RE: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
Bonjour, >Si on peut passer les ports du switch en L3, je ne vois pas ou il y aurait un >PB Sauf erreur de ma part, il n'est pas possible de passer un port en L3 (no switchport) car les fonctions dot1q-tunnel ne seront pas possible... De : frnog-requ...@frnog.org de la part de L-C FABRE Envoyé : lundi 17 août 2020 16:39 À : Vincent Bernat Cc : Michel Py ; frnog Objet : Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN Yo, j’arrive après la guerre mais 3 semaines sans Net c’étais juste trop bon pour que je l’interrompe :-) Je précise que je suis ignare en Cisco et que c’est visiblement un sujet Cisco-ish. Comme j’ai vu passer une réponse à base de Mikrotik, je me permets ce mail. Si on peut passer les ports du switch en L3, je ne vois pas ou il y aurait un PB Genre « no switchport » et après on injecte le trafic à partir de là Connecter deux ports de « routeur » ça ne pose pas de PB (mais je ne connais pas le 3750) En outre, sur ce que j’utilise (Huawei CE) je confirme que les mac sont associés par VLan, VRF, VPN, VxLan. Pour ma culture, qu’elle serait la façon académique de le faire chez Cisco ? Et pour mon plaisir, où trouve t'on le générateur de signature K&P :-) > Le 15 août 2020 à 09:40, Vincent Bernat a écrit : > > ❦ 15 août 2020 07:13 +00, Michel Py: > >>> Je pointais juste le fait que l'explication de comment la CAM fonctionne >>> n'est pas bonne depuis 20 ans. >> >> Excellente remarque, j'avais en effet pris quelques raccourcis dans >> l'histoire. >> >>> Perso, jamais fait de Q-in-Q >> >> As-tu déjà mis un câble en boucle entre 2 ports sur le même switch? > > Oui (entre deux VRF dans mon cas). Je ne vois pas le rapport avec les > carottes. Je réitère donc : je souligne juste que ton explication était > fausse (depuis 20 ans). Comme c'était a priori la seule base > scientifique pour expliquer pourquoi c'est une mauvaise idée, j'ai fait > la remarque. Je n'y connais rien en Q-in-Q et donc je n'ai pas d'avis > sur le fait que ce soit ou non une bonne idée dans le cas présenté. > -- > Write clearly - don't be too clever. >- The Elements of Programming Style (Kernighan & Plauger) > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
> Radu-Adrian Feurdean a écrit : > Mefie-toi. En neuf, un 3750 edition recente peut etre plus cher qu'un "switch" Le 3750 c'est End-Of-Sales depuis des années :P L'équivalent moderne çà serait 9200. > Metro-E (qui risque de ne pas etre vraiment un switch) comme l'A920 En effet, l'ASR c'est plutôt un routeur qu'un switch. C'est d'ailleurs incroyable qu'en 2020 on fasse encore la différence. La complexité artificielle des gammes et du licensing des vendeurs, çà commence à devenir lourd. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
On Mon, Aug 17, 2020, at 21:04, Michel Py wrote: > Mais non, c'est parce que c'est un besoin "opérateur", donc qu'il ne > veulent pas mettre la fonctionalité dans un switch "desktop", vu que le > switch opérateur est nettement plus cher. Quand on est opérateur, on a > des sous en trop, tout le monde ici le sait, hein. Aie Aie pas taper, > pas taper. Mefie-toi. En neuf, un 3750 edition recente peut etre plus cher qu'un "switch" Metro-E (qui risque de ne pas etre vraiment un switch) comme l'A920 > > Un ASR 920 (ou encore mieux les ASR9K, les NCS5K), peuvent bridger deux > > VLANs (on parle de circuits dot1q) > > Un lien ? j'ai jamais fait. La doc: A920: https://www.cisco.com/c/en/us/support/routers/asr-920-series-aggregation-services-router/series.html#~tab-documents https://www.cisco.com/c/en/us/td/docs/routers/asr920/configuration/guide/mpls/17-1-1/b-mp-l2-vpns-xe-17-1-asr920.html https://www.cisco.com/c/en/us/td/docs/routers/asr920/configuration/guide/mpls/16-12-1/b-mp-l2-vpns-xe-16-12-asr920.html NCS540 (Attention ! IOS-XR !!!) : https://www.cisco.com/c/en/us/td/docs/iosxr/ncs5xx/l2vpn/71x/b-l2vpn-cg-71x-ncs540.html --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
> L-C FABRE a écrit : > j’arrive après la guerre mais 3 semaines sans Net c’étais juste trop bon pour > que je l’interrompe :-) 3 semaines sans Net ? whoaa comment tu fais çà ? pas de mobile ? pas de portable ? > Je précise que je suis ignare en Cisco et que c’est visiblement un sujet > Cisco-ish. Non pas vraiment, la discussion est valable pour tous les vendeurs. > Si on peut passer les ports du switch en L3, je ne vois pas ou il y aurait un > PB Genre > « no switchport » et après on injecte le trafic à partir de là Connecter deux > ports > de « routeur » ça ne pose pas de PB (mais je ne connais pas le 3750) Aucun problème effectivement dans ce cas-là, car on fait du routage (je préfère) et donc le paquet est envoyé avec la MAC propre à chaque port, pas de problème. Mais la demande originale c'était du switching L2. Le 3750 est un switch L3, de mémoire "no switchport" c'est disponible, mais il y a plein d'autres modèles ou çà ne l'est pas. > En outre, sur ce que j’utilise (Huawei CE) je confirme que les mac sont > associés par VLan, VRF, VPN, VxLan. C'est bon à savoir, merci. Sur du Huawei je m'attendrais à la limite à moins de surprises, car il n'ont pas le même héritage de Cisco et que je pense pas qu'ils n'aient jamais eu un switch sans VLAN. Le danger avec le 3750 c'est que c'est une évolution continue depuis Mathusalem et Grand Junction, qui ne savaient pas ce que c'était un VLAN. Ethernet çà a commencé avec CSMA/CD, puis c'est passé sur paire torsadée, on a inventé full-duplex, on a inventé le switch à la place du hub, auto-crossover, on a inventé auto-neg, on a inventé les VLANs, on a inventé les troncs, la déjà on commence à avoir du Cisco propriétaire comme ISL et VTP, la dessus on a rajouté encore du propriétaire comme VPST+, maintenant Q-in-Q et pourquoi pas transporter le tout entre 2 continents avec XVLAN avec de la fibre BiDi en DWDM. Ce qu'il faut comprendre, c'est que même sur un switch de conception récente, les fabricants ne ré-inventent pas la roue et font un copier-coller glorifié de ce qu'ils avaient dans la génération précédente. > Pour ma culture, qu’elle serait la façon académique de le faire chez Cisco ? Sur un 3750, moi je dis qu'il ne faut pas faire. Même si ce que Vincent faisait remarquer est tout à fait vrai, les VLANs c'est une évolution qui n'était pas présente dans la génèse du switch, et c'était un problème bien connue des antiquités que quand on mettait 2 ports en boucle çà mettait le binz dans tout le réseau genre broadcast storm. Bon c'est clair que sur du chipset récent çà ne devrait pas arriver, mais c'est pas un truc qui a était conçu de base. > Radu-Adrian Feurdean a écrit : > 1. C'est un equipement "campus", ou d'apres les product marabous de Cisco, le > besoin n'existe pas Mais non, c'est parce que c'est un besoin "opérateur", donc qu'il ne veulent pas mettre la fonctionalité dans un switch "desktop", vu que le switch opérateur est nettement plus cher. Quand on est opérateur, on a des sous en trop, tout le monde ici le sait, hein. Aie Aie pas taper, pas taper. > Un ASR 920 (ou encore mieux les ASR9K, les NCS5K), peuvent bridger deux VLANs > (on parle de circuits dot1q) Un lien ? j'ai jamais fait. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
