RiddickRB Опубликовано 8 февраля · Жалоба Всем привет! Приобрели для построения в организации MPLS L2VPN четыре железки Huawei CE S6730-H48X6C Прошивка V200R022C00 Не работает ни один тоннель. LDP сессия стартует без проблем, но в любых вариантах L2VPN - VC state DOWN Может ли это зависеть от прошивки? Продавец уверяет (да и мы проверили) у железок нет лицензионного контроля за L2VPN. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
crank Опубликовано 9 февраля · Жалоба Всё там работает. Кидайте свой конфиг. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RiddickRB Опубликовано 9 февраля (изменено) · Жалоба Стенд: Для упрощения настроек и понимания процессов я соединил два коммутатора директаттачем без промежуточных устройств. На установление связанности в режиме тоннеля L2 это никак не влияет. Сессия LDP поднимается и пиры видят друг друга. Затык именно в поднятии тоннеля. К коммутаторам подключены ноутбуки со статическими адресами в одной сети. Настраивать на виланах я пока не стал, опять же для упрощения процесса. Вот точная последовательность моих настроек. Опять же всё максимально просто и прозрачно. [CORE1] mpls lsr-id 10.1.1.1 [CORE1] mpls [CORE1-mpls] quit [CORE1-mpls] mpls ldp [CORE1-mpls-ldp] quit [CORE1] interface gigabitethernet 2/0/0 [CORE1-GigabitEthernet2/0/0] ip address 10.1.1.1 255.255.255.252 [CORE1-GigabitEthernet2/0/0] mpls [CORE1-GigabitEthernet2/0/0] mpls ldp [CORE1-GigabitEthernet2/0/0] quit [CORE1] mpls ldp remote-peer 10.1.1.2 [CORE1-mpls-ldp-remote-10.1.1.1] remote-ip 10.1.1.2 [CORE1-mpls-ldp-remote-10.1.1.1] quit [CORE1] mpls l2vpn [CORE1-l2vpn] quit [CORE1] interface gigabitethernet 1/0/0 [CORE1-GigabitEthernet1/0/0] mpls l2vc 10.1.1.2 100 [CORE1-GigabitEthernet1/0/0] quit [CORE2] mpls lsr-id 10.1.1.2 [CORE2] mpls [CORE2-mpls] quit [CORE2-mpls] mpls ldp [CORE2-mpls-ldp] quit [CORE2] interface gigabitethernet 2/0/0 [CORE2-GigabitEthernet2/0/0] ip address 10.1.1.2 255.255.255.252 [CORE2-GigabitEthernet2/0/0] mpls [CORE2-GigabitEthernet2/0/0] mpls ldp [CORE2-GigabitEthernet2/0/0] quit [CORE2] mpls ldp remote-peer 10.1.1.1 [CORE2-mpls-ldp-remote-10.1.1.1] remote-ip 10.1.1.1 [CORE2-mpls-ldp-remote-10.1.1.1] quit [CORE2] mpls l2vpn [CORE2-l2vpn] quit [CORE2] interface gigabitethernet 1/0/0 [CORE2-GigabitEthernet1/0/0] mpls l2vc 10.1.1.1 100 [CORE2-GigabitEthernet1/0/0] quit Конфиг максимально простой. Естественно в продакшене всё будет работать через маршрутизацию из нескольких узлов и связанностью по анонсированным лупбэкам, но сейчас проблема именно в поднятии тоннеля. И самое удивительное, что все попытки поднять тоннели делались по официальным мануалам Хуавея. https://support.huawei.com/hedex/hdx.do?docid=EDOC1100126530&id=EN-US_TASK_0177109420 Изменено 9 февраля пользователем RiddickRB Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RiddickRB Опубликовано 9 февраля (изменено) · Жалоба Конфиги с железок. ПЕРВАЯ: <HUAWEI-ONE>display current-configuration !Software Version V200R022C00SPC500 # sysname HUAWEI-ONE # mpls lsr-id 10.1.1.1 mpls # mpls l2vpn # mpls ldp # # mpls ldp remote-peer 10.1.1.2 remote-ip 10.1.1.2 # interface Vlanif1 # interface XGigabitEthernet0/0/1 undo portswitch ip address 10.1.1.1 255.255.255.252 mpls mpls ldp # interface XGigabitEthernet0/0/2 undo portswitch mpls l2vc 10.1.1.2 100 # <HUAWEI-ONE> ВТОРАЯ: <HUAWEI-TWO>display current-configuration !Software Version V200R022C00SPC500 # sysname HUAWEI-TWO # mpls lsr-id 10.1.1.2 mpls # mpls l2vpn # mpls ldp # # mpls ldp remote-peer 10.1.1.1 remote-ip 10.1.1.1 # interface Vlanif1 # interface MEth0/0/1 ip address 192.168.1.253 255.255.255.0 # interface XGigabitEthernet0/0/1 undo portswitch ip address 10.1.1.2 255.255.255.252 mpls mpls ldp # interface XGigabitEthernet0/0/2 undo portswitch mpls l2vc 10.1.1.1 100 # <HUAWEI-TWO> Выводы диагностики: LDP сессия: <HUAWEI-ONE>display mpls ldp session LDP Session(s) in Public Network Codes: LAM(Label Advertisement Mode), SsnAge Unit(DDDD:HH:MM) A '*' before a session means the session is being deleted. ------------------------------------------------------------------------------ PeerID Status LAM SsnRole SsnAge KASent/Rcv ------------------------------------------------------------------------------ 10.1.1.2:0 Operational DU Passive 0000:00:10 41/41 ------------------------------------------------------------------------------ TOTAL: 1 session(s) Found. Тоннель: <HUAWEI-ONE>display mpls l2vc interface XGigabitEthernet 0/0/2 *client interface : XGigabitEthernet0/0/2 is up Administrator PW : no session state : up AC status : up Ignore