Jump to content
Калькуляторы

Простой вопрос по L2VPN Huawei

Всем привет!
Приобрели для построения в организации MPLS L2VPN четыре железки Huawei CE S6730-H48X6C
Прошивка V200R022C00

Не работает ни один тоннель.
LDP сессия стартует без проблем, но в любых вариантах L2VPN - VC state DOWN

Может ли это зависеть от прошивки?
Продавец уверяет (да и мы проверили) у железок нет лицензионного контроля за L2VPN.

Share this post


Link to post
Share on other sites

Стенд:
Для упрощения настроек и понимания процессов я соединил два коммутатора директаттачем без промежуточных устройств. На установление связанности в режиме тоннеля L2 это никак не влияет.
Сессия LDP поднимается и пиры видят друг друга. Затык именно в поднятии тоннеля. 
К коммутаторам подключены ноутбуки со статическими адресами в одной сети.
Настраивать на виланах я пока не стал, опять же для упрощения процесса.
Вот точная последовательность моих настроек. Опять же всё максимально просто и прозрачно.

[CORE1] mpls lsr-id 10.1.1.1
[CORE1] mpls
[CORE1-mpls] quit
[CORE1-mpls] mpls ldp
[CORE1-mpls-ldp] quit
[CORE1] interface gigabitethernet 2/0/0
[CORE1-GigabitEthernet2/0/0] ip address 10.1.1.1 255.255.255.252
[CORE1-GigabitEthernet2/0/0] mpls
[CORE1-GigabitEthernet2/0/0] mpls ldp
[CORE1-GigabitEthernet2/0/0] quit
[CORE1] mpls ldp remote-peer 10.1.1.2
[CORE1-mpls-ldp-remote-10.1.1.1] remote-ip 10.1.1.2
[CORE1-mpls-ldp-remote-10.1.1.1] quit
[CORE1] mpls l2vpn
[CORE1-l2vpn] quit
[CORE1] interface gigabitethernet 1/0/0
[CORE1-GigabitEthernet1/0/0] mpls l2vc 10.1.1.2 100
[CORE1-GigabitEthernet1/0/0] quit

[CORE2] mpls lsr-id 10.1.1.2
[CORE2] mpls
[CORE2-mpls] quit 
[CORE2-mpls] mpls ldp 
[CORE2-mpls-ldp] quit 
[CORE2] interface gigabitethernet 2/0/0 
[CORE2-GigabitEthernet2/0/0] ip address 10.1.1.2 255.255.255.252 
[CORE2-GigabitEthernet2/0/0] mpls 
[CORE2-GigabitEthernet2/0/0] mpls ldp 
[CORE2-GigabitEthernet2/0/0] quit 
[CORE2] mpls ldp remote-peer 10.1.1.1
[CORE2-mpls-ldp-remote-10.1.1.1] remote-ip 10.1.1.1 
[CORE2-mpls-ldp-remote-10.1.1.1] quit
[CORE2] mpls l2vpn 
[CORE2-l2vpn] quit 
[CORE2] interface gigabitethernet 1/0/0 
[CORE2-GigabitEthernet1/0/0] mpls l2vc 10.1.1.1 100 
[CORE2-GigabitEthernet1/0/0] quit

Конфиг максимально простой. Естественно в продакшене всё будет работать через маршрутизацию из нескольких узлов и связанностью по анонсированным лупбэкам, но сейчас проблема именно в поднятии тоннеля.

И самое удивительное, что все попытки поднять тоннели делались по официальным мануалам Хуавея.

https://support.huawei.com/hedex/hdx.do?docid=EDOC1100126530&id=EN-US_TASK_0177109420

Edited by RiddickRB

Share this post


Link to post
Share on other sites

Конфиги с железок.


ПЕРВАЯ:

<HUAWEI-ONE>display current-configuration
!Software Version V200R022C00SPC500
#
sysname HUAWEI-ONE
#
mpls lsr-id 10.1.1.1
mpls
#                                         
mpls l2vpn
#
mpls ldp
#
#
mpls ldp remote-peer 10.1.1.2
 remote-ip 10.1.1.2
#
interface Vlanif1                         
#
interface XGigabitEthernet0/0/1
 undo portswitch
 ip address 10.1.1.1 255.255.255.252
 mpls
 mpls ldp
#
interface XGigabitEthernet0/0/2
 undo portswitch
 mpls l2vc 10.1.1.2 100
#
<HUAWEI-ONE>

ВТОРАЯ:

<HUAWEI-TWO>display current-configuration
!Software Version V200R022C00SPC500
#
sysname HUAWEI-TWO           
#
mpls lsr-id 10.1.1.2
mpls
#
mpls l2vpn
#
mpls ldp
#
#
mpls ldp remote-peer 10.1.1.1
 remote-ip 10.1.1.1
#
interface Vlanif1
#
interface MEth0/0/1
 ip address 192.168.1.253 255.255.255.0
#
interface XGigabitEthernet0/0/1
 undo portswitch
 ip address 10.1.1.2 255.255.255.252
 mpls
 mpls ldp
#
interface XGigabitEthernet0/0/2
 undo portswitch                          
 mpls l2vc 10.1.1.1 100
#
<HUAWEI-TWO>

