[kapydan]

"Весь вопрос в том, как доказать провайдеру, видимо надо снифовать траффик 🙂 Провайдер клянется, мол ничего не режем"

 

только так и получится. ну когда я боролся с подобными проблемами от провайдеров, то предоставлял дампы трафика с портов свичей. в особо тяжелых случаях, еще графики из заббикса.

[fractal]

7 часов назад, kapydan сказал:

"Весь вопрос в том, как доказать провайдеру, видимо надо снифовать траффик 🙂 Провайдер клянется, мол ничего не режем"

 

только так и получится. ну когда я боролся с подобными проблемами от провайдеров, то предоставлял дампы трафика с портов свичей. в особо тяжелых случаях, еще графики из заббикса.

Я в одном случае показывал netflow, вот трафик вышел к Вам, и все, до меня не дошел, ищите (скорее всего проблема в том, что свитчи не пропускают трафик eapol ( the L2 switches should bypass the encrypted packets without any processing of the encryption.), это особо упоротые коммутаторы), причем решилось тем, что я поднял xconnect через провайдера, показал что точки на macsec стыкуются (исключив их ответы это Вы не правильно настраиваете) и спросил куда отправить письмо на расторжение, через два дня они проблему решили

 

вот прям уверен, у них layer2-protocol-tunneling не используется, в итоге пакеты попадают на обработку промежуточному коммутатору 

 

[Pon97]

Пытался снять дамп средствами циски Monitor capture и самое интересно даже нет отправки EAPol пакетов, чё за дичь 🙂 Ладно бы они с порта выходили и не доходили, а их просто нет 😄 

[fractal]

18 часов назад, Pon97 сказал:

Пытался снять дамп средствами циски Monitor capture и самое интересно даже нет отправки EAPol пакетов, чё за дичь 🙂 Ладно бы они с порта выходили и не доходили, а их просто нет 😄 

 

Как бы я сделал в Вашем случае, воткнул свитч после коммутатора macsec в промежуток перед провайдером (чисто снять дамп и показать что трафик бежит от Вас) и на нем снять span, тогда Вы увидите что трафик идет шифрованный, после разобрать и отдать дамп провайдеру, либо попросить провайдера на их сети снять дамп

 

Так как на текущем коммутаторе Вы не сможете снять дамп (шифрование происходит на ASIC порта), у меня macsec бежит через мои узлы до провайдера (коммутаторы которые прозрачно пропускают macsec пакеты - Catalyst 9000 switches forward transparently packets with Clear Tag starting in 16.10(1)) и я могу посмотреть и netflow и дамп снять на них - спецом так сделал давно

[kapydan]

"Пытался снять дамп средствами циски Monitor capture" - в данном случае будет лучше обычный span+wireshark.

[Pon97]

Коллеги всем спасибо, решили проблему убрав пограничные коммутаторы H3C провайдера, и провайдер сделал нам тунель на своих Juniper'ах и сраз всё заработало.

[fractal]

4 часа назад, Pon97 сказал:

убрав пограничные коммутаторы H3C провайдера

Хм, h3c на последних прошивках поправили этот косяк, видел где то это как bug

[Pon97]

ну у нас провайдер предложил сам, давайте уберем, мы не против, убрали и всё заработало 🙂