MES-3124F switchport protected-port

[Evgeny R]

Добрый день.
Есть MES-3124F (sw 3.5.12), к портам которого подключены коммутаторы доступа, скажем ISCOM2128. На портах 3124 включен <switchport protected-port>.

Код: Выделить всё

interface gigabitethernet4/0/1
 description -=295.4.01=-
 switchport general ingress-filtering disable
 switchport general pvid 4011
 switchport protected-port
 switchport mode general
 switchport general allowed vlan add 99-100,4004 tagged
!
interface gigabitethernet4/0/23
 description -=295.4.23=-
 switchport general ingress-filtering disable
 switchport general pvid 4011
 switchport protected-port
 switchport mode general
 switchport general allowed vlan add 99-100,4004 tagged
!

Vlan 4004 терминируется на 3124.

Код: Выделить всё

interface vlan 4004
 name DefVlan4
 ip address 192.168.48.1 255.255.240.0
 ip dhcp relay enable
 arp timeout 60
 ip proxy-arp
 no ip pim


vlan 100 - MVR-vlan

Код: Выделить всё

interface vlan 100
 name -=MVR=-
 ip address 10.183.255.97 255.255.255.252
 ip igmp version 2

Вопрос в том, что на коммутаторах доступа в vlan 4004 я не вижу mac-ов с соседнего порта 3124 (switchport protected-port работает, ура), а в vlan 100 вижу (switchport protected-port НЕ работает? )

Код: Выделить всё

295.04.01.1#sh mac-address-table l2-address vlan 100 | i E427.7111.0A82 
E427.7111.0A82     25            100      Hit
295.04.01.1#sh mac-address-table l2-address vlan 4004 | i E427.7111.0A82
!
295.04.23.1#sh mac-address-table l2-address vlan 100 | i E427.7101.2D16   
E427.7101.2D16     25            100      Hit
295.04.23.1#sh mac-address-table l2-address vlan 4004 | i E427.7101.2D16   
295.04.23.1#

295-AGG-1#sh mac address- d vlan 100 interface gi4/0/1 add e4:27:71:01:2d:16 
Aging time is 300 sec

  Vlan        Mac Address         Port       Type   
-------- --------------------- ---------- ----------
  100      e4:27:71:01:2d:16    gi4/0/1    dynamic
!
295-AGG-1#sh mac address- d vlan 4004 interface gi4/0/1 add e4:27:71:01:2d:16
Aging time is 300 sec

  Vlan        Mac Address         Port       Type   
-------- --------------------- ---------- ----------
  4004     e4:27:71:01:2d:16    gi4/0/1    dynamic
!
295-AGG-1#sh mac address- d vlan 100 interface gi4/0/23 add e4:27:71:11:0a:82
Aging time is 300 sec

  Vlan        Mac Address         Port       Type   
-------- --------------------- ---------- ----------
  100      e4:27:71:11:0a:82    gi4/0/23   dynamic   
!
295-AGG-1#sh mac address- d vlan 4004 interface gi4/0/23 add e4:27:71:11:0a:82
Aging time is 300 sec

  Vlan        Mac Address         Port       Type   
-------- --------------------- ---------- ----------
  4004     e4:27:71:11:0a:82    gi4/0/23   dynamic   
!


[Александр Селезнев]

Если не брать в расчет настройки для igmp, то ptotected работает. Другое дело, если имеем дело с IGMP. Mac адреса в этом случае можно увидеть. IGMP пакеты обрабатвает CPU, он игнорирует значение protected на портах.

[Evgeny R]

Чесно, первый раз сталкиваюсь с такой реализацией изоляции портов. Печалько
Читаю документацию Элтекс:

Код: Выделить всё

Данная функция позволяет назначить порту его uplink-порт, на который
безусловно будет перенаправляться весь трафик, обеспечивая тем самым
изоляцию с другими портами (в пределах одного коммутатора), находящихся
в этом же широковещательном домене (VLAN) в пределах одного
коммутатора.


Код: Выделить всё

Отменяет маршрутизацию по базе данных изученных
МАС-адресов (FDB) и направляет весь одноадресный,
многоадресный и широковещательный трафик на uplink-
порт.


Нигде не нашел упоминания об igmp или cpu.
Все-таки считаю это багом.

[Александр Селезнев]

Evgeny R, остается вопрос с организацией схемы у вас, чтобы повторить это у себя и сказать баг это или нет. Полная конфигурация устройства и схема (лучше в лс)
У себя делали просто, включили 2 коммутатора доступа в 3124 в 0/4 и 0/23 порт. Настройки выставили ваши. Трафик между портами не ходит.