Yo, j’arrive après la guerre mais 3 semaines sans Net c’étais juste trop bon pour que je l’interrompe :-) Je précise que je suis ignare en Cisco et que c’est visiblement un sujet Cisco-ish. Comme j’ai vu passer une réponse à base de Mikrotik, je me permets ce mail. Si on peut passer les ports du switch en L3, je ne vois pas ou il y aurait un PB Genre « no switchport » et après on injecte le trafic à partir de là Connecter deux ports de « routeur » ça ne pose pas de PB (mais je ne connais pas le 3750) En outre, sur ce que j’utilise (Huawei CE) je confirme que les mac sont associés par VLan, VRF, VPN, VxLan. Pour ma culture, qu’elle serait la façon académique de le faire chez Cisco ? Et pour mon plaisir, où trouve t'on le générateur de signature K&P :-) > Le 15 août 2020 à 09:40, Vincent Bernat a écrit : > > ❦ 15 août 2020 07:13 +00, Michel Py: > >>> Je pointais juste le fait que l'explication de comment la CAM fonctionne >>> n'est pas bonne depuis 20 ans. >> >> Excellente remarque, j'avais en effet pris quelques raccourcis dans >> l'histoire. >> >>> Perso, jamais fait de Q-in-Q >> >> As-tu déjà mis un câble en boucle entre 2 ports sur le même switch? > > Oui (entre deux VRF dans mon cas). Je ne vois pas le rapport avec les > carottes. Je réitère donc : je souligne juste que ton explication était > fausse (depuis 20 ans). Comme c'était a priori la seule base > scientifique pour expliquer pourquoi c'est une mauvaise idée, j'ai fait > la remarque. Je n'y connais rien en Q-in-Q et donc je n'ai pas d'avis > sur le fait que ce soit ou non une bonne idée dans le cas présenté. > -- > Write clearly - don't be too clever. >- The Elements of Programming Style (Kernighan & Plauger) > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
On Sat, Aug 15, 2020, at 09:13, Michel Py wrote: > > D'ailleurs, si c'était une bonne idée, comment çà ce fait qu'on ne > puisse pas faire çà dans la config ? Une interface virtuelle qui bridge > 2 VLANs ? le concept n'est pas nouveau : bridge IRB; avec un petit coup > d'interface NVI0 ou BVI0, çà ne devrait pas être difficile. Pourquoi on > ne pourrait pas créer un bridge entre deux interfaces qui appartiennent > à 2 VLANs différent par config ? on fait çà depuis la nuit des temps > avec un port span. Parce-que: 1. C'est un equipement "campus", ou d'apres les product marabous de Cisco, le besoin n'existe pas 2. Le hardware peut ne pas le permettre (juste une supposition) Encore une fois, il faut utiliser le bon materiel pour la tache. Les 3750 ne sont *PAS* de bons outils pour un operateur. Un ASR 920 (ou encore mieux les ASR9K, les NCS5K), peuvent bridger deux VLANs (on parle de circuits dot1q), et n'ont aucun probleme si on connecte 2 ports entre eux (meme si pour les ASR9K et NCS5K, ca reste une mauvaise idee vu le prix du port). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
❦ 15 août 2020 07:13 +00, Michel Py: >> Je pointais juste le fait que l'explication de comment la CAM fonctionne >> n'est pas bonne depuis 20 ans. > > Excellente remarque, j'avais en effet pris quelques raccourcis dans > l'histoire. > >> Perso, jamais fait de Q-in-Q > > As-tu déjà mis un câble en boucle entre 2 ports sur le même switch? Oui (entre deux VRF dans mon cas). Je ne vois pas le rapport avec les carottes. Je réitère donc : je souligne juste que ton explication était fausse (depuis 20 ans). Comme c'était a priori la seule base scientifique pour expliquer pourquoi c'est une mauvaise idée, j'ai fait la remarque. Je n'y connais rien en Q-in-Q et donc je n'ai pas d'avis sur le fait que ce soit ou non une bonne idée dans le cas présenté. -- Write clearly - don't be too clever. - The Elements of Programming Style (Kernighan & Plauger) --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
> Vincent Bernat a écrit : > Je pointais juste le fait que l'explication de comment la CAM fonctionne > n'est pas bonne depuis 20 ans. Excellente remarque, j'avais en effet pris quelques raccourcis dans l'histoire. > Perso, jamais fait de Q-in-Q As-tu déjà mis un câble en boucle entre 2 ports sur le même switch? Moi oui, plusieurs fois, et je maintiens que c'est une idée à la con parce que je me rappelle comment çà a foiré quand je l'ai fait, et parce que çà continue à foirer pour exactement la même raison. D'ailleurs, si c'était une bonne idée, comment çà ce fait qu'on ne puisse pas faire çà dans la config ? Une interface virtuelle qui bridge 2 VLANs ? le concept n'est pas nouveau : bridge IRB; avec un petit coup d'interface NVI0 ou BVI0, çà ne devrait pas être difficile. Pourquoi on ne pourrait pas créer un bridge entre deux interfaces qui appartiennent à 2 VLANs différent par config ? on fait çà depuis la nuit des temps avec un port span. Dans un monde parfait, çà devrait marcher. En théorie, la pratique et la théorie sont la même chose; en pratique, non. C'est là ou quand même l'âge et l'expérience ont un peu d'importance. J'ai réagi à ce fil parce que Sébastien il a l'air d'être aussi jeune et con que moi quand j'étais jeune. Pour la partie jeune, il n'y a rien à faire car le temps passe. Pour la partie con, çà ne s'est pas amélioré pour moi non plus :P J'ai essayé parce que je croyais que la mienne était plus longue, j'en ai chié comme un rat, çà ne me procure aucune satisfaction de voir Sébastien en chier. Sébastien, tu vas devenir vieux et con. Je sais c'est pas encourageant, mais çà passe mieux quand tu mets de l'huile :P Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
❦ 14 août 2020 15:35 +00, Michel Py: >>> Rappel de base : la CAM est construite en écoutant l'adresse MAC >>> source et en l'associant au port sur lequel le trafic est arrivé. Il >>> peut y avoir plusieurs MAC par port, mais pas plusieurs ports par MAC. > >> L'association MAC/port se fait par VLAN. >> sh mac address-table >> sh platform mac-address-table mac-address X vlan Y > > Et ce que Sébastien veut faire c'est d'injecter un VLAN dans un autre > tout en encapsulant un VLAN dans un autre en même temps. [...] Je pointais juste le fait que l'explication de comment la CAM fonctionne n'est pas bonne depuis 20 ans. Perso, jamais fait de Q-in-Q. -- Don't over-comment. - The Elements of Programming Style (Kernighan & Plauger) --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