AC state : disable VC state : down Label state : 0 Token state : 0 VC ID : 100 VC type : Ethernet destination : 10.1.1.2 local group ID : 0 remote group ID : 0 local VC label : 1024 remote VC label : 1024 local AC OAM State : up local PSN OAM State : up local forwarding state : not forwarding local status code : 0x1 remote AC OAM state : up remote PSN OAM state : up remote forwarding state: not forwarding remote status code : 0x1 ignore standby state : no BFD for PW : unavailable VCCV State : up manual fault : not set active state : inactive forwarding entry : not exist link state : down local VC MTU : 1500 remote VC MTU : 1500 local VCCV : alert ttl lsp-ping bfd remote VCCV : alert ttl lsp-ping bfd local control word : disable remote control word : disable tunnel policy name : -- PW template name : -- primary or secondary : primary load balance type : flow Access-port : false Switchover Flag : false VC tunnel/token info : 0 tunnels/tokens Backup TNL type : lsp , TNL ID : 0x0 create time : 0 days, 0 hours, 14 minutes, 57 seconds up time : 0 days, 0 hours, 0 minutes, 0 seconds last change time : 0 days, 0 hours, 14 minutes, 57 seconds VC last up time : 0000/00/00 00:00:00 VC total up time : 0 days, 0 hours, 0 minutes, 0 seconds CKey : 4 NKey : 3 PW redundancy mode : frr AdminPw interface : -- AdminPw link state : -- Diffserv Mode : uniform Service Class : be Color : -- DomainId : -- Domain Name : -- LDP сессия: <HUAWEI-TWO>display mpls ldp session LDP Session(s) in Public Network Codes: LAM(Label Advertisement Mode), SsnAge Unit(DDDD:HH:MM) A '*' before a session means the session is being deleted. ------------------------------------------------------------------------------ PeerID Status LAM SsnRole SsnAge KASent/Rcv ------------------------------------------------------------------------------ 10.1.1.1:0 Operational DU Active 0000:00:08 33/33 ------------------------------------------------------------------------------ TOTAL: 1 session(s) Found Тоннель: <HUAWEI-TWO>display mpls l2vc interface XGigabitEthernet 0/0/2 *client interface : XGigabitEthernet0/0/2 is up Administrator PW : no session state : up AC status : up Ignore AC state : disable VC state : down Label state : 0 Token state : 0 VC ID : 100 VC type : Ethernet destination : 10.1.1.1 local group ID : 0 remote group ID : 0 local VC label : 1024 remote VC label : 1024 local AC OAM State : up local PSN OAM State : up local forwarding state : not forwarding local status code : 0x1 remote AC OAM state : up remote PSN OAM state : up remote forwarding state: not forwarding remote status code : 0x1 ignore standby state : no BFD for PW : unavailable VCCV State : up manual fault : not set active state : inactive forwarding entry : not exist link state : down local VC MTU : 1500 remote VC MTU : 1500 local VCCV : alert ttl lsp-ping bfd remote VCCV : alert ttl lsp-ping bfd local control word : disable remote control word : disable tunnel policy name : -- PW template name : -- primary or secondary : primary load balance type : flow Access-port : false Switchover Flag : false VC tunnel/token info : 0 tunnels/tokens Backup TNL type : lsp , TNL ID : 0x0 create time : 0 days, 0 hours, 15 minutes, 8 seconds up time : 0 days, 0 hours, 0 minutes, 0 seconds last change time : 0 days, 0 hours, 15 minutes, 8 seconds VC last up time : 0000/00/00 00:00:00 VC total up time : 0 days, 0 hours, 0 minutes, 0 seconds CKey : 4 NKey : 3 PW redundancy mode : frr AdminPw interface : -- AdminPw link state : -- Diffserv Mode : uniform Service Class : be Color : -- DomainId : -- Domain Name : -- Изменено 9 февраля пользователем RiddickRB Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 9 февраля · Жалоба VPWS PW Down Cause Analysis and Troubleshooting - Huawei - изучено? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RiddickRB Опубликовано 9 февраля (изменено) · Жалоба И не один раз! Именно поэтому я упростил стенд до максимума. Чтобы исключить большинство вопросов. С самого начала я спросил про прошивку, т.