[h1vs2]

Добрый день!

 

Есть 3560, ее необходимо заменить на 6503(720-3b).

QinQ паковал петлей :

!
interface GigabitEthernet0/11
description QinQLoopTrunk
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 600,666,1300-1330,1400-1427,1438-1440
switchport mode trunk
!
interface GigabitEthernet0/12
description QinQ_tunnel
switchport access vlan 1025
switchport mode dot1q-tunnel
switchport nonegotiate
no mdix auto
no cdp enable
spanning-tree bpdufilter enable
spanning-tree bpduguard enable
! 

 

Перенес конфиг. Подключил петлю(без нагрузки)

 

В лог вывалилось :

01:51:29: %QNQ-6-NATIVE_VLAN_TAGGING: Please enable the native VLAN tagging feat
ure for proper functioning of the Q-in-Q service.

 

Прочитал на цискокоме :

By default, the native VLAN traffic of a dot1q trunk is sent untagged, which cannot be double-tagged in the service provider network. Because of this situation, the native VLAN traffic might not be tunneled correctly. Be sure that the native VLAN traffic is always sent tagged in an asymmetrical link. To tag the native VLAN egress traffic and drop all untagged ingress traffic, enter the global vlan dot1q tag native command.

 

Включил глобально:

 

"vlan dot1q tag native"

 

Этого достаточно и все станет, как и на 3560, или мне это чем-то еще сулит? С обычными вланами никаких приколов не будет?

 

Дело в том, что проверить на стенде нет возможности, только сразу в продакшин.

 

Спасибо!

[nnm]

Будет вот это: "tag the native VLAN egress traffic and drop all untagged ingress", что вообще-то нарушает стандарт 802.1q. Лечить можно несколькими способами:

1. Не использовать native VLAN (лучший вариант).

2. Сконфигурировать подключенные устройства так, чтобы они тоже тэгировали native VLAN (если они это умеют).

3. Есть интерфейсная команда no switchport trunk native vlan tag, которая отключает тэгирование на данном конкретном интерфейсе.

 

А вообще я знаю только одну причину включать vlan dot1q tag native. Она описана вот здесь: http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_58_se/configuration/guide/swtunnel.html#wp1008635

И это плохой дизайн и не Ваш случай. Поэтому я на Вашем месте выключил-бы этот vlan dot1q tag native

[h1vs2]

В общем не завелось:

 

На интерфейсах, где проходит qinq влан включен jumbo frames.

 

Пробовал и с vlan dot1q tag native и без.

 

Маки в qinq влане вижу, но этом все, ничего недоступно.

 

Есть у кого работает "qinq loop" именно на 650х ?

 

Где подводные камни? Буду очень благодарен.

[dazgluk]

Нормально работает.

Юзаем петельки для протаскивания VLANов через ядро (там где Xconnectом не сделать) никаких проблем нет, на одной 65й запихиваем, на второй - разбираем.

 

Q-in-Q tag native не нужно, если нативный VLAN не используете.

 

и с bpdu guardoм по аккуратнее

[h1vs2]

Нормально работает.

Юзаем петельки для протаскивания VLANов через ядро (там где Xconnectом не сделать) никаких проблем нет, на одной 65й запихиваем, на второй - разбираем.

 

Q-in-Q tag native не нужно, если нативный VLAN не используете.

 

и с bpdu guardoм по аккуратнее

 

А можно примерчик конфига, если не затруднит.

 

А с mtu на физический интерфейсах у Вас как?

 

Заранее спасибо!

[dazgluk]

Да по сути так же как и у вас.

 

interface GigabitEthernet2/40

description QinQ_Loopback_int

switchport

switchport trunk encapsulation dot1q

switchport trunk allowed vlan 1,492-494,555,595,600,677,1102,1290,3000

switchport mode trunk

mtu 9216

ip arp inspection trust

no cdp enable

no lldp transmit

no lldp receive

spanning-tree portfast edge

spanning-tree bpdufilter enable

ip dhcp snooping trust

end

 

interface GigabitEthernet2/41

description QinQ_Loopback_ext

switchport

switchport access vlan 1121

switchport mode dot1q-tunnel

switchport nonegotiate

mtu 9216

ip arp inspection trust

no cdp enable

no lldp transmit

no lldp receive

spanning-tree bpdufilter enable

end

Edited September 10, 2012 by dazgluk

[h1vs2]

А можно еще версию софта, на всякий случай.

Спасибо!

[dazgluk]

Да пожалуйста.

System image file is "sup-bootdisk:s72033-advipservicesk9_wan-mz.122-33.SXI3.bin"

 

И модуль, сразу

2 48 48-port 10/100/1000 RJ45 EtherModule WS-X6148A-GE-TX

[h1vs2]

Пробую вот еще раз.

