[Wingman]

Суть: пытаюсь на стенде пораздавать v6 с QnQ на asr1002-x. На интерфейсе - инкапсуляция `dotq1 200 second dot1q any`

Проблема в в том, что циска не инсталлит роуты на cvlan, в котором находится клиент, и ни slaac, ни nd, ни dhcpv6 до клиента не долетают.

Пробовал и выдавать из локального пула, и с релеем - одно и то же.

В ответах asr second dot1q = 0, примерно так:

 

 

Если указать конкретный second dot1q, например, `dot1q 200 second dot1q 32` - сразу всё взлетает

 

Перебирал иосы 03.13.05.S.154-3.S5 и 03.16.02.S.155-3.S2

 

Никто случаем по подобной схеме не раздаёт? :)

[ShyLion]

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/isg/configuration/xe-3s/asr1000/isg-xe-3s-asr1000-book/isg-ambig-vlan.html

Restrictions for Ambiguous VLAN Support for IP Sessions over ISG

Ambiguous VLANs are currently supported only for Inteliigent Services Gateway (ISG) sessions.

IP sessions and PPP sessions are not supported on the same ambiguous subinterfaces. Hence, different ranges need to be specified for the outer VLAN tags for both IP sessions and PPP sessions.

Only a limited feature set will be applied to each queue-in-queue (QinQ) pair as no subinterfaces are created for each QinQ pair. The available features include those applicable to the ISG session and those applicable to the ambiguous VLAN interface.

This feature is restricted to Layer 2 unclassified MAC and DHCP-initiated ISG sessions.

IPv6 sessions are not supported.

[Wingman]

Ох блин, понятно, спасибо ;(

[ShyLion]

Ну оно там постоянно меняется, может в крайних версиях уже допилили. Пошукай в релиз-нотах.

[wonder]

насколько известно, поддержки нет и не планируется. как альтернативу, cisco рекомендует использовать asr9k серии.

[a290]

Если указать конкретный second dot1q, например, `dot1q 200 second dot1q 32` - сразу всё взлетает

А не пробовали QinQ реализовать через ISG Dynamic VLAN Interface Provisioning вместо Ambiguous VLAN ?

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/isg/configuration/xe-16/isg-xe-16-book/isg-dyn-vlan.html

 

насколько известно, поддержки нет и не планируется. как альтернативу, cisco рекомендует использовать asr9k серии.

 

Откуда такая информация? Просто странно, что дорогая специализированная железка не умеет того, что можно сделать на Linux soft-BRAS`e.

[Wingman]

Если указать конкретный second dot1q, например, `dot1q 200 second dot1q 32` - сразу всё взлетает

А не пробовали QinQ реализовать через ISG Dynamic VLAN Interface Provisioning вместо Ambiguous VLAN ?

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/isg/configuration/xe-16/isg-xe-16-book/isg-dyn-vlan.html

 

Number of VLANs per port 4000

Number of QinQ VLANs per port 4000

 

4к вланов на 10г-порт... Точно не мой вариант :)

[Tosha]

4к вланов на 10г-порт... Точно не мой вариант :)

да ну, 4к это spvlan (что весьма логично), а самих QinQ c включенным "unlimited" там довольно много. Надо читать заметки к релизу последних прошивок.

[Wingman]

4к вланов на 10г-порт... Точно не мой вариант :)

да ну, 4к это spvlan (что весьма логично), а самих QinQ c включенным "unlimited" там довольно много. Надо читать заметки к релизу последних прошивок.

 

Да вот нифига не очевидно:

 

Number of QinQ VLANs per port 4000

 

Number of QinQ VLANs per SPA 8000

32000 with VLAN unlimited

 

Number of QinQ VLANs per system 64000

 

Везде - "нумбер оф куинку вланс". Если это sp-vlans, то их не может быть 64к на систему. Если это c-vlans, то таки 4к на порт ;(

[Butch3r]

А одни и теже тэги, если писать их прям на порту, нельзя дублировать?

[furai]

Если имеется в виду

Gi0/0/0.100

Gi0/1/0.100

то да.

[Butch3r]

Не понял ответа. Дублировать нельзя?

