[smart85]

Коллеги, доброго времени суток!

Имеется СПД, топология кольцо, 2 аплинка в сторону ядра. Ядро - Juniper EX4200F, distribution - Huawei Quidway S5328C-EI, access - D-Link DES-3200-28.

Для наглядности прилагаю схему, топология аналогичная боевой, только distribution узлов в кольце меньше, но суть не меняется.

 

Суть проблемы: при включении сетевого устройства в любой untagged порт с PVID: 1 на акцессовом коммутаторе в distribution кольце происходит L2 петля, трафик с акцессового порта попадает в кольцо, и растет по экспоненте, пока не кладет всю сеть. Стал копать дальше и выяснил, что если на акцессе прописать на trunk порту в сторону S5328С-EI PVID: 1 - forbidden, то такого не происходит. Но это странно, так как порт в который включен акцесс работает в режиме trunk:

<sr0.pop302>display current-configuration interface GigabitEthernet 0/0/23

#

interface GigabitEthernet0/0/23

port link-type trunk

port trunk allow-pass vlan 10

undo ntdp enable

undo ndp enable

bpdu enable

#

return

 

Далее был собран стенд, проблема повторилась. При этом было установленно, что если воткнуть любую железку в trunk порт S5328C-EI, то трафик попадает в default vlan и кольцуется.

 

Коллеги, скажите, это нормальная работа коммутатора, когда default vlan бегает в транке с четко указанными PVID?

Как это можно пофиксить? Как вариант попробовал настроить native vlan на trunk порту S5328C-EI, но это привело к пропаданию связи с access-коммутатором (WTF!?!!!) хотя настройки порта были сменены с:

<sr0.pop302>display current-configuration interface GigabitEthernet 0/0/23

#

interface GigabitEthernet0/0/23

port link-type trunk

port trunk allow-pass vlan 10

undo ntdp enable

undo ndp enable

bpdu enable

#

return

 

на:

<sr0.pop302>display current-configuration interface GigabitEthernet 0/0/23

#

interface GigabitEthernet0/0/23

port link-type trunk

port trunk allow-pass vlan 10

port trunk pvid vlan 10

undo ntdp enable

undo ndp enable

bpdu enable

#

return

 

UPD: До ядра данный трафик приходит, на на ae0 и ae1 дропается, т.к. vlan members на интерфейсах - Vlan1302 и Vlan1304 соответственно.

 

После undo команды все поднялось обратно.

Edited February 4, 2013 by mse.rus77

[unclebanz]

mse.rus77

На D-link 3627 точно нужно добавлять vlan'ы в forbidden - иначе влан проходит(.

По huawei не подскажу, вроде все верно.

А на access-длинках managment-vlan 10ый?

[ARtisT]

В сети, с которой мне приходится работать, на всех quidway-ях от 23 до 93 на всех интерфейсах всех типов первый вилан принудительно отменён.

[smart85]

mse.rus77

На D-link 3627 точно нужно добавлять vlan'ы в forbidden - иначе влан проходит(.

По huawei не подскажу, вроде все верно.

А на access-длинках managment-vlan 10ый?

Да, на D-Link management vlan-id 10

 

В сети, с которой мне приходится работать, на всех quidway-ях от 23 до 93 на всех интерфейсах всех типов первый вилан принудительно отменён.

У меня на девайсах:

<sr0.pop300>display version

Huawei Versatile Routing Platform Software

VRP ® software, Version 5.70 (S5300 V100R005C01SPC100)

Copyright © 2000-2011 HUAWEI TECH CO., LTD

Quidway S5328C-EI Routing Switch uptime is 3 weeks, 0 day, 11 hours, 26 minutes

 

EFGE 0(Master) : uptime is 3 weeks, 0 day, 11 hours, 25 minutes

256M bytes DDR Memory

32M bytes FLASH

Pcb Version : VER B

Basic BOOTROM Version : 107 Compiled at Jan 18 2011, 22:52:53

CPLD Version : 74

Software Version : VRP ® Software, Version 5.70 (S5300 V100R005C01SPC100)

FORECARD information

Pcb Version : CX22E4GF VER A

FPGA Version : 1

HINDCARD information

Pcb Version : CX22ETPB VER C

FANCARD information

Pcb Version : FAN VER B

PWRCARD I information

Pcb Version : PWR VER A

 

Какая версия VRP у Вас?

