Re: Проблема с xconnect l2tpv3 на роутере C1101 с IOS-XE Fuji-16.9.8

Sergey Kruglov · ‎12-21-2021

Один наш офис переезжал, и надо было временно связать через Интернет несколько Vlan старого и нового помещений на уровне L2.
Такое уже приходилось делать на Cisco2821, 871, 881. xconnect l2tpv3 отлично справлялось с этой задачей.
Но сейчас в новом помещении оказалась новомодная модель C1101-4P с IOS-XE Fuji-16.9.8, и с ней возникли проблемы.
Почитав форумы, я не нашел решения. Но вычитал, что на IOS-XE много чего не работает без лицензии appxk9.
Я включил лицензию appxk9 в режиме EvalRightToUse, но xconnect не заработал.

Вот описание настроек.

Ранее (на роутерах с обычным IOS) схема соединения и настройки были такие и все работало:

(sw-LAN1)trunk===Gi0/0(gw2821)Gi0/1===Internet===Fa4(gw881)Fa0===trunk(sw-LAN2)

--- 2821 old office ---
pseudowire-class L2CLASS
 encapsulation l2tpv3
 protocol none
 ip local interface Gi0/1 ! WAN-интерфейс 2821
!
int Gi0/0.2
 ecapsulation dot1Q 2
 xconnect 2.2.2.2 2 encapsulation l2tpv3 manual pw-class L2CLASS
  l2tp id 2 22
!
int Gi0/0.4
 ecapsulation dot1Q 4
 xconnect 2.2.2.2 4 encapsulation l2tpv3 manual pw-class L2CLASS
  l2tp id 4 44
end

--- 881 new Office ---
pseudowire-class L2CLASS
 encapsulation l2tpv3
 protocol none
 ip local interface Fa4 ! WAN-интерфейс 881
!
int Vlan2
 xconnect 1.1.1.1 2 encapsulation l2tpv3 manual pw-class L2CLASS
  l2tp id 22 2
!
int Vlan4
 xconnect 1.1.1.1 4 encapsulation l2tpv3 manual pw-class L2CLASS
  l2tp id 44 4
end

Попытались заменить в новом офисе gw881 на gw1101:

(sw-LAN1)trunk===Gi0/0(gw2821)Gi0/1===Internet===Gi0/0/0(gw1101)Gi0/1/0===trunk(sw-LAN2)

Создали vlan4, настроили LAN-порт в транковом режиме, делаем XCONNECT:
gw1101(config)#pseudowire-class L2CLASS
gw1101(config-pw-class)# encapsulation l2tpv3
gw1101(config-pw-class)# protocol none
gw1101(config-pw-class)# ip local interface g0/0/0
gw1101(config-pw-class)#exit
Dec 21 07:13:50: %LINEPROTO-5-UPDOWN: Line protocol on Interface L2TP-Virtual3, changed state to up
gw1101(config)#int Vlan4
Dec 21 07:14:36: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan4, changed state to up
gw1101(config)# xconnect 1.1.1.1 4 encapsulation l2tpv3 manual pw-class L2CLASS
gw1101(config-if-xconn)# l2tp id 44 4
gw1101(config-if-xconn)#exit
Dec 21 07:14:43: %LINEPROTO-5-UPDOWN: Line protocol on Interface pseudowire0, changed state to up

Видно, что всё поднимается, "sh xconnect all" показывает что всё UP. Но не работает.
Выяснилось, что пакеты пробрасываются только из старого офиса в новый. Обратно gw1101 не хочет ничего посылать:

gw2821#sh l2tun session all ! Это из старого офиса
... skip ...
Session state is established, time since change 00:07:26
420 Packets sent, 0 received
32594 Bytes sent, 0 received

gw1101#sh l2tun session all ! Это из нового офиса
... skip ...
Session state is established, time since change 00:08:20
0 Packets sent, 578 received
0 Bytes sent, 44658 received

И действительно: на sw-LAN2 в Vlan4 видны все MAC-адреса из старого офиса. А на sw-LAN1 MAC-адресов нового офиса нет, хотя gw1101 видит эти MAC-адреса, но не хочет их пересылать:

gw1101#sh mac ad int g0/1/0
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 0000.0c07.acfd DYNAMIC Gi0/1/0
1 6c13.d5a0.13b0 DYNAMIC Gi0/1/0
4 4c5d.3c67.1657 DYNAMIC Gi0/1/0
4 6c13.d5a0.1330 DYNAMIC Gi0/1/0

Так и не заработало...