[zhenya`]

Внутри физического порта на сабинтерфейсах пересечений не может быть )

[a290]

Взяли ASR1k на тест

 

asr1k-test#show vlan-autoconfig vlan-interface  | count Provisioned           
Number of lines which match regexp = 36000

asr1k-test#sh int te0/1/0 summary | count \*
Number of lines which match regexp = 36003

 

18 SVLAN по 2000 CVLAN в каждом, все на одном порту

[furai]

Можно дублировать, вопрос не так прочитал )

[Wingman]

Взяли ASR1k на тест

 

asr1k-test#show vlan-autoconfig vlan-interface  | count Provisioned           
Number of lines which match regexp = 36000

asr1k-test#sh int te0/1/0 summary | count \*
Number of lines which match regexp = 36003

 

18 SVLAN по 2000 CVLAN в каждом, все на одном порту

 

Супер, благодарю за инфу!

Скажите, а в6 в этом всём не пробовали раздавать? Как оно?

 

Ну а в целом, насколько удобно? `sh run` - на миллиард строк, `write` нельзя :)

 

p.s. a290, а вы не могли бы дамп rad-reply скинуть? Не совсем понятно, что и какими аттрибутами нужно отвечать :)

Изменено 16 марта, 2017 пользователем Wingman

[a290]

Скажите, а в6 в этом всём не пробовали раздавать? Как оно?

 

ASR только вчера в тест привезли, пока только разбираюсь как там абонентов добавлять на железку.

 

p.s. a290, а вы не могли бы дамп rad-reply скинуть? Не совсем понятно, что и какими аттрибутами нужно отвечать :)

 

Конфиг freeradius

if (request:User-Name =~ /([0-9]+):([0-9]+)/) {
       update reply {
               Cisco-AVPair += "vac-subinterface-id=%{1}%{2}"
               Cisco-AVPair += "vac-service-info=autovlan(sub_if=%{1}%{2};svlan=%{1};cvlan=%{2})"
}

 

Сам shell map

shell map autovlan  {
conf t
interface TenGigabitEthernet0/1/0.$sub_if
encapsulation dot1Q $svlan second-dot1q $cvlan
ip unnumbered Loopback1
end
}

[Wingman]

С интерфейсом понятно, а за пример радиуса - благодарю!)

 

P.s. вот если б оно еще аккаунтинг и исг полиси умело, вообще красота бы была) Гоняй хоть в4, хоть в6, все учитывается на уровне s/c-vlan)

[a290]

вот если б оно еще аккаунтинг и исг полиси умело, вообще красота бы была) Гоняй хоть в4, хоть в6, все учитывается на уровне s/c-vlan)

 

Так должно работать ISG IP Interface Sessions

 

An ISG IP interface session encompasses all IP packets that cross the specified interface or subinterface.

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/isg/configuration/xe-3s/isg-xe-3s-book/isg-acess-ip-sess.html#GUID-915F511D-8E64-44D9-ADAA-36AD8136103D

 

Но пока не разобрался как это все настроить из radius, и будет ли оно вообще работать с ip unnumbered.

[Wingman]

Вай вай, на след. Неделе плотно займусь )

[furai]

Интерфейсные сессии без vlan-autoconfig работают с unnumbered нормально.

[a290]

Интерфейсные сессии без vlan-autoconfig работают с unnumbered нормально.

 

Если на нескольких интерфейсах(вручную созданных) прописан ip unnumbered с одним и тем же Loopback, то поднимается только одна интерфейсная сессия. Остальные даже как unauthen не появляются.

Вот тут тоже эта проблема:

http://forum.nag.ru/forum/index.php?showtopic=119260&view=findpost&p=1312798

https://forum.bitel.ru/viewtopic.php?f=44&t=10543&view=next

 

 

С subscriber l2-connected тоже печаль: оно прибивается к mac адресу абонентского устройства. Если его поменять, то у абонента ничего работать не будет, если clear ip subscriber не сделать.

[buckethead]

А я уже обрадовался, что мой кейс решился)

[buckethead]

С subscriber l2-connected тоже печаль: оно прибивается к mac адресу абонентского устройства. Если его поменять, то у абонента ничего работать не будет, если clear ip subscriber не сделать.

Не совсем так, с l2-connected/initiator dhcp новая пара discover/offer, где src mac у discover отличается от текущего mac сессии, старая сессия падает, новая пытается подняться. Это в доке есть, на практике работает, и иногда создаёт проблемы.

[a290]

Получилось завести несколько интерфейсных сессий с одним unnumbered loopback. Нужно убрать из конфига интерфейса ip unnumbered и вместо этого с радиуса отдавать avpair "ip-unnumbered"

Например для ip unnumbered Loopback1:

Cisco-AVPair += "ip-unnumbered=Loopback1"

 

Правда оно добавляет "ip unnumbered" в running-config, и wr mem это пропишет в startup-config и может доставить проблем при рестарте железки.