Не работают вланы, которы терминируются на самой циске, как аннамберед, так и простые.

Дхцп получают, арпы видно с обоих сторон, но на этом все.

 

Куда копать? какие конфиги давать?

[dazgluk]

Куда копать? какие конфиги давать?

Наблюдал подобное поведения когда пытался через эту петельку прогнать Q-in-Q.

Получившийся Triple-Tag-QinQ так же не терминировался нормально.

Единственное, что пришло в голову - некорректный TPID в фреймах, однако никаких стандартов на triple-tag-qinq я не нашел, а по скольку линк был боевой, тот Vlan просто протащили в обход петли.

 

Обычный QinQ (2 тега, TPID 0x88A8) проходит абсолютно спокойно.

[h1vs2]

Куда копать? какие конфиги давать?

Наблюдал подобное поведения когда пытался через эту петельку прогнать Q-in-Q.

Получившийся Triple-Tag-QinQ так же не терминировался нормально.

Единственное, что пришло в голову - некорректный TPID в фреймах, однако никаких стандартов на triple-tag-qinq я не нашел, а по скольку линк был боевой, тот Vlan просто протащили в обход петли.

 

Обычный QinQ (2 тега, TPID 0x88A8) проходит абсолютно спокойно.

 

На той стороне стоит длинк, там 0х8100 стоит, с 3560 все работает отлично.

и если дело в tpid, то почему транзитные вланы хорошо работают, даже мультикаст бегает.....

 

ну и если дело таки в нем, то как на 6500 поменять его и на каком интерфейсе это нужно делать?

[dazgluk]

 

На той стороне стоит длинк, там 0х8100 стоит, с 3560 все работает отлично.

и если дело в tpid, то почему транзитные вланы хорошо работают, даже мультикаст бегает.....

 

ну и если дело таки в нем, то как на 6500 поменять его и на каком интерфейсе это нужно делать?

 

Для обычных vlanов ничего менять не надо, с TPID беда где-то если пытаться QinQ в QinQ паковать.

А вы я так понял обычные vlanы хотите, тогда с вашим конфигом все должно взлететь без проблем.

 

а по stp случаем не кладутся линки? в show spanning-tree blockedports пусто?

[h1vs2]

 

На той стороне стоит длинк, там 0х8100 стоит, с 3560 все работает отлично.

и если дело в tpid, то почему транзитные вланы хорошо работают, даже мультикаст бегает.....

 

ну и если дело таки в нем, то как на 6500 поменять его и на каком интерфейсе это нужно делать?

 

Для обычных vlanов ничего менять не надо, с TPID беда где-то если пытаться QinQ в QinQ паковать.

А вы я так понял обычные vlanы хотите, тогда с вашим конфигом все должно взлететь без проблем.

 

а по stp случаем не кладутся линки? в show spanning-tree blockedports пусто?

Пусто. Там пакуется парочка транзитных, мультикаст и абонентсие аннамберед вланы. так вот абонентские не работают. арпы видно с обоих сторон, дхцп которое релеит циска получают, но даже шлюз не пингуется...

[dazgluk]

Со второй стороны тоже петлей пакуете? на каком оборудовании? Если на Dlinkе, то надо выставить фреймам внешний TPID 0x88A8

[h1vs2]

Со второй стороны тоже петлей пакуете? на каком оборудовании? Если на Dlinkе, то надо выставить фреймам внешний TPID 0x88A8

 

без петли. длинк. стоит именно 8100 там, с 3560 так работает только, для 6503 нужно 0х88а8?

 

и просто для понимания, почему с тким езертайпом работает транзитные?

[dazgluk]

без петли. длинк. стоит именно 8100 там, с 3560 так работает только, для 6503 нужно 0х88а8?

 

и просто для понимания, почему с тким езертайпом работает транзитные?

 

Думаю это особенность работы ASICа.

Как это работает в теории:

По сути, как он узнает какой трафик у него во фрейме и откуда начинается IP? по TPID, он смотрит TPID, видит 0x88a8 соответствено это трафик QinQ, надо срезать Тег и скомутировать фрейм.

Фрейм пролетает петлю, свич смотрит тег, видит там 0x8100 значит это dot1q, и чтобы добраться для исходного IP, надо срезать тег и посмотреть что внутри. Далее маршрутизит IP трафик.

 

Теперь рассмотрим вашу ситуацию:

 

Фрейм прилетает в свич, свич смотрит тег, видит там 0х8100, значит это dot1q, соответственно срезать ничего не нужно, коммутитрует фрейм.