> Michel Py a écrit : > Ce n'est pas tellement STP ou 802.1q qui me chagrine dans cette > combine, c'est la gestion de la table CAM dans le switch. > Rappel de base : la CAM est construite en écoutant l'adresse MAC > source et en l'associant au port sur lequel le trafic est arrivé. Il > peut y avoir plusieurs MAC par port, mais pas plusieurs ports par MAC. > Vincent Bernat a écrit : > L'association MAC/port se fait par VLAN. > sh mac address-table > sh platform mac-address-table mac-address X vlan Y Et ce que Sébastien veut faire c'est d'injecter un VLAN dans un autre tout en encapsulant un VLAN dans un autre en même temps. Le moindre grain de sable là-dedans et çà va foirer nettement plus vite que sans le câble qui crée une boucle entre deux ports. Le code Q-in-Q pas sec, ou quelque chose d'autre écrit avec les pieds, ou une config pas bonne, ou le matériel qui chauffe et perds les pédales, et çà part dans les choux. Les accidents, çà n'arrive pas qu'aux autres. On est plusieurs ici à avoir vu du trafic qui arrive sur ton port alors qu'il ne t'es pas destiné, ou le trafic d'un autre VLAN qui arrive sur le tien. Souvent, c'est l'accumulation de petits trucs un peu crades qui fait planter un réseau; individuellement, çà passe, mais quand on en a trop en même temps c'est pas bon. La prévention des boucles dans un réseau, c'est un concept important. > Radu-Adrian Feurdean a écrit : > Mais encore un fois, dans le cas present on parle d'un switch initialement > prevu pour de la bureautique (3750 -> campus networks) Et c'est un super bon switch dans ce contexte mais en effet çà n'a probablement pas été testé dans ce genre de condition. > Sébastien a écrit : > J'aimerais vraiment avoir un retour sur du 3750X sur lequel cela ne > fonctionne pas ! Cà fonctionne sur un 3750 et pas sur un 3750X ? Si c'est le cas, c'est l'exemple parfait de pourquoi il ne faut pas faire ce genre de bidouille. > David Ponzone a écrit : > Ajoute un 3x50, t’en as pour 400-500€ Je plussoie, si c'est faisable en tant que place dans la baie et conso. En plus, çà te donne un hot spare dans la baie (tu peux mettre la bidouille en place temporairement), pas négligeable ces jours-ci avec les limitations sur le déplacement. Même si tu vas quand même créer une boucle, çà limite le risque. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
Ben tu peux accéder au VLAN X sur ce switch, qui entre dans un port dot1q-tunnel sur ton switch « opérateur ». Je pars du principe que tes switch actuels sont pas au même endroit et que tu veux accéder au VLAN X depuis l’endroit où est ton switch « opérateur » . > Le 14 août 2020 à 11:06, Sébastien 65 a écrit : > > David, > > Je ne suis pas sur de comprendre le fait de rajouter un 3750 ? > De : David Ponzone > Envoyé : vendredi 14 août 2020 10:47 > À : Sébastien 65 > Cc : Radu-Adrian Feurdean ; frnog@frnog.org > > Objet : Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN > > Ajoute un 3x50, t’en as pour 400-500€ > > David Ponzone > > > > > Le 14 août 2020 à 10:31, Sébastien 65 a écrit : > > > > Bonjour à tous, > > > > J'ai bien pris en compte vos différentes remarques sur le no GO et je vous > > en remercie ! Je ne vais donc pas jouer avec le feu... > > Même si bon nombre de retour m'indique que cela fonctionne !!! > > > > Je préfère dormir sur mes deux oreilles, je n'ai pas pour habitude de faire > > de la bricole. Je vais regarder du côté des Nexus si cela peut être fait. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
David, Je ne suis pas sur de comprendre le fait de rajouter un 3750 ? De : David Ponzone Envoyé : vendredi 14 août 2020 10:47 À : Sébastien 65 Cc : Radu-Adrian Feurdean ; frnog@frnog.org Objet : Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN Ajoute un 3x50, t’en as pour 400-500€ David Ponzone > Le 14 août 2020 à 10:31, Sébastien 65 a écrit : > > Bonjour à tous, > > J'ai bien pris en compte vos différentes remarques sur le no GO et je vous en > remercie ! Je ne vais donc pas jouer avec le feu... > Même si bon nombre de retour m'indique que cela fonctionne !!! > > Je préfère dormir sur mes deux oreilles, je n'ai pas pour habitude de faire > de la bricole. Je vais regarder du côté des Nexus si cela peut être fait. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
Ajoute un 3x50, t’en as pour 400-500€ David Ponzone > Le 14 août 2020 à 10:31, Sébastien 65 a écrit : > > Bonjour à tous, > > J'ai bien pris en compte vos différentes remarques sur le no GO et je vous en > remercie ! Je ne vais donc pas jouer avec le feu... > Même si bon nombre de retour m'indique que cela fonctionne !!! > > Je préfère dormir sur mes deux oreilles, je n'ai pas pour habitude de faire > de la bricole. Je vais regarder du côté des Nexus si cela peut être fait. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
Bonjour à tous, J'ai bien pris en compte vos différentes remarques sur le no GO et je vous en remercie ! Je ne vais donc pas jouer avec le feu... Même si bon nombre de retour m'indique que cela fonctionne !!! Je préfère dormir sur mes deux oreilles, je n'ai pas pour habitude de faire de la bricole. Je vais regarder du côté des Nexus si cela peut être fait. Donc je repars de zéro et dois replancher sur le sujet... De : frnog-requ...@frnog.org de la part de Radu-Adrian Feurdean Envoyé : vendredi 14 août 2020 10:01 À : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN On Fri, Aug 14, 2020, at 05:28, Michel Py wrote: > Le machin qui consiste à mettre un cable entre 2 ports sur le même > switch, c'est contraire à la logique. Continue, le jour ou çà va te Si tu utilises le switch en tant que "switch" (fr: commutateur ethernet), oui, c'est au minimum problematique. Ca semble etre le cas de Sebastien. Si par contre tu utilises le switch en tant que "multiplexeur" ethernet/802.1q ca peut etre assez "safe". Peut-etre pas avec un 3750, mais il y a des equipements avec lesquels c'est completement safe. On peut ocasionellement trouver des trucs comme ca das les "multiplexeurs ethernet" connectes derriere des routeurs. Ah, et sur un vrai routeur, connecter 2 ports entre eux ca ne pose aucun probleme. Mais encore un fois, dans le cas present on parle d'un switch initialement prevu pour de la bureautique (3750 -> campus networks) D'un cote, j'ai envie de dire "vas-y ! la concurrence locale va t'etre reconnaissante (le jour ou ca va foirer)". D'un autre cote, ces bidouilles (et leurs consequences) tache encore plus l'image des petits operateurs (locaux ou pas), qui meritent mieux que ca. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
On Fri, Aug 14, 2020, at 05:28, Michel Py wrote: > Le machin qui consiste à mettre un cable entre 2 ports sur le même > switch, c'est contraire à la logique. Continue, le jour ou çà va te Si tu utilises le switch en tant que "switch" (fr: commutateur ethernet), oui, c'est au minimum problematique. Ca semble etre le cas de Sebastien. Si par contre tu utilises le switch en tant que "multiplexeur" ethernet/802.1q ca peut etre assez "safe". Peut-etre pas avec un 3750, mais il y a des equipements avec lesquels c'est completement safe. On peut ocasionellement trouver des trucs comme ca das les "multiplexeurs ethernet" connectes derriere des routeurs. Ah, et sur un vrai routeur, connecter 2 ports entre eux ca ne pose aucun probleme. Mais encore un fois, dans le cas present on parle d'un switch initialement prevu pour de la bureautique (3750 -> campus networks) D'un cote, j'ai envie de dire "vas-y ! la concurrence locale va t'etre reconnaissante (le jour ou ca va foirer)". D'un autre cote, ces bidouilles (et leurs consequences) tache encore plus l'image des petits operateurs (locaux ou pas), qui meritent mieux que ca. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
