Linux softrouter

[Linux softrouter]

Осторожно поинтересуюсь, о чем давно хотел спросить то же. А, что все-таки лучше из всего многообразия ОС лучше на бордере использовать?  Как то давно установил RockyLinux 8. Вроде бы и работает всё, но, чуйствую, что надо, наверное, в сторону Debian`а смотреть. Сервер только занимается NAT`ом и NetFLOW льёт в сорм. 

Ядро, только старое - 4.18.0-348.20.1.el8_5.x86_64 - вот и думаю, обновить или "работает - не трогай" ? 

В общем, буду рад советам всем 🙂

[ipt_NETFLOW]

Собственно, собралось и на 6.5.2-1(в тестовой среде, на виртуалке). Вот тут https://github.com/aabc/ipt-netflow/pull/221/commits/2423308cedc7db63ef8c68a1180f4574fd1c7354 

[ipt_NETFLOW]

Спасибо всем. У меня, правда, не дебиан, а Rocky 8.6 установлен, хотел бы обновить ядро на пограничнике. Попробую на виртуалке собрать с 6.х модуль.

[ipt_NETFLOW]

Добрый день, коллеги. А, может ли кто-нибудь подсказать, с какими последними версиями ядер можно еще собрать модуль? 

"Бордер" сейчас работает у нас с 

4.18.0-348.20.1.el8_5.x86_64 #1 SMP Thu Mar 10 20:59:28 UTC 2022 x86_64 x86_64 x86_64 GNU/Linux

Может был у кого опыт сборки с 5 или 6ой веткой ядра? 

[USERSIDE - программное обеспечение для оператора связи]

Какая-то небольшая и странная активность со стороны разработчиков US началась. А именно, не давно прислали анонимный опросник на предмет "чего не хватает и на что обратить внимание при дальнешей разработке системы", а сегодня пришло письмо о том, что вышла новая версия 3.18. Странно. Когда 3.17 выходила - никаких писем не присылали, а тут..."нничего нне понимаю (С)"

[Нужен совет по апгрейду ядра сети]

Всем здравствуйте. Собсно, коллеги, я опять со своими "барашками". Возможно спрошу "глупость", но, так и не понял - умеет ASR 1001/1002(без Х которые) отдавать Netflow v9? 

[ipt_NETFLOW]

56 минут назад, alex39x сказал:

А Вы у себя что исправляли? hashsize  и  sndbuf  ?

Они самые:

net.netflow.sndbuf = 16777216

net.netflow.hashsize = 32768

С такими значениями у нас на бордере процент NAT-сопоставлений стал >90%. По крайней мере, со стороны МФИ больше вопросов к нам не возникало.

[ipt_NETFLOW]

15 часов назад, alex39x сказал:

Не понял :  мфи исправили у себя или Вы у себя? 

И мы у себя исправили пару строк и они на нашем сорме чего-то исправляли(чего именно - не знаю. Может как всегда - ПО обновляли)

[ipt_NETFLOW]

Было такое недавно. Исправили у себя в конфиге модуля.

[Нужен совет по апгрейду ядра сети]

@UglyAdmin ,Вы правы. Трафик до NAT. Я имел в ввиду - межабонентский не нужен им.

[Нужен совет по апгрейду ядра сети]

@alibek, да, речь именно о обычных 1001/1002. Даже, наверное, о 1002(1001 в расчет не беру вообще).

[Нужен совет по апгрейду ядра сети]

@sirmax, трафика будет на основном ASR больше 10Gbit/s. 

 

@alibek в 1001 один слот под SPA-карту. А мне надо 2 порта 10GbE,ибо зеркалим трафик на сорм через сплиттеры и абон. трафик им не нужен. Насчет полисинга - есть абоненты физ.лица с тарифами по 3/5/10/15 мегабит/с - за все время никаких жалоб. 

[Нужен совет по апгрейду ядра сети]

@sirmax,  ну у нас в основном реальники берут всякие ИП/юр.лица, физики стали редко брать их. И скорости доступа в основном 1/2/3/5/10 мбит/с, очень редко кто берёт 50/80 или 100 мегабит(этих можно по пальцам двух рук пересчитать)поэтому и написал, что можно что-то "по тоньше" по пропускной полосе рассмотреть. 

