Сообщество! Правильно-ли я мыслю (qinq dlink 3200-xx)?

[REV 0]

Доброго всем времени суток!)
Из-за не особо клевой работы функционала mac-based-acсess, которой удавалось авторегистрировать маки. Было решено пересесть на vlan-per-user.
Попробовал такую штуку как accel-ipoe - прикольно!)
Но вот пока все работает так, что для каждого абонента создается vlan.
Но там ведь есть функция в конфиге vlan-mon, чтобы мониторить вланы на интерфейсе.
В биллинге можно сделать соответствие влан-порт(как для ip unnambered vlan).
Так вот, можно-ли реализовать такую схему используя qinq:
Есть маршрутизатор на debian дальше на агрегации foxgate c704, а после длинки разные 3200-хх.
Можно-ли к примеру паковать на длинке влан в влан с помощью qinq? А то эта штука на агрегации не умеет корректно распаковывать эти вторые теги. Она просто будет транспортировать влан в который все упаковано.
А уже на маршрутизаторе с accel-ем он их все-равно распознает функцией мониторинга вланов.
Надо-ли патчить сетевые на сервере, из-за лишних 4 байтов, этого второго тега? Или достаточно изменить mtu на сетевых сервера, или включить между Dlink-ом и foxgat-ом JumboFrame?
Реально-ли так вообще?
может быть, кто подскажет советом...
А то собрал пока на стенде, все вышеописанное но дальше влана в который все остальные упаковываются (eth1.21), не идет.
Пробовал создать на сервере влан со вторым тегом, и пропинговать его с коммутатора доступа - не вышло.
Мот схему нарисовать...выложить?
Просто я запутываться начинаю, опыта мало(
Спасибо заранее!)
 

[Abram 98]

Мыслите правильно.

Единственное "но" - для QinQ на коммутатор должен приходить уже тегированый трафик. Поэтому QinQ обычно поднимается на агрегации. У Вас на DES-3200 не получится сделать так, как Вы хотите. В лучшем случае он просто навесит внешний (SVID) тег на нетегированый пакет.

На сервере делаете так:

/sbin/ip link set dev eth1 mtu 1504

Jumbo Frame лучше включать на всём маршруте от абонента до сервера, даже если Вы уже включили QinQ.

 

C accel-ppp Вы все придумали правильно.

Вы вообще всё правильно придумали, только QinQ не там.

Відредаговано 2014-05-13 17:04:33 Abram

[KaYot 3 605]

У меня эта схема(с vlan-per-user + qinq) и BRAS на accel-ipoe работает уже почти год.

Мыслите чуть-чуть не правильно.

QinQ правильнее собирать не на свичах доступа, а на агрегации. Можно конечно и на доступе, но как-то это странно пахнет.. Теряется главный плюс такой топологии - возможность ставить на доступ любые свичи, вплоть до настраиваемых перемычками полу-тупых.

 

Как писали выше - везде нужно включить jumbo frame(или увеличить mtu), иначе пакеты будут теряться и получится не комильфо. Но работать будет и без этого.

Тюнить ничего не нужно, думайте как принять эти двойные вланы на сервере - стандартный метод - создать верхний влан(eth1.21), потом в нем создать абонентский(eth1.21.1) и попробуйте прогнать трафик.

Настройка qinq у длинков само по себе занятие очень увлекательное

[REV 0]

На сервере делаете так:

/sbin/ip link set dev eth1 mtu 1504

Jumbo Frame лучше включать на всём маршруте от абонента до сервера, даже если Вы уже включили QinQ.

 

 

Да, так и делаю_)

[REV 0]

Мыслите чуть-чуть не правильно.

QinQ правильнее собирать не на свичах доступа, а на агрегации. Можно конечно и на доступе, но как-то это странно пахнет.. Теряется главный плюс такой топологии - возможность ставить на доступ любые свичи, вплоть до настраиваемых перемычками полу-тупых.

Да, я это понимаю...и это так и манит_но сейчас в финансах контора не особо, и поэтому на агрегации стоит foxgate c 704 (cli чем-то урезанную циску напоминает, он изначально был...поменять пока не выйдет), и он наотрез не хочет своим dot1q-tunnel, делать то, что делает Длинк( 

 

Как писали выше - везде нужно включить jumbo frame(или увеличить mtu), иначе пакеты будут теряться и получится не комильфо. Но работать будет и без этого.

думайте как принять эти двойные вланы на сервере - стандартный метод - создать верхний влан(eth1.21), потом в нем создать абонентский(eth1.21.1) и попробуйте прогнать трафик.

Вот на этом месте я и завис( Создал все как выше написано, но даже нет каких-либо движений в сторону того же пинга.

К примеру до места с eth1.21 - дохожу...а дальше_

Вот прилагаю скрин как настроено на Длинке. Там: 

Влан 105 - тот который идет на свитч, в него все будет паковаться.