Bonjour, Nous on fait ce genre de trucs avec des mikrotik c'est la solution la moins sale et la plus économique que nous avons trouvés, On fait 2 interfaces taguée et on met un bridge entre les 2 La seule limite étant la fiabilité des mikrotik ... Le ven. 14 août 2020 à 07:09, Vincent Bernat a écrit : > ❦ 12 août 2020 17:10 +00, Michel Py: > > > Ce n'est pas tellement STP ou 802.1q qui me chagrine dans cette > > combine, c'est la gestion de la table CAM dans le switch. > > Rappel de base : la CAM est construite en écoutant l'adresse MAC > > source et en l'associant au port sur lequel le trafic est arrivé. Il > > peut y avoir plusieurs MAC par port, mais pas plusieurs ports par MAC. > > L'association MAC/port se fait par VLAN. > > sh mac address-table > sh platform mac-address-table mac-address X vlan Y > -- > Don't sacrifice clarity for small gains in "efficiency". > - The Elements of Programming Style (Kernighan & Plauger) > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
❦ 12 août 2020 17:10 +00, Michel Py: > Ce n'est pas tellement STP ou 802.1q qui me chagrine dans cette > combine, c'est la gestion de la table CAM dans le switch. > Rappel de base : la CAM est construite en écoutant l'adresse MAC > source et en l'associant au port sur lequel le trafic est arrivé. Il > peut y avoir plusieurs MAC par port, mais pas plusieurs ports par MAC. L'association MAC/port se fait par VLAN. sh mac address-table sh platform mac-address-table mac-address X vlan Y -- Don't sacrifice clarity for small gains in "efficiency". - The Elements of Programming Style (Kernighan & Plauger) --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
> Sébastien 65 a écrit : > C'est quand même difficile de trancher entre le OUI c'est OK ça va gazer et > NON tu fais une boulette... Comme c'est bientôt trolldi, as-tu lu ma dernière contrib à propos de la CAM ? Peut-être que nous les vieux cons croulants sont bons pour la retraite, mais il y a quand même pas mal de situations quand ont te dit que tu fais une boulette, çà va pas être glop pour toi quand ton réseau se plante et qu'il y a un con qui va lire les archives de la liste et comprendre qu'on t'avais dis que c'était une idée à la con c'était parce que c'était une idée à la con. Tu n'as même pas la logique d'expliquer comment çà marche, ta bidouille. Thierry et moi on comprend vaguement comment çà tombe en marche, un réseau de pro çà ne fait pas ce genre de connerie et l'avouer en public; en lab j'ai fait, entre la théorie et la pratique çà a merdé tellement de fois que je ne fais pas en prod. Je ne suis pas un saint et j'ai essayé la connerie avant toi, Thierry et moi on n'a rien à gagner à t'expliquer que c'est une connerie. Les conneries avec l'optique fibre monomode qu'on injecte dans de la fibre multimode, je fais tous les jours. Les mêmes conneries qui consistent à faire parler des optiques bidi avec une bidouille vers des optiques duplex, je comprends la logique: la norme n'est pas respectée, mais çà marche. Le machin qui consiste à mettre un cable entre 2 ports sur le même switch, c'est contraire à la logique. Continue, le jour ou çà va te foirer dans les mains, ne compte pas sur mon support ou ma bienveillance. Le cable entre deux ports du même switch, c'est une idée que je recommande à mes concurrents. Dans le bon vieux temps, tu faisais çà avec un hub, tu plantais le réseau. Cà marche par accident, ton truc. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
> Sébastien a écrit : > car côté 802.1q je ne vois pas spécialement de problématique sur l'usage C'est plutôt la data-plane ou le chipset qui va perdre les pédales, voir plus bas. > Thierry Chich a écrit : > Je confirme que c’est dangereux. Je l’ai eu fait, et ça a très > bien marché. Et je l’ai eu refait, et ça a bien foiré. Pas de surprise. > Pourtant, du strict point de vue 802.1q, c’est dans les clous. Mais on est > jamais à l’abri > d’un STP qui fonctionne pas comme on le pense (et dieu sait que c’est > quasiment une > caractéristique du STP - ne pas fonctionner comme on pense), ou d’un > reparametrage innocent > qui va tout exploser. Le fait est que jamais je ne tenterais cette opération > à distance, > sans avoir le switch sous la main. C’est un signe que c’est pas hyper > sécurisé comme opération. Ce n'est pas tellement STP ou 802.1q qui me chagrine dans cette combine, c'est la gestion de la table CAM dans le switch. Rappel de base : la CAM est construite en écoutant l'adresse MAC source et en l'associant au port sur lequel le trafic est arrivé. Il peut y avoir plusieurs MAC par port, mais pas plusieurs ports par MAC. Port A reçoit le trafic en provenance de la MAC xyzt, donc le switch construit la CAM en associant cette adresse au port A. Le cable entre le port A et le port B envoie ce même trafic vers le port B, et maintenant le switch mets à jour la CAM en associant xyzt avec le port B, possiblement en effaçant l'association avec le port A. Quand le trafic de retour a destination de xyzt est reçu par le port B, le switch ne sait pas quoi faire : en regardant la CAM il se rend compte que xyzt est associé au port qui a reçu le trafic, ce qui ne devrait pas arriver. En suivant la logique, çà ne devrait même pas marcher. Cà marche par accident, avec possiblement du ré-apprentissage de MAC permanent, ou du flooding. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
Merci Thierry pour ton retour. C'est quand même difficile de trancher entre le OUI c'est OK ça va gazer et NON tu fais une boulette... J'ai eu des retours sur des personnes qui ont +/- la même config sur du 3750 sans problématique particulière. De mon côté la mise en place est passée du premier coup entre les deux switchs (c3750e-universalk9-mz.152-4.E10)! J'aimerais vraiment avoir un retour sur du 3750X sur lequel cela ne fonctionne pas ! Peut-être l'IOS qui, à un moment peut faire merder le montage, car côté 802.1q je ne vois pas spécialement de problématique sur l'usage Sébastien De : Thierry Chich Envoyé : mercredi 12 août 2020 18:23 À : Michel Py Cc : Sébastien 65 ; David Ponzone ; frnog Objet : Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN Je confirme que c’est dangereux. Je l’ai eu fait, et ça a très bien marché. Et je l’ai eu refait, et ça a bien foiré. Pourtant, du strict point de vue 802.1q, c’est dans les clous. Mais on est jamais à l’abri d’un STP qui fonctionne pas comme on le pense (et dieu sait que c’est quasiment une caractéristique du STP - ne pas fonctionner comme on pense), ou d’un reparametrage innocent qui va tout exploser. Le fait est que jamais je ne tenterais cette opération à distance, sans avoir le switch sous la main. C’est un signe que c’est pas hyper sécurisé comme opération. Thierry > Le 9 août 2020 à 22:17, Michel Py a > écrit : > > >>> Michel Py a écrit : >>> C'est super dangereux. Avec un 3750X çà peut marcher, mais il y a plein de >>> modèles >> de switch qui vont péter les plombs avec cette config. > >> Sébastien 65 a écrit : >> Avant de me lancer j'ai quand même pris le temps de fouiller sur Google et >> il s'avère que cette technique est "couramment" utilisée. Pour le même >> besoin, >> j'ai vu ça sur du Cisco 3750,3550, HPE 5800 > > Ce qui ne veut pas dire que c'est robuste ou sain. STP, c'est facile à > planter; tu fragilises la situation. Au moindre problème ou bug, le cable > entre 2 ports du même switch, comme c'est pas une config courante, çà va > devenir un paratonnerre à emmerdes, surtout en cas d'autres problèmes ou de > reboot. > > Michel. > > > --- > Liste de diffusion du FRnOG > https://eur01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=02%7C01%7C%7C5d74c70593de45797f7608d83edbfe07%7C84df9e7fe9f640afb435%7C1%7C0%7C637328461856722825&sdata=Xl7GW5YWIyd62tbPqKcw%2F7Q2wpayiiK2bmRuSHfN9i0%3D&reserved=0 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