@bike , Лучше бы железное что-то. пробовал когда-то и ACCEL-PPP, но, по мнению нашего гл. инженера - это ещё более "чорный ящик", по сравнению с циской, где всё более-менее понятно и логично. Сейчас остались 3 микротика на х86, со временем уберу все на одну циску(хотелось бы "серые" в одном ящике, а реальник в другом") а вот реальники нарезаны в сторону клиенту где /29, где /28(давно было так сделано и не спрашивайте почему -  не мной) и хотелось бы продуктивно их использовать - сделать /24 и чтобы не болела голова -  "а, в какой подсети кончились IP свободные и откуда выдать другой?"

[Нужен совет по апгрейду ядра сети]

Ну я то рассматриваю своего рода "классический BRAS" для IPoE с L2-connected сабскрайберами (с ip unnumbered и с DHCP/статика - без разницы). Никакие NAT/BGP не нужны на брасе.

Один ASR-1002x уже в работе, но для работы с "серыми IP". А, вот для работы с реальниками можно рассмотреть что-то "по тоньше и дешевле".

Поэтому и обратился за советом, что можно выбрать и взять соотв-но.

[Нужен совет по апгрейду ядра сети]

@jffulcrum, возможно глупый вопрос задам - а, чем это грозит?  Или, может совсем 1002 не рассматривать как брас ? 

[Нужен совет по апгрейду ядра сети]

Коллеги, здравствуйте. Дабы не плодить темы решил поднять старую с таким вот вопросом. Какой из брасов (лучше Cisco) лучше рассмотреть к приобретению в плане пропускной способности 5-10Gbit/s? Нужны в нём пару портов с 10G. Нужны ISG,Netflow. NAT не нужен(отдельно серв с линуксом  этим занимается). Планирую ip unnumbered c DHCP.

Тарифы разные - от 512 килобит до 100 мегабит(в основном юр.лица с реальниками).

Читал разные темы тут - стоит ли смотреть, к примеру, на ASR-1002 (без Х) с ESP10/20 ? Сейчас один 1002Х трудится и вопросов к нему нет. Но, покупать ещё одну такую же железку - начальство упёрлось рогом(типа денег нет и дороговато). Да и 1001х сейчас тоже не сильно дёшево предлагают.

ASR-1002F - наверное, совсем не для моих хотелок? 

В общем, прошу совета у знатоков. Заранее спасибо.

 

[FastNetMon - программа для выявления входящих/исходящих атак]

Коллеги, доброго дня всем. А, как можно fastnetmon скачать ? 

 

wget https://install.fastnetmon.com/installer -Oinstaller
--2023-01-27 10:37:40--  https://install.fastnetmon.com/installer
Распознаётся install.fastnetmon.com (install.fastnetmon.com)… 151.101.2.132, 151.101.194.132, 151.101.66.132, ...
Подключение к install.fastnetmon.com (install.fastnetmon.com)|151.101.2.132|:443... соединение установлено.
HTTP-запрос отправлен. Ожидание ответа… 405 Not allowed
2023-01-27 10:37:40 ОШИБКА 405: Not allowed.

И, собственно больше ничего...

[ipt_NETFLOW]

Добрый день, коллеги. Опять офф-топну. В общем, увеличил net.netflow.hashsize до 491666 и увеличил sndbuf до 16777216...проблемы ушли. По крайней мере со слов коллег из МФИ, все стало нормально. Трафик через сервер в ЧНН 12Gb.

[ipt_NETFLOW]

Off-топну тоже.

bike, да мы этот модуль использовали с 2018г и исключительно для себя (для ответов на вопросы из органов кто и когда был за таким IP из NAT пула). Пока вот не пришлось столкнутся с тем, что UDP-соединения абонентов без NAT-трансляций(но, такое не может быть в принципе, иначе абоненты в сеть не выйдут. "Серая" адресация для абонентов.) 