 

У меня точно 1 vlan пробегает по кольцу, так как я вижу МАС-адрес ноута включенного в untagged порт D-Link`а с PVID: 1 на всех коммутаторах кольца, PVID на Huawei тоже = 1.

[ARtisT]

Какая версия VRP у Вас?

Такая же.

 

В чём проблема сделать "undo port trunk allow-pass vlan 1" на всех гигабитах?

[smart85]

Какая версия VRP у Вас?

Такая же.

 

В чём проблема сделать "undo port trunk allow-pass vlan 1" на всех гигабитах?

Сейчас попробую на стенде. Просто в документации сказанно, и в тырнете пишут, что by default все теги на транках запрещены, пока не указанно обратное: port trunk allow-pass vlan XXX,YYY,ZZZ

[ARtisT]

by default все теги на транках запрещены

Другое дело, понимается ли vlan 1 как тегированный трафик. Какой протокол работает на кольце? MSTP, RRPP? Вилан 1 добавлен в какой-нибудь инстанс?

[dazgluk]

Тут недавно всплывала тема про то, что хуавей пропускает VLANID 1, даже если он не разрешен в транке, речь вроде шла про S9300, но возможно S5300 тоже этому подвержен

[smart85]

by default все теги на транках запрещены

Другое дело, понимается ли vlan 1 как тегированный трафик. Какой протокол работает на кольце? MSTP, RRPP? Вилан 1 добавлен в какой-нибудь инстанс?

Кольцо на L3 построено, OSPF маршрутизация, все коммутаторы между собой соеденены разными vlan-id c /30 IP адрессацией.

 

По логике, vlan-id 1 - это не тегированный трафик. Первого вилана нигде не задействованно, L3 ифейс убит: undo interface Vlanif 1

 

Тут недавно всплывала тема про то, что хуавей пропускает VLANID 1, даже если он не разрешен в транке, речь вроде шла про S9300, но возможно S5300 тоже этому подвержен

По каким кейвортам можно найти данную тему, не запомнили ли случайно?

[dazgluk]

by default все теги на транках запрещены

Другое дело, понимается ли vlan 1 как тегированный трафик. Какой протокол работает на кольце? MSTP, RRPP? Вилан 1 добавлен в какой-нибудь инстанс?

Кольцо на L3 построено, OSPF маршрутизация, все коммутаторы между собой соеденены разными vlan-id c /30 IP адрессацией.

 

По логике, vlan-id 1 - это не тегированный трафик. Первого вилана нигде не задействованно, L3 ифейс убит: undo interface Vlanif 1

 

Тут недавно всплывала тема про то, что хуавей пропускает VLANID 1, даже если он не разрешен в транке, речь вроде шла про S9300, но возможно S5300 тоже этому подвержен

По каким кейвортам можно найти данную тему, не запомнили ли случайно?

http://forum.nag.ru/forum/index.php?showtopic=55384&st=140

Сообщение 157

[smart85]

by default все теги на транках запрещены

Другое дело, понимается ли vlan 1 как тегированный трафик. Какой протокол работает на кольце? MSTP, RRPP? Вилан 1 добавлен в какой-нибудь инстанс?

Кольцо на L3 построено, OSPF маршрутизация, все коммутаторы между собой соеденены разными vlan-id c /30 IP адрессацией.

 

По логике, vlan-id 1 - это не тегированный трафик. Первого вилана нигде не задействованно, L3 ифейс убит: undo interface Vlanif 1

 

Тут недавно всплывала тема про то, что хуавей пропускает VLANID 1, даже если он не разрешен в транке, речь вроде шла про S9300, но возможно S5300 тоже этому подвержен

По каким кейвортам можно найти данную тему, не запомнили ли случайно?

http://forum.nag.ru/forum/index.php?showtopic=55384&st=140

Сообщение 157

Спасибо! Проблема аналогичная.

OFF-TOP: зашел в комнату со стендом, потекла кровля, весь стенд в воде), хорошо, что обесточен был. Сушу сухари))

[smart85]

Уважаемые коллеги, благодарю за внимание к моей проблеме. Решение найдено: undo port trunk allow-pass vlan 1

 

Всем большое спасибо!