Manual de validación vlan faltante (no completa l2)

📋 Manual N1 — ¿Dónde falta la VLAN? (L2)

Objetivo: detectar el equipo/puerto donde falta la VLAN 200 en el camino L2 y corregirla.

📘 Recursos

Hostnames: <SITE-A-SW1>, <CORE-B-ATN1>.
IP gestión ejemplo: 10.100.X.Y.
VLAN de tráfico: 200.
MAC CPE (cliente) ejemplo: 3458-40c8-4884.
MAC PE (core) ejemplo: 084f-0ac8-683d.

🧭 Cuadro — Detección inicial (L1 OK / Acceso OK / Sospecha VLAN) + Ping en VPN

#	Comando (Huawei)	Resultado del comando (qué debes ver / cómo se interpreta)
1	Verificar niveles L1 (óptico) <SITE-A-UM1> display interface transceiver verbose GigabitEthernet0/2/6	Niveles dentro de rango (ej. TX/RX dBm coherentes), sin alarmas de temperatura/power. Confirma que el medio físico está sano. Si estuviera fuera de rango → no es lógico (no sigas con VLAN).
1.a	Verificar L1 (par/cobre) (si aplica) <SITE-A-UM1> display interface GigabitEthernet0/1/1 (o interfaz xDSL)	Estado UP/UP, SNR/atenuación dentro de umbral, CRC/errores = 0 sostenidos. Si hay errores → físico; si OK → seguimos con L2.
2	Negociaciones del puerto de acceso (CPE) <SITE-A-SW1> display interface GigabitEthernet0/2/6	current state: UP, Line protocol: UP, full-duplex, velocidad esperada (no half), CRC=0. Esto valida que el acceso está sano.
3	MAC del CPE en el puerto de acceso (VLAN de tráfico) <SITE-A-SW1> display mac-address dynamic interface GigabitEthernet0/2/9	Debe verse la MAC del CPE asociada a la VLAN de tráfico (ej. 200) en el puerto de acceso. Ej.: `3458-40c8-4884 200 GE0/2/9 dynamic`. Si aparece → el acceso ve al CPE en L2.
4	VLAN de tráfico creada y presente en puertos clave <SITE-A-SW1> display vlan 200	Debe listar la VLAN 200 y los puertos donde está (acceso + uplink). Ej.: `200 TG:Eth-Trunk1(U) GE0/2/0(U) GE0/2/9(U)`. Si falta el uplink o acceso → sospecha de VLAN faltante.
5	Uplink (ROOT) hacia el core display stp brief \| include ROOT	Identifica el uplink ROOT (puerto que sigue hacia el core) para trazar el camino.
6	Ping a la WAN dentro de la VPN (prueba L3 controlada) <SITE-A-SW1> ping -vpn-instance <VPN-DATOS> <IP_WAN_OBJETIVO>	Objetivo: validar conectividad L3 desde el dominio de la VPN del cliente. Resultado esperado: respuestas OK (baja pérdida/RTT estable). Si L1 y acceso OK, pero este ping falla → sospecha de corte L2 (VLAN faltante) en algún puerto intermedio.
6.a	(Opcional) Ping con tamaño mayor (descarta MTU básica) <SITE-A-SW1> ping -vpn-instance <VPN-DATOS> -s 1400 <IP_WAN_OBJETIVO>	Si 64B responde pero 1400B falla, podría ser MTU/fragmentación. Si ambos fallan y L1/acceso sanos → pista L2/VLAN.
7	Conclusión del bloque (no es un comando)	Si: L1 OK, negociaciones OK, MAC del CPE presente en acceso/VLAN 200, VLAN 200 creada y listada, pero el ping por la VPN a la WAN no pasa: ⇒ Sospecha fuerte de VLAN 200 faltante en algún troncal del camino. Procede con LLDP y verifica VLAN en cada downlink del siguiente equipo.

Notas rápidas para N1:

Usa VLAN 200 como ejemplo (cámbiala si tu caso usa otro ID).
Si en cualquier equipo un puerto que debería llevar la VLAN no aparece en display vlan 200 o deja de aprender la MAC del CPE en esa VLAN, ahí falta la VLAN.

🛡️ Paso 1 — Confirmar que el problema es lógico (L2)

Idea clave: En el switch de acceso/repisa (ETX-1300 / ETX-2i / chasis CTC) NO debe verse la MAC del PE asociada a la VLAN 200. En acceso sí debes ver la MAC del CPE en la VLAN 200.

1.1 Ver la MAC del CPE en la VLAN 200 (y confirmar que NO aparece la del PE)

Comando:

   <SITE-A-SW1> display mac-address dynamic vlan 200
 

Resultado esperado (ejemplo sanitario):

   MAC address table of slot 0:

   ---------------------------------------------------------------------------

   MAC Address        VLAN/BD   PEVLAN CEVLAN  Port/Peerip    Type     LSP/LSR-ID

   ---------------------------------------------------------------------------

   3458-40c8-4884    200        -      -      GE0/2/9       dynamic  0/-

   ---------------------------------------------------------------------------

   Total matching items on slot 0 displayed = 1

Lectura rápida:

✅ Aparece MAC CPE = 3458-40c8-4884 en VLAN 200 por GE0/2/9 (puerto de acceso).
✅ No aparece MAC PE = 084f-0ac8-683d en VLAN 200 en el acceso.
⇒ Esto apunta a problema lógico (L2) aguas arriba, no a físico.