А, внедрять стали недавно именно для сорм-3. Ограничений вроде бы никаких нет для сессий. Раньше на сервере крутился Centos 7, после пришлось сменить и сервер, и ОС( поставили Rocky Linux 8.5). 2 аплинка со статикой. Как собирал модуль - уже не вспомню(но, snmp точно не нужно было и ещё что-то)

[ipt_NETFLOW]

ipt_NETFLOW 2.6-5-gc0badb8, srcversion A54C402B0D7FB11FD1E760C; dir llist mac nel samp vlan
Protocol version 9 (netflow), refresh-rate 20, timeout-rate 30, (templates 37, active 13).
Timeouts: active 1800s, inactive 15s. Maxflows 2000000
Flow sampling is disabled.
Natevents enabled, count start 5796666, stop 5483717.
Flows: active 278441 (peak 476171 reached 0d0h23m ago), mem 53873K, worker delay 1/1000 [1..100] (1 ms, 0 us, 284:0 0 [cpu0]).
Hash: size 491666 (mem 3841K), metric 1.33 [1.29, 1.00, 1.00]. InHash: 376354422 pkt, 330331352 K, InPDU 0, 0.
Rate: 8361370938 bits/sec, 1322732 packets/sec; Avg 1 min: 8534269901 bps, 1315941 pps; 5 min: 8462335546 bps, 1298402 pps
cpu#     pps; <search found new [metric], trunc frag alloc maxflows>, traffic: <pkt, bytes>, drop: <pkt, bytes>
Total 1322722; 529442785 1619786493 20702438 [1.32],    0    0    0    0, traffic: 1640488931, 1261862 MB, drop: 0, 0 K
cpu0   55896; 24444911 78126631 937752 [1.31],    0    0    0    0, traffic: 79064383, 58888 MB, drop: 0, 0 K
cpu1   70563; 22641381 73284381 930156 [1.26],    0    0    0    0, traffic: 74214537, 55741 MB, drop: 0, 0 K
cpu2   67817; 25997160 78713413 936292 [1.30],    0    0    0    0, traffic: 79649705, 58151 MB, drop: 0, 0 K
cpu3   62231; 21706745 69700560 1004729 [1.28],    0    0    0    0, traffic: 70705289, 51371 MB, drop: 0, 0 K
cpu4   64804; 25436718 76390229 941191 [1.24],    0    0    0    0, traffic: 77331420, 62970 MB, drop: 0, 0 K
cpu5   58474; 22890312 72105069 986211 [1.26],    0    0    0    0, traffic: 73091280, 51216 MB, drop: 0, 0 K
cpu6   58098; 22176686 71782625 971915 [1.26],    0    0    0    0, traffic: 72754540, 53377 MB, drop: 0, 0 K
cpu7   60802; 23212092 74412748 922592 [1.29],    0    0    0    0, traffic: 75335340, 54267 MB, drop: 0, 0 K
cpu8   67286; 24232789 74969345 910026 [1.29],    0    0    0    0, traffic: 75879371, 54846 MB, drop: 0, 0 K
cpu9   73784; 26349156 78996493 910971 [1.29],    0    0    0    0, traffic: 79907464, 59484 MB, drop: 0, 0 K
cpu10  62915; 27771936 82346195 907829 [1.33],    0    0    0    0, traffic: 83254024, 65071 MB, drop: 0, 0 K
cpu11  65125; 24670463 78823924 924342 [1.29],    0    0    0    0, traffic: 79748266, 60789 MB, drop: 0, 0 K
cpu12  66786; 27066147 84241393 942928 [1.28],    0    0    0    0, traffic: 85184321, 65066 MB, drop: 0, 0 K
cpu13  62384; 26337019 80585759 922022 [1.30],    0    0    0    0, traffic: 81507781, 64759 MB, drop: 0, 0 K
cpu14  61467; 23136285 72005320 916573 [1.26],    0    0    0    0, traffic: 72921893, 53953 MB, drop: 0, 0 K
cpu15  61058; 23715631 74719282 911899 [1.29],    0    0    0    0, traffic: 75631181, 58283 MB, drop: 0, 0 K
cpu16  25723; 12205635 33555367 475571 [1.35],    0    0    0    0, traffic: 34030938, 27392 MB, drop: 0, 0 K
cpu17  20706; 10427888 29410568 477025 [1.35],    0    0    0    0, traffic: 29887593, 23042 MB, drop: 0, 0 K
cpu18  20997; 8732937 26748639 475147 [1.34],    0    0    0    0, traffic: 27223786, 22003 MB, drop: 0, 0 K
cpu19  18999; 10940979 31333991 473654 [1.29],    0    0    0    0, traffic: 31807645, 25372 MB, drop: 0, 0 K
cpu20  17716; 12259920 31813933 472506 [1.33],    0    0    0    0, traffic: 32286439, 23740 MB, drop: 0, 0 K
cpu21  27166; 12747981 37667012 478474 [1.39],    0    0    0    0, traffic: 38145486, 32800 MB, drop: 0, 0 K
cpu22  17873; 12610199 35551077 476164 [1.35],    0    0    0    0, traffic: 36027241, 31162 MB, drop: 0, 0 K
cpu23  29932; 13128574 36503305 478970 [1.34],    0    0    0    0, traffic: 36982275, 31539 MB, drop: 0, 0 K
cpu24  39438; 12398661 35324962 478057 [1.28],    0    0    0    0, traffic: 35803019, 29724 MB, drop: 0, 0 K
cpu25  27474; 10335578 32869770 479118 [1.30],    0    0    0    0, traffic: 33348888, 28822 MB, drop: 0, 0 K
cpu26  33216; 11404673 35203407 478306 [1.25],    0    0    0    0, traffic: 35681713, 29637 MB, drop: 0, 0 K
cpu27  23992; 10464341 32601121 482020 [1.34],    0    0    0    0, traffic: 33083141, 28383 MB, drop: 0, 0 K
Export: Rate 2339757 bytes/s; Total 2442450 pkts, 3245 MB, 31706462 flows; Errors 2 pkts; Traffic lost 0 pkts, 0 Kbytes, 0 flows.
sock0: 172.16.1.5:9996, sndbuf 16777216, filled 1, peak 59905; err: sndbuf reached 0, connect 0, cberr 0, other 0
sock1: 172.16.1.9:9996, sndbuf 16777216, filled 1, peak 59905; err: sndbuf reached 0, connect 0, cberr 0, other 0

