Добрый день, необходимо на 3610 запустить двойное тегирование вланов (dot1q-tunnel). Но не просто все загнать в один vlan, а только выбраный диапазон, при этом на порту распакован должен быть vlan отличный от "1" сделал следующие настройки (все указные vlan на 3610 существуют):

interface GigabitEthernet 0/23
switchport mode dot1q-tunnel
switchport dot1q-tunnel allowed vlan add tagged 1-4000
dot1q outer-vid 900 register inner-vid 950-951

после чего таблица маков на порту приобрела вид:
sh mac-address-table interface gig 0/23
Vlan MAC Address Type Interface
---------- -------------------- -------- -------------------
1 0001.6c70.67e6 DYNAMIC GigabitEthernet 0/23
1 0004.61a0.859c DYNAMIC GigabitEthernet 0/23
1 0004.61a0.adff DYNAMIC GigabitEthernet 0/23
1 0014.d15a.0c60 DYNAMIC GigabitEthernet 0/23
1 0017.3136.ebe4 DYNAMIC GigabitEthernet 0/23
1 001b.1135.94cc DYNAMIC GigabitEthernet 0/23
1 001b.fc8f.d4f2 DYNAMIC GigabitEthernet 0/23
1 001d.09c6.6a64 DYNAMIC GigabitEthernet 0/23

Т.е. судя по логике вещей в 900-й влан должны попасть только вланы 950-951, а все остальные пройти как есть. Однако все маки видны в 1-м влане, и все работает - дальше на коммутаторах маки видны в "правильных" vlan.
Если распаковать любой другой vlan на порту трафик перестает ходить в всех vlan.
Вот так выглядит конфиг порта с распакованным vlan:
interface GigabitEthernet 0/23
switchport mode dot1q-tunnel
switchport dot1q-tunnel native vlan 57
switchport dot1q-tunnel allowed vlan add tagged 1-56,58-4000
dot1q outer-vid 900 register inner-vid 950-951

все работает правильно как и должно работать...
можете простыми словами описать задачу, которую вам надо решить (со схемой)... т.к. из вашего описания мало понятно чего вы в итоге добиваетесь

Схема простая - есть диапазон vlan'ов на которые надо навесить второй тег и отправить выше на аплинк. Вместе с этими вланами на порт 3610 поступает и другие теги которые трогать ненужно.



Непонятно 2 момента:
Почему все маки в одном влане отображаются - например дальше есть управляемое оборудование в vlan 70 а оно будет светится в 1-м влане, что не удобно.
Как распаковать на порту влан 70 и при этом чтоб все работало.

P.S. vlan 950-951 упаковываются в vlan900. Схема примерная, в реальности чуть посложнее - больше vlan'ов. Сейчас все работает но все маки в vlan1, коммутатор не вижу, т.к. 70-й vlan не распакован, если распаковать то трафик перестает ходить.

технология qinq туннелирует метки, а не mac адреса, изучениt mac адресов происходит на портах по их принадлежности к тому или иному vlan. В данном случае MAC адреса изучаюся тоннельном портом который принадлежит к vlan X, какие при этом вложены внутири метки и внутри каких меток без разницы.

Понятно, неудобно конечно с точки зрения мониторинга но терпимо.
А с вторым вопросом, чтоб распаковать влан отличный от 1-го ?

Вот какой конфиг использовал:
interface GigabitEthernet 0/23
switchport mode dot1q-tunnel
switchport dot1q-tunnel allowed vlan add tagged 1-4000
dot1q outer-vid 900 register inner-vid 950-951

все работает, выполняю:
switchport dot1q-tunnel allowed vlan add untagged 70
switchport dot1q-tunnel native vlan 70

Трафик через порт перестает ходить, маки больше не светят ни в каком влане, vlan 70 существует.

эта команда зачем?
switchport dot1q-tunnel allowed vlan add untagged 70

у вас vlan 70 и без т ого нетегированный т.к. он нативный...


и потом как так получается что с 1 стороны у вас тоннельный порт в одном vlan X с другой стороны тоннельный порт в vlan Y? Как это все должно работать? те теги которые у вас упакованы port based а не по правилу slective окажутся в разных внешних метках и общаться межлу собой не будут...если только на транке не сделать native, но зачем такая разнородная схема на сети?
я так и непонял, что вы пытаетесь настроить... можно без кучи бесполезных команд объяснить...на примере пакета который проходит через железо, в какой порт он вошел, из какого порта вышел, какие при это добавились/удалились метки...

Есть 3610, за ним находится сеть, коммутаторы мониторятся через vlan70 (для них это 1-й не тегированный) нужно на 3610 загнать определенный диапазон vlan(950-951) внутрь другого vlan(900) - qinq, при этом все остальные vlan должны пройти не тронутыми - т.е. с одним тегом. Сейчас это работает, но коммутатор не мониторю и все маки в 1-м влане вижу(вы объяснили почему так, спасибо).
Как только выполняю комманду:
switchport dot1q-tunnel native vlan 70
трафик перестает вообще ходить, маков не вижу.

значит у вас либо неправильные настройки, либо неправильная логика топологии...