Je confirme que c’est dangereux. Je l’ai eu fait, et ça a très bien marché. Et je l’ai eu refait, et ça a bien foiré. Pourtant, du strict point de vue 802.1q, c’est dans les clous. Mais on est jamais à l’abri d’un STP qui fonctionne pas comme on le pense (et dieu sait que c’est quasiment une caractéristique du STP - ne pas fonctionner comme on pense), ou d’un reparametrage innocent qui va tout exploser. Le fait est que jamais je ne tenterais cette opération à distance, sans avoir le switch sous la main. C’est un signe que c’est pas hyper sécurisé comme opération. Thierry > Le 9 août 2020 à 22:17, Michel Py a > écrit : > > >>> Michel Py a écrit : >>> C'est super dangereux. Avec un 3750X çà peut marcher, mais il y a plein de >>> modèles >> de switch qui vont péter les plombs avec cette config. > >> Sébastien 65 a écrit : >> Avant de me lancer j'ai quand même pris le temps de fouiller sur Google et >> il s'avère que cette technique est "couramment" utilisée. Pour le même >> besoin, >> j'ai vu ça sur du Cisco 3750,3550, HPE 5800 > > Ce qui ne veut pas dire que c'est robuste ou sain. STP, c'est facile à > planter; tu fragilises la situation. Au moindre problème ou bug, le cable > entre 2 ports du même switch, comme c'est pas une config courante, çà va > devenir un paratonnerre à emmerdes, surtout en cas d'autres problèmes ou de > reboot. > > Michel. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
>> Michel Py a écrit : >> C'est super dangereux. Avec un 3750X çà peut marcher, mais il y a plein de >> modèles > de switch qui vont péter les plombs avec cette config. > Sébastien 65 a écrit : > Avant de me lancer j'ai quand même pris le temps de fouiller sur Google et > il s'avère que cette technique est "couramment" utilisée. Pour le même besoin, > j'ai vu ça sur du Cisco 3750,3550, HPE 5800 Ce qui ne veut pas dire que c'est robuste ou sain. STP, c'est facile à planter; tu fragilises la situation. Au moindre problème ou bug, le cable entre 2 ports du même switch, comme c'est pas une config courante, çà va devenir un paratonnerre à emmerdes, surtout en cas d'autres problèmes ou de reboot. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
On Sat, Aug 08, 2020 at 08:43:28AM +, Sébastien 65 wrote: > Maintenant je comprends mieux pourquoi quand je passe dans certaines > baies opérateurs, le fait qu'il y ait un patch entre deux ports sur le > même équipement 🙂🙂 Ça me rassure pas spécialement l'opérateur qui se retrouve à utiliser ce genre de montage « en standard » pour faire de la manipulation de VLAN, pour moi ça veut surtout dire qu'il n'utilise pas le bon équipement pour le bon usage. Benjamin -- Benjamin Collet --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
Michel, >C'est super dangereux. Avec un 3750X çà peut marcher, mais il y a plein de >modèles de switch qui vont péter les plombs avec cette config. Avant de me lancer j'ai quand même pris le temps de fouiller sur Google et il s'avère que cette technique est "couramment" utilisée. Pour le même besoin, j'ai vu ça sur du Cisco 3750,3550, HPE 5800 De : Michel Py Envoyé : samedi 8 août 2020 18:09 À : 'Sébastien 65' ; David Ponzone ; frnog Objet : RE: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN > Sébastien 65 a écrit : > Juste pour faire un retour rapide. Je suis resté avec les 3750X et pas eu > besoin > de rajouter un switch, mais l'idée est certainement à creuser !! La technique > consiste de > faire une boucle sur les deux switch de chaque côté afin d'injecter le VLAN > 50 sur le 105. C'est super dangereux. Avec un 3750X çà peut marcher, mais il y a plein de modèles de switch qui vont péter les plombs avec cette config. Michel. => system mtu 1504 sur les 2 switch port 1 : switchport access vlan 105 switchport mode dot1q-tunnel no cdp enable l2protocol-tunnel cdp l2protocol-tunnel stp et sur le port 2 : switchport trunk allowed vlan 50 switchport trunk encapsulation dot1q switchport mode trunk --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
> Sébastien 65 a écrit : > Juste pour faire un retour rapide. Je suis resté avec les 3750X et pas eu > besoin > de rajouter un switch, mais l'idée est certainement à creuser !! La technique > consiste de > faire une boucle sur les deux switch de chaque côté afin d'injecter le VLAN > 50 sur le 105. C'est super dangereux. Avec un 3750X çà peut marcher, mais il y a plein de modèles de switch qui vont péter les plombs avec cette config. Michel. => system mtu 1504 sur les 2 switch port 1 : switchport access vlan 105 switchport mode dot1q-tunnel no cdp enable l2protocol-tunnel cdp l2protocol-tunnel stp et sur le port 2 : switchport trunk allowed vlan 50 switchport trunk encapsulation dot1q switchport mode trunk --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
Sale oui et non... C'est une méthode, certes qui me déroute un peu sur "la boucle contrôlée" mais qui a le mérite de fonctionner ! De plus je me retrouve avec le VLAN de management pleinement fonctionnel sur les 2 switch. Maintenant je comprends mieux pourquoi quand je passe dans certaines baies opérateurs, le fait qu'il y ait un patch entre deux ports sur le même équipement 🙂🙂 De : David Ponzone Envoyé : samedi 8 août 2020 10:25 À : Sébastien 65 Cc : frnog Objet : Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN Certes, mais que c’est sale :) Le 8 août 2020 à 10:18, Sébastien 65 mailto:sebastien...@live.fr>> a écrit : Bonjour, Juste pour faire un retour rapide. Je suis resté avec les 3750X et pas eu besoin de rajouter un switch, mais l'idée est certainement à creuser !! La technique consiste de faire une boucle sur les deux switch de chaque côté afin d'injecter le VLAN 50 sur le 105. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
Certes, mais que c’est sale :) > Le 8 août 2020 à 10:18, Sébastien 65 a écrit : > > Bonjour, > > Juste pour faire un retour rapide. Je suis resté avec les 3750X et pas eu > besoin de rajouter un switch, mais l'idée est certainement à creuser !! > > La technique consiste de faire une boucle sur les deux switch de chaque côté > afin d'injecter le VLAN 50 sur le 105. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
