Re: [FRnOG] [TECH] filtrage QinQ et C3064-X

[Denis Fondras]

On Mon, May 04, 2020 at 03:23:29PM +0200, David Ponzone wrote:
> Tu as regardé ça ?
> https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus3000/sw/layer2/7x/b_Cisco_Nexus_3000_Layer_2_Switching_Config_7x/b_Cisco_Nexus_3000_Layer_2_Switching_Config_7x_chapter_011.html#id_40343
>  
> 
> 
> J’avoue que j’ai pas pris le temps de regarder en détail ce que tu voulais 
> faire.
> En particulier, j’ai pas compris si tu faisais ça pour ta sécurité, ou pour 
> plus de souplesse pour le client.
> 

Merci David, je vais potasser :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] filtrage QinQ et C3064-X

[David Ponzone]

Tu as regardé ça ?
https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus3000/sw/layer2/7x/b_Cisco_Nexus_3000_Layer_2_Switching_Config_7x/b_Cisco_Nexus_3000_Layer_2_Switching_Config_7x_chapter_011.html#id_40343
 


J’avoue que j’ai pas pris le temps de regarder en détail ce que tu voulais 
faire.
En particulier, j’ai pas compris si tu faisais ça pour ta sécurité, ou pour 
plus de souplesse pour le client.



> Le 3 mai 2020 à 12:27, Denis Fondras  a écrit :
> 
> Merci pour le réponses.
> 
> On Sat, May 02, 2020 at 10:14:10PM +0200, Fabien VINCENT FrNOG via frnog 
> wrote:
>> Pourquoi tu veux mettre un port (Eth1/48) vers ton router en mode
>> dot1q-tunnel sur l'uplink en fait ? C'est un trunk/dot1q tunnel tout simple
>> non ?
>> 
> 
> Je n'ai pas réfléchi. Actuellement sur le CTCU le port sur lequel est connecté
> le CPE et celui sur lequel est connecté le routeur sont en mode 
> "dot1q-tunnel".
> J'ai répliqué ça sur le Cisco.
> 
> On Sat, May 02, 2020 at 11:29:40PM +0200, David Ponzone wrote:
>> Pour moi, soit ton port eth1/48 est en access (et ton routeur va recevoir du
>> QinQ avec 100 comme outer-vlan), soit il est en dot1q-tunnel mais toujours
>> avec switchport access vlan 100, pour sortir du tunnel en virant le tag 100
>> que tu as mis en inbound sur le port 1/46.
>> 
> 
> En mode access, je reçoit bien les s-vlan sur le routeur mais je ne résoud pas
> ma problématique qui est de filtrer ce que je reçois/envoie.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] filtrage QinQ et C3064-X

[Denis Fondras]

Merci pour le réponses.

On Sat, May 02, 2020 at 10:14:10PM +0200, Fabien VINCENT FrNOG via frnog wrote:
> Pourquoi tu veux mettre un port (Eth1/48) vers ton router en mode
> dot1q-tunnel sur l'uplink en fait ? C'est un trunk/dot1q tunnel tout simple
> non ?
> 

Je n'ai pas réfléchi. Actuellement sur le CTCU le port sur lequel est connecté
le CPE et celui sur lequel est connecté le routeur sont en mode "dot1q-tunnel".
J'ai répliqué ça sur le Cisco.

On Sat, May 02, 2020 at 11:29:40PM +0200, David Ponzone wrote:
> Pour moi, soit ton port eth1/48 est en access (et ton routeur va recevoir du
> QinQ avec 100 comme outer-vlan), soit il est en dot1q-tunnel mais toujours
> avec switchport access vlan 100, pour sortir du tunnel en virant le tag 100
> que tu as mis en inbound sur le port 1/46.
>

En mode access, je reçoit bien les s-vlan sur le routeur mais je ne résoud pas
ma problématique qui est de filtrer ce que je reçois/envoie.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] filtrage QinQ et C3064-X

[David Ponzone]

> interface Ethernet1/48
>  description Port-Routeur
>  switchport mode dot1q-tunnel
>  switchport trunk allowed vlan 100
>  spanning-tree port type edge
>  spanning-tree bpdufilter enable
>  l2protocol tunnel stp
>  l2protocol tunnel allow-double-tag
>  no shutdown
...
> Or le routeur ne reçoit rien dans la situation actuelle comme si le switch se
> disait que eth1/48 ne fait pas parti du s-vlan 100.
> 

Pour moi, soit ton port eth1/48 est en access (et ton routeur va recevoir du 
QinQ avec 100 comme outer-vlan), soit il est en dot1q-tunnel mais toujours avec 
switchport access vlan 100, pour sortir du tunnel en virant le tag 100 que tu 
as mis en inbound sur le port 1/46.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] filtrage QinQ et C3064-X

[Fabien VINCENT FrNOG via frnog]

Le 01-05-2020 16:27, Denis Fondras a écrit :

On Fri, May 01, 2020 at 02:45:33PM +0200, Fabien VINCENT (FrNOG) wrote:


Le native vlan est pas supporté en plus du trunk allowed + mode 
dot1q-tunnel

c'est ca ?



