Jump to content
Калькуляторы

SE1200 Non-DHCP Dynamic CLIPS

Добрый день дорогие знатоки, есть несколько вопросов по поводу Dynamic Clips non-DHCP.

Есть железка SE, на разных портах клиенты по разному аутентифицируются, на одном из портов, клиенты приходят L2( перед SE есть циска которая работает как DHCP Relay ), гейт клиентов находится на SE, на порту следующий конфиг:

 

service-policy name CLIPS_clients-1
allow clips ip range x.x.x.0 x.x.x.255

interface clients-1 multibind
 ip address x.x.x.1/24
 ip pool x.x.x.0/24

port ethernet 1/1
dot1q pvc xxxx 
 bind interface clients-1 
 service clips auto-detect context local service-policy CLIPS_clients-1

 

Теперь вопрос, если делаем все как написал выше то часть клиентов нормально работает, а для некоторых клиентов поднимается субскрайбер но в ARP клиент не записывается, висит клиент с ARP - incomplete, и нечего не помогает, clear arp-cache, clear subscriber итд...

Если же меняем на

service clips auto-detect [b]direct[/b] context local service-policy CLIPS_clients-1

то все работает без проблем...

 

 

Еще есть вопрос по поводу L3 Dynamic Clips not directly connected. Если делать Л3, и гейт клиентов находится где то до SE, потом клиент все же доходит до БРАС-а то в сторону подсети аб. нужно будет прописывать каждый раз статику ? то есть что то вроде такого:

 

service-policy name CLIPS_clients-1
allow clips ip range x.x.x.0 x.x.x.255

interface interconnect p2p
 ip address 10.10.10.1/30

interface client-1 multibind
 ip address x.x.x.1/24
 ip pool x.x.x.0/24

port ethernet 1/1
dot1q pvc xxxx 
 bind interface interconnect
 service clips auto-detect context local service-policy CLIPS_clients-1

ip route x.x.x.0/24 10.10.10.1 

 

 

Я все правильно понял ? Или можно обойтись и без статики, при условии что интерфейс на котором сконфигурирована подсеть аб. не биндится к порту на который будет приходить L3 траффик аб. ну и гейт аб. будет где то перед SE.

Share this post


Link to post
Share on other sites

отзовитесь кто-нибудь в документации не где ответы на свои вопросы не могу найти... нужна помощь гуру..

Share this post


Link to post
Share on other sites

у вас доступа в закрытый раздел эриксона нет?

Share this post


Link to post
Share on other sites

Нет, а как его получить ? Куда писать ? буду очень благодарен если дадите инфу по этому поводу.

Share this post


Link to post
Share on other sites
Появился закрытый раздел на форуме для обладателей Ericsson Smartedge. Заявки на добавление в группу можете отправлять на адрес smartedge@nag.ru

Share this post


Link to post
Share on other sites

Написал на почту но пока что так и не получили ответа... может пока они ответят кто то хотя бы процитирует какие то сообщения из закрытой группы которые могли бы нам помочь разобраться с данной проблемой, или хоть помогут реализовать Dynamic non-DHCP Clips ?

Так же есть проблемы при использовании Dynamic Clips при том что SE1200 работает как DHCP Relay или DHCP Proxy... Проблема заключается в том что клиенты получают IP но уже не поднимается субскрайбер... В логах пишет:

AAA-3-ERR: aaa_reserve_ip, cannot reserve ip x.x.x.x since ip is already used

 

Вообщем получается сразу 3 проблемы с которыми столкнулись... Во первых как завести нормально NON-DHCP Dynamic Clips со схемой когда L3 Gateway клиентов на БРАС-е, или когда он где то на другом девайсе а на БРАС трафик приходит через L3VPN и на БРАСе он должен проходить авторизацию.. А так же проблема с DHCP Relay/Proxy + CLIPS на SE1200.. Помогите)) а то чувствую что пока ответят на письмо нас тут всех уволят)))

Share this post


Link to post
Share on other sites

http://nag.ru/files/cte/0009/438.pdf

еще включайте полный дебаг aaa и dhcp

Мы используем обычный clips. у нас проблема была только в том, что нужно передать правильный интерфейс в радиус-ответе. иначе ip, выданный из определенного интерфейса нельзя дать абоненту, т.к. применяется дефолтный (первый) интерфейс. Когда свели ip-адрес, который пришел от dhcp и radius все зашевелилось. DHCP сервер был внешний.

Share this post


Link to post
Share on other sites

Проблема в том что на Радиус не приходят сообщения DHCP по поводу лизов, он не знает кому и какой IP был присвоен. В Access-Accept радиус клиентам у которых все работает(когда Relay делается на каком то другом девайсе не на SE1200) в поле Framed_IP_Addres Радиус пишет IP клиента( его username ), а в нашем случае когда DHCP Relay(SE1200) он в Access-Accept вообще не шлет поле Framed_IP_Addres а шлет вместо этого Framed_IP_Pool с названием интерфейса который прибинден к PVC клиента...