Bonjour, Juste pour faire un retour rapide. Je suis resté avec les 3750X et pas eu besoin de rajouter un switch, mais l'idée est certainement à creuser !! La technique consiste de faire une boucle sur les deux switch de chaque côté afin d'injecter le VLAN 50 sur le 105. => system mtu 1504 sur les 2 switch port 1 : switchport access vlan 105 switchport mode dot1q-tunnel no cdp enable l2protocol-tunnel cdp l2protocol-tunnel stp et sur le port 2 : switchport trunk allowed vlan 50 switchport trunk encapsulation dot1q switchport mode trunk Bon week-end ! De : frnog-requ...@frnog.org de la part de David Ponzone Envoyé : mardi 28 juillet 2020 11:41 À : frnog Objet : Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN Et aussi ta volonté d’utiliser le VLAN 50 sur le switch qui te sert à la collecte. Sépare les usages, ça ira mieux. Au pire tu ajoutes un autre switch pour exploiter le VLAN 50 et tu le fais arriver sur le switch CELAN par un port dot1q-tunnel aussi. Au prix en broke de ce type de switch, c pas la fin du monde. > On Tue, Jul 28, 2020, at 09:19, Sébastien 65 wrote: >> Si Q-in-Q n'est pas la solution, quesqu'il me reste comme solution ? > > Ce n'est pas la solution a remettre en cause, mais l'outil (l'equipement). > > > --- > Liste de diffusion du FRnOG > https://eur02.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=02%7C01%7C%7C32d7e7a4241447ead74308d832da7ec6%7C84df9e7fe9f640afb435%7C1%7C0%7C637315261290349465&sdata=FbIixFsQWIUo2AIcd435D6hKUuESuELooidyXLU%2F7dM%3D&reserved=0 --- Liste de diffusion du FRnOG https://eur02.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=02%7C01%7C%7C32d7e7a4241447ead74308d832da7ec6%7C84df9e7fe9f640afb435%7C1%7C0%7C637315261290349465&sdata=FbIixFsQWIUo2AIcd435D6hKUuESuELooidyXLU%2F7dM%3D&reserved=0 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
Et aussi ta volonté d’utiliser le VLAN 50 sur le switch qui te sert à la collecte. Sépare les usages, ça ira mieux. Au pire tu ajoutes un autre switch pour exploiter le VLAN 50 et tu le fais arriver sur le switch CELAN par un port dot1q-tunnel aussi. Au prix en broke de ce type de switch, c pas la fin du monde. > On Tue, Jul 28, 2020, at 09:19, Sébastien 65 wrote: >> Si Q-in-Q n'est pas la solution, quesqu'il me reste comme solution ? > > Ce n'est pas la solution a remettre en cause, mais l'outil (l'equipement). > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
On Tue, Jul 28, 2020, at 09:19, Sébastien 65 wrote: > Si Q-in-Q n'est pas la solution, quesqu'il me reste comme solution ? Ce n'est pas la solution a remettre en cause, mais l'outil (l'equipement). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
On Tue, Jul 28, 2020, at 09:09, Sébastien 65 wrote: > Je vais retourner faire la sieste !!! Non le Fa0/2 est bien la > livraison, le schéma est correct... > > Par contre j'ai besoin de pouvoir utiliser le vlan50 sur le switch > CELAN ! Pourquoi celui-ci ne peux pas être utilisé? Simplement parce-que sur cette gamme la c'est pas vraiment du QinQ, mais du dot1q tunnelling : - tu peux configurer un port pour ignorer le tag 802.1q (le considerer comme du payload) - fondamentallement, le switch ne sait pas regarder au-dela du premier tag. Si tuveux re-injecter le Vlan 50, tu dois faire une boucle : un port en mode 1qtunnel dans le vlan 105, l'autre en mode trunk avec vlan 50 dans le lot. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
>Ce n'est pas ce qu'on comprend a partir de ton schema. Le schéma est correct, une erreur de ma part sur la réponse à David... >Autre chose, si tu veux faire du QinQ, il y a une interface d'entree (que dans >ton cas tu vois pas - c'est la porte CELAN), et une interface de sortie (cele >sur laquelle tu mets mode dot1q-tunnel pour enlever le tag 105). Pour moi l'interface de sortie est l'interface fa0/2 du switch CELAN. >Au moins sur ton equipement, qui est concu par le constructeur pour connecter >des PC dans un LAN d'entreprise, pas pour faire operateur. J'ai pas trop compris le sens de ta prhase ?! Si Q-in-Q n'est pas la solution, quesqu'il me reste comme solution ? De : frnog-requ...@frnog.org de la part de Radu-Adrian Feurdean Envoyé : mardi 28 juillet 2020 09:08 À : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN On Tue, Jul 28, 2020, at 08:56, Sébastien 65 wrote: > Sur le switch CELAN, le port Fa0/1 est la livraison de la porte CELAN, > donc je ne peux pas faire un Switchport access vlan 105 Ce n'est pas ce qu'on comprend a partir de ton schema. Autre chose, si tu veux faire du QinQ, il y a une interface d'entree (que dans ton cas tu vois pas - c'est la porte CELAN), et une interface de sortie (cele sur laquelle tu mets mode dot1q-tunnel pour enlever le tag 105). Au moins sur ton equipement, qui est concu par le constructeur pour connecter des PC dans un LAN d'entreprise, pas pour faire operateur. --- Liste de diffusion du FRnOG https://eur05.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=02%7C01%7C%7C97576afb83ff414dbdad08d832c51428%7C84df9e7fe9f640afb435%7C1%7C0%7C637315169307025887&sdata=VtTVHsTwsrUNHjX5eqGCM8N68bBqQKp2Zm%2FNeE8yYn4%3D&reserved=0 --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
Je vais retourner faire la sieste !!! Non le Fa0/2 est bien la livraison, le schéma est correct... Par contre j'ai besoin de pouvoir utiliser le vlan50 sur le switch CELAN ! Pourquoi celui-ci ne peux pas être utilisé ? De : David Ponzone Envoyé : mardi 28 juillet 2020 09:01 À : Sébastien 65 Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN Tu t’es planté sur ton schéma alors. Le 28 juil. 2020 à 08:56, Sébastien 65 mailto:sebastien...@live.fr>> a écrit : Sur le switch CELAN, le port Fa0/1 est la livraison de la porte CELAN, donc je ne peux pas faire un Switchport access vlan 105 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
On Tue, Jul 28, 2020, at 08:56, Sébastien 65 wrote: > Sur le switch CELAN, le port Fa0/1 est la livraison de la porte CELAN, > donc je ne peux pas faire un Switchport access vlan 105 Ce n'est pas ce qu'on comprend a partir de ton schema. Autre chose, si tu veux faire du QinQ, il y a une interface d'entree (que dans ton cas tu vois pas - c'est la porte CELAN), et une interface de sortie (cele sur laquelle tu mets mode dot1q-tunnel pour enlever le tag 105). Au moins sur ton equipement, qui est concu par le constructeur pour connecter des PC dans un LAN d'entreprise, pas pour faire operateur. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
Tu t’es planté sur ton schéma alors. > Le 28 juil. 2020 à 08:56, Sébastien 65 a écrit : > > Sur le switch CELAN, le port Fa0/1 est la livraison de la porte CELAN, donc > je ne peux pas faire un Switchport access vlan 105 --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