 

Выводы диагностики:

LDP сессия:
 

<HUAWEI-ONE>display mpls ldp session

 LDP Session(s) in Public Network
 Codes: LAM(Label Advertisement Mode), SsnAge Unit(DDDD:HH:MM)
 A '*' before a session means the session is being deleted.
 ------------------------------------------------------------------------------
 PeerID             Status      LAM  SsnRole  SsnAge      KASent/Rcv
 ------------------------------------------------------------------------------
 10.1.1.2:0         Operational DU   Passive  0000:00:10  41/41
 ------------------------------------------------------------------------------
 TOTAL: 1 session(s) Found.


Тоннель:

<HUAWEI-ONE>display mpls l2vc interface XGigabitEthernet 0/0/2
 *client interface       : XGigabitEthernet0/0/2 is up
  Administrator PW       : no
  session state          : up
  AC status              : up
  Ignore AC state        : disable
  VC state               : down
  Label state            : 0
  Token state            : 0
  VC ID                  : 100
  VC type                : Ethernet
  destination            : 10.1.1.2
  local group ID         : 0            remote group ID      : 0
  local VC label         : 1024         remote VC label      : 1024
  local AC OAM State     : up
  local PSN OAM State    : up
  local forwarding state : not forwarding
  local status code      : 0x1
  remote AC OAM state    : up
  remote PSN OAM state   : up
  remote forwarding state: not forwarding
  remote status code     : 0x1
  ignore standby state   : no
  BFD for PW             : unavailable
  VCCV State             : up
  manual fault           : not set        
  active state           : inactive
  forwarding entry       : not exist
  link state             : down
  local VC MTU           : 1500         remote VC MTU        : 1500
  local VCCV             : alert ttl lsp-ping bfd
  remote VCCV            : alert ttl lsp-ping bfd
  local control word     : disable      remote control word  : disable
  tunnel policy name     : --
  PW template name       : --
  primary or secondary   : primary
  load balance type      : flow
  Access-port            : false
  Switchover Flag        : false
  VC tunnel/token info   : 0 tunnels/tokens
    Backup TNL type      : lsp   , TNL ID : 0x0
  create time            : 0 days, 0 hours, 14 minutes, 57 seconds
  up time                : 0 days, 0 hours, 0 minutes, 0 seconds
  last change time       : 0 days, 0 hours, 14 minutes, 57 seconds
  VC last up time        : 0000/00/00 00:00:00
  VC total up time       : 0 days, 0 hours, 0 minutes, 0 seconds
  CKey                   : 4
  NKey                   : 3
  PW redundancy mode     : frr
  AdminPw interface      : --             
  AdminPw link state     : --
  Diffserv Mode          : uniform
  Service Class          : be
  Color                  : --
  DomainId               : --
  Domain Name            : --

LDP сессия:
 

<HUAWEI-TWO>display mpls ldp session

 LDP Session(s) in Public Network
 Codes: LAM(Label Advertisement Mode), SsnAge Unit(DDDD:HH:MM)
 A '*' before a session means the session is being deleted.
 ------------------------------------------------------------------------------
 PeerID             Status      LAM  SsnRole  SsnAge      KASent/Rcv
 ------------------------------------------------------------------------------
 10.1.1.1:0         Operational DU   Active   0000:00:08  33/33
 ------------------------------------------------------------------------------
 TOTAL: 1 session(s) Found

Тоннель:

 

<HUAWEI-TWO>display mpls l2vc interface XGigabitEthernet 0/0/2
 *client interface       : XGigabitEthernet0/0/2 is up
  Administrator PW       : no
  session state          : up
  AC status              : up
  Ignore AC state        : disable
  VC state               : down
  Label state            : 0
  Token state            : 0
  VC ID                  : 100
  VC type                : Ethernet
  destination            : 10.1.1.1
  local group ID         : 0            remote group ID      : 0
  local VC label         : 1024         remote VC label      : 1024
  local AC OAM State     : up
  local PSN OAM State    : up
  local forwarding state : not forwarding
  local status code      : 0x1
  remote AC OAM state    : up
  remote PSN OAM state   : up
  remote forwarding state: not forwarding
  remote status code     : 0x1
  ignore standby state   : no
  BFD for PW             : unavailable
  VCCV State             : up
  manual fault           : not set        
  active state           : inactive
  forwarding entry       : not exist
  link state             : down
  local VC MTU           : 1500         remote VC MTU        : 1500
  local VCCV             : alert ttl lsp-ping bfd
  remote VCCV            : alert ttl lsp-ping bfd
  local control word     : disable      remote control word  : disable
  tunnel policy name     : --
  PW template name       : --
  primary or secondary   : primary
  load balance type      : flow
  Access-port            : false
  Switchover Flag        : false
  VC tunnel/token info   : 0 tunnels/tokens
    Backup TNL type      : lsp   , TNL ID : 0x0
  create time            : 0 days, 0 hours, 15 minutes, 8 seconds
  up time                : 0 days, 0 hours, 0 minutes, 0 seconds
  last change time       : 0 days, 0 hours, 15 minutes, 8 seconds
  VC last up time        : 0000/00/00 00:00:00
  VC total up time       : 0 days, 0 hours, 0 minutes, 0 seconds
  CKey                   : 4
  NKey                   : 3
  PW redundancy mode     : frr
  AdminPw interface      : --             
  AdminPw link state     : --
  Diffserv Mode          : uniform
  Service Class          : be
  Color                  : --
  DomainId               : --
  Domain Name            : --

