Перейти к содержимому
Калькуляторы

waspagv

Пользователи
  • Публикации

    20
  • Зарегистрирован

  • Посещение

Все публикации пользователя waspagv


  1. Итого, после многих экспериментов удалось установить следующее. Нужно определить dhcp ipv6 сервер без пула: dhcp ipv6 profile PPPoE_Server server ! interface subscriber-pppoe profile PPPoE_Server ! Радиус должен передавать атрибут Delegated-IPv6-Prefix. И тогда dhcp-севрер без дополнительных настроек транслирует префикс клиенту. Одно неудобство: этот префикс не анонсируется по ospfv3 граничному маршрутизатору. Но тут выкрутились статическим роутингом.
  2. Мы собираемся использовать ASR9k вместо имеющихся ASR1k. Какое-то время они будут работать параллельно для плавного перехода. Нужные атрибуты все заведены и без проблем выдаются брасами ASR1k клиентам. А вот у ASR9k с IOS XR идеология немного другая, поэтому 1-в-1 конфиг не переносится. В качестве билинга у нас Гидра. Еще раз уточню, что мы решили все проблемы, кроме одной. Префикс IPv6 не делегируется роутерам клиентов. Если у клиента не роутер, а Windows, то она этот префикс получает и IPv6-адрес себе назначает. Роутер же запрашивает префикс по DHCP. Брас ASR1k ему выдает благодаря тому, что сам выступает в роли DHCP-сервера (конфиг выше). А ASR9k в роли DHCP этого не может, потому что я не умею объяснить ему вынимать этот префикс из радиуса. Рассматриваю вариант создания standalone dhcp-сервера на базе freeradius, а ASR9k сделать dhcp relay. Но как-то длинно. Может, есть короче путь, который я не вижу.
  3. Приветствую, коллеги! Ситуация: клиенты подключатся по pppoe. Желающие используют dual-stack и ipv6. В текущей конфигурации на ASR1k для делегирования ipv6-префикса используется следующая схема. В виртуальном шаблоне указан dhcp-сервер: interface Virtual-Template10 ipv6 dhcp server PPPoE-Radius ... Пул определен так, чтобы префикс получать от RADIUS-сервера: ipv6 dhcp pool PPPoE-Radius prefix-delegation aaa method-list IPv6_PPPoE lifetime 7200 300 dns-server 2001:4860:4860::8844 dns-server 2001:4860:4860::8888 а обращение к радиусу такое: aaa authorization configuration IPv6_PPPoE group HydRadius На роутере клиента включается опция получения префикса для делегирования по dhcpv6. Все работает. Теперь тот же функционал нужно перенести на ASR9k с IOS XR 6.4.2. Создан динамический профиль: dynamic-template type ppp PPPoE ppp authentication chap keepalive 60 3 ppp ipcp dns 1.1.1.1 8.8.8.8 vrf main ipv4 unnumbered Loopback1 ipv6 nd ra-interval 180 120 ipv6 nd ra-lifetime 3000 ipv6 nd managed-config-flag ipv6 enable политика policy-map type control subscriber PPPoE event session-start match-first class type control subscriber PPP do-until-failure 10 activate dynamic-template PPPoE ! ! event session-activate match-first class type control subscriber PPP do-until-failure 10 authenticate aaa list Hydra ! ! end-policy-map Политика присоединена к интерфейсу interface Bundle-Ether10.3000 ipv4 point-to-point ipv4 unnumbered Loopback50 ipv6 enable service-policy type control subscriber PPPoE pppoe enable bba-group group1 encapsulation ambiguous dot1q 3000 second-dot1q 2022-2999 ! pppoe bba-group group1 service selection disable ! Непонятным осталось одно: как настроить dhcp-сервер или релей, чтобы не изменяя ничего на стороне клиентов делегировать им префикс по протоколу DHCPv6. Префикс по-прежнему выдает радиус в атрибуте Delegated-IPv6-Prefix. Команды aaa authorization configuration в IOS XR нет. Прошу помощи.
