802.1Q Tunnel

[decrups]

Добрый день всем!

Начал разбираться с 802.1Q Tunnel и не могу понять как же в локалку клиенту инет организовать если "IP routing is not supported on a VLAN that includes IEEE 802.1Q ports. Packets received from a tunnel port are forwarded based only on Layer 2 information. If routing is enabled on the switch virtual interface (SVI) that includes tunnel ports, untagged IP packets received from the tunnel port are recognized and routed by the switch. This allows the customer to access the Internet through its native VLAN."

Те если у меня Native vlan на транке от клиентского коммутатора например Vlan3 то как из других Vlan-ов пользователи будут попадать в инет?

Собрал в лабе такую схемку с клиентской стороны 2950 на порте в сторону провайдера:

interface FastEthernet0/13

switchport mode trunk

Со сторны провайдера 3750 на порте в сторону клинета:

interface FastEthernet2/0/23

switchport access vlan 3

switchport trunk encapsulation dot1q

switchport mode dot1q-tunnel

no cdp enable

И SVI к примеру

nterface Vlan3

ip address 192.168.1.254 255.255.255.0

!

interface Vlan4

ip address 192.168.12.254 255.255.255.0

Пользователи в с-vlan3 в инет ходят, а с с-vlan4 соответсвенно нет потому как я понял Packets received from a tunnel port are forwarded based only on Layer 2 information.

Может схема подключения клиентского коммутатора не верноа хотя написано "When you configure IEEE 802.1Q tunneling, you should always use an asymmetrical link between the customer device and the edge switch, with the customer device port configured as an IEEE 802.1Q trunk port and the edge switch port configured as a tunnel port."

Подскажите как сделать чтобы и с других vlan-ов пользователи могли в инет ходить?

Если уж совсем я тут нагородил, дайте теории хорошей по этой теме.

[puh]

2950 - это L2 коммутатор. Он маршрутизировать не умеет.

 

[ingress]

native vlan один? один.

остальные вланы(теггированные) пойдут внутри тунеля.

 

либо вам надо иметь selective q-in-q, где можно указать какие вланы помещать в тунель, а какие нет.

здесь вы сами говорили что из младших цисок ME3400E умеет.

Edited February 16, 2009 by ingress

[decrups]

native vlan один? один.

остальные вланы(теггированные) пойдут внутри тунеля.

 

либо вам надо иметь selective q-in-q, где можно указать какие вланы помещать в тунель, а какие нет.

здесь вы сами говорили что из младших цисок ME3400E умеет.

Я так понимаю, что если клиент хочет иметь и локалку и инет то без selective q-in-q не обойтись.

2950 - это L2 коммутатор. Он маршрутизировать не умеет.

Хорошо у клиента тож 3750 стоит и уже на нем SVI подняты, порт который к провайдеру подключен все равно транковый, пробовал и так может чего то не допонял.Объясните puh.

 

[ingress]

можно и без selective обойтись.

 

для примера

 

Я так понимаю, что если клиент хочет иметь и связь с удалёнными офисами и инет то без selective q-in-q не обойтись.

на своей стороне клиент выводит вланы которые пришли на какое то своё СPE или дальше их гонит в своём L2

в частности нейтив влан выводит на свой фаервол-натбокс-етц. и на нём раздаёт интернет для внутренних пользователей, а офисы либо терминирует на L3 свиче(вместо 2950 допустим 3550 и дальше) либо так же выводит на фаервол-натбокс-етц. и маршрутизирует на нём.

 

удалённым офисам можно так же подать инет локально в нейтив влане.

Edited February 17, 2009 by ingress

[p10neer]

Чтобы не плодить похожих тем, задам вопрос тут.

Есть линк между рутером Cisco 7201 и Catalyst 3750. Со стороны рутера конфиг на интерфейсе:

 

------- SKIP ---------

 

interface GigabitEthernet0/1

no ip address

no ip unreachables

load-interval 30

media-type rj45

speed auto

duplex auto

negotiation auto

dot1q tunneling ethertype 0x88A8

no snmp trap link-status

 

interface GigabitEthernet0/1.149

description ---=== PPPoE ===---

encapsulation dot1Q 149

pppoe enable group global

!

interface GigabitEthernet0/1.150

description ---=== PPPoE ===---

encapsulation dot1Q 150 second-dot1q any

pppoe enable group global

 

------- SKIP ---------

 

Вопрос: какой должен быть конфиг на порту 3750, чтобы влан 149 был в сети просто dot1Q, а 150 - QinQ?