к. объективных причин проблемы я не вижу. MTU - совпадают Типы инкапсуляции - совпадают VC id - совпадают LDP сессия - поднята AC в состоянии UP - на обоих сторонах Control word - не использую Политики туннелирования не использую. Изменено 9 февраля пользователем RiddickRB Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 9 февраля · Жалоба То есть сейчас все лежит на столе, и промежуточных устройств, могущих резать метки и/или MTU - нет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RiddickRB Опубликовано 9 февраля (изменено) · Жалоба Верно. Всё передо мной. Два коммутатора и два ноутбука. Схема максимально простая! Коммутаторы смотрят друг в друга по директаттачу. Изменено 9 февраля пользователем RiddickRB Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snar Опубликовано 9 февраля · Жалоба 2 hours ago, RiddickRB said: И не один раз! Именно поэтому я упростил стенд до максимума. Чтобы исключить большинство вопросов. jimho, вы переупростили стенд, вот оно и не работает. Чего точно не хватает: igp (ospf/isis) между свитчами. Что точно сделано неправильно: туннель поднимается не между loopback-адресами (/32, должны быть известны и по igp и по ldp), а между интерфейсными. В результате: да, ldp поднят, туннельной меткой железки обмениваются. Но, поскольку транспортной метки до другой железки ни одна из них не знает - туннель и не работает... PS: как диагностировать на huawei, к сожалению, не подскажу, с этим оборудованием не работал. Но на наших жужиперах не завелось бы точно так же. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RiddickRB Опубликовано 10 февраля · Жалоба Вот даже спорить не стану. На Цисках собрал тот же стенд с успехом. Нет тут никакой ошибки. Вопрос чисто технический и с железками что то не так... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 10 февраля · Жалоба 34 минуты назад, RiddickRB сказал: Вот даже спорить не стану. На Цисках собрал тот же стенд с успехом. Нет тут никакой ошибки. Вопрос чисто технический и с железками что то не так... Вы все же попробуйте сделать, как описано в документации по вашей же ссылке. Там все по-классике - и loopbacks /32, и IGP (OSPF). У Хуавеев "By default, LDP uses IP host routes with 32-bit addresses (excluding host routes with 32-bit interface addresses) to establish LSPs". У циски же "The LDP default behavior is to allocate local labels for all non-BGP prefixes." Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RiddickRB Опубликовано 12 февраля · Жалоба Сделал всё по прелагаемой Хуавеем схмеме. Ничего не поменялось. Также LDP сессии поднимаются. Тоннель VC state DOWN. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 12 февраля · Жалоба Покажите display mpls ldp lsp с обоих свитчей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 12 февраля (изменено) · Жалоба В 08.02.2024 в 17:39, RiddickRB сказал: Продавец уверяет (да и мы проверили) у железок нет лицензионного контроля за L2VPN. С другой стороны для другой железки в KB описано аналогичное поведение из-за лицензии: https://support.huawei.com/enterprise/en/knowledge/EKB1000060924 Изменено 12 февраля пользователем Умник Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RiddickRB Опубликовано 12 февраля (изменено) · Жалоба Ну вроде руки дошли до стенда. Сервисники скинули прошивку, установил и всё взлетело. Спасибо всем кто откликнулся! Изменено 12 февраля пользователем RiddickRB Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 12 февраля (изменено) · Жалоба Хуавей по-умолчанию назначает метки только для /32-маршрутов. Циска - в том числе и для любых connected-маршрутов. Поэтому у вас схема без loopbacks в Циске работает. В такой схеме local и remote binding может быть только implicit (или explicit)-null. Вам не обязательно использовать IGP, можете прописать статикой маршруты до loopbacks. Посмотрите также это: https://support.huawei.com/enterprise/en/doc/EDOC1000128405/eb7b540d/lsp-trigger. Возможно удастся получить поведение Циски и на Хуавее (вообще без loopbacks). Изменено 12 февраля пользователем Умник Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RiddickRB Опубликовано 13 февраля · Жалоба Коллеги, ещё вопрос, вероятно глупый, но есть необходимость. Хуавей по дефолту предлагает от PE до CE использовать транк. Но очень нужно пустить через акцессное соединение. Проще говоря, подключить пользователя прямо к PE акцессным портом. Циска это позволяет, на Хуавее нет. Может есть у кого опыт в подобном? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 14 февраля · Жалоба А это что? interface XGigabitEthernet0/0/2 undo portswitch mpls l2vc 10.1.1.1 100 # Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RiddickRB Опубликовано 14 февраля · Жалоба Эксперимент ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RiddickRB Опубликовано 15 февраля (изменено) · Жалоба Схожая ситуация была при организации тонелей VXLAN на Хуавеях, но там можно сделать так bridge-domain 100 l2 binding vlan 100 vxlan vni 2100 И с любого акцессного порта с виланом 100 идёт переброс в тонель. Изменено 15 февраля пользователем RiddickRB Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...