  4. До сессии дело даже не дошло. Я уже исправил этот косяк, теперь так: interface Bundle-Ether19.3333 vrf main ipv4 point-to-point ipv4 unnumbered Loopback50 arp learning disable ipsubscriber ipv4 l2-connected initiator dhcp ! encapsulation ambiguous dot1q 3333 second-dot1q 1405-1420 ! Поведение совершенно аналогично описанному: на ambiguous VLAN не работает с той же отладкой.
  5. Проверил вариант с сервером DHCP вместо прокси. Совершенно аналогичная ошибка. Что-то у меня не так, по сравнению с теми, у которых получилось. Не могу понять, что именно.
  6. Добрый день! Впервые пробуем ASR 9006 в качестве BNG. Настраиваю подключение по технологии IPoE. Пока не касался создания сессий, авторизации и пр. Нужно выдать клиенту адрес со стороннего DHCP-сервера. Не работает с Ambiguous VLAN interface. По порядку. DHCP Proxy настроен так: dhcp ipv4 vrf main proxy profile IPoE_DHCP profile IPoE_DHCP proxy helper-address vrf main 192.168.2.228 giaddr 192.168.2.55 lease proxy client-lease-time 300 broadcast-flag policy unicast-always relay information policy keep relay information option allow-untrusted ! interface Bundle-Ether19.3333 proxy profile IPoE_DHCP ! Сабинтерфейс: interface Bundle-Ether19.3333 vrf main ipv4 address 10.0.1.3 255.255.255.0 arp learning disable ipsubscriber ipv4 l2-connected initiator dhcp initiator unclassified-source ! encapsulation ambiguous dot1q 3333 second-dot1q 1405-1420 При поступлении DHCP-пакета DISCOVER от клиента вижу в отладке RP/0/RSP0/CPU0:Mar 17 19:45:01.696 SAMST: dhcpd[1097]: DHCPD PROXY: TP1955: FSM called for chaddr 201a.0676.00ff with event PACKET_DISCOVER state INIT RP/0/RSP0/CPU0:Mar 17 19:45:01.696 SAMST: dhcpd[1097]: DHCPD PROXY: TP1903: Process packet event in INIT state called for chaddr 201a.0676.00ff RP/0/RSP0/CPU0:Mar 17 19:45:01.696 SAMST: dhcpd[1097]: DHCPD PROXY: TP1955: FSM called for chaddr 201a.0676.00ff with event DPM_SUCCESS state INIT_DPM_WAIT RP/0/RSP0/CPU0:Mar 17 19:45:01.696 SAMST: dhcpd[1097]: DHCPD PROXY: TP2739: Dropping DISCOVER for 201a.0676.00ff received on ambiguous VLAN interface for standalone proxy RP/0/RSP0/CPU0:Mar 17 19:45:01.696 SAMST: dhcpd[1097]: DHCPD PROXY: TP3647: FSM call returned error for chaddr_string: 201a.0676.00ff, msg_type:1, mode: 4, event: 27 RP/0/RSP0/CPU0:Mar 17 19:45:01.696 SAMST: dhcpd[1097]: DHCPD PROXY: TP1665: Proxy process client request packet failed for chaddr 201a.0676.00ff Ключевое здесь, как мне кажется, вот это: Dropping DISCOVER for 201a.0676.00ff received on ambiguous VLAN interface for standalone proxy Если исключить на интерфейсе всякое ambiguous, записать так encapsulation dot1q 3333 second-dot1q 1420 то DHCP-запрос прекрасно транслируется на сервер, клиент получает адрес. На данном форуме нашел сходную ситуацию, где ambiguous не мешал: Но там сервер был локальным. Собственно, в чем тут проблема?
  7. Да, получилось. Проблема была не в логике, а в физике. На стенде сигнал на ONU был около -14 dBm. Стоило только понизить его до -19, как модуль заработал.