Нашел похожий баг CSCvz15121, где рекомендуют для "ip local interface" вместо Gi0/0/0 использовать SVI. Но там другая модель устройства.

Нашел древнюю статью с настройками L2TPv3. Там вообще противоречие самой себе. В начале указаны ограничения, что надо использовать только loopback (хотя непонятно как этого реализовать):
- The IP local interface must be a loopback interface. Configuring any other interface with the ip local interface command will result in a nonoperational setting.
Но в примерах статьи используется и loopback и другие интерфейсы. Например "ip local interface GigabitEthernet0/0/1.774"

Что надо допилить, чтобы и на С1101 заработал xconnect при encapsulation l2tpv3?

Или есть более простая возможность объединить несколько Vlan через Интернет, при помощи старых (IOS) и новых (IOS-XE) маршрутизаторов?

Georg Pauwen · ‎12-21-2021

Привет,

Думаю, вам нужен петлевой интерфейс. Попробуйте настройки ниже. Убедитесь, что IP-адрес интерфейса обратной связи доступен с другого конца.

gw1101(config)#interface Loopback0
gw1101(config-if)#ip address 10.10.10.1 255.255.255.255
gw1101(config-if)#exit
gw1101(config)#pseudowire-class L2CLASS
gw1101(config-pw-class)# encapsulation l2tpv3
gw1101(config-pw-class)# protocol none
gw1101(config-pw-class)# ip local Loopback0

Sergey Kruglov · ‎12-21-2021

Я пробовал через Loopback.

Ничего не меняется - связь по прежнему идет в одну сторону: gw2821 пересылает пакеты в новый офис, и gw1101 их ретранслирует в sw-LAN2. Но обратно, из sw-LAN2, gw1101 не пересылает. Счетчик переданных Packet sent остается нулевым.

Georg Pauwen · ‎12-21-2021

Привет,

Можете ли вы опубликовать полный вывод команды 'show l2tp session all' для обоих маршрутизаторов (2811 и 1101)?

Sergey Kruglov · ‎12-21-2021

Удалось в новом офисе одновременно подключить и IOS-маршрутизатор 881 и IOS-XE маршрутизатор 1101.
Перенастроил чтобы Vlan2 работал через gw881, а Vlan4 через gw1101.

Связка 2821/881 по Vlan2 работает нормально.

Связка 2821/10101 по Vlan4 работает как раньше - только в одну сторону.

Ниже - результат настройки и диагностики.
В старом офисе gw2821 держит два xconnect на разные маршрутизаторы нового офиса:

gw2821(config)#int loop0
gw2821(config-if)# ip addr 10.200.159.1 255.255.255.255
gw2821(config-if)#!
gw2821(config-if)#pseudowire-class L2CLASS0
gw2821(config-pw-class)# encapsulation l2tpv3
gw2821(config-pw-class)# protocol none
gw2821(config-pw-class)# ip local interface Loop0
gw2821(config-pw-class)#exit
gw2821(config)#int Gi0/0.4
gw2821(config-subif)# no xconnect
gw2821(config-subif)# xconnect 10.200.146.129 4 encapsulation l2tpv3 manual pw-class L2CLASS0
gw2821(config-subif-xconn)# l2tp id 4 44
gw2821(config-subif-xconn)#end
gw2821#ping 10.200.146.129

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.200.146.129, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 36/36/40 ms
gw2821#
gw2821#sh l2tun session all

