AcesAndrew Опубликовано 30 июня, 2015 · Жалоба Добрый день дорогие знатоки, есть несколько вопросов по поводу Dynamic Clips non-DHCP. Есть железка SE, на разных портах клиенты по разному аутентифицируются, на одном из портов, клиенты приходят L2( перед SE есть циска которая работает как DHCP Relay ), гейт клиентов находится на SE, на порту следующий конфиг: service-policy name CLIPS_clients-1 allow clips ip range x.x.x.0 x.x.x.255 interface clients-1 multibind ip address x.x.x.1/24 ip pool x.x.x.0/24 port ethernet 1/1 dot1q pvc xxxx bind interface clients-1 service clips auto-detect context local service-policy CLIPS_clients-1 Теперь вопрос, если делаем все как написал выше то часть клиентов нормально работает, а для некоторых клиентов поднимается субскрайбер но в ARP клиент не записывается, висит клиент с ARP - incomplete, и нечего не помогает, clear arp-cache, clear subscriber итд... Если же меняем на service clips auto-detect [b]direct[/b] context local service-policy CLIPS_clients-1 то все работает без проблем... Еще есть вопрос по поводу L3 Dynamic Clips not directly connected. Если делать Л3, и гейт клиентов находится где то до SE, потом клиент все же доходит до БРАС-а то в сторону подсети аб. нужно будет прописывать каждый раз статику ? то есть что то вроде такого: service-policy name CLIPS_clients-1 allow clips ip range x.x.x.0 x.x.x.255 interface interconnect p2p ip address 10.10.10.1/30 interface client-1 multibind ip address x.x.x.1/24 ip pool x.x.x.0/24 port ethernet 1/1 dot1q pvc xxxx bind interface interconnect service clips auto-detect context local service-policy CLIPS_clients-1 ip route x.x.x.0/24 10.10.10.1 Я все правильно понял ? Или можно обойтись и без статики, при условии что интерфейс на котором сконфигурирована подсеть аб. не биндится к порту на который будет приходить L3 траффик аб. ну и гейт аб. будет где то перед SE. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AcesAndrew Опубликовано 1 июля, 2015 · Жалоба отзовитесь кто-нибудь в документации не где ответы на свои вопросы не могу найти... нужна помощь гуру.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 1 июля, 2015 · Жалоба у вас доступа в закрытый раздел эриксона нет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AcesAndrew Опубликовано 1 июля, 2015 · Жалоба Нет, а как его получить ? Куда писать ? буду очень благодарен если дадите инфу по этому поводу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 1 июля, 2015 · Жалоба Появился закрытый раздел на форуме для обладателей Ericsson Smartedge. Заявки на добавление в группу можете отправлять на адрес smartedge@nag.ru Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AcesAndrew Опубликовано 2 июля, 2015 · Жалоба Написал на почту но пока что так и не получили ответа... может пока они ответят кто то хотя бы процитирует какие то сообщения из закрытой группы которые могли бы нам помочь разобраться с данной проблемой, или хоть помогут реализовать Dynamic non-DHCP Clips ? Так же есть проблемы при использовании Dynamic Clips при том что SE1200 работает как DHCP Relay или DHCP Proxy... Проблема заключается в том что клиенты получают IP но уже не поднимается субскрайбер... В логах пишет: AAA-3-ERR: aaa_reserve_ip, cannot reserve ip x.x.x.x since ip is already used Вообщем получается сразу 3 проблемы с которыми столкнулись... Во первых