  8. Вопрос по протоколам pvst и rstp. Для построения колец на коммутаторах SNR мы используем протокол rstp. А чтобы защититься от клиентов применяем фильтр: mac-access-list extended PVST deny any-source-mac host-destination-mac 01-00-0c-cc-cc-cd exit обычно в таком варианте Interface Ethernet1/0/1 spanning-tree portfast bpdufilter switchport mode trunk switchport trunk allowed vlan 10;12;35 mac access-group PVST in ! Если порт не граничный, и portfast там не допустим, то при такой настройке Interface Ethernet1/0/1 spanning-tree mst 0 cost 2000 switchport mode trunk switchport trunk allowed vlan 10;12;35 mac access-group PVST in ! будет ли корректно работать STP? Т.е. не помещается ли mac access-group PVST in обмену BPDU и построению дерева?
  9. Обновились. Не помогло. Конфиг довел до gpon profile onu-vlan vlan79 id 3 gpon-profile vlan mode trunk gpon-profile vlan pvid 79 0 gpon-profile vlan trunk vlan-allowed 79 ! interface GPON0/1 gpon pre-config-template vlan79 bind-onuid 1-128 gpon bind-onutype onutype-default-hgu precedence 127 gpon bind-onutype onutype-default precedence 128 gpon bind-onu sn 4444313882185E4E 1 gpon bind-onu sn 454C545862153FB0 2 switchport trunk vlan-allowed 79 switchport trunk vlan-untagged none switchport mode trunk switchport protected 1 storm-control broadcast threshold 5 storm-control multicast threshold 5 storm-control unicast threshold 5 ! interface GPON0/1:2 gpon onu tcont-virtual-port-bind-profile tvbind-default gpon onu tcont 1 alloc-id 257 gpon onu uni 1 vlan-profile vlan79 ! Состояние модуля все равно offline: Switch#sh gpon onu-information Interface GPON0/1 has bound 2 ONUs: IntfName VendorID EquipmentID SN LOID Status Config Status Active Time -------------- --------- ------------ ---------------- ------------------------ -------- ------------- ------------------- GPON0/1:1 DD18 N/A 4444313882185E4E N/A off-line N/A N/A GPON0/1:2 ELTX N/A 454C545862153FB0 N/A off-line N/A N/A В в логах постоянный упал/отжался: Jun 16 14:34:24 %LINEPROTO-5-UPDOWN: Line protocol on Interface GPON0/1, changed state to down Jun 16 14:34:24 %LINE-5-UPDOWN: Line on Interface GPON0/1, changed state to down Jun 16 14:34:24 %GPON-ONULOS: ONU 454C545862153FB0 is offline on GPON0/1:2. Jun 16 14:34:24 %LINEPROTO-5-UPDOWN: Line protocol on Interface GPON0/1, changed state to up Jun 16 14:34:24 %LINE-5-UPDOWN: Line on Interface GPON0/1, changed state to up Jun 16 14:34:24 %GPON-ONUACTIVATE: ONU 454C545862153FB0 is activated on GPON0/1:2. Jun 16 14:34:24 %GPON-ONUDISCOVER: ONU 454C545862153FB0 is discovered on GPON0/1:2.
  10. @Aleksey Sonkin не сохранил тот протокол, а повторить не смог, действительно, получается как надо. Предполагаю, что не послал команду exit после add s-vid 511.
  11. Без него новый class в политику не добавляется, а заменяет старый.
  12. После нескольких попыток сумел добиться такого с помощью insert-before: policy-map RTS-tran class client-service-1 add s-vid 511 exit class client-service-2 add s-vid 511 exit ! Пошел проверять.
  13. Например, я сделаю так: class-map client-service-1 match vlan 7 33 35 90 1000 1106 1110 1438 ! class-map client-service-2 match vlan 1122 3335 3410 ! Как в таком случае будет выглядеть policy-map? В данный момент так: policy-map RTS-tran class client-service add s-vid 511 exit !
  14. Создание class-map Имеем SNR-S300X-24FQ. На нем реализуем механизм qinq с помощью class-map и policy-map. Класс определяется следующим образом: class-map client-service match vlan 7 33 35 90 1000 1106 1110 1438 ! т.е. перечисляются виланы клиента, которые нужно завернуть во второй тэг. Заметил, что после match vlan можно указать не более 8 виланов, либо один range. А как быть, если у клиента более 8 виланов, и они не образуют непрерывной последовательности "от и до"?