Влан 9 - соответ. порту 3 коммутатора, стоит в uni в qinq.

Сами вланы есть в таге на аплинках, оба. 9й влан в антаге только на 3м порту, 105 на всех(надо-ли...?).

 

Сюда пришел, ибо не могу уложить потоки информации, с форумов/заметок/размышлений.

Как попробовать еще настроить, если по-пунктам?)

[KaYot 3 605]

Неверно.

1) 3 порт - клиент? Для него должен стоять NNI режим, как и для всех "обычных" портов. UNI - только порт выполняющий навешивание/разбор QinQ, т.е. аплинк у вас.

2) внутренние вланы прокидывать наверх не нужно, они заканчиваются на доступе. Только верхний тег.

3) для всех портов TPID нужно выставить 0x8100

4) для порта-аплинка в разделе GVRP нужно задать pvid=номеру qinq влана.

[REV 0]

Неверно.

1) 3 порт - клиент? Для него должен стоять NNI режим, как и для всех "обычных" портов. UNI - только порт выполняющий навешивание/разбор QinQ, т.е. аплинк у вас.

2) внутренние вланы прокидывать наверх не нужно, они заканчиваются на доступе. Только верхний тег.

3) для всех портов TPID нужно выставить 0x8100

4) для порта-аплинка в разделе GVRP нужно задать pvid=номеру qinq влана.

Ага_я gvrp вообще не учел(

Понял, буду пробовать завтра...отпишусь_)

Спасибо, что по-пунктам!)

[Abram 98]

GVRP - это местный дебилизм D-Link-а.

На самом деле gvrp там и не пахнет, просто у них pvid порта настраивается в GVRP. Даже если GVRP вам не нужен и вообще отключен.

Скриншот настроек - это круто.

[KaYot 3 605]

5) последнее правило replace удалить нафиг, это вы уже зачем-то selective пытаетесь делать.

[REV 0]

GVRP - это местный дебилизм D-Link-а.

На самом деле gvrp там и не пахнет, просто у них pvid порта настраивается в GVRP. Даже если GVRP вам не нужен и вообще отключен.

Скриншот настроек - это круто.

Та теперь вижу...что все, как-то еще запутанней - надо кроме мануала въезжать в те замыслы которыми руководствовались сами инженеры-создатели(

Про скрин - эт сарказм, или как?_)

[REV 0]

Сделал сейчас так:
1)Интерфейс в локалку, на котором вланы mtu 9000;
2)На фоксе который просто транзитом, транком дает вланы на свитчи включил, JumboFrame 9000;
3)На длинке (тестовы), включенный в вышеупомянутый транковый порт аплинком, тоже включено Jumbo Frame;
4)После создан влан eth.1.105 на сервере, он же прописан на порт фоксу, после чего прописан на длинке, и в таге он стоит только на аплинках;
5)Далее настройки в свитче как на прикрепленном скрине;
6)VLAN Translation Settings - вообще не трогал...там ведь только добавить/заменить.
7)На скриншотах еще внизу есть настройки созданных вланов.
Синим - настройки для аплинка;
Красным - для внутреннего влана-тестового;
Зеленый - то, что менял руками.

Пробовал создать влан типа eth1.105.9 при таких настройках, и статикой прописывал на компьютере воткнутом в свитч, сетевой адреса из этой же подсети - не пропинговалось(
Пожалуйста, гляньте своим более разборчивым взглядом_я, что-то мог упустить...
Просто, когда tcpdump-ом отслеживаю к этому свитчу телодвижения...ничго не происходит при том же запуске радиуса в дебаге (radiusd -X). Выходит, все-равно не видит эту подсеть в подсети...

Відредаговано 2014-05-14 11:53:55 REV

[REV 0]

В логах accel, до его перезапуска не видело интерфейс eth1.105.9
Потом ошибка с его созданием
 

[Abram 98]

Про скрин - эт сарказм, или как?_)

Именно.

Кроме того, как Вам уже говорилось, DES-3200 нельзя заставить навесить на пакет два тега. Либо как-то через ж#пу, но это уже на форум D-Link-а.

[KaYot 3 605]

В логах accel, до его перезапуска не видело интерфейс eth1.105.9

Потом ошибка с его созданием

Дык все логично. Вы ж влан уже создали, аццель го второй раз создать не может. Значит трафик какой-то бегает, схема работает.

Не мешайте все в кучу, уберите пока vlan monitor, создайте двойной влан вручную и пропишите его в ацеле. Ну и пингами проверьте.

[REV 0]

Дык все логично. Вы ж влан уже создали, аццель го второй раз создать не может. Значит трафик какой-то бегает, схема работает.