как завести нормально NON-DHCP Dynamic Clips со схемой когда L3 Gateway клиентов на БРАС-е, или когда он где то на другом девайсе а на БРАС трафик приходит через L3VPN и на БРАСе он должен проходить авторизацию.. А так же проблема с DHCP Relay/Proxy + CLIPS на SE1200.. Помогите)) а то чувствую что пока ответят на письмо нас тут всех уволят))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 3 июля, 2015 · Жалоба http://nag.ru/files/cte/0009/438.pdf еще включайте полный дебаг aaa и dhcp Мы используем обычный clips. у нас проблема была только в том, что нужно передать правильный интерфейс в радиус-ответе. иначе ip, выданный из определенного интерфейса нельзя дать абоненту, т.к. применяется дефолтный (первый) интерфейс. Когда свели ip-адрес, который пришел от dhcp и radius все зашевелилось. DHCP сервер был внешний. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AcesAndrew Опубликовано 3 июля, 2015 · Жалоба Проблема в том что на Радиус не приходят сообщения DHCP по поводу лизов, он не знает кому и какой IP был присвоен. В Access-Accept радиус клиентам у которых все работает(когда Relay делается на каком то другом девайсе не на SE1200) в поле Framed_IP_Addres Радиус пишет IP клиента( его username ), а в нашем случае когда DHCP Relay(SE1200) он в Access-Accept вообще не шлет поле Framed_IP_Addres а шлет вместо этого Framed_IP_Pool с названием интерфейса который прибинден к PVC клиента... Конфиг выглядит следующим образом: !context local!service-policy name CLIPS_x.x.x.128_testallow clips ip range x.x.x.128 x.x.x.255!!context CLIENTS!interface IF_x.x.x.128 multibind ip address x.x.x.x.129/25 dhcp proxy 15 server-group DHCP-TEST-1 ip arp delete-expired ip pool x.x.x.128/25!port ethernet 2/3 no shutdownencapsulation dot1qdot1q pvc 3997 bind interface IF_x.x.x.128 CLIENTS service clips auto-detect direct context CLIENTS service-policy CLIPS_x.x.x.128_test!dhcp relay server 172.1.1.1 max-hops 10 server-group DHCP-TEST-1!subscriber default qos policy policing qos-default-in qos policy metering qos-default-out dhcp max-addrs 1!aaa authentication subscriber radius aaa accounting subscriber radiusaaa update subscriber 60aaa accounting event dhcpaaa reauthorization bulk radiusaaa hint ip-address!! Вот что получаем в debug aaa radius: Jul 3 10:36:48: [0002]: [2/3:511:63:31/13/2/23612]: %AAA-7-RADIUS: aaa_idx 502f8efb: rad_create_auth_db_reply: Radius authentication success. (x.x.x.189)Jul 3 10:36:48: [0002]: [2/3:511:63:31/13/2/23612]: %AAA-7-RADIUS: aaa_idx 502f8efb: rad_process_response: process response to req Authentication. (x.x.x.189)Jul 3 10:36:48: [0002]: [2/3:511:63:31/13/2/23612]: %AAA-7-RADIUS: aaa_idx 502f8efb: rad_free_resource:, Free radius message, rad_idx 250294068Jul 3 10:36:48: %AAA-7-RADIUS: aaa_idx 502f8efb: rad_clean_aaa_idx_tree: Clean aaa_idx tree for context db_request_type AuthenticationJul 3 10:36:48: %AAA-7-EXCEPT: aaa_get_auto_cct_ip_address: Calling alloc_auto_cct_pool_addr for if_name:IF_x.x.x.128 if_grid :268566825Jul 3 10:36:48: [0002]: %AAA-3-ERR: aaa_reserve_ip, cannot reserve ip x.x.x.189 since ip is already usedJul 3 10:36:48: [0002]: %AAA-7-EXCEPT: aaa_get_auto_cct_ip_address: Failed to reserve requested ip x.x.x.189Jul 3 10:36:48: [0002]: [2/3:511:63:31/13/2/23612]: %AAA-7-EXCEPT: aaa_idx 502f8efb: aaa_populate_ip_addr_attr_from_pool_attr: Failed to reserve requested ip x.x.x.189Jul 3 10:36:48: [0002]: [2/3:511:63:31/13/2/23612]: %AAA-7-EXCEPT: aaa_idx 502f8efb: aaa_bind_subscriber: Could not get ip address from poolJul 3 10:36:48: [0002]: [2/3:511:63:31/13/2/23612]: %AAA-7-EXCEPT: aaa_idx 502f8efb: aaa_process_db_response: Cannot populate dynamic attribute for subscriber x.x.x.189. send FAIL to clientJul 3 10:36:48: %AAA-7-RADIUS: rad_mgr, Process radius requests in db request queueJul 3 10:36:48: [0002]: [2/3:511:63:31/13/2/23612]: %AAA-7-RADIUS: aaa_idx 502f8efb: rad_process_aaad_req: Receive request (Accounting Stop) Вот что получаем в debug aaa dhcp: Jul 3 10:41:41: %AAA-7-DHCP: [aaa_init_dhcp_cctcfg_iphost_key]: DHCP key: slot 1 port 2 channel 0xffff dot1_pvc 3997:0 vpi 0 vci 0,sess_id: 0, encap: 16778240Jul 3 10:41:41: [0002]: [2/3:511:63:31/1/2/4616]: %AAA-7-DHCP: aaa_update_dhcp_cctcfg_iphost:added iphost x.x.x.189 to cctJul 3 10:41:41: [0002]: [2/3:511:63:31/13/2/23848]: %AAA-7-DHCP: aaa_idx 502f8fe6: aaa_is_dhcp_clips_bounce_up: bounce flag 0 class 0x0 iphost 0.0.0.0Jul 3 10:41:41: %AAA-7-EXCEPT: aaa_get_auto_cct_ip_address: Calling alloc_auto_cct_pool_addr for if_name:IF_x.x.x.128 if_grid :268566825Jul 3 10:41:41: [0002]: %AAA-3-ERR: aaa_reserve_ip, cannot reserve ip x.x.x.189 since ip is already usedJul 3 10:41:41: [0002]: %AAA-7-EXCEPT: aaa_get_auto_cct_ip_address: Failed to reserve requested ip x.x.x.189Jul 3 10:41:41: [0002]: [2/3:511:63:31/13/2/23848]: %AAA-7-EXCEPT: aaa_idx 502f8fe6: aaa_populate_ip_addr_attr_from_pool_attr: Failed to reserve requested ip x.x.x.189Jul 3 10:41:41: [0002]: [2/3:511:63:31/13/2/23848]: %AAA-7-EXCEPT: aaa_idx 502f8fe6: aaa_bind_subscriber: Could not get ip address from poolJul 3 10:41:41: [0002]: [2/3:511:63:31/13/2/23848]: %AAA-7-EXCEPT: aaa_idx 502f8fe6: aaa_process_db_response: Cannot populate dynamic attribute for subscriber x.x.x.189. send FAIL to client Что посоветуете делать?) Допилить раидус чтоб отправлял в Access-Accept не Framed_IP_Pool а Framed_IP_Address ? Или что-то не так в конфиге ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 3 июля, 2015 · Жалоба Если BRAS передает framed ip address в запросе, то его нужно вернуть в ответе. У нас адреса привязаны к абонентам, так что dhcp и radius знаю какой дать ip и какой дать интерфейс. pool мы не используем. делайте debug aaa all - вдруг что-то пропустили. еще можно посмотреть debug dhcp all Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AcesAndrew Опубликовано 3 июля, 2015 · Жалоба Jul 3 14:30:23: [0002]: [2/3:511:63:31/1/2/4616]: %DHCP-7-AAA: Send 1 msg to AAA: Data MAC 08:9e:01:07:ca:66, IP x.x.x.189, encap type 0x1000400, lease 86400, subnet (0.0.0.0/0) Jul 3 14:30:23: [0002]: %AAA-7-EXCEPT: aaa_proc_non_sub_ipaddr, ip x.x.x.189 is already in use! Jul 3 14:30:23: [0002]: [2/3:511:63:31/1/2/4616]: %AAA-7-EXCEPT: aaa_dhcp_return: Sending back message 0x11: FAIL for x.x.x.189 to DHCPd Jul 3 14:30:23: %DHCP-7-AAA_E: ERROR: Received iphost ADD error from AAA for ip x.x.x.189 mac 08:9e:01:07:ca:66 context 0x40080002 Jul 3 14:30:25: [0002]: [2/3:511:63:31/1/2/4616]: %DHCP-7-AAA: [dhcp_aaa_send_aaa] drs_cctid 0xfffcec6277, drs_rmtid 0xfffcec627f, des_list 0x0 Jul 3 14:30:25: [0002]: [2/3:511:63:31/1/2/4616]: %DHCP-7-AAA: TLV list Add: [6] ACI Jul 3 14:30:25: [0002]: [2/3:511:63:31/1/2/4616]: %DHCP-7-AAA: TLV list Add: [8] ARI Jul 3 14:30:25: [0002]: [2/3:511:63:31/1/2/4616]: %DHCP-7-AAA: Send 1 msg to AAA: Data MAC 08:9e:01:07:ca:66, IP x.x.x.189, encap type 0x1000400, lease 86400, subnet (0.0.0.0/0) Jul 3 14:30:25: [0002]: %AAA-7-EXCEPT: aaa_proc_non_sub_ipaddr, ip x.x.x.189 is already in use! Jul 3 14:30:25: [0002]: [2/3:511:63:31/1/2/4616]: %AAA-7-EXCEPT: aaa_dhcp_return: Sending back message 0x11: FAIL for x.x.x.189 to DHCPd Jul 3 14:30:25: %DHCP-7-AAA_E: ERROR: Received iphost ADD error from AAA for ip x.x.x.189 mac 08:9e:01:07:ca:66 context 0x40080002 Вот что в итоге получается, Radius не вписывает себе в DB адреса абонентов которые были выданы сторонним DHCP сервером.. я правильно понимаю ? Еще смущает поле subnet (0.0.0.0/0 это нормально вообще ? Пока что ничего не можем решить.. продолжаем делать Relay на других железках, а SE как БРАС... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 4 июля, 2015 · Жалоба А точно нет такой сессии уже? Посмотрите arp-cache, subscribers Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 4 июля, 2015 · Жалоба Посмотрел ваши конфигурации: добавьте на интерфейс arp proxy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AcesAndrew Опубликовано 4 июля, 2015 · Жалоба Нет сессии нет, arp-cache показывает привязку MAC-IP но в поле TTL стоит "-", обычно это когда еще нет субскрайбера...а его как раз таки и нету.. Попробуем в понедельник поставить proxy arp, только не вижу связи arp c тем что БРАС пытается выдать какой то IP клиенту... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AcesAndrew Опубликовано 6 июля, 2015 · Жалоба Проверили с "arp proxy always" результат тотже.. Есть у кого то еще какие то идеи ? И немного оффтопа, можно как то еще связаться с теми кто дает доступ в закрытую группы обладателей Ericsson SmartEdge ? Уже почти неделя прошла, а от них ни слуху, ни духу... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 6 июля, 2015 · Жалоба http://forum.nag.ru/forum/index.php?showtopic=65559&st=820 попробуйте здесь написать гневный пост Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AcesAndrew Опубликовано 6 июля, 2015 · Жалоба Отписался.. надеюсь что кто то обратит внимание... Уже не знаем как бороться с этим зверем( SE1200 ) вообще до сих пор работали только с обычными рутерами и комутаторами, их логика нам уже понятна, а вот логику SmartEdge понять еще не удалось... и в частности работа non-dhcp dynamic CLIPS которая сейчас для нас очень актуальна... так как нужно будет клиентский траффик сети MPLS агреггировать в БРАС где клиенты должны проходить аутентификацию.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 6 июля, 2015 · Жалоба http://data.nag.ru/Ericsson%20SmartEdge%20%28Redback%29/Configurations/non-dhcp-clips.pdf читали? немножно непонятно, вы делаете l2 connected или l3 connected? или цель поднять хотя бы что-то? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AcesAndrew Опубликовано 6 июля, 2015 · Жалоба Читал.. Примерно так и конфигурируем все, и вроде как с L3 без всяких DHCP начало получатся... Мы пытаемся и L2 и L3 сделать, в итоге у нас будет схема такая: Сеть MPLS, весь траффик гонится в БРАС, еще точно не решили что будем использовать L2VPN или L3VPN, но скорее L3VPN. В таком случае получится L3 а насчет connected/not connected, не совсем понятно что имеется в виду, гейт клиентов будет не на БРАСЕ, а на ближайщем PE( это получается not connected ? или как ? ). Есть и другие регионы где траффик клиентов доходит L2 до БРАСа, там сейчас используем CLIPS и Dot1q, и там у нас проблема в том что Relay сейчас делаем в обход SE, так как он у нас с Relay + Dynamic Clips ну не как не хочет работать.. Вот собственно вот 2 схемы которые пытаемся внедрить.