  15. Самую противную часть проблемы я решил - мак-таблица теперь заполняется. Постоянные HASH_COLLISION, конечно, тоже плохо, но на производительность они не влияют. Итак, все дело в частом изменении топологии STP. А она происходила от недобросовестного клиента, который в некоторый момент стал бомбить коммутатор пакетами PVST типа Root Change. Ну, у него Cisco 3750 стояла, он сам не понял, как это работает. Дошло до такого: Izhevsk20# sh spanning-tree detail | i ieee|occur|Exec|from Number of topology changes 3533 last change occurred 0:00:26 ago from Ethernet1/43 Каждый такой topology change приводил к MAC Learning Disabled, затем к MAC Learning Enabled, и не успевала таблица заполниться на половину, как приходил новый topology change, и всё сначала. А раз таблица коммутации не заполнена, то трафик дублировался во все порты. Процессор же грузился постоянным построением таблицы с нуля.
  16. Аналогичная проблема была описана в Но решение оттуда не помогает. Повторю описание: 1) коммутатор и софт: Software BIOS: version 4.1.0 NXOS: version 7.0(3)I6(2) BIOS compile time: 02/02/2017 NXOS image file is: bootflash:///nxos.7.0.3.I6.2.bin NXOS compile time: 10/17/2017 19:00:00 [10/18/2017 06:48:10] Hardware cisco Nexus3064 Chassis Intel(R) Celeron(R) CPU P4505 @ 1.87GHz with 3903096 kB of memory. Processor Board ID FOC1634EK8W 2. В логе ежесекундно появляются записи вида: 2021 Apr 6 11:10:53 Izhevsk20 %-SLOT1-5-BCM_L2_HASH_COLLISION: L2 ENTRY unit=0 mac=0c:80:63:b5:a5:5b vlan=3624 port=0x0c000003 2021 Apr 6 11:10:53 Izhevsk20 %-SLOT1-5-BCM_L2_HASH_COLLISION: L2 ENTRY unit=0 mac=50:ff:20:4b:75:30 vlan=3682 port=0x08000833 2021 Apr 6 11:10:53 Izhevsk20 %-SLOT1-5-BCM_L2_HASH_COLLISION: L2 ENTRY unit=0 mac=0c:b6:d2:8b:0e:a8 vlan=3585 port=0x08000821 2021 Apr 6 11:10:53 Izhevsk20 %-SLOT1-5-BCM_L2_LEARN_DISABLE: MAC Learning Disabled unit=0 2021 Apr 6 11:10:55 Izhevsk20 %-SLOT1-5-BCM_L2_LEARN_ENABLE: MAC Learning Enabled unit=0 2021 Apr 6 11:10:55 Izhevsk20 %-SLOT1-5-BCM_L2_LEARN_DISABLE: MAC Learning Disabled unit=0 2021 Apr 6 11:10:56 Izhevsk20 %-SLOT1-5-BCM_L2_LEARN_ENABLE: MAC Learning Enabled unit=0 2021 Apr 6 11:10:56 Izhevsk20 %MTM-SLOT1-2-MTM_BUFFERS_FULL: MTM buffers are full for unit 0. MAC tables might be inconsistent. Pls use l2 consistency-checker to verify. 3. В MAC-таблице никогда не бывает реальное число записей: # show mac address-table count MAC Entries for all vlans : Dynamic Address Count: 2656 Overlay Address Count: 0 Static Address (User-defined) Count: 0 Secure Address Count: 0 при реальном около 40 тыс. 4. Процессор сильно загружен # show system resources Load average: 1 minute: 4.23 5 minutes: 4.25 15 minutes: 4.32 Processes : 480 total, 5 running CPU states : 71.92% user, 14.77% kernel, 13.30% idle CPU0 states : 99.00% user, 0.00% kernel, 1.00% idle CPU1 states : 45.19% user, 30.76% kernel, 24.03% idle Memory usage: 3903096K total, 2779640K used, 1123456K free Current memory status: OK 5. Несогласованность мак-таблицы ВСЕГДА: # sh consistency-checker l2 module 1 Consistency check: FAILED Legend: * - primary entry, G - Gateway MAC, (R) - Routed MAC, O - Overlay MAC age - seconds since last seen, + - primary entry using vPC Peer-Link, (T) - True, (F) - False Missing entries in the HW MAC Table