Здравствуйте, коллеги! Используем ipt_netflow для слива netflow в сорм-3(МФИ-СОРФ), начали поступать жалобы, что часть идет нормально (Есть источник, получатель, адрес после ната, получатель после ната. Все порты, до нат и после нат), а часть нет (есть источник, получатель, а дальше в виде 0.0.0.0:0 -> 0.0.0.0:0). И вот такие строки к примеру - 

 

2023-01-13 16:41:17.998 INVALID  Ignore UDP          10.9.2.88:56759 ->    202.5.137.108:49840          0.0.0.0:0     ->          0.0.0.0:0           48        0
2023-01-13 16:41:17.998 INVALID  Ignore UDP          10.9.2.88:56759 ->  201.190.175.134:49027          0.0.0.0:0     ->          0.0.0.0:0           48        0
2023-01-13 16:41:17.998 INVALID  Ignore UDP          10.9.2.88:56759 ->      37.238.8.14:54394          0.0.0.0:0     ->          0.0.0.0:0           48        0
2023-01-13 16:41:17.999 INVALID  Ignore UDP          10.9.2.88:56759 ->     37.238.67.10:39462          0.0.0.0:0     ->          0.0.0.0:0           48        0
2023-01-13 16:41:17.999 INVALID  Ignore UDP          10.9.2.88:56759 ->  222.124.113.211:55458          0.0.0.0:0     ->          0.0.0.0:0           48        0

Вызывают вопросы у "сормистов" - типа как могут абоненты работать без NAT-трансляций? Ибо, кроме как вот на это грешить - больше не на что.

Никак не могу понять в чем причина.
 

[Cisco ASR1002x + ip unnumbered + dhcp relay]

Забыл отписаться - помог параметр в конфиге радиуса: 

 

override_service_type=yes

(Присвоить тип услуги “framed” независимо от типа услуги, указанного во входящем запросе)

После этого все заработало как планировал.

 

[Cisco ASR1002x + ip unnumbered + dhcp relay]

