Manual de validación vlan faltante (no completa l2)

📋 Manual N1 — ¿Dónde falta la VLAN? (L2)

Objetivo: detectar el equipo/puerto donde falta la VLAN 200 en el camino L2 y corregirla.

📘 Recursos

Hostnames: <SITE-A-SW1>, <CORE-B-ATN1>.
IP gestión ejemplo: 10.100.X.Y.
VLAN de tráfico: 200.
MAC CPE (cliente) ejemplo: 3458-40c8-4884.
MAC PE (core) ejemplo: 084f-0ac8-683d.

🧭 Cuadro — Detección inicial (L1 OK / Acceso OK / Sospecha VLAN) + Ping en VPN

#	Comando (Huawei)	Resultado del comando (qué debes ver / cómo se interpreta)
1	Verificar niveles L1 (óptico) <SITE-A-UM1> display interface transceiver verbose GigabitEthernet0/2/6	Niveles dentro de rango (TX/RX dBm coherentes), sin alarmas. Confirma que el medio físico está sano. Si está fuera de rango → no es lógico (no sigas con VLAN).
1.a	Verificar L1 (par/cobre) (si aplica) <SITE-A-UM1> display interface GigabitEthernet0/1/1 (o interfaz xDSL)	Estado UP/UP, SNR/atenuación dentro de umbral, CRC/errores = 0. Si hay errores → físico; si OK → seguimos con L2.
2	Negociaciones del puerto de acceso (CPE) <SITE-A-SW1> display interface GigabitEthernet0/2/6	current state: UP, Line protocol: UP, full-duplex, velocidad esperada, CRC=0. Valida que el acceso está sano.
3	MAC del CPE en el puerto de acceso (VLAN de tráfico) <SITE-A-SW1> display mac-address dynamic interface GigabitEthernet0/2/9	Debe verse la MAC del CPE asociada a la VLAN 200 en el puerto de acceso. Ej.: `3458-40c8-4884 200 GE0/2/9 dynamic`. Si aparece → el acceso ve al CPE en L2.
4	VLAN de tráfico creada y presente en puertos clave <SITE-A-SW1> display vlan 200	Debe listar VLAN 200 y puertos (acceso + uplink). Ej.: `200 TG:Eth-Trunk1(U) GE0/2/0(U) GE0/2/9(U)`. Si falta uplink o acceso → VLAN faltante.
5	Uplink (ROOT) hacia el core display stp brief \| include ROOT	Identifica el uplink ROOT para trazar el camino.
6	Ping a la WAN dentro de la VPN (prueba L3 controlada) <SITE-A-SW1> ping -vpn-instance <VPN-DATOS> <IP_WAN_OBJETIVO>	Valida conectividad L3 desde la VPN. Si L1 y acceso OK, pero falla → sospecha de corte L2 (VLAN faltante) en un troncal intermedio.
6.a	(Opcional) Ping con tamaño mayor (descarta MTU básica) <SITE-A-SW1> ping -vpn-instance <VPN-DATOS> -s 1400 <IP_WAN_OBJETIVO>	Si 64B responde pero 1400B falla → MTU/fragmentación. Si ambos fallan y L1/acceso sanos → pista L2/VLAN.
7	Conclusión del bloque	Si: L1 OK, negociaciones OK, MAC CPE presente en VLAN 200, VLAN 200 creada/listada, pero ping por VPN no pasa ⇒ VLAN 200 faltante en algún troncal. Procede con LLDP y valida VLAN en cada downlink del siguiente equipo.

Notas rápidas para N1:

Usa VLAN 200 como ejemplo (cámbiala si tu caso usa otro ID).
Si en cualquier equipo un puerto que debería llevar la VLAN no aparece en display vlan 200 o deja de aprender la MAC del CPE en esa VLAN, ahí falta la VLAN.

🛡️ Paso 1 — Confirmar que el problema es lógico (L2)

Idea clave: En el switch de acceso/repisa (ETX-1300 / ETX-2i / chasis CTC) NO debe verse la MAC del PE asociada a VLAN 200. En acceso sí debes ver la MAC del CPE en VLAN 200.

1.1 Ver la MAC del CPE en la VLAN 200 (y confirmar que NO aparece la del PE)

Comando:

   <SITE-A-SW1> display mac-address dynamic vlan 200
 

Resultado esperado (ejemplo sanitario):

   MAC address table of slot 0:

   ---------------------------------------------------------------------------

   MAC Address        VLAN/BD   PEVLAN CEVLAN  Port/Peerip    Type     LSP/LSR-ID

   ---------------------------------------------------------------------------

   3458-40c8-4884    200        -      -      GE0/2/9       dynamic  0/-

   ---------------------------------------------------------------------------

   Total matching items on slot 0 displayed = 1

Lectura rápida:

✅ Aparece MAC CPE = 3458-40c8-4884 en VLAN 200 por GE0/2/9.
✅ No aparece MAC PE = 084f-0ac8-683d en VLAN 200 en el acceso.
⇒ Apunta a problema lógico (L2) aguas arriba.