Voici la conf complète pour le lab:

interface Ethernet1/46
  description Port-CPE
  switchport mode dot1q-tunnel
  switchport access vlan 100
  switchport trunk allowed vlan 100
  spanning-tree port type edge
  spanning-tree bpdufilter enable
  l2protocol tunnel stp
  l2protocol tunnel allow-double-tag
  no shutdown

interface Ethernet1/48
  description Port-Routeur
  switchport mode dot1q-tunnel
  switchport trunk allowed vlan 100
  spanning-tree port type edge
  spanning-tree bpdufilter enable
  l2protocol tunnel stp
  l2protocol tunnel allow-double-tag
  no shutdown

Avec ça je m'attends à :
- le CPE n'a pas taggé le paquet, le switch le fait
- le trafic du svlan 101 venant du CPE n'entre pas dans le switch
- le routeur reçoit tous les paquets avec un tag s-vlan.
- les paquets sans s-vlan issus du routeur ne sont pas taggés (ou 
taggés en

  svlan1 au pire)

Or le routeur ne reçoit rien dans la situation actuelle comme si le 
switch se

disait que eth1/48 ne fait pas parti du s-vlan 100.



Pourquoi tu veux mettre un port (Eth1/48) vers ton router en mode 
dot1q-tunnel sur l'uplink en fait ? C'est un trunk/dot1q tunnel tout 
simple non ?





---
Liste de diffusion du FRnOG
http://www.frnog.org/


--
Fabien VINCENT
_@beufanet_


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] filtrage QinQ et C3064-X

[Denis Fondras]

On Fri, May 01, 2020 at 02:45:33PM +0200, Fabien VINCENT (FrNOG) wrote:
> 
> Le native vlan est pas supporté en plus du trunk allowed + mode dot1q-tunnel
> c'est ca ?
> 

Voici la conf complète pour le lab:

interface Ethernet1/46
  description Port-CPE
  switchport mode dot1q-tunnel
  switchport access vlan 100
  switchport trunk allowed vlan 100
  spanning-tree port type edge
  spanning-tree bpdufilter enable
  l2protocol tunnel stp
  l2protocol tunnel allow-double-tag
  no shutdown

interface Ethernet1/48
  description Port-Routeur
  switchport mode dot1q-tunnel
  switchport trunk allowed vlan 100
  spanning-tree port type edge
  spanning-tree bpdufilter enable
  l2protocol tunnel stp
  l2protocol tunnel allow-double-tag
  no shutdown

Avec ça je m'attends à :
- le CPE n'a pas taggé le paquet, le switch le fait
- le trafic du svlan 101 venant du CPE n'entre pas dans le switch
- le routeur reçoit tous les paquets avec un tag s-vlan.
- les paquets sans s-vlan issus du routeur ne sont pas taggés (ou taggés en
  svlan1 au pire)

Or le routeur ne reçoit rien dans la situation actuelle comme si le switch se
disait que eth1/48 ne fait pas parti du s-vlan 100.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] filtrage QinQ et C3064-X

[Fabien VINCENT FrNOG via frnog]

Le 01-05-2020 12:59, Denis Fondras a écrit :

Hello,

Je souhaite remplacer mes switches de collecte actuels (CTCU) par des 
Cisco

3064-X. Problème, je n'arrive pas à reproduire la conf actuelle.

J'ai des CPE qui encapsulent le trafic du client dans un (ou plusieurs) 
s-vlan
qui est propagé jusqu'aux routeurs de coeur (ou un autre site). Sur le 
port du
switch de collecte je n'accepte que les trames taggés avec le s-vlan 
spécifique
du client (ou si un petit malin remplace le CPE, tout son trafic non 
taggé sera

inclu d'office dans son s-vlan).

La conf actuelle côté client :
  switchport hybrid native vlan 1009
  switchport hybrid allowed vlan 101,1009
  switchport hybrid ingress-filtering
  switchport hybrid egress-tag all
  switchport hybrid port-type s-port
  switchport mode hybrid

Le port côté routeur autorise tous les numéros de s-vlan utilisé par 
les

clients.

Or sur le Cisco, j'ai l'impression que c'est portes ouvertes.

Ma conf Cisco :
  switchport mode dot1q-tunnel
  switchport trunk allowed vlan 101,1009
  no shutdown

Et là, je peux faire passer du trafic taggé avec n'importe quel numéro 
de s-vlan
ou non-taggé en mode YOLO. J'ai tenté plusieurs variations de la 
configuration

précédente mais sans succès.
Est-ce que vous savez si c'est possible ?

Merci
Denis


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Le native vlan est pas supporté en plus du trunk allowed + mode 
dot1q-tunnel c'est ca ?


--
Fabien VINCENT
_@beufanet_


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] filtrage QinQ et C3064-X

[Denis Fondras]

Hello,

Je souhaite remplacer mes switches de collecte actuels (CTCU) par des Cisco
3064-X. Problème, je n'arrive pas à reproduire la conf actuelle.

J'ai des CPE qui encapsulent le trafic du client dans un (ou plusieurs) s-vlan
qui est propagé jusqu'aux routeurs de coeur (ou un autre site). Sur le port du
switch de collecte je n'accepte que les trames taggés avec le s-vlan spécifique
du client (ou si un petit malin remplace le CPE, tout son trafic non taggé sera
inclu d'office dans son s-vlan).

La conf actuelle côté client :
  switchport hybrid native vlan 1009
  switchport hybrid allowed vlan 101,1009
  switchport hybrid ingress-filtering
  switchport hybrid egress-tag all
  switchport hybrid port-type s-port
  switchport mode hybrid

Le port côté routeur autorise tous les numéros de s-vlan utilisé par les
clients.

Or sur le Cisco, j'ai l'impression que c'est portes ouvertes.

Ma conf Cisco :
  switchport mode dot1q-tunnel
  switchport trunk allowed vlan 101,1009
  no shutdown

Et là, je peux faire passer du trafic taggé avec n'importe quel numéro de s-vlan
ou non-taggé en mode YOLO. J'ai tenté plusieurs variations de la configuration
précédente mais sans succès.
Est-ce que vous savez si c'est possible ?

Merci
Denis


---
Liste de diffusion du FRnOG
http://www.frnog.org/