Цитата, которую вы привели, определяет функцию switchport protected {int UPlink}.
Попробуйте ее использовать

[cactus]

Evgeny , в длинках при использовании 802.1v (кажись так называется, запихивали ipv6 в отдельный вилан), там protected port тоже видел ломается. Но в обычном положении маршрутизация мультикасата в обход protected port конечно баг.

Пример - используем protected port на всех портах свитчей за исключением портов смотрящих на роутер в центр сети. Роутер при этом отвечает на все arp запросы, даже из внутренней сети - local proxy arp. В результате имеем связь между всеми узлами и роутером, и связь между всеми узлами локальной сети через роутер.

Что это дает? В ARP таблицах на всех магистральных портах светится только МАС роутера, на любом коммутаторе не более 2х десятков МАС адресов. Броадкасты между юзерами не бегают и абоненты не могут увидеть реальный МАС другого абонента. Все вместе дает возможность создать большую плоскую сеть и не парится с виланами, подсетями и маршрутизацией между ними. Можно расслабится с жестким контролем за MAC адресами абонентов.

Но если бага, действительно есть, для того чтобы засветить свой реальный МАС и IP юзеру нужно всего лишь открыть VLC и подключиться к SAP или UNPNP группе.

Кстати, хотя может стоит отдельную тему завести, а что у Eltex с поддержкой private vlan? Ибо моя вышеуказанная схема разлетается тогда, когда требуется резервирование. Вдруг из дальней ветки дерева по резервному линку появляется роутер, но его никто не увидит. Private vlan мог бы спасти ситуацию, но как я понял поддержка полноценная у Eltex его отсутствует.

На всякий случай своими словами опишу, что я имею ввиду под полноценной поддержкой private vlan:

На всех коммутаторах настраивается юзерский вилан, допустим 10, и влан к роутеру и прочим серверам, допустим 20.

Из 10го пользовательского вилана пакет может попасть только в 20й с маркировкой юзерский пакет, и затем пакет может свободно путешествовать по 20му вилану к "роутерному" порту, без возможности попасть обратно в 10й.

А из 20го вилана пакет с маркировкой "роутерный" может не только свободно путешествовать по 20му вилану но и улетать к юзерам в 10й вилан.

В итоге тот же protected port по сути, но только для одного vlan, не мешает свободно на сети оказывать услуги по аренде vlan из любой точки сети в любую другую. Позволяет унифицировать конфигурации абонентских и магистральных свитчей, и не указывать "роутерный" порт на каждом конкретном коммутаторе, а это уже позволяет организовывать кольца и просто резервные каналы. Да и просто удобно.

[Evgeny R]

Но если бага, действительно есть, для того чтобы засветить свой реальный МАС и IP юзеру нужно всего лишь открыть VLC и подключиться к SAP или UNPNP группе.

да, именно так.

а что у Eltex с поддержкой private vlan?

у Елтекс есть две фичи:
1. switchport protected-port - isolate layer 2 traffic from other protected ports, это то что мне нужно, но не работает с мультикастом
2. switchport protected - Private Edge Vlan, не знаю что за зверь, может то о чем вы говорите, проверять нет возможности в данный момент.

Меня данный баг напрягает не в том, что светятся "не нужные" mac и ip, а в том, что некоторые коммутаторы доступа, подключенные к mes-3124, видят "не нужные" подписки на igmp-группы с uplink-а.

[Александр Селезнев]

Меня данный баг напрягает не в том, что светятся "не нужные" mac и ip, а в том, что некоторые коммутаторы доступа, подключенные к mes-3124, видят "не нужные" подписки на igmp-группы с uplink-а.

,
Если попробовать отфильтровать ненужные подписки bridge multicast unregistered filtering - фильтровать незарегистрированные многоадресные пакеты.

[Evgeny R]

Александр, вот смотрите, к mes-3124 подключены коммутаторы доступа (КД), скажем КУТЕЧ, порт подключения ethe1/27. К КД подключены абоненты, активно юзающие мультикаст. Вот что я вижу на КД:

