Хорошо

подскажите как принять тегированный трафик от провайдера

Опубликовано 2021-1-12 09:35:04Последний ответ янв 13, 2021 17:07:15 2229 25 1 0 1
  Награжденные Форбаллы: 0 (Проблема решена)

День добрый!

Подскажите знатоки!

Имеется huawei USG6330, провайдер по оптике (через SFP-модуль) даёт тегированный канал. Номер VLAN известен. Не могу понять как настроить чтобы работал интернет... Сначала настроивается trunk-порт с vlan провайдера (в режиме switching, в моем случае это GE1/0/4)? А потом? Создать еще один интерфейс, прописать на нем static IP (провайдера) и как-то подвязать этот trunk?

  • x

Избранные ответы
dai_splav
HCIE MVE Опубликовано 2021-1-12 14:02:57
Добрый день!
Да, направление верное. В сабе не дописали что то...
Только зачем вам aggregation int?
Вот пример из консоли:
Нстроим порт в сторону ISP:
interface GigabitEthernet1/0/4
portswitch
undo shutdown
undo port hybrid vlan 1
port hybrid tagged vlan 1014
combo enable fiber

Создадим интерфейс vlanif:
interface Vlanif1014
ip address 1.1.1.2 255.255.255.0
alias Vlanif1014
gateway 1.1.1.1
service-manage ping permit
bandwidth ingress 100000
bandwidth egress 100000

И не забудьте интерфейс привязать к зоне.
Развернуть
  • x

Все ответы
NikitamatveeV
NikitamatveeV Админ Опубликовано 2021-1-12 09:55:30
Добрый день!

Уточняем информацию. Если ответ нужен срочно, пожалуйста, обратитесь в TAC cissupport@huawei.com

Спасибо!
Развернуть
  • x

user_2909167
user_2909167 Модератор Опубликовано 2021-1-12 11:10:03
ДД. По выбранному Вами пути - интерфейс до провайдера в режим switching с настройкой vlan. Потом создаете еще один интерфейс Add interface - Vlan interface - в нем уже происываете IP с маской, этот же интерфейс определяете в untrust зону и тд

https://support.huawei.com/hedex/hdx.do?docid=EDOC1100092598&id=EN-US_CONCEPT_0178931984&lang=en
Развернуть
  • x

aldegid
aldegid Опубликовано 2021-1-12 11:58:45

Добавляю интерфейс, дает предупреждение, -  The main interface is L3 mode. и не создает интерфейс...

Что, видимо делаю не так... полагаю не верно выбрал тип интерфейса. Какой нужен в моем случае?

добавляю интерфейс

выдает ошибку...

Развернуть
  • x

aldegid
aldegid Опубликовано 2021-1-12 13:30:01

Я создал aggregation intarface, - interface - port c SFP GE1/0/4, указал VLAN провайдера, потом создал subinterface, где primary intaface порт выше. И таким обазом, тоже не работает. Вообще я на правильном пути? В каком направлении смотреть. Раньше был от провайдера не тегированый канал медью в порт GE1/0/2 и работало, а вот сейчас, в связи с переезом, концепция поменялась и имеем что имеем. Направьте на пусть истинный...

agregation interface

subinterface

Развернуть
  • x

dai_splav
dai_splav HCIE MVE Опубликовано 2021-1-12 14:02:57
Добрый день!
Да, направление верное. В сабе не дописали что то...
Только зачем вам aggregation int?
Вот пример из консоли:
Нстроим порт в сторону ISP:
interface GigabitEthernet1/0/4
portswitch
undo shutdown
undo port hybrid vlan 1
port hybrid tagged vlan 1014
combo enable fiber

Создадим интерфейс vlanif:
interface Vlanif1014
ip address 1.1.1.2 255.255.255.0
alias Vlanif1014
gateway 1.1.1.1
service-manage ping permit
bandwidth ingress 100000
bandwidth egress 100000

И не забудьте интерфейс привязать к зоне.
Развернуть
  • x

aldegid
aldegid Опубликовано 2021-1-12 15:03:28
Опубликовано пользователем dai_splav в 2021-01-12 14:02 Добрый день!Да, направление верное. В сабе не дописали  ...

Сначала через консоль не получилось создать интерфейсы командами, сделал через web (потом разобрался почему не получалось командами )) заходил на консоль свитча huawei, а не firewall'a t_0012.gif)

Web аналогично командам консоли:


fiber

Далее Vlanif1014:

vlanif

vlanif1014 интерфейс показывает статус up в physical и ipv4, GygabitEthernet 1/0/4 physical - up.

инет не заработал...

Развернуть
  • x

dai_splav
dai_splav Опубликовано 2021-1-12 15:21 (0) (0)
Что то вы не "докручиваете"....  
dai_splav
dai_splav Ответить dai_splav  Опубликовано 2021-1-12 15:34 (0) (0)
А вы создали security policy для зоны untrust?  
aldegid
aldegid Ответить dai_splav  Опубликовано 2021-1-12 15:42 (0) (0)
через зону untrast работает через медь другой провайдер(МТС), через него и работает сейчас интернет, по идее и ростелеком через fiber тоже завожу в untrust и должно работать по аналогии...  
dai_splav
dai_splav Ответить aldegid  Опубликовано 2021-1-12 15:54 (0) (0)
Говорю же не докрутили)
Пробегитесь по статейке #HCIE Lesson Интеллектуальная маршрутизация в файрволлах - 2 , будет понятнее как вам сделать)  
dai_splav
dai_splav HCIE MVE Опубликовано 2021-1-12 15:31:08

100% рабочая схема)))

6600


Развернуть
  • x

aldegid
aldegid Опубликовано 2021-1-12 15:44 (0) (0)
Спасибо, я так и сделал, но не работает, может провайдер что-то намудрил, буду узнавать. Еще раз спасибо за помощь!  
dai_splav
dai_splav Ответить aldegid  Опубликовано 2021-1-12 15:57 (0) (0)
Хотя бы попробуйте пнуть шлюз ISP, что бы убедиться)
ping -a <ip вашего интерфейса> <ip шлюза isp >  
aldegid
aldegid Ответить dai_splav  Опубликовано 2021-1-12 16:47 (0) (0)
не отвечает, ping request time out...
Еще какой-то появился интерфейс который я не создавал - Virtual-if0  
Peterhof
Peterhof MVE Опубликовано 2021-1-12 16:42:31
Попробуйте сделать Основной интерфейс просто routing.
Потом к нему добавить subinterface тоже routing с указанием VLAN и статического адреса. Ну или сразу их укажите на основном интерфейсе.
Развернуть
  • x

Peterhof
Peterhof MVE Опубликовано 2021-1-12 16:43:34
У меня с VLANIF работать отказался. Кстати, у Вас файрволл дальше одним концом подключается к сети или несколькими?
Развернуть
  • x

aldegid
aldegid Опубликовано 2021-1-12 17:03 (0) (0)
Одним, GE1/0/3, на следующим посте на скрине видно. Завтра попробую Ваш способ.  
12
К списку

Комментарий

Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация
Отправить

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Пользовательское соглашение.”

My Followers

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход

Заблокировать
Вы уверены, что хотите заблокировать этого пользователя?
Пользователи из вашего черного списка не могут комментировать ваши посты, не могут упоминать вас, не могут отправлять личные сообщения.
Напоминание
Пожалуйста, привяжите свой мобильный номер чтобы получить бонус за приглашение.