Конфиг выглядит следующим образом:

 

 

!context local!service-policy name CLIPS_x.x.x.128_testallow clips ip range x.x.x.128 x.x.x.255!!context CLIENTS!interface IF_x.x.x.128 multibind ip address x.x.x.x.129/25 dhcp proxy 15 server-group DHCP-TEST-1 ip arp delete-expired ip pool x.x.x.128/25!port ethernet 2/3 no shutdownencapsulation dot1qdot1q pvc 3997  bind interface IF_x.x.x.128 CLIENTS service clips auto-detect direct context CLIENTS service-policy CLIPS_x.x.x.128_test!dhcp relay server 172.1.1.1  max-hops 10  server-group DHCP-TEST-1!subscriber default  qos policy policing qos-default-in  qos policy metering qos-default-out  dhcp max-addrs 1!aaa authentication subscriber radius  aaa accounting subscriber radiusaaa update subscriber 60aaa accounting event dhcpaaa reauthorization bulk radiusaaa hint ip-address!!

 

 

 

Вот что получаем в debug aaa radius:

 

 

Jul 3 10:36:48: [0002]: [2/3:511:63:31/13/2/23612]: %AAA-7-RADIUS: aaa_idx 502f8efb: rad_create_auth_db_reply: Radius authentication success. (x.x.x.189)Jul 3 10:36:48: [0002]: [2/3:511:63:31/13/2/23612]: %AAA-7-RADIUS: aaa_idx 502f8efb: rad_process_response: process response to req Authentication. (x.x.x.189)Jul 3 10:36:48: [0002]: [2/3:511:63:31/13/2/23612]: %AAA-7-RADIUS: aaa_idx 502f8efb: rad_free_resource:, Free radius message, rad_idx 250294068Jul 3 10:36:48: %AAA-7-RADIUS: aaa_idx 502f8efb: rad_clean_aaa_idx_tree: Clean aaa_idx tree for context db_request_type AuthenticationJul 3 10:36:48: %AAA-7-EXCEPT: aaa_get_auto_cct_ip_address: Calling alloc_auto_cct_pool_addr for if_name:IF_x.x.x.128 if_grid :268566825Jul 3 10:36:48: [0002]: %AAA-3-ERR: aaa_reserve_ip, cannot reserve ip x.x.x.189 since ip is already usedJul 3 10:36:48: [0002]: %AAA-7-EXCEPT: aaa_get_auto_cct_ip_address: Failed to reserve requested ip x.x.x.189Jul 3 10:36:48: [0002]: [2/3:511:63:31/13/2/23612]: %AAA-7-EXCEPT: aaa_idx 502f8efb: aaa_populate_ip_addr_attr_from_pool_attr: Failed to reserve requested ip x.x.x.189Jul 3 10:36:48: [0002]: [2/3:511:63:31/13/2/23612]: %AAA-7-EXCEPT: aaa_idx 502f8efb: aaa_bind_subscriber: Could not get ip address from poolJul 3 10:36:48: [0002]: [2/3:511:63:31/13/2/23612]: %AAA-7-EXCEPT: aaa_idx 502f8efb: aaa_process_db_response: Cannot populate dynamic attribute for subscriber x.x.x.189.  send FAIL to clientJul 3 10:36:48: %AAA-7-RADIUS: rad_mgr, Process radius requests in db request queueJul 3 10:36:48: [0002]: [2/3:511:63:31/13/2/23612]: %AAA-7-RADIUS: aaa_idx 502f8efb: rad_process_aaad_req: Receive request (Accounting Stop)

 

 

Вот что получаем в debug aaa dhcp:

 

 

Jul 3 10:41:41: %AAA-7-DHCP: [aaa_init_dhcp_cctcfg_iphost_key]: DHCP key: slot 1 port 2 channel 0xffff dot1_pvc 3997:0 vpi 0 vci 0,sess_id: 0, encap: 16778240Jul 3 10:41:41: [0002]: [2/3:511:63:31/1/2/4616]: %AAA-7-DHCP: aaa_update_dhcp_cctcfg_iphost:added iphost x.x.x.189 to cctJul 3 10:41:41: [0002]: [2/3:511:63:31/13/2/23848]: %AAA-7-DHCP: aaa_idx 502f8fe6: aaa_is_dhcp_clips_bounce_up: bounce flag 0 class 0x0 iphost 0.0.0.0Jul 3 10:41:41: %AAA-7-EXCEPT: aaa_get_auto_cct_ip_address: Calling alloc_auto_cct_pool_addr for if_name:IF_x.x.x.128 if_grid :268566825Jul 3 10:41:41: [0002]: %AAA-3-ERR: aaa_reserve_ip, cannot reserve ip x.x.x.189 since ip is already usedJul 3 10:41:41: [0002]: %AAA-7-EXCEPT: aaa_get_auto_cct_ip_address: Failed to reserve requested ip x.x.x.189Jul 3 10:41:41: [0002]: [2/3:511:63:31/13/2/23848]: %AAA-7-EXCEPT: aaa_idx 502f8fe6: aaa_populate_ip_addr_attr_from_pool_attr: Failed to reserve requested ip x.x.x.189Jul 3 10:41:41: [0002]: [2/3:511:63:31/13/2/23848]: %AAA-7-EXCEPT: aaa_idx 502f8fe6: aaa_bind_subscriber: Could not get ip address from poolJul 3 10:41:41: [0002]: [2/3:511:63:31/13/2/23848]: %AAA-7-EXCEPT: aaa_idx 502f8fe6: aaa_process_db_response: Cannot populate dynamic attribute for subscriber x.x.x.189.  send FAIL to client

