汇聚S7706做DHCP Server并部署QINQ后终端拿到地址后无法ping通网关。

发布时间:  2016-12-08 浏览次数:  67 下载次数:  0
问题描述

版本信息:

S7706V200R008C00SPC500+V200R008SPH008

S5700V200R008C00SPC500

组网架构:


S7706配置:

 

Vlan 10

description waicengVALN

  Dhcp enable

interface Vlanif10

 ip address 10.19.144.1 255.255.248.0

dhcp server dns-list 10.13.6.2 10.10.11.202

 dhcp select interface

##

interface GigabitEthernet0/0/1

 qinq vlan-translation enable

 port hybrid untagged vlan 10

 port vlan-stacking vlan 1001 to 3999 stack-vlan 10

 

S5700配置:

vlan batch 10 1001 to 3999

#

interface GigabitEthernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan  1001 to 3999

#

interface GigabitEthernet0/0/2

 port link-type trunk

 port trunk pvid vlan 1001

 port trunk allow-pass vlan  1001

#

interface GigabitEthernet0/0/3

 port link-type trunk

 port trunk pvid vlan 1002

 port trunk allow-pass vlan  1002

#

 

故障现象:上海某局点网络新建项目,为了隔离广播域保证整个网络的稳定性,所以在接入交换机S5700的接入端口配置不同的内层VLAN,在汇聚交换机S7706的下行口部署QINQ,用户二层接入ME60后获取地址。

但其中一栋楼宇因为特殊需求需要汇聚交换机S7706DHCP server。配置完成,发现在终端接入网络后可以正常获取到地址,但是终端无法ping通网关。

现象图示如下:

Pc2


使用PC2 Ping网关:


 

处理过程

1,分析拓扑结构:

根据图谱可以发现这是很简单的组网架构,不存在物理组网问题。

2,分析配置:

在这个网络中都是比较简单的二层技术,在使用单层VLAN透传至DHCP Server时,终端在拿到地址以后可以正常的ping通网关,所以可以确定产生此故障的原因是因为部署了QINQ,查阅资料及产品文档分析问题根因。

3,寻找解决替代办法:

为了保证客户网络的安全性及链路的冗余,所以不能通过VLAN-MAPPING配置解决,配置多个单层Vlan与地址池,在尽量保证网络安全的前提下满足客户提出的需求。

根因

1,用户报文在接入交换机S5700的接入口打上一个用户内层VLANVlan1001),在S5700上行口正常透传至S7706的下行口,做QINQ打上了第二层标签(Vlan10),并正常收报文,在S7706上即DHCP Server上获取地址;在汇聚向终端回包时,因为此接口动作是Untagged,所以拆掉了Vlan 10的标签以内层Vlan发送至终端。

2,在终端拿到地址以后PING 网关就相当于两个在同一网段但不在同VLAN的主机互ping,导致无法通信。

3,未能在上层终结掉外层Vlan

解决方案

1,  在寻找解决办法的时发现可以通过配置Vlan-mapping解决此问题,终端可正常拿到地址,正常使用。但是:Vlan-mapping仅支持正常物理端口下配置,不支持Eth-trunk配置!

例:


S7706配置:

Vlan 10

description waicengVALN

  Dhcp enable

interface Vlanif10

 ip address 10.19.144.1 255.255.248.0

dhcp server dns-list 10.13.6.2 10.10.11.202

 dhcp select interface

##

interface GigabitEthernet0/0/1

 qinq vlan-translation enable

port hybrid tagged vlan 10

 port vlan-mapping vlan 1001 to 3999 map-vlan 10

 

S5700配置:

vlan batch 10 1001 to 3999

#

interface GigabitEthernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan  1001 to 3999

#

interface GigabitEthernet0/0/2

 port link-type trunk

 port trunk pvid vlan 1001

 port trunk allow-pass vlan  1001

#

interface GigabitEthernet0/0/3

 port link-type trunk

 port trunk pvid vlan 1002

 port trunk allow-pass vlan  1002

#

     PC1获取地址并PING 网关:


 

2,  取消QINQ配置,使用单层Vlan,在S7706上起多个地址池(将终端地址网段划分多个地址池),将广播域范围尽量缩小,最大程度上保证网络安全性与可靠性。

 

建议与总结

1、使用一个技术之前应该首先了解清楚技术原理与使用场景。

2、在实施项目中有新的需求时要先对需求进行可行性分析,在考虑客户体验的基础上在技术层面进行推敲,不可的认为所有需求都是相互独立的,而需要综合所有需求,组网架构,实施条件等各个因素后再进行操作,这样才能高效,质量有保证的完成项目交付。

END