1.2 Identificar el uplink ROOT (por dónde seguir el camino)

Comando:

   <SITE-A-SW1> display stp brief | include ROOT
 

Resultado esperado (ejemplo sanitario):

   MSTID   Port             Role  STP State    Protection

   0       GigabitEthernet0/2/0  ROOT   FORWARDING    -

   1       GigabitEthernet0/2/0  ROOT   FORWARDING    -

   2       GigabitEthernet0/2/0  ROOT   FORWARDING    -

Lectura rápida: El uplink hacia el core es GE0/2/0 (rol ROOT, FORWARDING). Ese es el camino a seguir en los siguientes pasos (LLDP + ver VLAN en el vecino).

1.3 ¿En qué puertos está configurada la VLAN 200 en este switch?

Comando:

   <SITE-A-SW1> display vlan 200
 

Resultado esperado (ejemplo sanitario):

   VID  Ports

   200  TG:Eth-Trunk1(U)  GE0/2/0(U)  GE0/2/9(U)

   VID  Type    Status  Property  MAC-LRN STAT    BC  MC  UC  Description

   200  common  enable  default  enable  disable  FWD FWD FWD VLAN0200

Lectura rápida: La VLAN 200 está presente en GE0/2/9 (acceso) y en GE0/2/0 / Eth-Trunk1 (uplink). En el acceso local todo cuadra; si el servicio no pasa, el corte lógico probablemente está más arriba (siguiente switch/ATN).

Decisión después del Paso 1:

Si todo está OK y ya identificaste el uplink ROOT en 1.2 → salta al vecino:
- Usa LLDP para ver hostname, IP de gestión y puerto del vecino.
- En el vecino, confirma VLAN 200 en su downlink y el aprendizaje de MAC CPE.
- Donde no se vea la VLAN en el puerto que debería, ahí falta la VLAN.

🛰️ Paso 3 — Identificar vecino por LLDP en el uplink (ROOT) y saltar

2.1 Obtener el vecino del uplink ROOT con LLDP

Comando (en el equipo de acceso, en el uplink ROOT encontrado p. ej. GE0/2/0):

   <SITE-A-SW1> display lldp neighbor interface GigabitEthernet0/2/0
 

Resultado (ejemplo sanitizado):

   GigabitEthernet0/2/0 has 1 neighbor(s):

   Neighbor index          : 1

   Chassis type           : macAddress

   Chassis ID            : c0e0-18b9-d77a

   Port ID type          : interfaceName

   Port ID              : 25GE0/2/22

   Port description     : NNI_L2T_SW_MUL_10.100.13.39_GI0/2/0_I_FO_HuaW_10G

   System name          : <CORE-B-ATN1>

   System description : Huawei Versatile Routing Platform Software

                   VRP (R) software, Version 8.xx

   System capabilities supported: bridge router

   System capabilities enabled  : bridge router

   Management address type   : ipv4

   Management address      : 10.100.13.51

   OperMau              : speed (10000) / duplex (Full)

   Maximum frame Size    : 9700

   Discovered time      : 2025-09-11 13:42:01-06:00

Lectura rápida: Vecino: <CORE-B-ATN1> · IP de gestión: 10.100.13.51 · Puerto del vecino (downlink): 25GE0/2/22. Conéctate al vecino y valida VLAN 200 en ese downlink.

2.2 En el vecino, repetir validaciones y revisar el downlink LLDP

Ahora estás en <CORE-B-ATN1>. Usa exactamente el puerto que devolvió LLDP (25GE0/2/22).

A) ¿La VLAN 200 está creada y en qué puertos?

Comando:

   <CORE-B-ATN1> display vlan 200
 

Resultado “OK” (el downlink aparece):

   VID  Ports

   200  TG:100GE0/2/27(U)  25GE0/2/22(U)

Resultado “MALO” (falta en el downlink):

   VID  Ports

   200  TG:100GE0/2/27(U)  25GE0/2/23(U)

   # OJO: No aparece 25GE0/2/22 → falta la VLAN 200 en el downlink hacia el acceso

B) ¿Se aprende la MAC del CPE en VLAN 200?

Comando:

   <CORE-B-ATN1> display mac-address dynamic vlan 200
 

Resultado “OK”:

   MAC Address       VLAN  Port

   3458-40c8-4884    200   25GE0/2/22   dynamic  ← MAC CPE (acceso)

   084f-0ac8-683d    200   100GE0/2/27  dynamic  ← MAC PE (core)

Resultado que refuerza fallo:

   MAC Address       VLAN  Port

   084f-0ac8-683d    200   100GE0/2/27  dynamic

   # No aparece la MAC del CPE → alta probabilidad de VLAN 200 faltante hacia el acceso

C) ¿El downlink permite la VLAN 200? (config del puerto LLDP)

Comando:

   <CORE-B-ATN1> display current-configuration interface 25GE0/2/22
 

Resultado “OK”:

   interface 25GE0/2/22

    port link-type trunk

    port trunk allow-pass vlan 200 239

    undo shutdown

   #

   return

Resultado “MALO”:

   interface 25GE0/2/22

    port link-type trunk

    port trunk allow-pass vlan 239

   # Falta la VLAN 200 en allow-pass → aquí está el corte L2

2.3 Decisión y siguiente movimiento

Si VLAN 200 no aparece en el downlink LLDP (A “MALO”), o si no se ve la MAC del CPE en VLAN 200 (B fallo), o si en la config del downlink no está allow-pass vlan 200 (C “MALO”):
<CORE-B-ATN1> system-view
[CORE-B-ATN1] interface 25GE0/2/22
[CORE-B-ATN1-25GE0/2/22] port link-type trunk
[CORE-B-ATN1-25GE0/2/22] port trunk allow-pass vlan 200 239
[CORE-B-ATN1-25GE0/2/22] commit

Validar después del cambio:

display vlan 200
display mac-address dynamic vlan 200
Si todo está OK en el vecino, sigue hop a hop: repite LLDP en el siguiente uplink y valida VLAN 200 en su downlink correspondiente, hasta encontrar el punto de quiebre.