[Wingman]

Хотелка: QinQ, авторизация по unclassified ip-address, но при этом - релей dhcp через ASR, чтобы выдавать адреса на основе svlan+cvlan.

 

interface TenGigabitEthernet0/2/0.200
description UR-200
encapsulation dot1Q 200 second-dot1q any
ip dhcp relay information option server-id-override
ip dhcp relay information policy-action replace
ip unnumbered Loopback200 poll
ip helper-address 10.10.10.143
service-policy type control ISG-POLICY
ip subscriber routed
 initiator unclassified ip-address
end

 

Лупбек:

interface Loopback200
description UR-200
ip dhcp relay information policy-action replace
ip dhcp relay source-interface TenGigabitEthernet0/2/0.50
ip address 10.100.100.1 255.255.255.0 secondary
ip address 10.206.141.1 255.255.255.0
end

 

#sh run | in dhcp
ip dhcp-relay information option server-override
ip dhcp-relay source-interface TenGigabitEthernet0/2/0.50
ip dhcp route connected
ip dhcp relay information option vpn
ip dhcp relay information trust-all
ip dhcp global-options
ip dhcp relay information policy-action replace
ip dhcp relay source-interface TenGigabitEthernet0/2/0.50
ip dhcp relay information option server-id-override
ip dhcp relay information policy-action replace

 

Суть проблемы: на сервер запрос улетает; сервер отвечает в сторону ASR; однако до клиента ответы не доходят.

Связность с клиентом 100% есть - если вбить ип руками, всё работает.

 

Дамп от клиента:

19:33:05.457870 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:0c:29:55:f4:36, length 300
19:33:12.609640 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:0c:29:55:f4:36, length 300
19:33:42.264319 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:0c:29:55:f4:36, length 300

 

 

debug ip dhcp server packet:

Aug 31 16:44:29.020: Option 82 not present
Aug 31 16:44:29.020: DHCPD: Reload workspace interface TenGigabitEthernet0/2/0.200 tableid 0.
Aug 31 16:44:29.020: DHCPD: tableid for 109.206.141.1 on TenGigabitEthernet0/2/0.200 is 0
Aug 31 16:44:29.020: DHCPD: tableid for 109.206.140.1 on TenGigabitEthernet0/2/0.200 is 0
Aug 31 16:44:29.020: DHCPD: tableid for 109.206.132.1 on TenGigabitEthernet0/2/0.200 is 0
Aug 31 16:44:29.020: DHCPD: tableid for 10.100.100.1 on TenGigabitEthernet0/2/0.200 is 0
Aug 31 16:44:29.020: DHCPD: client's VPN is .
Aug 31 16:44:29.020: Option 82 not present
Aug 31 16:44:29.020: DHCPD: Looking up binding using address 109.206.141.1
Aug 31 16:44:29.020: DHCPD: setting giaddr to 109.206.141.1.
Aug 31 16:44:29.020: DHCPD: adding relay information option.
Aug 31 16:44:29.020: DHCPD: giaddr changed to 10.10.10.224
Aug 31 16:44:29.020: DHCPD: BOOTREQUEST from 000c.2955.f436 forwarded to 10.10.10.143.
Aug 31 16:44:29.021: Option 82 not present
Aug 31 16:44:29.021: DHCPD: Reload workspace interface TenGigabitEthernet0/2/0.50 tableid 0.
Aug 31 16:44:29.021: DHCPD: tableid for 10.10.10.224 on TenGigabitEthernet0/2/0.50 is 0
Aug 31 16:44:29.021: DHCPD: client's VPN is .
Aug 31 16:44:29.021: DHCPD: forwarding BOOTREPLY to client 000c.2955.f436.
Aug 31 16:44:29.021: DHCPD: ARP entry exists (10.100.100.2, 000c.2955.f436).
Aug 31 16:44:29.021: DHCPD: egress Interfce TenGigabitEthernet0/2/0.50
Aug 31 16:44:29.021: DHCPD: unicasting BOOTREPLY to client 000c.2955.f436 (10.100.100.2).