Sur le switch CELAN, le port Fa0/1 est la livraison de la porte CELAN, donc je ne peux pas faire un Switchport access vlan 105 De : David Ponzone Envoyé : mardi 28 juillet 2020 08:45 À : Sébastien 65 Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN Oula y a quelques soucis: Sur site distant: int fa0/1 Switchport mode trunk Switchport trunk encapsulation dot1q Switchport native vlan 900 Switchport trunk allowed 50-53 Sur switch CELAN: Int fa0/1 Switchport mode dot1q-tunnel Switchport access vlan 105 Sur switch2: Int fa0/2 Switchport mode trunk Switchport trunk encapsulation dot1q Switchport native vlan 900 Switchport trunk allowed 50-53 Attention: si ça marche :), le VLAN 50 est pas exploitable sur le switch CELAN. Le 28 juil. 2020 à 08:29, Sébastien 65 mailto:sebastien...@live.fr>> a écrit : Je viens de faire un test cela ne communique pas avec les autres VLANS sauf le VLAN 105... Par exemple ici j'essaye d'utiliser le VLAN50 sur le site distant (management des switchs)... Un schéma du lab sera plus parlant : https://i.ibb.co/t4zNDSB/qinq.jpg<https://eur06.safelinks.protection.outlook.com/?url=https%3A%2F%2Fi.ibb.co%2Ft4zNDSB%2Fqinq.jpg&data=02%7C01%7C%7Cfd03457996a842f2219108d832c1df78%7C84df9e7fe9f640afb435%7C1%7C0%7C637315155735722036&sdata=WceJ38LTirCW9EOhqk9HDFEXMGRuHykhTTnMVJrm4XA%3D&reserved=0> [https://i.ibb.co/t4zNDSB/qinq.jpg] De : frnog-requ...@frnog.org<mailto:frnog-requ...@frnog.org> mailto:frnog-requ...@frnog.org>> de la part de Sébastien 65 mailto:sebastien...@live.fr>> Envoyé : lundi 27 juillet 2020 18:03 À : David Ponzone mailto:david.ponz...@gmail.com>> Cc : frnog-t...@frnog.org<mailto:frnog-t...@frnog.org> mailto:frnog-t...@frnog.org>> Objet : RE: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN Ca me va mieux comme ça oui ! De : David Ponzone mailto:david.ponz...@gmail.com>> Envoyé : lundi 27 juillet 2020 17:55 À : Sébastien 65 mailto:sebastien...@live.fr>> Cc : frnog-t...@frnog.org<mailto:frnog-t...@frnog.org> mailto:frnog-t...@frnog.org>> Objet : Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN :) Tu mets ça sur le port trunk qui va vers ton autre switch (interne). Ca indique à ton switch que si un paquet arrive de ce port, il doit pusher 105 en outer-VLAN, et l’inverse quand il envoie un paquet sur ce port. Le 27 juil. 2020 à 17:53, Sébastien 65 mailto:sebastien...@live.fr><mailto:sebastien...@live.fr>> a écrit : J'ai raté un truc... Sur le switch de collecte il faut que j'écrase la conf du port pour y mettre switchport access vlan 105 + dot1q-tunnel ? Les autres services FTTO (100 à 104) dessus ne vont plus fonctionner non ? --- Liste de diffusion du FRnOG https://eur05.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=02%7C01%7C%7Cb340739a3578431376c908d832469e63%7C84df9e7fe9f640afb435%7C1%7C0%7C637314626164540820&sdata=NcX%2B74uQySzzOrcGtNqkVmiAyLly2b35JagRSHDu09I%3D&reserved=0<https://eur06.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=02%7C01%7C%7Cfd03457996a842f2219108d832c1df78%7C84df9e7fe9f640afb435%7C1%7C0%7C637315155735732026&sdata=bTAajvgIpZbbGChkLAB013oc9CXquRnqgXsC1LYxhk8%3D&reserved=0> --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
Oula y a quelques soucis: Sur site distant: int fa0/1 Switchport mode trunk Switchport trunk encapsulation dot1q Switchport native vlan 900 Switchport trunk allowed 50-53 Sur switch CELAN: Int fa0/1 Switchport mode dot1q-tunnel Switchport access vlan 105 Sur switch2: Int fa0/2 Switchport mode trunk Switchport trunk encapsulation dot1q Switchport native vlan 900 Switchport trunk allowed 50-53 Attention: si ça marche :), le VLAN 50 est pas exploitable sur le switch CELAN. > Le 28 juil. 2020 à 08:29, Sébastien 65 a écrit : > > Je viens de faire un test cela ne communique pas avec les autres VLANS sauf > le VLAN 105... > > Par exemple ici j'essaye d'utiliser le VLAN50 sur le site distant (management > des switchs)... > > Un schéma du lab sera plus parlant : https://i.ibb.co/t4zNDSB/qinq.jpg > <https://i.ibb.co/t4zNDSB/qinq.jpg> > > > De : frnog-requ...@frnog.org <mailto:frnog-requ...@frnog.org> > mailto:frnog-requ...@frnog.org>> de la part de > Sébastien 65 mailto:sebastien...@live.fr>> > Envoyé : lundi 27 juillet 2020 18:03 > À : David Ponzone mailto:david.ponz...@gmail.com>> > Cc : frnog-t...@frnog.org <mailto:frnog-t...@frnog.org> <mailto:frnog-t...@frnog.org>> > Objet : RE: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN > > Ca me va mieux comme ça oui ! > > > De : David Ponzone mailto:david.ponz...@gmail.com>> > Envoyé : lundi 27 juillet 2020 17:55 > À : Sébastien 65 mailto:sebastien...@live.fr>> > Cc : frnog-t...@frnog.org <mailto:frnog-t...@frnog.org> <mailto:frnog-t...@frnog.org>> > Objet : Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN > > :) > > > Tu mets ça sur le port trunk qui va vers ton autre switch (interne). > Ca indique à ton switch que si un paquet arrive de ce port, il doit pusher > 105 en outer-VLAN, et l’inverse quand il envoie un paquet sur ce port. > > > Le 27 juil. 2020 à 17:53, Sébastien 65 <mailto:sebastien...@live.fr><mailto:sebastien...@live.fr > <mailto:sebastien...@live.fr>>> a écrit : > > J'ai raté un truc... > > Sur le switch de collecte il faut que j'écrase la conf du port pour y mettre > switchport access vlan 105 + dot1q-tunnel ? > Les autres services FTTO (100 à 104) dessus ne vont plus fonctionner non ? > > > --- > Liste de diffusion du FRnOG > https://eur05.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=02%7C01%7C%7Cb340739a3578431376c908d832469e63%7C84df9e7fe9f640afb435%7C1%7C0%7C637314626164540820&sdata=NcX%2B74uQySzzOrcGtNqkVmiAyLly2b35JagRSHDu09I%3D&reserved=0 > > <https://eur05.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=02%7C01%7C%7Cb340739a3578431376c908d832469e63%7C84df9e7fe9f640afb435%7C1%7C0%7C637314626164540820&sdata=NcX%2B74uQySzzOrcGtNqkVmiAyLly2b35JagRSHDu09I%3D&reserved=0> --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
Je viens de faire un test cela ne communique pas avec les autres VLANS sauf le VLAN 105... Par exemple ici j'essaye d'utiliser le VLAN50 sur le site distant (management des switchs)... Un schéma du lab sera plus parlant : https://i.ibb.co/t4zNDSB/qinq.jpg [https://i.ibb.co/t4zNDSB/qinq.jpg] De : frnog-requ...@frnog.org de la part de Sébastien 65 Envoyé : lundi 27 juillet 2020 18:03 À : David Ponzone Cc : frnog-t...@frnog.org Objet : RE: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN Ca me va mieux comme ça oui ! De : David Ponzone Envoyé : lundi 27 juillet 2020 17:55 À : Sébastien 65 Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN :) Tu mets ça sur le port trunk qui va vers ton autre switch (interne). Ca indique à ton switch que si un paquet arrive de ce port, il doit pusher 105 en outer-VLAN, et l’inverse quand il envoie un paquet sur ce port. Le 27 juil. 2020 à 17:53, Sébastien 65 mailto:sebastien...@live.fr>> a écrit : J'ai raté un truc... Sur le switch de collecte il faut que j'écrase la conf du port pour y mettre switchport access vlan 105 + dot1q-tunnel ? Les autres services FTTO (100 à 104) dessus ne vont plus fonctionner non ? --- Liste de diffusion du FRnOG https://eur05.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=02%7C01%7C%7Cb340739a3578431376c908d832469e63%7C84df9e7fe9f640afb435%7C1%7C0%7C637314626164540820&sdata=NcX%2B74uQySzzOrcGtNqkVmiAyLly2b35JagRSHDu09I%3D&reserved=0 --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
Ca me va mieux comme ça oui ! De : David Ponzone Envoyé : lundi 27 juillet 2020 17:55 À : Sébastien 65 Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN :) Tu mets ça sur le port trunk qui va vers ton autre switch (interne). Ca indique à ton switch que si un paquet arrive de ce port, il doit pusher 105 en outer-VLAN, et l’inverse quand il envoie un paquet sur ce port. Le 27 juil. 2020 à 17:53, Sébastien 65 mailto:sebastien...@live.fr>> a écrit : J'ai raté un truc... Sur le switch de collecte il faut que j'écrase la conf du port pour y mettre switchport access vlan 105 + dot1q-tunnel ? Les autres services FTTO (100 à 104) dessus ne vont plus fonctionner non ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
