alibek Posted November 13, 2018 · Report post Столкнулся с непонятным поведением. Есть коммутатор QTECH QSW-3900, работающий как L2-агрегация. Настроен так: ![ethernet 0/0/20] switchport trunk allowed vlan 10,60,300-499,800-999 no dlf-forward multicast discard-bpdu igmp-snooping drop query igmp-snooping multicast vlan 60 igmp-snooping profile refer 10 no spanning-tree То есть обычный транк с пачкой VLAN. В порт 20 подключен коммутатор доступа Orion A28F. Настроен так: create vlan 10,60,300-499,800-1000 active mvr enable mvr vlan 60 mvr vlan 60 group any ! !command in aclmap_mode access-list-map 10 permit match vlan 60 access-list-map 100 deny match ethertype 0000 access-list-map 101 permit match pppoe access-list-map 102 permit match pppoedisc access-list-map 103 permit match ip igmp report-v2 access-list-map 104 permit match ip igmp leave-v2 ! interface port 24 switchport access vlan 901 switchport protect no mvr lldp disable spanning-tree disable ! interface port 25 switchport trunk native vlan 1000 switchport trunk allowed vlan 10,60,300-499,800-999 confirm switchport mode trunk mls qos trust cos mvr type source spanning-tree disable pppoeagent trust ! !command in cmap_mode class-map IPTV match-any match access-list-map 10 exit ! !command in pmap_mode policy-map IPTV class-map IPTV set cos 5 exit exit ! !command in aclgroup_mode acl-group 10 exit ! !command in config_mode filter enable filter access-list-map 100 vlan 488 statistics filter access-list-map 100 ingress port-list 1-24 statistics filter access-list-map 101 vlan 488 filter access-list-map 102 vlan 488 filter access-list-map 103 vlan 488 filter access-list-map 104 vlan 488 dlf-forwarding disable Порт 25 — аплинк, в порт 24 подключена точка доступа (хотспот). На порту 24 есть MAC-адреса: #sh mac-address-table l2 port 24 Aging time: 300 seconds Mac Address Port Vlan Flags -------------------------------------------------------- C4B3.016A.0D1F 24 901 Hit DC9F.DB3E.7EB1 24 901 Hit FC2D.5EC4.A8A1 24 901 Hit 88E8.7F2C.9622 24 901 Hit DC9F.DB3E.7EB1 — это точка доступа, остальное это подключенные клиенты. Пока все правильно. Но точка доступа недоступна. Смотрю выше: #sh mac DC:9F:DB:3E:7E:B1 MAC Address VLAN ID port status dc:9f:db:3e:7e:b1 400 0/0/20 dynamic Total entries: 1 . При этом: #sh mac vlan 901 MAC Address VLAN ID port status 00:19:21:95:49:1b 901 0/1/2 dynamic 00:24:c3:df:26:80 901 0/1/2 dynamic cc:2d:e0:92:6c:9f 901 0/1/2 dynamic fc:2d:5e:c4:a8:a1 901 0/0/20 dynamic Total entries: 4 . Не могу понять, как так получилось. На Orion A28F для порта 24 сервисные политики не применяются (да и он не умеет переписывать vlan id). QTECH теоретически умеет переписывать vlan id, но только через политики, а я их не применяю. Между QTECH и Orion ничего нет. И вдвойне непонятно, почему тэг поменялся только для MAC-адреса точки доступа, а для подключенных клиентов (fc:2d:5e:c4:a8:a1) не меняется. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted November 13, 2018 · Report post надо смотреть на дампы, которые снимать через сплиттер. через port-mirror такие дампы снимать опасно, там сам port-mirror может вланчики подрезать Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
TheUser Posted November 13, 2018 · Report post q-in-q, vlan translation, voice vlan? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted November 13, 2018 · Report post 18 минут назад, TheUser сказал: q-in-q, vlan translation, voice vlan? Ничего этого нет. 1 час назад, s.lobanov сказал: сам port-mirror может вланчики подрезать Даже если бы так, почему такая выборочность? Тэг меняется только для конкретного MAC-адреса. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted November 13, 2018 · Report post Есть некоторый прогресс, хотя логики все равно не понимаю. ACL на абонентских портах настроен так, чтобы резать все, кроме PPPoE и IGMP. Убрал ACL с порта 24. Теперь точка доступа заработала и доступна в VLAN 901. Но и в VLAN 400 ее MAC по прежнему виден (на 3900) и это мне непонятно. И если дело было в ACL, все равно непонятно, почему MAC-адреса пользователей хотспот были видны. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
UglyAdmin Posted November 14, 2018 · Report post Точки часто кривые. У меня МАСи пользователей летят в вилан управления в виде каких-то мультикастов от точек доступа. Причём наблюдается на разных точках доступа, D-Link, Zyxel, даже Cambium ePMP1000. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted November 14, 2018 · Report post Какая бы ни была точка кривая, как она может поменять тэг в access-порту, причем не на непосредственно подключённом коммутаторе (там все правильно), а на вышестоящем? Правда есть у меня одно предположение, завтра проверю. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...