L2TP Session Information Total tunnels 0 sessions 2

Session id 4 is up, tunnel id n/a 
Remote session id is 44, remote tunnel id n/a 
Locally initiated session
Call serial number is 0
Remote tunnel name is 
Internet address is 10.200.146.129
Local tunnel name is 
Internet address is 10.200.159.1
IP protocol 115
Session is manually signaled
Session state is established, time since change 00:03:46
275 Packets sent, 0 received
24432 Bytes sent, 0 received
Last clearing of counters never
Counters, ignoring last clear:
275 Packets sent, 0 received
24432 Bytes sent, 0 received
Receive packets dropped:
out-of-order: 0
total: 0
Send packets dropped:
exceeded session MTU: 0
total: 0
DF bit off, ToS reflect disabled, ToS value 0, TTL value 255
Sending UDP checksums are disabled
Receiving UDP checksums are verified
No session cookie information available
FS cached header information:
encap size = 24 bytes
45000014 00000000 FF737464 0AC89F01
0AC89281 0000002C 
Sequencing is off
Conditional debugging is disabled
SSM switch id is 8201, SSM segment id is 16403
Unique ID is 20
Session Layer 2 circuit, type is Ethernet Vlan, name is GigabitEthernet0/0.4:4
Session vcid is 4
Circuit state is UP
Local circuit state is UP
Remote circuit state is UP

Session id 9 is up, tunnel id n/a 
Remote session id is 8, remote tunnel id n/a 
Locally initiated session
Call serial number is 0
Remote tunnel name is 
Internet address is 2.2.2.2
Local tunnel name is 
Internet address is 1.1.1.1
IP protocol 115
Session is manually signaled
Session state is established, time since change 9w0d
286946797 Packets sent, 58365727 received
1870123317 Bytes sent, 3272280567 received
Last clearing of counters never
Counters, ignoring last clear:
286946797 Packets sent, 58365727 received
1870123317 Bytes sent, 3272280567 received
Receive packets dropped:
out-of-order: 0
total: 0
Send packets dropped:
exceeded session MTU: 0
total: 0
DF bit off, ToS reflect disabled, ToS value 0, TTL value 255
Sending UDP checksums are disabled
Receiving UDP checksums are verified
No session cookie information available
FS cached header information:
encap size = 24 bytes
45000014 00000000 FF7386F2 BC2B1615
B2CDAF76 00000008 
Sequencing is off
Conditional debugging is disabled
SSM switch id is 4096, SSM segment id is 12290
Unique ID is 1
Session Layer 2 circuit, type is Ethernet Vlan, name is GigabitEthernet0/0.2:2
Session vcid is 1
Circuit state is UP
Local circuit state is UP
Remote circuit state is UP

В новом офисе данные с gw1101:

gw1101(config)#int Loop0
gw1101(config-if)# ip address 10.200.146.129 255.255.255.255
gw1101(config-if)#!
gw1101(config-if)#pseudowire-class L2CLASS
gw1101(config-pw-class)# encapsulation l2tpv3
gw1101(config-pw-class)# protocol none
gw1101(config-pw-class)# ip local interface Loop0
gw1101(config-pw-class)#!
gw1101(config-pw-class)#int Vlan4
gw1101(config-if)# xconnect 10.200.159.1 4 encapsulation l2tpv3 manual pw-class L2CLASS
gw1101(config-if-xconn)# l2tp id 44 4
gw1101(config-if-xconn)#end
gw1101#ping 10.200.159.1 sour Loop0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.200.159.1, timeout is 2 seconds:
Packet sent with a source address of 10.200.146.129 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 36/36/36 ms
gw1101#
gw1101#sh l2tun session all