 

 

Что посоветуете делать?) Допилить раидус чтоб отправлял в Access-Accept не Framed_IP_Pool а Framed_IP_Address ? Или что-то не так в конфиге ?

Share this post


Link to post
Share on other sites

Если BRAS передает framed ip address в запросе, то его нужно вернуть в ответе. У нас адреса привязаны к абонентам, так что dhcp и radius знаю какой дать ip и какой дать интерфейс. pool мы не используем. делайте debug aaa all - вдруг что-то пропустили. еще можно посмотреть debug dhcp all

Share this post


Link to post
Share on other sites

Jul 3 14:30:23: [0002]: [2/3:511:63:31/1/2/4616]: %DHCP-7-AAA: Send 1 msg to AAA: Data MAC 08:9e:01:07:ca:66, IP x.x.x.189, encap type 0x1000400, lease 86400, subnet (0.0.0.0/0)
Jul 3 14:30:23: [0002]: %AAA-7-EXCEPT: aaa_proc_non_sub_ipaddr, ip x.x.x.189 is already in use!
Jul 3 14:30:23: [0002]: [2/3:511:63:31/1/2/4616]: %AAA-7-EXCEPT: aaa_dhcp_return: Sending back message 0x11: FAIL for x.x.x.189 to DHCPd
Jul 3 14:30:23: %DHCP-7-AAA_E: ERROR: Received iphost ADD error from AAA for  ip x.x.x.189  mac 08:9e:01:07:ca:66  context 0x40080002
Jul 3 14:30:25: [0002]: [2/3:511:63:31/1/2/4616]: %DHCP-7-AAA: [dhcp_aaa_send_aaa] drs_cctid 0xfffcec6277, drs_rmtid 0xfffcec627f, des_list 0x0
Jul 3 14:30:25: [0002]: [2/3:511:63:31/1/2/4616]: %DHCP-7-AAA: TLV list Add: [6] ACI
Jul 3 14:30:25: [0002]: [2/3:511:63:31/1/2/4616]: %DHCP-7-AAA: TLV list Add: [8] ARI
Jul 3 14:30:25: [0002]: [2/3:511:63:31/1/2/4616]: %DHCP-7-AAA: Send 1 msg to AAA: Data MAC 08:9e:01:07:ca:66, IP x.x.x.189, encap type 0x1000400, lease 86400, subnet (0.0.0.0/0)
Jul 3 14:30:25: [0002]: %AAA-7-EXCEPT: aaa_proc_non_sub_ipaddr, ip x.x.x.189 is already in use!
Jul 3 14:30:25: [0002]: [2/3:511:63:31/1/2/4616]: %AAA-7-EXCEPT: aaa_dhcp_return: Sending back message 0x11: FAIL for x.x.x.189 to DHCPd
Jul 3 14:30:25: %DHCP-7-AAA_E: ERROR: Received iphost ADD error from AAA for  ip x.x.x.189  mac 08:9e:01:07:ca:66  context 0x40080002

 

Вот что в итоге получается, Radius не вписывает себе в DB адреса абонентов которые были выданы сторонним DHCP сервером.. я правильно понимаю ? Еще смущает поле

subnet (0.0.0.0/0

это нормально вообще ?

Пока что ничего не можем решить.. продолжаем делать Relay на других железках, а SE как БРАС...

Share this post


Link to post
Share on other sites

А точно нет такой сессии уже? Посмотрите arp-cache, subscribers

Share this post


Link to post
Share on other sites

Посмотрел ваши конфигурации: добавьте на интерфейс arp proxy

Share this post


Link to post
Share on other sites

Нет сессии нет, arp-cache показывает привязку MAC-IP но в поле TTL стоит "-", обычно это когда еще нет субскрайбера...а его как раз таки и нету..

