A priori , à froid, je dirai que c'est une limitation due à l'intégration du Broadcom Tomahawk côté Qfx, pour avoir eu un cas assez similaire sur une plateforme identique chez un autre constructeur.
L'ASIC est capable de traiter du trafic de type j'encapsule tout ce qui arrive sur un port dans un tunnel VXLAN (comme prévu dans la RFC), mais pour ce faire, faut avoir codé les bonnes primitives du SDK Broadcom, qui semble-t-il n'est pas simple. Il est probable que tu tombes sur un "yes it should work, but in fact it is unsupported to have multiple encapsulation inside a VXLAN tunnel". Dans un cas comme ça je bypasserai le sujet en faisant un VXLAN point à point entre les deux CPE, plutôt qu'au niveau du PE. Vu du backbone, ça redevient un pur flux IP/UDP. Ça supporte VXLAN basique la gamme EX2300 ? Le ven. 7 sept. 2018 à 14:48, Fabien VINCENT (FrNOG) <list-fr...@beufa.net> a écrit : > Le 2018-09-07 14:28, Olivier FRUQUET a écrit : > > > Salut, > > Merci pour vos réponses. > > Alors j'ai déjà essayé avec plusieurs ethertypes, j'avais fixé le > > 0x88a8 partout mais ça n'a rien changé. > > Oui j'ai une MTU déclarée élevée partout, j'affinerai un peu plus tard, > > là je veux juste que ça tombe en marche. > > Juniper d'après ce que j'ai pu trouver en documentation taggues par > > défaut en 0x8100. > > Un lien vers un schéma fait vite fait sur un tableau : > > > https://image.noelshack.com/fichiers/2018/36/5/1536323250-schema-vxlan-olivier.jpg > > > > @Fabien VINCENT : en gros j'ai un trunk C-VLAN vlan-id-list 1-4092 qui > > se fait tagguer par dessus en S-VLAN 1001 par les EX2300. > > Je vais creuser un peu plus le pattern 4 de la doc Juni. > > En gros les ports facing CE sur mes QFX ont la conf suivante : > > > > set interfaces xe-0/0/0 description "*** Liaison FON vers CUST1001 > > siege CPE port xe-0/1/3 ***;" > > set interfaces xe-0/0/0 mtu 9216 > > set interfaces xe-0/0/0 flexible-vlan-tagging > > set interfaces xe-0/0/0 encapsulation extended-vlan-bridge > > set interfaces xe-0/0/0 unit 1001 vlan-id 1001 > > > > Ensuite j'ai la conf suivante pour VXLAN : > > > > set vlans VLAN1001_CUST_QINQ interface xe-0/0/0.1001 > > set vlans VLAN1001_CUST_QINQ vlan-id 1001 > > set vlans VLAN1001_CUST_QINQ vxlan vni 1001 > > set vlans VLAN1001_CUST_QINQ vxlan ingress-node-replication > > > > set protocols evpn encapsulation vxlan > > set protocols evpn extended-vni-list all > > set protocols evpn multicast-mode ingress-replication > > set protocols l2-learning decapsulate-accept-inner-vlan > > > > En me tagguant en 1001 un switch quelconque directement au cul d'un > > QFX, j'arrive à pinguer de l'autre côté, donc je suppose que la couche > > EVPN fonctionne bien, je n'ai pas testé du coup le flood and learn > > multicast. > > > > J'ai essayé aussi avec le pattern 4 en pop and push mais pas mieux ... > > La conf des ports de chaque EX2300 : > > > > set interfaces xe-0/1/2 description "*** Liaison vers coeur client > > siege ***" > > set interfaces xe-0/1/2 flexible-vlan-tagging > > set interfaces xe-0/1/2 mtu 9216 > > set interfaces xe-0/1/2 encapsulation extended-vlan-bridge > > set interfaces xe-0/1/2 unit 1001 vlan-id-list 1-4092 > > set interfaces xe-0/1/2 unit 1001 input-vlan-map push > > set interfaces xe-0/1/2 unit 1001 output-vlan-map pop > > > > set interfaces xe-0/1/3 description "*** Liaison FON vers QFX spine1 > > ***" > > set interfaces xe-0/1/3 flexible-vlan-tagging > > set interfaces xe-0/1/3 mtu 9216 > > set interfaces xe-0/1/3 encapsulation flexible-ethernet-services > > set interfaces xe-0/1/3 unit 1001 encapsulation vlan-bridge > > set interfaces xe-0/1/3 unit 1001 vlan-id 1001 > > > > J'ai testé tellement de choses que je me paume un peu, pour ça que j'ai > > besoin d'un oeil extérieur :) > > > > Merci ! > > A plus > > Olivier > > > > Le jeu. 6 sept. 2018 à 23:19, Fabien VINCENT (FrNOG) > > <list-fr...