L2TP Session Information Total tunnels 0 sessions 1

Session id 44 is up, logical session id 32794, tunnel id n/a 
Remote session id is 4, remote tunnel id n/a 
Locally initiated session
Unique ID is 0
Session Layer 2 circuit, type is Ethernet Vlan, name is Vlan4:4
Session vcid is 4
Circuit state is UP
Local circuit state is UP
Remote circuit state is UP
Call serial number is 0
Remote tunnel name is 
Internet address is 10.200.159.1
Local tunnel name is 
Internet address is 10.200.146.129
IP protocol 115
Session is manually signaled
Session state is established, time since change 00:01:26
0 Packets sent, 84 received
0 Bytes sent, 7753 received
Last clearing of counters never
Counters, ignoring last clear:
0 Packets sent, 84 received
0 Bytes sent, 7753 received
Receive packets dropped:
out-of-order: 0
other: 0
total: 0
Send packets dropped:
exceeded session MTU: 0
other: 0
total: 0
DF bit off, ToS reflect disabled, ToS value 0, TTL value 255
Sending UDP checksums are disabled
Received UDP checksums are verified
No session cookie information available
FS cached header information:
encap size = 24 bytes
45000014 00000000 ff737464 0ac89281
0ac89f01 00000004 
Sequencing is off
Conditional debugging is disabled
SSM switch id is 4120, SSM segment id is 4124

Sergey Kruglov · ‎12-21-2021

Вывод команды 'show l2tp session all' для обоих маршрутизаторов (2811 и 1101) прикладываю в attach

pman · ‎12-21-2021

Hi,

here is example with source from physical interface:

CSR13

interface GigabitEthernet2
no ip address
xconnect 13.14.13.14 123 encapsulation l2tpv3 pw-class vlan-xconnect

!

l2tp-class class1
authentication
password secret
pseudowire-class vlan-xconnect
encapsulation l2tpv3
protocol l2tpv3 class1
ip local interface gi1
interface gi2
xconnect 13.14.13.14 123 pw-class vlan-xconnect

CSR14

interface GigabitEthernet2
no ip address
xconnect 13.14.13.13 123 encapsulation l2tpv3 pw-class vlan-xconnect

!

l2tp-class class1
authentication
password secret
pseudowire-class vlan-xconnect
encapsulation l2tpv3
protocol l2tpv3 class1
ip local interface gi1
interface gi2
xconnect 13.14.13.13 123 pw-class vlan-xconnect

Sergey Kruglov · ‎12-21-2021

Yes. in IOS working on physical interfaces. But on IOS-XE not working.

I made the settings as in your option. The problem of one-way communication remained (attach gw1101-2.txt)

Maybe the problem is something else?

Georg Pauwen · ‎12-21-2021

Привет,

Попробуйте эту конфигурацию:

gw1101

l2tp-class SIGNAL
hello 10
password cisco
cookie size 8
!
int Loopback0
ip address 10.200.146.129 255.255.255.255
!
pseudowire-class L2CLASS
encapsulation l2tpv3
protocol l2tpv3 SIGNAL
ip local interface Loopback0
!
int Vlan4
xconnect 10.200.159.1 4 encapsulation l2tpv3 manual pw-class L2CLASS
l2tp id 44 4

Sergey Kruglov · ‎12-22-2021

в такой конфигурации иначе настраивается xconnect:

gw1101(config)#int Vlan4
gw1101(config-if)# xconnect 10.200.159.1 4 encapsulation l2tpv3 manual pw-class L2CLASS
Mismatched signaling protocols between Xconnect, pw-class configs
Pseudowire class encap not matching with PW infoencap
gw1101(config-if)#xconnect 10.200.159.1 4 encapsulation l2tpv3 pw-class L2CLASS
gw1101(config-if-xconn)#l2tp id 44 4
^
% Invalid input detected at '^' marker.

gw1101(config-if-xconn)#?
Xconnect configuration commands:
  backup  Xconnect backup configuration commands
  default Set a command to its defaults
  exit    Exit from Xconnect submode configuration
  no      Negate a command or set its defaults
  <cr>    <cr>

Скорректировал синтаксис, применил настройки к gw1101 и gw2821. Не помогло - связь по прежнему одностороняя. Подробности в attach