LAGG и VLANs



  • Добрый день, дамы и господа!

    Уже лыжи не едут, понять не могу что не так делаю.
    Исходная моя такова: PF - 2.4.4-RELEASE-p2, три сетевухи (встроенная и две внешних). На встроенной поднят WAN, две оставшиеся объединены транком LAGGs/LACP и воткнуты двумя проводами в такие же транковые порты d-link'a. На LAGG-интерфейсе навешаны VLANs с тегами, равными тегам VLANов в d-link'е. VLANы в d-linke имеют адын общий тегированный порт (виланы не ассиметричные, если что). Интерфейсы включал по-всякому, правила разрешали весь траффик - не пингуется ни один интерфейс VLANов на PF.
    Как правильно сконфигурировать VLANs на LAGGs?



  • Добрый день!
    Создаете vlan с laggX как parent interface, назначает laggX.<tag> в Interface > assignments, включаете интерфейс, назначаете айпи.

    Посмотрите в Diag>Command Prompt, в каком состояние laggX - ifconfig laggX



  • @vladimirlind said in LAGG и VLANs:

    ifconfig laggX

    Вроде бы все так и делаю:
    a058535f-6b8f-4613-9fd3-fc097232598b-image.png

    Например, правила для VLAN1^
    36a1aaf3-0648-4eb9-94c4-81a8a1311b30-image.png

    Вывод ifconfig lagg0:
    lagg0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=8209b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC,LINKSTATE>
    ether 00:1c:f0:65:be:f3
    inet6 fe80::21c:f0ff:fe65:bef3%lagg0 prefixlen 64 scopeid 0x8
    nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
    media: Ethernet autoselect
    status: active
    groups: lagg
    laggproto lacp lagghash l2,l3,l4
    laggport: re0 flags=1c<ACTIVE,COLLECTING,DISTRIBUTING>
    laggport: re1 flags=1c<ACTIVE,COLLECTING,DISTRIBUTING>

    ifconfig lagg0.2:
    lagg0.2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=80003<RXCSUM,TXCSUM,LINKSTATE>
    ether 00:1c:f0:65:be:f3
    inet6 fe80::21c:f0ff:fe65:bef3%lagg0.2 prefixlen 64 scopeid 0xa
    inet 192.168.1.254 netmask 0xffffffff broadcast 192.168.1.255
    nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
    media: Ethernet autoselect
    status: active
    vlan: 2 vlanpcp: 3 parent interface: lagg0
    groups: vlan

    пинг даже не ходит на интерфейсы. ((



  • На d-link лагг собрался? Diag > Packet capture на влан интерфейсах виден трафик на вланах и на родительском лагг0, когда пингуете?



  • @vladimirlind said in LAGG и VLANs:

    На d-link лагг собрался? Diag > Packet capture на влан интерфейсах виден трафик на вланах и на родительском лагг0, когда пингуете?

    Вроде бы да. Я уже сделал отдельный VLAN на коммутаторе с одним теггированным и двумя транковыми портами (которые уходят на PF), прикрутил к нему интерфейс опять же на коммутаторе (хотя это лишнее, наверное). Разрешил на PF в правилах любые пакеты. Что интересно: в Статус-Системный журнал-Межсетевой экран в логах только UPD-пакеты на интерфейсе LAGG из рабочей подсети. Попробовал пингануть с PF интерфейс на коммутаторе и результат:
    PING 192.168.20.1 (192.168.20.1): 56 data bytes
    64 bytes from 192.168.20.1: icmp_seq=0 ttl=64 time=7.791 ms
    64 bytes from 192.168.20.1: icmp_seq=0 ttl=64 time=9.551 ms (DUP!)
    64 bytes from 192.168.20.1: icmp_seq=1 ttl=64 time=1.872 ms
    64 bytes from 192.168.20.1: icmp_seq=1 ttl=64 time=3.695 ms (DUP!)
    64 bytes from 192.168.20.1: icmp_seq=2 ttl=64 time=2.181 ms

    --- 192.168.20.1 ping statistics ---
    3 packets transmitted, 3 packets received, +2 duplicates, 0.0% packet loss
    round-trip min/avg/max/stddev = 1.872/5.018/9.551/3.096 ms

    Похоже, что LAGG не работает, раз дублируются пакеты ... не пойму.

    В принципе, на PF сетевух мне хватает, чтобы сделать на них интерфейсы для подсетей, которыми нужно рулить, но хочется сделать именно универсальное решение в плане администрирования. VLAN на коммутаторе -> VLAN+правила на PF, что-то такоэ ))



  • Похоже печалька ... Не работают VLAN на LAGG-интерфейсе. По-всякому пробовал уже. Обычный интерфейс - на ура, транк - фиг. (((



  • Добрый.

    ПО на L2-свитче свежее?

    Мануал по настройке LAGG LACP VLAN TRUNK https://www.youtube.com/watch?v=JxuYj5jw8y8

    LAGG-интерфейс на Вашем скрине не объявлен явно, как на видео выше.
    Скрин из видео:
    2019-05-14 17_18_23-pfSense - LAGG, LACP, TRUNK - YouTube - Vivaldi.png

    И это https://docs.netgate.com/pfsense/en/latest/interfaces/migrate-assigned-lan-to-lagg.html#vlans

    VLANS
    If any VLANs were in use directly on the interfaces involved, migrate them as follows:

    Add new VLAN tags using the LAGG interface as the parent (Interfaces > (assign), VLAN tab)
    Fix the assignments to use the LAGG versions of the tags (Interfaces > (assign))
    Remove the old tags from the physical interface(s) (Interfaces > (assign), VLAN tab)
    Do not edit the existing tags and change the parent interface, it will cause problems with the interface assignments. Always create new tags, switch the assignments, then remove the old tags.

    Похоже на Ваш случай https://forum.netgate.com/topic/79518/vlans-on-lacp-lagg

    Может https://community.ubnt.com/t5/EdgeSwitch/need-some-help-for-vlan-on-pfsense-with-lagg/td-p/2196041

    in pfsense
    adding a new system tunable under System>Advanced
    net.link.lagg.0.lacp.lacp_strict_mode
    in es turn off the static mode.
    it works.



  • Спасибо, попробую все.
    Параметра net.link.lagg.0.lacp.lacp_strict_mode по дефолту нет, добавил. Посмотрю, что будет. :)



  • Добрый.

    Вот тут https://community.netgear.com/t5/Managed-Switches/pfsense-lag/td-p/1282109 еще есть :

    Thanks for letting us know this works fine now. This post will be of great use for the Community, now that PfSense solution has become very popular. NETGEAR Fully Managed switches with IP and TCP/UDP hashing (6th LAG setting, Static Mode disabled for LACP) offer perfect interop. M4100, M4200, M4300 and M6100 models are best way to go here.

    У вас на l2-свитче есть переключалка для LACP: Static Mode?



  • @werter да, либо LACP, Либо static.



  • Добрый.

    Ну так и "крутите" ее.



  • Парни, привет.

    Всем спасибо за советы. В итоге LAGG собрался на четырех Гбитах (4 карточки смотрят на свитч). Прикрутил виланы и все пока работает.
    Что сделал:
    в Система - Расширенные - Системные настройки добавил параметр net.link.lagg.0.lacp.lacp_strict_mode = 0
    У D-linka порты с отключенным тестированием петли (обязательно) + в активном режиме + в транке LACP

    ЗБС.

    Расходимсо по одному. Если что, мы - геологи.


Log in to reply