Попробуем в понедельник поставить proxy arp, только не вижу связи arp c тем что БРАС пытается выдать какой то IP клиенту...

Share this post


Link to post
Share on other sites

Проверили с "arp proxy always" результат тотже.. Есть у кого то еще какие то идеи ?

 

И немного оффтопа, можно как то еще связаться с теми кто дает доступ в закрытую группы обладателей Ericsson SmartEdge ? Уже почти неделя прошла, а от них ни слуху, ни духу...

Share this post


Link to post
Share on other sites

Отписался.. надеюсь что кто то обратит внимание... Уже не знаем как бороться с этим зверем( SE1200 ) вообще до сих пор работали только с обычными рутерами и комутаторами, их логика нам уже понятна, а вот логику SmartEdge понять еще не удалось... и в частности работа non-dhcp dynamic CLIPS которая сейчас для нас очень актуальна... так как нужно будет клиентский траффик сети MPLS агреггировать в БРАС где клиенты должны проходить аутентификацию..

Share this post


Link to post
Share on other sites

Читал.. Примерно так и конфигурируем все, и вроде как с L3 без всяких DHCP начало получатся...

 

Мы пытаемся и L2 и L3 сделать, в итоге у нас будет схема такая:

Сеть MPLS, весь траффик гонится в БРАС, еще точно не решили что будем использовать L2VPN или L3VPN, но скорее L3VPN. В таком случае получится L3 а насчет connected/not connected, не совсем понятно что имеется в виду, гейт клиентов будет не на БРАСЕ, а на ближайщем PE( это получается not connected ? или как ? ). Есть и другие регионы где траффик клиентов доходит L2 до БРАСа, там сейчас используем CLIPS и Dot1q, и там у нас проблема в том что Relay сейчас делаем в обход SE, так как он у нас с Relay + Dynamic Clips ну не как не хочет работать..

Вот собственно вот 2 схемы которые пытаемся внедрить..

Share this post


Link to post
Share on other sites

Если вы хотите использовать Non-DHCP CLIPS как L2, так и L3, то DHCP Server/Relay/Proxy должен быть запущен на стороннем устройстве, эти режимы поддерживаются только для DHCP CLIPS.

Share this post


Link to post
Share on other sites

Спасибо за информацию!!! Именно этого ответа я и ждал =).

 

Еще 1 вопрос хочу задать, раз уже знающие люди подтянулись). Интерфейсы типа multibind на которых живут субскрайберы, нужно биндить к физичиским интерфейсам/PVC, или нет ? У нас просто всегда все их биндили, а сейчас как то попробовали и без того чтоб биндить интерфейсы к PVC и все равно, все работает! Так как же прваильно поступать ?

И если не сложно, кто то, объясните в двух словах, в чем смысл интерфейса lastresort ? То есть на нем можно сразу забить все сетки которые у нас есть в сети, на которых могут жить субскрайберы, и сам интерфейс не биндить ни к одному порту, и все равно в итоге все клиенты будут до него добираться и проходить аутентификацию ?

 

Спасибо заранее =) последние 2 вопроса которые нас мучают и нигде в документации найти на них ответы не можем..

Share this post


Link to post
Share on other sites
Каждый раз когда происходит session bring up (неважно ppp, clips и т.п.), aaad пытается получить информацию

о том, какой ip адрес должен быть назначен на сессию.

Эта информация может поступать в aaad из разных источников - статически настроенный сабскрайбер, переданный

в aaad пул адресов, информация полученная от radius и т.п. Как только aaad получил ip который нужно назначить

на сессию, он начинает проверять с каким multibind можно соотнести полученный ip адрес. Если нет подходящей

подсети в multibind, то aaad сообщает об ошибке и завершает сессию. Lastresort - является исключением для aaad,

если есть Lastresort multibind, то aaad не найдя подходящую подсеть в multibind интерфейсах соотносит эту сессию

с lastresort.

Теперь ваш случай с L2, можно прикрутить абонента к lastresort, и он подымется, но ничего не будет работать, т.к.

теперь статический клипс с точки зрения ip, это подключенный к раутеру host. у хоста есть адрес и маска, и

очевидно шлюз, и все это никак не соотносится с ip unnumbered который был поставлен с lastresort.

Share this post


Link to post
Share on other sites

Спасибо большое, за пояснение, примерно так мы и думали, но теперь стало более понятно...

 

Получается мы можем настроить следующую схему:

 

interface loopback loopback
ip address 10.10.10.1/32
ip address 10.10.11.1/32
ip address 10.10.12.1/32
ip address 10.10.13.1/32

interface clients multibind lastresort
ip unnumbered loopback
ip pool 10.10.10.0/24
ip pool 10.10.11.0/24
ip pool 10.10.12.0/24
ip pool 10.10.13.0/24

 

И в таком случае даже шлюз клиентов можем быть на SE, и все должно работать ?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this