Пропадает доступность интерфейса ESR-1000

[alibek]

Что-то SD сломался, не могу создать тикет.

Есть ESR-1000, настроен примерно таким образом:

Код: Выделить всё

bridge 10
  vlan 10
  ip address 10.1.10.250/24
  enable
exit
bridge 30
  vlan 30
  ip address 10.1.144.2/24
exit
bridge 210
  vlan 210
  ip address 10.1.3.254/30
  enable
exit
interface loopback 1
  ip address 10.1.255.251/32
exit
ip route 10.0.0.0/8 10.1.3.253


Из сети 10.1.144.0/24 подключаюсь терминалом на 10.1.255.251, все успешно.
Включаю интерфейс br30 — и устройство становится недоступно.
Потом через 10 минут конфигурация откатывается и устройство вновь становится доступно.

Не могу понять, что тут неправильно.
Даже если были бы ошибки в маршрутизации, ведь из 10.1.144.0/24 устройство все равно должно быть доступно.
А оно даже на пинги не отвечает.

[alibek]

Отключил в настройках ip firewall screen spy-blocking spoofing.
Теперь после включения br30 отваливаются вообще все интерфейсы.

[Garri]

А что ESR при этом пишет в своей консоли?

Включаю интерфейс br30 — и устройство становится недоступно

Не доступно со всех интерфейсов, со всех вланов, с какого-то конкретного?

[alibek]

Я подключаюсь со стороны br30, поэтому что получается — посмотреть не могу.
Доступ удаленный, локального нет.
В журнале (sh syslog) чего-то особого не вижу.

[alibek]

Другие интерфейсы (например 10.1.3.254) тоже становятся недоступны, когда включаю br30.

[Garri]

А на каких портах ESR используется vlan30?

[alibek]

Код: Выделить всё

interface gigabitethernet 1/0/24
  mode switchport
  spanning-tree disable
  history statistics
  switchport forbidden default-vlan
  switchport general allowed vlan add 10,20,30,210 tagged


Более нигде.

[Garri]

А при подключении на lo1 через какой интерфейс/влан проходит маршрут от клиента?
У меня была мысль, а не образуется где-то петля при включении vlan30.

[alibek]

Транспортный сегмент в vlan 210, lo1 в норме доступен через 10.1.3.254.
Про петлю я думал, но сколько не проверял, не нашел, где она бы могла возникнуть.

С vlan 10 я ранее поступал подобным образом — добавил vlan в транковый порт, создал SVI.
Там все прошло штатно, связь ненадолго пропала, затем arp-таблицы обновились и все заработало.
А вот с vlan 30 что-то не то.

[Garri]

А если такой тест провести - удалить из транка влан30 на esr, сохранить, после чего включить сам влан30. Если он поднялся - хорошо.
Тогда вернуть всё обратно, а на нижестоящим оборудовании настроить сбор дампа с влан или с интерфейса который смотрит на esr.
На esr включить влан30, а с оборудования получить дамп, ну и смотреть что там.

[alibek]

Да, спасибо за совет, попробую.

[alibek]

Убрал vlan 30 из транка, включил br30.
Ничего не зависло. Однако 10.1.144.2 не пингуется (потому что у интерфейса admin status up, но link status down).
Как только добавляю в транк vlan 30, интерфейс br30 поднимается и отваливается удаленный доступ к устройству, а так же другие интерфейсы устройства.

Но кое какая новая информация появилась.
Сам интерфейс br30 доступен, то есть из подсети в vlan 30 пингуется адрес 10.1.144.2. Если удаленно зайти на устройство по адресу 10.1.144.2, то пинги наружу ходят, как на хосты в подсети 10.1.10.0/24, так внешние хосты в подсети 10.0.0.0/8.

Видимо где-то петля, но не l2, а маршрутная.
Буду копать дальше.

[Garri]

Да, нужно было бы это проделать с другой стороны.
В сети используется только статика?
Не могли бы показать таблицу маршрутизации с esr при выключенным влан30?
Что значит "внешние хосты в подсети 10.0.0.0/8"?
Было бы не плохо увидеть схему с указанием интерфейсов+вланов (кто где терминируется).