Dec 12 08:07:46 ?Debug : ee5b3700 AuthQueue: Login '10.19.2.2'
Dec 12 08:07:46 ?Debug : ee5b3700 AuthQueue: Using PAP authentication method
Dec 12 08:07:46 ?Debug : ee5b3700 ISGLoginManager: ISG mapping for 0000000000011A0B added
Dec 12 08:07:46 ?Debug : ee5b3700 AuthQueue: new ISG user authorized
Dec 12 08:07:46 ?Debug : ee5b3700 IPPoolManager: IP 10.19.2.2 is leased
Dec 12 08:07:46 ?Debug : ee5b3700 CustomAttrs: custom attributes for IPTRAFFIC_SERVICE ID 292 have been added to the reply
Dec 12 08:07:46 ?Debug : ee5b3700 CustomAttrs: custom attributes for ISG_AUTH ID 2 have been added to the reply
Dec 12 08:07:46 ?Debug : ee5b3700 AcctQueue: lookup: session ID 36484 for login '10.19.2.2'
Dec 12 08:07:46 ?Debug : ee5b3700 AcctQueue: lookup: session ID 36484 for IP 10.19.2.2
Dec 12 08:07:46 ?Debug : ee5b3700 SessionManager: put: session ID 36484 timeout scheduled at 1670821671
Dec 12 08:07:46 ?Debug : ee5b3700 SessionManager: put: session ID 36484 from NAS 8 OK
Dec 12 08:07:46 ?Debug : ee5b3700 AuthQueue: Reply 
--- RADIUS Pkt ---
  Code: [2]  ID:   [61]
  Auth: Size 16; Data [0x87579bc085c42621ea16b14ab97b057e]
    Attr: [8] Vendor: [0] Size 4; Data [0x0a130202]
        (Framed-IP-Address=IP:10.19.2.2)
    Attr: [9] Vendor: [0] Size 4; Data [0x00000000]
        (Framed-IP-Netmask=IP:0.0.0.0)
    Attr: [27] Vendor: [0] Size 4; Data [0x00000000]
        (Session-Timeout=INT:0)
    Attr: [1] Vendor: [9] Size 41; Data [0x737562736372696265723a69646c652d74696d656f75742d646972656374696f6e3d696e626f756e64]
        (Cisco:Cisco-AVPair=STRING:subscriber:idle-timeout-direction=inbound)
    Attr: [28] Vendor: [0] Size 4; Data [0x00000258]
        (Idle-Timeout=INT:600)
    Attr: [1] Vendor: [9] Size 39; Data [0x737562736372696265723a6163636f756e74696e672d6c6973743d4953472d4143542d4c495354]
        (Cisco:Cisco-AVPair=STRING:subscriber:accounting-list=ISG-ACT-LIST)
    Attr: [250] Vendor: [9] Size 6; Data [0x414c4f43414c]
        (Cisco:Cisco-Account-Info=STRING:ALOCAL)
    Attr: [250] Vendor: [9] Size 10; Data [0x414f4646494345314742]
        (Cisco:Cisco-Account-Info=STRING:AOFFICE1GB)

Dec 12 08:07:46 ?Debug : eebb9700 AcctQueue: Request from 10.2.1.15:21777
--- RADIUS Pkt ---
  Code: [4]  ID:   [62]
  Auth: Size 16; Data [0xdbe498a8dffbc62b19a2d6c506cf0cce]
    Attr: [44] Vendor: [0] Size 16; Data [0x30303030303030303030303131413042]
        (Acct-Session-Id=STRING:0000000000011A0B)
    Attr: [8] Vendor: [0] Size 4; Data [0x0a130202]
        (Framed-IP-Address=IP:10.19.2.2)
    Attr: [22] Vendor: [0] Size 25; Data [0x302e302e302e3020302e302e302e302031302e31392e322e32]
        (Framed-Route=STRING:0.0.0.0 0.0.0.0 10.19.2.2)
    Attr: [7] Vendor: [0] Size 4; Data [0x00000001]
        (Framed-Protocol=INT:1)
    Attr: [1] Vendor: [0] Size 9; Data [0x31302e31392e322e32]
        (User-Name=STRING:10.19.2.2)
    Attr: [1] Vendor: [9] Size 24; Data [0x636f6e6e6563742d70726f67726573733d43616c6c205570]
        (Cisco:Cisco-AVPair=STRING:connect-progress=Call Up)
    Attr: [253] Vendor: [9] Size 4; Data [0x49303b30]
        (Cisco:Cisco-Control-Info=STRING:I0;0)
    Attr: [253] Vendor: [9] Size 4; Data [0x4f303b30]
        (Cisco:Cisco-Control-Info=STRING:O0;0)
    Attr: [45] Vendor: [0] Size 4; Data [0x00000001]
        (Acct-Authentic=INT:1)
    Attr: [40] Vendor: [0] Size 4; Data [0x00000001]
        (Acct-Status-Type=INT:1)
    Attr: [31] Vendor: [0] Size 17; Data [0x36633a33623a36623a64623a34383a6631]
        (Calling-Station-Id=STRING:6c:3b:6b:db:48:f1)
    Attr: [61] Vendor: [0] Size 4; Data [0x00000005]
        (NAS-Port-Type=INT:5)
    Attr: [2] Vendor: [9] Size 29; Data [0x3030303430303739303031392330303036323831303762383464373830]
        (Cisco:Cisco-NAS-Port=STRING:000400790019#000628107b84d780)
    Attr: [5] Vendor: [0] Size 4; Data [0x00000000]
        (NAS-Port=INT:0)
    Attr: [87] Vendor: [0] Size 29; Data [0x3030303430303739303031392330303036323831303762383464373830]
        (NAS-Port-Id=STRING:000400790019#000628107b84d780)
    Attr: [1] Vendor: [9] Size 27; Data [0x636972637569742d69642d7461673d303030343030373930303139]
        (Cisco:Cisco-AVPair=STRING:circuit-id-tag=000400790019)
    Attr: [1] Vendor: [9] Size 30; Data [0x72656d6f74652d69642d7461673d30303036323831303762383464373830]
        (Cisco:Cisco-AVPair=STRING:remote-id-tag=000628107b84d780)
    Attr: [6] Vendor: [0] Size 4; Data [0x00000002]
        (Service-Type=INT:2)
    Attr: [4] Vendor: [0] Size 4; Data [0x0a02010f]
        (NAS-IP-Address=IP:10.2.1.15)
    Attr: [55] Vendor: [0] Size 4; Data [0x6396b722]
        (Event-Timestamp=DATE:1670821666)
    Attr: [32] Vendor: [0] Size 11; Data [0x69706f6530315f62726173]
        (NAS-Identifier=STRING:ipoe01_bras)
    Attr: [41] Vendor: [0] Size 4; Data [0x00000000]
        (Acct-Delay-Time=INT:0)