1.2 Identificar el uplink ROOT (por dónde seguir el camino)

Comando:

   <SITE-A-SW1> display stp brief | include ROOT
 

Resultado esperado (ejemplo sanitario):

   MSTID   Port             Role  STP State    Protection

   0       GigabitEthernet0/2/0  ROOT   FORWARDING    -

   1       GigabitEthernet0/2/0  ROOT   FORWARDING    -

   2       GigabitEthernet0/2/0  ROOT   FORWARDING    -

Lectura rápida: Uplink hacia el core: GE0/2/0 (ROOT/FORWARDING). Ese es el camino a seguir (LLDP + validar VLAN en el vecino).

1.3 ¿En qué puertos está configurada la VLAN 200 en este switch?

Comando:

   <SITE-A-SW1> display vlan 200
 

Resultado esperado (ejemplo sanitario):

   VID  Ports

   200  TG:Eth-Trunk1(U)  GE0/2/0(U)  GE0/2/9(U)

   VID  Type    Status  Property  MAC-LRN STAT    BC  MC  UC  Description

   200  common  enable  default  enable  disable  FWD FWD FWD VLAN0200

Lectura rápida: VLAN 200 presente en GE0/2/9 (acceso) y GE0/2/0/Eth-Trunk1 (uplink). Si no pasa, el corte lógico está más arriba.

Decisión después del Paso 1:

Si todo OK y ya identificaste uplink ROOT:
- Usa LLDP para ver hostname, IP de gestión y puerto del vecino.
- En el vecino, confirma VLAN 200 en su downlink y el aprendizaje de MAC CPE.
- Donde no se vea la VLAN en el puerto que debería, ahí falta la VLAN.

🛰️ Paso 3 — Identificar vecino por LLDP en el uplink (ROOT) y saltar

2.1 Obtener el vecino del uplink ROOT con LLDP

Comando:

   <SITE-A-SW1> display lldp neighbor interface GigabitEthernet0/2/0
 

Resultado (ejemplo sanitizado):

   GigabitEthernet0/2/0 has 1 neighbor(s):

   Neighbor index : 1

   Port ID        : 25GE0/2/22

   System name    : <CORE-B-ATN1>

   Management address : 10.100.13.51

   Maximum frame Size: 9700

   Discovered time  : 2025-09-11 13:42:01-06:00

Lectura rápida: Vecino: <CORE-B-ATN1> · IP: 10.100.13.51 · Puerto vecino: 25GE0/2/22. Conéctate y valida VLAN 200 en ese downlink.

2.2 En el vecino, repetir validaciones y revisar el downlink LLDP

Ahora estás en <CORE-B-ATN1> (puerto downlink: 25GE0/2/22).

A) ¿La VLAN 200 está creada y en qué puertos?

   <CORE-B-ATN1> display vlan 200
 

Resultado “OK” (downlink aparece):

   VID  Ports

   200  TG:100GE0/2/27(U)  25GE0/2/22(U)

Resultado “MALO” (falta en downlink):

   VID  Ports

   200  TG:100GE0/2/27(U)  25GE0/2/23(U)

   # No aparece 25GE0/2/22 → falta VLAN 200 hacia el acceso

B) ¿Se aprende la MAC del CPE en VLAN 200?

   <CORE-B-ATN1> display mac-address dynamic vlan 200
 

Resultado “OK”:

   3458-40c8-4884  200  25GE0/2/22  dynamic  ← MAC CPE

   084f-0ac8-683d  200  100GE0/2/27  dynamic  ← MAC PE

Resultado que refuerza fallo:

   084f-0ac8-683d  200  100GE0/2/27  dynamic

   # No aparece MAC CPE → alta probabilidad VLAN 200 faltante hacia el acceso

C) ¿El downlink permite la VLAN 200? (config del puerto)

   <CORE-B-ATN1> display current-configuration interface 25GE0/2/22
 

Resultado “OK”:

   interface 25GE0/2/22

    port link-type trunk

    port trunk allow-pass vlan 200 239

    undo shutdown

   return

Resultado “MALO”:

   interface 25GE0/2/22

    port link-type trunk

    port trunk allow-pass vlan 239

   # Falta VLAN 200 en allow-pass → aquí está el corte L2

2.3 Decisión y siguiente movimiento

Si VLAN 200 no aparece en el downlink, o no se ve MAC CPE, o falta en allow-pass:
<CORE-B-ATN1> system-view
[CORE-B-ATN1] interface 25GE0/2/22
[CORE-B-ATN1-25GE0/2/22] port link-type trunk
[CORE-B-ATN1-25GE0/2/22] port trunk allow-pass vlan 200 239
[CORE-B-ATN1-25GE0/2/22] commit

Validar después del cambio:

display vlan 200
display mac-address dynamic vlan 200
Si todo OK en el vecino, sigue hop a hop: repite LLDP y valida VLAN 200 en el downlink correspondiente hasta encontrar el punto de quiebre.