 

На данный момент на порту 3750:

 

interface GigabitEthernet3/0/18

description ---=== PPPoE-V ===---

switchport trunk encapsulation dot1q

switchport mode trunk

load-interval 30

ip igmp filter 2

end

 

s mac- int gi3/0/18

Mac Address Table

-------------------------------------------

 

Vlan Mac Address Type Ports

---- ----------- -------- -----

1 0021.a083.eb1a DYNAMIC Gi3/0/18

 

[UglyAdmin]

Да одинаково, свитч не знает про "inner VLAN", оперирует только "outer VLAN". До тех пор, пока не захочешь снять "outer VLAN" на свитче, для чего нужно выделить отдельный порт.

[p10neer]

OK. Логика понятна, почему тогда мак приходит в 1 влане, хотя д.б. в 149 или 150? Куда копать?

[Stak]

OK. Логика понятна, почему тогда мак приходит в 1 влане, хотя д.б. в 149 или 150? Куда копать?

предполагаю потому, что native vlan 1...

собственно его можно сконфигурировать на любой другой командой switchport trunk native vlan X.

кстати езернет кадр (мак) не на влан приходит, он сам в сабе поле dot1q содержит;

[UglyAdmin]

dot1q tunneling ethertype 0x88A8

Хм, а на каталисте это тоже прописано?

[p10neer]

Думал об этом, но не нашел такой команды.

 

На рутере варианты:

dot1q tunneling ethertype ?

0x88A8 dot1q tunneling etype 0x88A8

0x9100 dot1q tunneling etype 0x9100

0x9200 dot1q tunneling etype 0x9200

 

Стандартного 0x8100 нет :(

 

предполагаю потому, что native vlan 1...

собственно его можно сконфигурировать на любой другой командой switchport trunk native vlan X.

кстати езернет кадр (мак) не на влан приходит, он сам в сабе поле dot1q содержит;

Да, натив влан 1.

 

Это да :)

[UglyAdmin]

Стандартного 0x8100 нет :(

А не надо ничего прописывать, тогда они нормально договорятся :)

Сейчас же с роутера валит 0x88A8, а каталист ждёт 0x8100, вот они друг друга и не понимают...

[p10neer]

Убрал. Завтра проверю.

Делал все по доке с циско.ком, сбивают с правильного пути :) Зачем вообще нестандатные ethertype?

Спасибо за советы!

Edited February 19, 2009 by p10neer

[UglyAdmin]

Нестандартные ethertype - чтобы можно было сопрячь с железками других вендоров, которые считают что "outer VLAN" должен маркироваться особо, дабы не спутать его с "inner VLAN".

[p10neer]

Не растет кокос :(

 

Дслам (Teledata BA1000) навешивает outer VLAN - 150, inner VLAN - 1025.

На 7201 PADI заходят и все..тишина. Хотя по дебагу

 

Feb 20 16:16:27.261: PPPoE 0: I PADI R:0014.3813.3268 L:ffff.ffff.ffff 150 Gi0/1.150

Feb 20 16:16:27.261: Service tag: NULL Tag

Feb 20 16:16:27.261: PPPoE 0: O PADO, R:0021.a083.eb1a L:0014.3813.3268 150 Gi0/1.150

Feb 20 16:16:27.261: Service tag: NULL Tag

Feb 20 16:16:32.261: PPPoE 0: I PADI R:0014.3813.3268 L:ffff.ffff.ffff 150 Gi0/1.150

Feb 20 16:16:32.261: Service tag: NULL Tag

Feb 20 16:16:32.261: PPPoE 0: O PADO, R:0021.a083.eb1a L:0014.3813.3268 150 Gi0/1.150

Feb 20 16:16:32.261: Service tag: NULL Tag

 

Снифером смотрю - PADI есть, PADO нет.

 

Где накосячил?

После праздников еще на Huawei MA5600 попробую аналогичный конфиг.

[UglyAdmin]

Да хз, я не имел дела с такой конструкцией, только с

encapsulation dot1Q 150 second-dot1q 1025

[sayer]

native vlan один? один.

остальные вланы(теггированные) пойдут внутри тунеля.

 

либо вам надо иметь selective q-in-q, где можно указать какие вланы помещать в тунель, а какие нет.

здесь вы сами говорили что из младших цисок ME3400E умеет.

Хм. А вот здесь подробней (с примером конфига) можно?

Допустим, пускать vlan 20 как есть, а на остальные навешивать второй тег, например 3333. c3750m.

[UglyAdmin]

http://www.cisco.com/en/US/docs/switches/m....html#wp1052952

 

[ugluck]

http://www.cisco.com/en/US/docs/switches/m....html#wp1052952

спасибище, здорово помогло!

 

через 20 минут: упс.. похоже, оно тока на ме3400E работает :( на обычном нет таких команд

Edited March 5, 2009 by ugluck