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 6 июля, 2015 · Жалоба Если вы хотите использовать Non-DHCP CLIPS как L2, так и L3, то DHCP Server/Relay/Proxy должен быть запущен на стороннем устройстве, эти режимы поддерживаются только для DHCP CLIPS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AcesAndrew Опубликовано 6 июля, 2015 · Жалоба Спасибо за информацию!!! Именно этого ответа я и ждал =). Еще 1 вопрос хочу задать, раз уже знающие люди подтянулись). Интерфейсы типа multibind на которых живут субскрайберы, нужно биндить к физичиским интерфейсам/PVC, или нет ? У нас просто всегда все их биндили, а сейчас как то попробовали и без того чтоб биндить интерфейсы к PVC и все равно, все работает! Так как же прваильно поступать ? И если не сложно, кто то, объясните в двух словах, в чем смысл интерфейса lastresort ? То есть на нем можно сразу забить все сетки которые у нас есть в сети, на которых могут жить субскрайберы, и сам интерфейс не биндить ни к одному порту, и все равно в итоге все клиенты будут до него добираться и проходить аутентификацию ? Спасибо заранее =) последние 2 вопроса которые нас мучают и нигде в документации найти на них ответы не можем.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 7 июля, 2015 · Жалоба Каждый раз когда происходит session bring up (неважно ppp, clips и т.п.), aaad пытается получить информацию о том, какой ip адрес должен быть назначен на сессию. Эта информация может поступать в aaad из разных источников - статически настроенный сабскрайбер, переданный в aaad пул адресов, информация полученная от radius и т.п. Как только aaad получил ip который нужно назначить на сессию, он начинает проверять с каким multibind можно соотнести полученный ip адрес. Если нет подходящей подсети в multibind, то aaad сообщает об ошибке и завершает сессию. Lastresort - является исключением для aaad, если есть Lastresort multibind, то aaad не найдя подходящую подсеть в multibind интерфейсах соотносит эту сессию с lastresort. Теперь ваш случай с L2, можно прикрутить абонента к lastresort, и он подымется, но ничего не будет работать, т.к. теперь статический клипс с точки зрения ip, это подключенный к раутеру host. у хоста есть адрес и маска, и очевидно шлюз, и все это никак не соотносится с ip unnumbered который был поставлен с lastresort. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AcesAndrew Опубликовано 7 июля, 2015 · Жалоба Спасибо большое, за пояснение, примерно так мы и думали, но теперь стало более понятно... Получается мы можем настроить следующую схему: interface loopback loopback ip address 10.10.10.1/32 ip address 10.10.11.1/32 ip address 10.10.12.1/32 ip address 10.10.13.1/32 interface clients multibind lastresort ip unnumbered loopback ip pool 10.10.10.0/24 ip pool 10.10.11.0/24 ip pool 10.10.12.0/24 ip pool 10.10.13.0/24 И в таком случае даже шлюз клиентов можем быть на SE, и все должно работать ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...