Поиск по этому блогу

21.10.2010

Отличие физических и логических интерфейсов

Каждый физический интерфейс коммутатора или маршрутизатора имеет собственный неизменный уникальный mac-адрес. Это не распространяется на подинтерфейсы маршрутизаторов и виртуальные интерфейсы коммутаторов (SVI).



У маршрутизатора mac-адрес дублируется с физического интерфейса:
GigabitEthernet0/1 is up, line protocol is up
Hardware is MV64460 Internal MAC, address is 2893.fe7f.801b (bia 2893.fe7f.801b)
GigabitEthernet0/1.100 is up, line protocol is up
Hardware is MV64460 Internal MAC, address is 2893.fe7f.801b (bia 2893.fe7f.801b)
GigabitEthernet0/1.200 is up, line protocol is up
Hardware is MV64460 Internal MAC, address is 2893.fe7f.801b (bia 2893.fe7f.801b)
Это привело вот к чему однажды. На одном маршрутизаторе потребляется от оператора две разные услуги. При этом для включения используются два разных интерфейса коммутатора (таково требование оператора) и два логических подинтерфейса маршрутизатора. На каждом интерфейсе коммутатора включен port-security, что делает невозможным оказания услуг, так как один и тот же mac-адрес, хоть и в разных vlan'ах присутсвует на обоих портах коммутатора оператора.
В других случаях нарекания к этой особенности маршрутизаторов не было.

У коммутатора SVI берет за основу mac-адрес шасси:
switch#sh ver | in MAC
Base ethernet MAC Address : 00:1A:E3:B7:2F:00
switch#show interfaces vlan 1
Vlan1 is up, line protocol is up
Hardware is EtherSVI, address is 001a.e3b7.2f40 (bia 001a.e3b7.2f40)
[skip]
switch#show interfaces vlan 10
Vlan10 is up, line protocol is up
Hardware is EtherSVI, address is 001a.e3b7.2f41 (bia 001a.e3b7.2f41)
[skip]
Каждый следующий увеличивается на 1. Теперь представьте ситуацию, что этих интерфейсов достаточное количество и в определенном vlan'е вам понадобилось ввести фильтрацию arp-пакетов путем настройки arp inspection, например, так . Единственное отличие в том, что шлюз по-умолчанию для сети теперь терминируется на коммутаторе, а не на маршрутизаторе. Обычное дело, в общем. Вот в определенный момент вам не понадобился один из ранних интерфейсов и вы его удяляете. Через некоторое время коммутатор перезагружается неважно по какой причине и вы с удивлением обнаруживаете, что mac-адрес вашего SVI, который прописан в arp access-list, стал на единичку меньше.
Таким образом, использовать arp access-list'ы с указанием mac-адресов SVI необходимо только в крайних случаях. Когда вы используете стеки коммутаторов, помните, что каждый коммутатор имеет уникальный mac-адрес шасси. В случае выбора его мастером все mac-адреса всех SVI будут изменены.

01.10.2010

Selective QinQ и MEF

В продолжение прошлой темы о двойном тегировании, я хотел бы подробнее освятить один тонкий момент, который несколько лет назад для меня был актуален. Применение двойного тегирования на коммутаторах при использовании модели услуг "vlan на пользователя" связано с определенными рисками. Допустим вы решили предложить клиенту такие услуги как ip-телефония, IPTV и столкнулись с тем, что во внутренний (inner) vlan для IPTV, который будут слушать абоненты (igmp snooping) на коммутаторах доступа , DSLAM'ах, можно попасть только в одной точке, где разворачивается внешний (outer) vlan. Придется усложнять схему оказания услуг или в противном случае количество дублируемых multicast'ов будет равно количеству outer vlan'ов. Одной из утопий стал функционал Selective QinQ, который присутствует в некоторых моделях коммутаторов Cisco, а так же в безумно дорогих платах es20 для 7600 серии.
Этот функционал стандартизирован и описывается Metro Ethernet Forum'ом (MEF). В общем, если кому-то необходимо выбрать коммутатор/платформу для оказания triple-play услуг (интернет, телефон, телевидение), то следует выбирать из коммутаторов/платформ, имеющих сертификат MEF.