VLAN MAC Address Type age Secure NTFY Ports ---------+-----------------+--------+---------+------+----+------------------ * 19 0024.1db2.d141 dynamic 0 F F Eth1/51 * 19 0e50.bbbf.d9b1 dynamic 0 F F Eth1/51 * 19 848a.8d2e.b084 dynamic 0 F F Eth1/51 * 54 0018.ae31.bc3d dynamic 0 F F Eth1/51 * 54 0018.ae3a.daaf dynamic 0 F F Eth1/51 * 54 3c97.0ebe.c003 dynamic 0 F F Eth1/51 * 54 408d.5cfe.66c3 dynamic 0 F F Eth1/51 * 54 b42e.992b.ee7b dynamic 0 F F Eth1/51 ... (сотни неверных записей). При перезагрузке коммутатора все мгновенно начинается снова. Согласно таблице из https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus3000/sw/scalability/703I71/b_Cisco_Nexus_3000_Series_NXOS_Verified_Scalability_Guide_703I71.html устройство допускает 128k mac-адресов, поскольку vPC отключен: # show feature | inc vpc vpc 1 disabled Что за напасть? Реально приводит к потере производительности и росту трафика в портах.
  17. Решил проблему "на диване" внимательным просмотром конфигов. У соседа по кольцу на одном из портов не оказалось заглушки для PVST, и именно за ним (через цепочку коммутаторов доступа разных вендоров) находился клиент, который вываливал в нашу сеть множество PVST-пакетов.
  18. Имеется кольцо из 6 SNR-2995 и 2 Nexus 3064 (ядро). Из одной "ноги" кольца каждые 30 сек в Нексус прилетает TCN. Видно это так: MST0000 is executing the mstp compatible Spanning Tree protocol Bridge Identifier has priority 16384, sysid 0, address 30f7.0da0.d2c1 Configured hello time 2, max age 20, forward delay 15 Current root has priority 16384, address 000d.662c.8a80 Root port is 7159 (port-channel3064), cost of root path is 0 Topology change flag set, detected flag not set Number of topology changes 8402 last change occurred 0:00:21 ago from Ethernet1/5 Состояние eth1/5 тоже не такое, как ожидается: Eth1/5 Desg FWD 2000 128.5 P2p Bound(PVST) Вот это "Bound(PVST)" непонятно. Проблема в том, как найти источник этих TCN. На всех SNR'ах в логах полная тишина. Глобальные настройки STP на них такие: spanning-tree mode rstp spanning-tree spanning-tree transmit-hold-count 6 spanning-tree priority 40960 На всех портах, кроме кольцевых, включен режим portfast bpdufilter: Interface Ethernet1/0/2 spanning-tree portfast bpdufilter switchport mode hybrid ... mac access-group PVST in и ACL для блокирования PVST-пакетов: mac-access-list extended PVST deny any-source-mac host-destination-mac 01-00-0c-cc-cc-cd exit В других аналогичных по структуре кольцах никаких посторонних TCN нет. Версия: SNR-S2995G-24FX Device, Compiled on Jul 17 21:42:13 2019 sysLocation ... CPU Mac f8:f0:82:78:73:19 Vlan MAC f8:f0:82:78:73:18 SoftWare Package Version 7.5.3.2(R0004.0197) BootRom Version 7.5.21 HardWare Version 1.0.1-UPS CPLD Version 1.03 Serial No.:SW075010I325000211 Copyright (C) 2019 NAG LLC All rights reserved Last reboot is cold reset. Uptime is 70 weeks, 6 days, 11 hours, 28 minutes Как отловить источник TCN?
  19. @Aleksey Sonkin Спасибо! Так заработало.
  20. Добрый день! Подскажите, как фильтровать принимаемые анонсы OSPF на моделях 2990 и 2995? Конкретно, нужно принимать только default (0.0.0.0/0), а все остальные отбрасывать. Видимо, это делается опцией filter-policy в конфигурации router ospf. Но как должен выглядеть соответствующий acl/route-map?