Не мешайте все в кучу, уберите пока vlan monitor, создайте двойной влан вручную и пропишите его в ацеле. Ну и пингами проверьте.

А...я не до конца понял_сейчас проверю так)

Спасибо)

[Delacrua 0]

Навесить 2 тега можно, но нужны C1 ревизии свитчей и последние прошивки

 

вот пример конфига, 10 порт смотрит на абонента, 25 аплинк

 

На 10-м UNI-порту нетегированному трафику присваивается inner_tag 10, и добавляется второй внешний тег VLAN q100, равный идентификатору порта PVID=100. Port25 - NNI.

1. config vlan default delete 2-28
2. create vlan q100 tag 100
3. config vlan q100 add tagged 25
4. config vlan q100 add untagged 10
5. config port_vlan 10 pvid 100
6. enable qinq
7. Добавить внутренний тег на пакет, пришедший на 10-й порт. 0xA - это VID 10 в шестнадцатеричном формате: config qinq ports 10 role uni missdrop disable outer_tpid 0x8100 add_inner_tag 0xA
8. config qinq ports 25 role nni missdrop disable outer_tpid 0x8100

[REV 0]

Навесить 2 тега можно, но нужны C1 ревизии свитчей и последние прошивки

 

вот пример конфига, 10 порт смотрит на абонента, 25 аплинк

 

На 10-м UNI-порту нетегированному трафику присваивается inner_tag 10, и добавляется второй внешний тег VLAN q100, равный идентификатору порта PVID=100. Port25 - NNI.

• config vlan default delete 2-28
• create vlan q100 tag 100
• config vlan q100 add tagged 25
• config vlan q100 add untagged 10
• config port_vlan 10 pvid 100
• enable qinq
• Добавить внутренний тег на пакет, пришедший на 10-й порт. 0xA - это VID 10 в шестнадцатеричном формате: config qinq ports 10 role uni missdrop disable outer_tpid 0x8100 add_inner_tag 0xA
• config qinq ports 25 role nni missdrop disable outer_tpid 0x8100

У меня большинство С1. Спасибо, что отписались...буду компоновать_)Я отпишусь...как пошло_)

[Abram 98]

Delacrua,

Интересно, спасибо. Я, правда, QinQ на DES-3200 не пользуюсь, но всё равно полезно для развития.

[REV 0]

По тому как написал Delacrua получилось пропинговать хост, минуя транспортный коммутатор и доступа, в влане типа eth1.105.3, пробую подкидывать к акселю.
У меня еще была проблема с транзитной железкой: она не реагировала на размер кадра в 1508 байт, при установленном промежутке от 1500-9000, необходимо было точно и явно указывать величину_)
Пробую дальше...буду отписываться в теме, чтобы подытожить_вдруг кто-то будет настраивать подобное)

Відредаговано 2014-05-15 12:05:10 REV

[mtv 0]

Доброго дня!

 

Прошу помощи.

 

1) Увеличивать MTU обязательно? Без увеличения работает?

2) Есть два Dlink-а 3200-28F. Делаю все как описано выше у Delacrua. На порты 10 включено два клиента с тегированым трафиком (несколько tagged вланов). В итоге ничего не работает, т.е. трафик в вланах между клиентами не бегает.

[Abram 98]

mtv,

Вам проще надо, без add_inner_tag.

[mtv 0]

Что делаю не правильно ?

 

Исходная информация:

 

- оба свича DLink

Device Type                : DES-3200-28F Fast Ethernet Switch

Boot PROM Version          : Build 4.00.002

Firmware Version           : Build 4.04.004

Hardware Version           : C1

 

- 25-е порты использую для соединения между свичами, через vlan100

 

- на 10-х портах свичей роутеры с вланами (напр. vlan8 и vlan16)

 

- настрайваю свичи

config vlan default delete 1-28

create vlan q100 tag 100

config vlan q100 add tagged 25

config vlan q100 add untagged 10

enable qinq

config qinq ports 10 role uni missdrop disable outer_tpid 0x8100

config qinq ports 25 role nni missdrop disable outer_tpid 0x8100

 

в итоге пинги между адресами на вланах роутеров - не проходят

[KaYot 3 605]

gvrp pid забыли прописать для 10 порта.

[mtv 0]

gvrp pid забыли прописать для 10 порта.

Не понятно, нужна команда

config port_vlan 10 pvid 100

 

но pvid 100 и так установлен

 

DES-3200-28F:admin#show port_vlan 10               

Command: show port_vlan 10

 

Port     PVID  GVRP      Ingress Checking  Acceptable Frame Type

-------  ----  --------  ----------------  ---------------------------

 10      100   Disabled  Enabled           All Frames                 

 

или должен быть включен протокол GRVP ?

[Abram 98]

Нет, gvrp сам по себе не нужен. Просто в некоторых dlink-ах pvid порта настраивается через config gvrp.