@beufa.net> a écrit : > > > > Le 2018-09-06 19:51, Sebastien Maillet a écrit : > > Sinon, en fonction de l'implémentation du qinq sur ton équipement tu > > peux avoir des surprises si l'ethertype utilisé est 88a8 au lieu du > > 8100 (tag Vlan). > > Certains équipements ne reconnaissent pas l'ethertype 88a8 et du coup > > ne savent pas lire le tag Vlan juste derrière. > > Pas sûr que ça vienne de ça mais ça vaut le coup de l'avoir en tête et > > vérifier ce point. > > Sébastien > > > > -------- Message original -------- > > Objet : Re: [FRnOG] [TECH] Juniper Q-in-Q tunnel dans EVPN/VXLAN > > De : Michel Hostettler > > À : Olivier FRUQUET > > Cc : Jugurta Yennek ,frnog-tech > > > > J'me lance ! > > Vous êtes déclaré en jumbo frame ? > > Michel > > > > ----- Mail original ----- > > De: "Olivier FRUQUET" <olivier.fruq...@gmail.com> > > À: "Jugurta Yennek" <jugu...@yennek.fr> > > Cc: "frnog-tech" <frnog-t...@frnog.org> > > Envoyé: Jeudi 6 Septembre 2018 18:28:37 > > Objet: Re: [FRnOG] [TECH] Juniper Q-in-Q tunnel dans EVPN/VXLAN > > > > Hello ! > > Yes MTU à 9216 sur toutes les interfaces. > > > > Olivier > > > > Le jeu. 6 sept. 2018 à 18:20, Jugurta Yennek <jugu...@yennek.fr> a > > écrit : > > > > Hello Olivier, > > > > A tout hasard tu es good au niveau MTU sur tout le chemin ? > > > > Jugurta > > > > On 06/09/2018 17:32, Olivier FRUQUET wrote: Bonjour à tous, > > > > J'ai un petit souci dans une configuration EVPN VXLAN avec Juniper, > > j'aurai besoin d'un avis de pros ! > > Nous avons une IP fabric composée de deux routeurs MX204 en guise de > > coeur, 2 QFX5110 en rôle de Provider Edges et 2 petits EX2300 en CPE > > chez le > > client. > > Le but est de relier via une fibre noire le site 1 et le site 2 du > > client > > avec tous ses vlans à l'intérieur d'un tunnel VXLAN, de manière > > transparente, sans avoir besoin de déclarer au préalable les vlans du > > client justement... > > On s'est tournés vers le Q-in-Q encapsulé dans du VXLAN (je partais sur > > l'idée que mes QFX matcheraient le S-VLAN 1001 avec tous les vlans du > > client à l'intérieur pour envoyer sur un VXLAN VNI 1001), mais ça ne > > marche pas ... on a suivi la doc de Juniper : > > > https://www.juniper.net/documentation/en_US/junos/topics/topic-map/evpn-vxlan-flexible-vlan-tag.html > > , > > en vain. > > Toute la partie BGP marche bien, quand je tag simple l'uplink de mon CE > > vers le QFX en 1001 ça marche bien, par contre quand j'envoie du Q-in-Q > > depuis le CE il n'y a plus rien qui passe ! J'ai utilisé le pattern N°3 > > de la documentation Juniper. > > > > Si quelqu'un l'a déjà fait ou aurait une idée je suis preneur..! > > Merci ! > > Olivier > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > +1. Ou quand la norme (802.1ad) donne un nom commun (QinQ) qui ne > signifie plus la norme ;) > > Souvent les équipements tagguent 0x8100 par défaut partout cependant, > mais c'est customisable 0x8100 | 0x88a8 | 0x9100 > > Je connais pas qinq sur Junip, mais comment tu taggues ton outer tag > (aka S-VLAN en 802.1ad) ? T'as quoi en dessous ? Du trunk ? > > Si tu fais du VxLAN en flood and learn unicast sans EVPN est ce que ca > marche ? > > J'ai déjà vu des bugs chez un autre constructeur ou quand tu passes le > port en QinQ, l'ASIC taggue x2 le traffic untagged donc tout est > possible ! T'as pas moyen de span le traffic ailleurs ? > > En regardant d'ailleurs les patterns Juniper, j'ai l'impression que tu > décris plutôt le cas n°4 > > C-VLAN + tag S-VLAN/outer A => swap S-VLAN with VNI => tag S-VLAN/outer > B + C-VLAN > > En gros si tu QinQ tes VLANS customer dans ton VLAN qui te servira a > VxLAN, il faut que le mapping soit un pop/push outer VLAN <> VxLAN id. > > -- > FABIEN VINCENT > _@beufanet_ > > Est ce que t'as moyen de span ton trafic du switch sur un serveur remote > ? Ca aiderait à savoir ce que tu rentres et sors ;) > > > -- > FABIEN VINCENT > _@beufanet_ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