Код: Выделить всё

295.03.23.2#sh ip igmp snooping vlan 100
Igmp snooping information for vlan 100

Groups          Sources             Ports               Exptime  SrcMac              System Level
225.10.10.10    *                   Ethernet1/27        00:04:19 00:02:02:0E:CA:8B   V2         
                                    Ethernet1/27        00:04:19 00:02:02:24:65:D6   V2         
                                    Ethernet1/27        00:04:19 00:02:02:1C:D8:23   V2         
                                    Ethernet1/27        00:04:19 00:02:02:22:42:4F   V2         
                                    Ethernet1/27        00:04:19 00:02:02:1C:EC:EC   V2         
                                    Ethernet1/27        00:04:19 00:02:02:22:42:50   V2         
                                    Ethernet1/27        00:04:19 00:02:02:20:69:68   V2         
                                    Ethernet1/27        00:04:19 00:02:02:24:61:0E   V2         
                                    Ethernet1/27        00:04:19 00:02:02:20:64:D9   V2         
                                    Ethernet1/27        00:04:19 00:02:02:30:B0:DC   V2         
                                    Ethernet1/27        00:04:19 00:02:02:2F:BD:62   V2         
                                    Ethernet1/27        00:04:19 00:02:02:22:4E:6E   V2         
                                    Ethernet1/27        00:04:19 00:02:02:24:50:19   V2         
                                    Ethernet1/27        00:04:19 00:02:02:22:4D:FC   V2         
                                    Ethernet1/27        00:04:19 00:02:02:1C:EF:88   V2         
                                    Ethernet1/27        00:04:19 00:02:02:19:8B:54   V2         
                                    Ethernet1/27        00:04:19 00:02:02:12:1C:30   V2         
                                    Ethernet1/27        00:04:19 00:02:02:24:7A:6F   V2         
                                    Ethernet1/27        00:04:19 00:02:02:20:65:C9   V2         
                                    Ethernet1/27        00:04:19 00:02:02:24:7E:88   V2         
                                    Ethernet1/27        00:04:19 00:02:02:0E:E1:DD   V2         
                                    Ethernet1/27        00:04:19 00:02:02:30:AF:B8   V2         
                                    Ethernet1/27        00:04:19 00:02:02:22:42:C9   V2         
                                    Ethernet1/27        00:04:19 00:02:02:22:D5:AA   V2         
                                    Ethernet1/27        00:04:19 00:02:02:1C:F3:05   V2         
                                    Ethernet1/27        00:04:19 00:02:02:1F:61:AF   V2         
                                    Ethernet1/27        00:04:19 00:02:02:20:67:F0   V2         
                                    Ethernet1/27        00:04:19 00:02:02:22:D9:36   V2         
                                    Ethernet1/27        00:04:19 00:02:02:24:7B:45   V2         
                                    Ethernet1/27        00:04:19 00:02:02:1D:9C:06   V2         
                                    Ethernet1/27        00:04:19 00:02:02:31:55:66   V2         
                                    Ethernet1/27        00:04:19 00:02:02:24:5F:3F   V2         
                                    Ethernet1/27        00:04:19 00:02:02:22:5F:00   V2         
                                    Ethernet1/27        00:04:19 00:02:02:24:72:48   V2         
                                    Ethernet1/27        00:04:19 00:02:02:2F:B4:E9   V2         
                                    Ethernet1/27        00:04:19 00:02:02:1D:01:53   V2         
                                    Ethernet1/27        00:04:19 00:02:02:23:36:CA   V2         
                                    Ethernet1/27        00:04:19 00:02:02:15:B2:35   V2
,,,         


Проблема в том, что КД имеет ограничение на кол-во мультикастов, и посему имею проблему и я.

Если попробовать отфильтровать ненужные подписки bridge multicast unregistered filtering

Не нужные подписки - это что? Где фильтровать? Вот 225.10.10.10 она как-бы нужная, но на КД я вижу кучу подписок на нее через uplink. Понимаю, что от части это косяк КД, НО если б switchport protected-port работал, я б не то что этих подписок не видел, я б и маков лишних не видел.

[Александр Селезнев]

Evgeny R, вы попробовали команду switchport protected {int UPlink}?
Предполагаю, что она решит вашу проблему.

[Evgeny R]

По данному вопросу коллеги занимаются, завели ТТ у вас, будет результат - отпишу сюда.
Но лично мне этот вариант не нравится...
Uplink может быть не один, правда ведь, на 192 гигабитных порта одного 10G может быть маловато. Опять же резервирование. А может понадобится разделить трафик по разным uplink-ам. Ну и, не приведи конечно Всевышний, потребуется поменять uplink, коммутатор в стеке помер

[Александр Селезнев]

Evgeny R,

потребуется поменять uplink, коммутатор в стеке помер

С этим сложно не согласится, функционал protected-port поправим в следующих версиях.

[Evgeny R]

функционал protected-port поправим в следующих версиях

вот это хорошая весть, ждем релиза, тем более с switchport protected {int UPlink}, как вы наверно уже знаете, у нас возникли траблы в плане dhcp relay.

[Александр Селезнев]

Evgeny R, а почему не воспользоваться функционалом igmp snooping c указанием mrouter порта в добавок к protected-port?

[Evgeny R]

функционал protected-port поправим в следующих версиях

ходят слухи, что оно вышло?

[Александр Селезнев]

Готовится к выходу.