Jump to content
Калькуляторы

Странные трансформации VLAN ID

Столкнулся с непонятным поведением.

Есть коммутатор QTECH QSW-3900, работающий как L2-агрегация. Настроен так:

![ethernet 0/0/20]
switchport trunk allowed vlan 10,60,300-499,800-999
no dlf-forward multicast
discard-bpdu
igmp-snooping drop query
igmp-snooping multicast vlan 60
igmp-snooping profile refer 10
no spanning-tree

То есть обычный транк с пачкой VLAN.

В порт 20 подключен коммутатор доступа Orion A28F. Настроен так:

create vlan 10,60,300-499,800-1000 active
mvr enable
mvr vlan 60
mvr vlan 60 group any
!
!command in aclmap_mode
access-list-map 10 permit
match vlan 60
access-list-map 100 deny
match ethertype 0000
access-list-map 101 permit
match pppoe
access-list-map 102 permit
match pppoedisc
access-list-map 103 permit
match ip igmp report-v2
access-list-map 104 permit
match ip igmp leave-v2
!
interface port 24
switchport access vlan 901
switchport protect
no mvr
lldp disable
spanning-tree disable
!
interface port 25
switchport trunk native vlan 1000
switchport trunk allowed vlan 10,60,300-499,800-999 confirm
switchport mode trunk
mls qos trust cos
mvr type source
spanning-tree disable
pppoeagent trust
!
!command in cmap_mode
class-map IPTV match-any
match access-list-map 10
exit
!
!command in pmap_mode
policy-map IPTV
class-map IPTV
set cos 5
exit
exit
!
!command in aclgroup_mode
acl-group 10
exit
!
!command in config_mode
filter enable
filter access-list-map 100 vlan 488 statistics
filter access-list-map 100 ingress port-list 1-24 statistics
filter access-list-map 101 vlan 488
filter access-list-map 102 vlan 488
filter access-list-map 103 vlan 488
filter access-list-map 104 vlan 488
dlf-forwarding disable 

Порт 25 — аплинк, в порт 24 подключена точка доступа (хотспот).

На порту 24 есть MAC-адреса:

#sh mac-address-table l2 port 24
Aging time: 300 seconds 
Mac Address        Port          Vlan     Flags    
--------------------------------------------------------
C4B3.016A.0D1F     24            901      Hit
DC9F.DB3E.7EB1     24            901      Hit
FC2D.5EC4.A8A1     24            901      Hit
88E8.7F2C.9622     24            901      Hit

DC9F.DB3E.7EB1 — это точка доступа, остальное это подключенные клиенты.

Пока все правильно.

Но точка доступа недоступна.

Смотрю выше:

#sh mac DC:9F:DB:3E:7E:B1
MAC Address            VLAN ID  port     status         
dc:9f:db:3e:7e:b1      400      0/0/20   dynamic        
Total entries: 1 .

При этом:

#sh mac vlan 901
MAC Address            VLAN ID  port     status         
00:19:21:95:49:1b      901      0/1/2    dynamic        
00:24:c3:df:26:80      901      0/1/2    dynamic        
cc:2d:e0:92:6c:9f      901      0/1/2    dynamic        
fc:2d:5e:c4:a8:a1      901      0/0/20   dynamic        
Total entries: 4 .

Не могу понять, как так получилось.

На Orion A28F для порта 24 сервисные политики не применяются (да и он не умеет переписывать vlan id).

QTECH теоретически умеет переписывать vlan id, но только через политики, а я их не применяю.

Между QTECH и Orion ничего нет.

И вдвойне непонятно, почему тэг поменялся только для MAC-адреса точки доступа, а для подключенных клиентов (fc:2d:5e:c4:a8:a1) не меняется.

Share this post


Link to post
Share on other sites

надо смотреть на дампы, которые снимать через сплиттер. через port-mirror такие дампы снимать опасно, там сам port-mirror может вланчики подрезать

Share this post


Link to post
Share on other sites

18 минут назад, TheUser сказал:

q-in-q, vlan translation, voice vlan?

Ничего этого нет.

 

1 час назад, s.lobanov сказал:

сам port-mirror может вланчики подрезать

Даже если бы так, почему такая выборочность?

Тэг меняется только для конкретного MAC-адреса.

Share this post


Link to post
Share on other sites

Есть некоторый прогресс, хотя логики все равно не понимаю.

ACL на абонентских портах настроен так, чтобы резать все, кроме PPPoE и IGMP.

Убрал ACL с порта 24. Теперь точка доступа заработала и доступна в VLAN 901.

Но и в VLAN 400 ее MAC по прежнему виден (на 3900) и это мне непонятно. И если дело было в ACL, все равно непонятно, почему MAC-адреса пользователей хотспот были видны.

Share this post


Link to post
Share on other sites

Точки часто кривые. У меня МАСи пользователей летят в вилан управления в виде каких-то мультикастов от точек доступа. Причём наблюдается на разных точках доступа, D-Link, Zyxel, даже Cambium ePMP1000.

Share this post


Link to post
Share on other sites

Какая бы ни была точка кривая, как она может поменять тэг в access-порту, причем не на непосредственно подключённом коммутаторе (там все правильно), а на вышестоящем?

Правда есть у меня одно предположение, завтра проверю.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.