v2
!
interface port 24
switchport access vlan 901
switchport protect
no mvr
lldp disable
spanning-tree disable
!
interface port 25
switchport trunk native vlan 1000
switchport trunk allowed vlan 10,60,300-499,800-999 confirm
switchport mode trunk
mls qos trust cos
mvr type source
spanning-tree disable
pppoeagent trust
!
!command in cmap_mode
class-map IPTV match-any
match access-list-map 10
exit
!
!command in pmap_mode
policy-map IPTV
class-map IPTV
set cos 5
exit
exit
!
!command in aclgroup_mode
acl-group 10
exit
!
!command in config_mode
filter enable
filter access-list-map 100 vlan 488 statistics
filter access-list-map 100 ingress port-list 1-24 statistics
filter access-list-map 101 vlan 488
filter access-list-map 102 vlan 488
filter access-list-map 103 vlan 488
filter access-list-map 104 vlan 488
dlf-forwarding disable 

Порт 25 — аплинк, в порт 24 подключена точка доступа (хотспот).

На порту 24 есть MAC-адреса:

#sh mac-address-table l2 port 24
Aging time: 300 seconds 
Mac Address        Port          Vlan     Flags    
--------------------------------------------------------
C4B3.016A.0D1F     24            901      Hit
DC9F.DB3E.7EB1     24            901      Hit
FC2D.5EC4.A8A1     24            901      Hit
88E8.7F2C.9622     24            901      Hit

DC9F.DB3E.7EB1 — это точка доступа, остальное это подключенные клиенты.

Пока все правильно.

Но точка доступа недоступна.

Смотрю выше:

#sh mac DC:9F:DB:3E:7E:B1
MAC Address            VLAN ID  port     status         
dc:9f:db:3e:7e:b1      400      0/0/20   dynamic        
Total entries: 1 .

При этом:

#sh mac vlan 901
MAC Address            VLAN ID  port     status         
00:19:21:95:49:1b      901      0/1/2    dynamic        
00:24:c3:df:26:80      901      0/1/2    dynamic        
cc:2d:e0:92:6c:9f      901      0/1/2    dynamic        
fc:2d:5e:c4:a8:a1      901      0/0/20   dynamic        
Total entries: 4 .

Не могу понять, как так получилось.

На Orion A28F для порта 24 сервисные политики не применяются (да и он не умеет переписывать vlan id).

QTECH теоретически умеет переписывать vlan id, но только через политики, а я их не применяю.

Между QTECH и Orion ничего нет.

И вдвойне непонятно, почему тэг поменялся только для MAC-адреса точки доступа, а для подключенных клиентов (fc:2d:5e:c4:a8:a1) не меняется.

Share this post


Link to post
Share on other sites

надо смотреть на дампы, которые снимать через сплиттер. через port-mirror такие дампы снимать опасно, там сам port-mirror может вланчики подрезать

Share this post


Link to post
Share on other sites
18 минут назад, TheUser сказал:

q-in-q, vlan translation, voice vlan?

Ничего этого нет.

 

1 час назад, s.lobanov сказал:

сам port-mirror может вланчики подрезать

Даже если бы так, почему такая выборочность?

Тэг меняется только для конкретного MAC-адреса.

Share this post


Link to post
Share on other sites

Есть некоторый прогресс, хотя логики все равно не понимаю.

ACL на абонентских портах настроен так, чтобы резать все, кроме PPPoE и IGMP.

Убрал ACL с порта 24. Теперь точка доступа заработала и доступна в VLAN 901.

Но и в VLAN 400 ее MAC по прежнему виден (на 3900) и это мне непонятно. И если дело было в ACL, все равно непонятно, почему MAC-адреса пользователей хотспот были видны.

Share this post


Link to post
Share on other sites

Точки часто кривые. У меня МАСи пользователей летят в вилан управления в виде каких-то мультикастов от точек доступа. Причём наблюдается на разных точках доступа, D-Link, Zyxel, даже Cambium ePMP1000.

Share this post


Link to post
Share on other sites

Какая бы ни была точка кривая, как она может поменять тэг в access-порту, причем не на непосредственно подключённом коммутаторе (там все правильно), а на вышестоящем?

Правда есть у меня одно предположение, завтра проверю.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now