Dec 12 08:07:46 ?Debug : eebb9700 SessionManager: get: session ID 36484
Dec 12 08:07:46 ?Debug : eebb9700 AcctQueue: found session ID 36484 for IP 10.19.2.2
Dec 12 08:07:46 ?Debug : eebb9700 AcctQueue: sid_insert: session ID 36484 for SID 0000000000011A0B
Dec 12 08:07:46  Info  : eebb9700 AcctQueue: IPv4 address 10.19.2.2 leased
Dec 12 08:07:46  Info  : eebb9700 AcctQueue: Accounting-Start for SID 0000000000011A0B user '10.19.2.2' slink ID 104033 from NAS 10.2.1.15
Dec 12 08:07:46 ?Debug : eebb9700 Transport: sending traffic/dialup session ID 36484
Dec 12 08:07:46 ?Debug : eebb9700 StreamConnection: Sending message ID 0x1107
Dec 12 08:07:46 ?Debug : eebb9700 SessionManager: put: session ID 36484 timeout scheduled at 2000000000
Dec 12 08:07:46 ?Debug : eebb9700 SessionManager: put: session ID 36484 from NAS 8 OK
Dec 12 08:07:46 ?Debug : eebb9700 AcctQueue: Reply 
--- RADIUS Pkt ---
  Code: [5]  ID:   [62]
  Auth: Size 16; Data [0xdbe498a8dffbc62b19a2d6c506cf0cce]

Да, походу, вот из-за чего всё это - Attr: [22] Vendor: [0] Size 25; Data [0x302e302e302e3020302e302e302e302031302e31392e322e32]
        (Framed-Route=STRING:0.0.0.0 0.0.0.0 10.19.2.2)

 

А, как исправить это - пока не представляю...

[Cisco ASR1002x + ip unnumbered + dhcp relay]

Да MTU везде 1500 байт. Да и дело то не в MTU. А, вот в сторону радиуса я как то и не подумал посмотреть... биллинг UTM5.3-006upd1(используем их радиус+DHCP). 

[Cisco ASR1002x + ip unnumbered + dhcp relay]

Не помогли команды никакие. Шлюз то у абонента должен быть который указан в

interface Loopback10
 ip address 10.19.2.1 255.255.255.0

Может я не правильно конфигурирую маршрутизатор? Хотя, ещё раз повторюсь, на 7301 которая для всяких экспериментов работает - всё выдается без проблем и такого бага как на ASR - нет.

[Cisco ASR1002x + ip unnumbered + dhcp relay]

Да в том то и дело, что дефолт роут 10.19.2.2 не нужен совсем. Он на циске создается в момент поднятия сессии по DHCP. А, вот почему он становится дефолт маршрутом -  не понятно...