Фрейм пролетает петлю, свич смотрит тег, видит там 0x8100, значит это dot1q, транзитные VLANы спокойно коммутируются (срезается тег и они уходят дальше). А вот добраться до IP у свича не получается, поскольку после верхнего dot1q есть еще и нижний, а это смещение не учитывается.

 

Это лишь мои личные размышления, однако на мой взгляд они вполне логичны.

 

Возникают другие вопросы:

1. Почему это работает на 3560? На ней другая архитектура, возможно при введении команды switchport mode dot1q-tunnel верхний тег всегда срезается.

2. Работают ли у вас транзитные VLANы? ведь в них возможно присутствует лишний dot1q тег, ответ на этот вопрос может дать только Wireshark.

 

Возможно, более опытные люди сейчас меня поправят, однако кроме TPID, ничего другого не остается.

[dazgluk]

И да, на 65х можно настроить какой внешний тег считать QinQшным,

6504(config-if)#switchport dot1q ethertype ?

<600-FFFF> Ethertype value in hex

[h1vs2]

И да, на 65х можно настроить какой внешний тег считать QinQшным,

6504(config-if)#switchport dot1q ethertype ?

<600-FFFF> Ethertype value in hex

 

Указал с той стороны 0x88a8 - перестал ходить даже транзит.

 

Указал switchport dot1q ethertype 8100. В конфиге оно не отобразилось.

Но аналогично - ничего.

 

Есть вероятность, что на транспорте фильтруют по езертайпу 0x8100, но тогда непонятно как работает транзитные....

[h1vs2]

И да, на 65х можно настроить какой внешний тег считать QinQшным,

6504(config-if)#switchport dot1q ethertype ?

<600-FFFF> Ethertype value in hex

 

Указал с той стороны 0x88a8 - перестал ходить даже транзит.

 

Указал switchport dot1q ethertype 8100. В конфиге оно не отобразилось.

Но аналогично - ничего.

 

Есть вероятность, что на транспорте фильтруют по езертайпу 0x8100, но тогда непонятно как работает транзитные....

 

На транзите не фильтруют. 0x88a8 с той стороны не помогает - перестает ходить все

switchport dot1q ethertype 8100 - не отображается в конфигах и результатов не дает....

 

Есть у кого еще идеи какие?

[h1vs2]

UP!

 

Собрал стенд на другой 6509 тоже sup720-3b

и точно такой-же модуль, где заворачивается петля :

 2   24  CEF720 24 port 1000mb SFP              WS-X6724-SFP       

 

Иос тут adventerprisek9_wan-mz.122-33.SXH.bin, но дело не в нем - там пробовал и SXI6 и SXH8a

 

Собственно : схема 6509(qinq loop) - транспорт - dlink 3120-24-sc(распаковывает) - D-Link 3528 - Комп

 

Привожу конфиги :

 

!
interface GigabitEthernet2/3
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 81
switchport mode trunk
mtu 9216
no cdp enable
no lldp transmit
no lldp receive
end

interface GigabitEthernet2/7
switchport
switchport access vlan 80
switchport mode dot1q-tunnel
switchport nonegotiate
mtu 9216
no cdp enable
no lldp transmit
no lldp receive
spanning-tree bpdufilter enable
spanning-tree bpduguard enable
end

interface Vlan81
description qinqcvlan
ip address 192.168.48.250 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
arp timeout 300
!
interface Vlan80
description qinqtest
no ip address
!

Ну и дальше влан отдается в "транспорт"

 

Глинк (порт 8 - транспорт , 1 - доступ) :

 

enable jumbo_frame
config vlan default delete 1:1-1:24
config vlan default advertisement enable
create vlan qinq tag 80
config vlan qinq add tagged 1:8
config vlan qinq add untagged 1:1 advertisement disable
enable qinq
config port_vlan 1:1 gvrp_state disable ingress_checking enable acceptable_frame admit_all pvid 80
config port_vlan 1:8 gvrp_state disable ingress_checking disable acceptable_frame admit_all pvid 1
config qinq ports 1:1 role uni missdrop disable outer_tpid 0x8100
config qinq ports 1:1-1:24  add_inner_tag disable
config qinq ports 1:2-1:24 role nni missdrop disable outer_tpid 0x8100

 

Пробовал и с влан транслейшин - сути не меняет.

 

Дефолтный TPID на циске 0x8100.

 

Отзеркалил порт 8 с глинка.

Когда пингуешь с циски приходит пакет, показывает езертайп 0х8100. Показывает влан 80, потом показывает внутренний влан 81. Пакет улетает компу, комп на него отвечает и пакет улетает назад. На циске ничего.

Если пинговать с компа, циска не отвечает.

 

Буду очень признателен за помощь!

[h1vs2]

UP