 

Edited by RiddickRB

Share this post


Link to post
Share on other sites

И не один раз!
Именно поэтому я упростил стенд до максимума. Чтобы исключить большинство вопросов.
С самого начала я спросил про прошивку, т.к. объективных причин проблемы я не вижу.

MTU - совпадают
Типы инкапсуляции - совпадают
VC id - совпадают
LDP сессия - поднята
AC в состоянии UP - на обоих сторонах

Control word - не использую
Политики туннелирования не использую.

Edited by RiddickRB

Share this post


Link to post
Share on other sites

Верно. Всё передо мной. Два коммутатора и два ноутбука.
Схема максимально простая! Коммутаторы смотрят друг в друга по директаттачу.

Edited by RiddickRB

Share this post


Link to post
Share on other sites

2 hours ago, RiddickRB said:

И не один раз!
Именно поэтому я упростил стенд до максимума. Чтобы исключить большинство вопросов.

 

jimho, вы переупростили стенд, вот оно и не работает.

Чего точно не хватает: igp (ospf/isis) между свитчами.

Что точно сделано неправильно: туннель поднимается не между loopback-адресами (/32, должны быть известны и по igp и по ldp), а между интерфейсными.

 

В результате: да, ldp поднят, туннельной меткой железки обмениваются. Но, поскольку транспортной метки до другой железки ни одна из них не знает - туннель и не работает...

 

PS: как диагностировать на huawei, к сожалению, не подскажу, с этим оборудованием не работал.

Но на наших жужиперах не завелось бы точно так же.

Share this post


Link to post
Share on other sites

Вот даже спорить не стану. На Цисках собрал тот же стенд с успехом. Нет тут никакой ошибки. Вопрос чисто технический и с железками что то не так...

Share this post


Link to post
Share on other sites

34 минуты назад, RiddickRB сказал:

Вот даже спорить не стану. На Цисках собрал тот же стенд с успехом. Нет тут никакой ошибки. Вопрос чисто технический и с железками что то не так...

Вы все же попробуйте сделать, как описано в документации по вашей же ссылке. Там все по-классике - и loopbacks /32, и IGP (OSPF). У Хуавеев "By default, LDP uses IP host routes with 32-bit addresses (excluding host routes with 32-bit interface addresses) to establish LSPs". У циски же "The LDP default behavior is to allocate local labels for all non-BGP prefixes."

Share this post


Link to post
Share on other sites

Сделал всё по прелагаемой Хуавеем схмеме. Ничего не поменялось. Также LDP сессии поднимаются. Тоннель VC state DOWN.

 

Share this post


Link to post
Share on other sites

В 08.02.2024 в 17:39, RiddickRB сказал:

Продавец уверяет (да и мы проверили) у железок нет лицензионного контроля за L2VPN.

С другой стороны для другой железки в KB описано аналогичное поведение из-за лицензии: https://support.huawei.com/enterprise/en/knowledge/EKB1000060924

 

 

Edited by Умник

Share this post


Link to post
Share on other sites

Ну вроде руки дошли до стенда.
Сервисники скинули прошивку, установил и всё взлетело.

Спасибо всем кто откликнулся!

Edited by RiddickRB

Share this post


Link to post
Share on other sites

Хуавей по-умолчанию назначает метки только для /32-маршрутов. Циска - в том числе и для любых connected-маршрутов. Поэтому у вас схема без loopbacks в Циске работает. В такой схеме local и remote binding может быть только implicit (или explicit)-null.

Вам не обязательно использовать IGP, можете прописать статикой маршруты до loopbacks. Посмотрите также это: https://support.huawei.com/enterprise/en/doc/EDOC1000128405/eb7b540d/lsp-trigger. Возможно удастся получить поведение Циски и на Хуавее (вообще без loopbacks).

Edited by Умник

Share this post


Link to post
Share on other sites

Коллеги, ещё вопрос, вероятно глупый, но есть необходимость.
Хуавей по дефолту предлагает от PE до CE использовать транк. Но очень нужно пустить через акцессное соединение. Проще говоря, подключить пользователя прямо к PE акцессным портом. Циска это позволяет, на Хуавее нет.
Может есть у кого опыт в подобном?

Share this post


Link to post
Share on other sites

Схожая ситуация была при организации тонелей VXLAN на Хуавеях, но там можно сделать так

bridge-domain 100

l2 binding vlan 100

vxlan vni 2100

И с любого акцессного порта с виланом 100 идёт переброс в тонель.

Edited by RiddickRB

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.