:) Tu mets ça sur le port trunk qui va vers ton autre switch (interne). Ca indique à ton switch que si un paquet arrive de ce port, il doit pusher 105 en outer-VLAN, et l’inverse quand il envoie un paquet sur ce port. > Le 27 juil. 2020 à 17:53, Sébastien 65 a écrit : > > J'ai raté un truc... > > Sur le switch de collecte il faut que j'écrase la conf du port pour y mettre > switchport access vlan 105 + dot1q-tunnel ? > Les autres services FTTO (100 à 104) dessus ne vont plus fonctionner non ? --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
J'ai raté un truc... Sur le switch de collecte il faut que j'écrase la conf du port pour y mettre switchport access vlan 105 + dot1q-tunnel ? Les autres services FTTO (100 à 104) dessus ne vont plus fonctionner non ? De : David Ponzone Envoyé : lundi 27 juillet 2020 17:41 À : Sébastien 65 Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN Ok donc si ton trunk est pas en prod, tu peux essayer de le passer en dot1q-tunnel du côté switch de collecte seulement (mais toujours en trunk sur l’autre switch). Si ton CELAN arrive sur le VLAN 105, ça donne: switchport access vlan 105 switchport mode dot1q-tunnel Le 27 juil. 2020 à 17:36, Sébastien 65 mailto:sebastien...@live.fr>> a écrit : >Ils arrivent où sur ton switch tes VLANS 50/52/53/… ? >Sur certains ports, ou c’est encore sur un autre switch ? Ils arrivent via un autre switch. J'ai un trunk entre les deux switch par contre. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
Ok donc si ton trunk est pas en prod, tu peux essayer de le passer en dot1q-tunnel du côté switch de collecte seulement (mais toujours en trunk sur l’autre switch). Si ton CELAN arrive sur le VLAN 105, ça donne: switchport access vlan 105 switchport mode dot1q-tunnel > Le 27 juil. 2020 à 17:36, Sébastien 65 a écrit : > > >Ils arrivent où sur ton switch tes VLANS 50/52/53/… ? > >Sur certains ports, ou c’est encore sur un autre switch ? > > Ils arrivent via un autre switch. J'ai un trunk entre les deux switch par > contre. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
>Ils arrivent où sur ton switch tes VLANS 50/52/53/… ? >Sur certains ports, ou c’est encore sur un autre switch ? Ils arrivent via un autre switch. J'ai un trunk entre les deux switch par contre. De : David Ponzone Envoyé : lundi 27 juillet 2020 16:32 À : Sébastien 65 Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN Ils arrivent où sur ton switch tes VLANS 50/52/53/… ? Sur certains ports, ou c’est encore sur un autre switch ? Le plus simple serait que ton switch qui gère tes VLAN internes soit connecté à ce switch de collecte sur un port dot1q-tunnel dans le VLAN le-VLAN-de-ton-CELAN. Ainsi ton switch de collecte envoie/reçoit vers ton switch « interne » , il va ajouter/retirer le VLAN de ton CELAN comme outer-VLAN. Mais il y a probablement d’autres confs possibles. > Le 27 juil. 2020 à 15:35, Sébastien 65 a écrit : > > Bonjour, > > Je suis en train de regarder s'il va être possible de faire passer plusieurs > VLAN au travers d'une connexion FTTO Orange livrée sur notre porte CELAN. > > J'ai un site technique distant qui doit avoir accès nativement à certains de > nos VLANS (50,52,53...) de notre infra. Le site distant sera équipé d'un > Catalyst 3750X derrière le RAD. > > Est-ce que le Q-in-Q est une bonne approche sachant que notre porte de > collecte CELAN arrive sur du Catalyst 3750X avec une config du type : > > interface GigabitEthernet1/0/3 > description :: Porte collecte CELAN :: > switchport trunk allowed vlan 100-105 > switchport trunk encapsulation dot1q > switchport trunk native vlan 900 > switchport mode trunk > switchport nonegotiate > speed nonegotiate > no cdp enable > ! > > Je vais devoir activer system mtu 1504 sur le switch de la porte CELAN et du > switch distant ?? > Sur le switch de collecte il faut passer le port de la porte en switchport > mode dot1q-tunnel ?? > > Sébastien > > > --- > Liste de diffusion du FRnOG > https://eur05.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=02%7C01%7C%7Cc2b82cd9febc4066134d08d83239f4d0%7C84df9e7fe9f640afb435%7C1%7C0%7C637314571778057684&sdata=wANkrXoxTD%2BrC4SU5gDmIYiiFifZN352gr7p4Hw35Yk%3D&reserved=0 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Q-in-Q Cisco sur CELAN
Ils arrivent où sur ton switch tes VLANS 50/52/53/… ? Sur certains ports, ou c’est encore sur un autre switch ? Le plus simple serait que ton switch qui gère tes VLAN internes soit connecté à ce switch de collecte sur un port dot1q-tunnel dans le VLAN le-VLAN-de-ton-CELAN. Ainsi ton switch de collecte envoie/reçoit vers ton switch « interne » , il va ajouter/retirer le VLAN de ton CELAN comme outer-VLAN. Mais il y a probablement d’autres confs possibles. > Le 27 juil. 2020 à 15:35, Sébastien 65 a écrit : > > Bonjour, > > Je suis en train de regarder s'il va être possible de faire passer plusieurs > VLAN au travers d'une connexion FTTO Orange livrée sur notre porte CELAN. > > J'ai un site technique distant qui doit avoir accès nativement à certains de > nos VLANS (50,52,53...) de notre infra. Le site distant sera équipé d'un > Catalyst 3750X derrière le RAD. > > Est-ce que le Q-in-Q est une bonne approche sachant que notre porte de > collecte CELAN arrive sur du Catalyst 3750X avec une config du type : > > interface GigabitEthernet1/0/3 > description :: Porte collecte CELAN :: > switchport trunk allowed vlan 100-105 > switchport trunk encapsulation dot1q > switchport trunk native vlan 900 > switchport mode trunk > switchport nonegotiate > speed nonegotiate > no cdp enable > ! > > Je vais devoir activer system mtu 1504 sur le switch de la porte CELAN et du > switch distant ?? > Sur le switch de collecte il faut passer le port de la porte en switchport > mode dot1q-tunnel ?? > > Sébastien > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Q-in-Q Cisco sur CELAN
Bonjour, Je suis en train de regarder s'il va être possible de faire passer plusieurs VLAN au travers d'une connexion FTTO Orange livrée sur notre porte CELAN. J'ai un site technique distant qui doit avoir accès nativement à certains de nos VLANS (50,52,53...) de notre infra. Le site distant sera équipé d'un Catalyst 3750X derrière le RAD. Est-ce que le Q-in-Q est une bonne approche sachant que notre porte de collecte CELAN arrive sur du Catalyst 3750X avec une config du type : interface GigabitEthernet1/0/3 description :: Porte collecte CELAN :: switchport trunk allowed vlan 100-105 switchport trunk encapsulation dot1q switchport trunk native vlan 900 switchport mode trunk switchport nonegotiate speed nonegotiate no cdp enable ! Je vais devoir activer system mtu 1504 sur le switch de la porte CELAN et du switch distant ?? Sur le switch de collecte il faut passer le port de la porte en switchport mode dot1q-tunnel ?? Sébastien --- Liste de diffusion du FRnOG http://www.frnog.org/