 

И, собственно, всё - пакет до клиента не долетает ;(

 

Смущает момент: arp после dhcp-запроса прописывается на лупбек:

Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  10.100.100.2           11   000c.2955.f436  LOOPBA Loopback200

Может быть, из-за этого он не на тот интерфейс ответ пуляет? Как арп должен выглядеть в рабочей схеме?

В какую сторону ещё можно копнуть?

[mikezzzz]

а для чег оиспользуете unnumbered poll?

в точно такой же конфигурации работает из без poll - asr1k добавляет статические или connected маршруты на основн dhcp binding, poll как-то через ARPу и пытается работать "The polling option enables the dynamic discovery of hosts (connected though the unnumbered interfaces) based on the Address Resolution Protocol (ARP) protocol."

[buckethead]

Так как l3-connected, промежуточных relay нет? ISG этого не умеет.

[vurd]

а для чег оиспользуете unnumbered poll?

в точно такой же конфигурации работает из без poll - asr1k добавляет статические или connected маршруты на основн dhcp binding, poll как-то через ARPу и пытается работать "The polling option enables the dynamic discovery of hosts (connected though the unnumbered interfaces) based on the Address Resolution Protocol (ARP) protocol."

 

Это у него, чтобы статиком можно было ставить адреса, а не только по dhcp получать.

[S.Sannikov]

а для чег оиспользуете unnumbered poll?

в точно такой же конфигурации работает из без poll - asr1k добавляет статические или connected маршруты на основн dhcp binding, poll как-то через ARPу и пытается работать "The polling option enables the dynamic discovery of hosts (connected though the unnumbered interfaces) based on the Address Resolution Protocol (ARP) protocol."

 

Это у него, чтобы статиком можно было ставить адреса, а не только по dhcp получать.

 

Но работает не так как надо. Виндоус например при включенном poll и получении адреса по DHCP начинает говорить про duplicate ip. Но это все для l2-connected, а здесь зачем-то сделано routed.

 

ТС сделай l2-connected и initiator unclassifed mac. Только poll убери. И будет тебе счастье))

[Wingman]

Это у него, чтобы статиком можно было ставить адреса, а не только по dhcp получать.

Да, именно так

 

Но работает не так как надо. Виндоус например при включенном poll и получении адреса по DHCP начинает говорить про duplicate ip. Но это все для l2-connected, а здесь зачем-то сделано routed.

 

ТС сделай l2-connected и initiator unclassifed mac. Только poll убери. И будет тебе счастье))

Балин... Да, на венде это заметил, думал, баг какой-то =\ Почему-то думал, что initiator mac будет слать в радиус только mac как идентификатор.

Сейчас сделал L2-connected + initiator mac - авторизация работает, но с релеем - та же шляпа

 

Sep  1 07:20:26.053: DHCPD: BOOTREQUEST from 000c.2955.f436 forwarded to 10.10.10.143.
Sep  1 07:20:26.054: Option 82 not present
Sep  1 07:20:26.054: DHCPD: Reload workspace interface TenGigabitEthernet0/2/0.50 tableid 0.
Sep  1 07:20:26.054: DHCPD: tableid for 10.10.10.224 on TenGigabitEthernet0/2/0.50 is 0
Sep  1 07:20:26.054: DHCPD: client's VPN is .
Sep  1 07:20:26.054: DHCPD: forwarding BOOTREPLY to client 000c.2955.f436.
Sep  1 07:20:26.054: DHCPD: creating ARP entry (10.100.100.2, 000c.2955.f436, vrf default).
Sep  1 07:20:26.055: DHCPD: egress Interfce TenGigabitEthernet0/2/0.50
Sep  1 07:20:26.055: DHCPD: unicasting BOOTREPLY to client 000c.2955.f436 (10.100.100.2).und all

 

Однако до клиента ответы таки нихрена не долетают =\

 

 

Так как l3-connected, промежуточных relay нет? ISG этого не умеет.

Вот тут я удивился. Т.е. оно не умеет юникастить до клиентского мака? Обязательно релей на доступе должен релеить в ASR, а он - отвечать оффером только в свитч доступа?

Кто-нибуть может подтвердить?

 

p.s. Но это тоже херня получится: с акцесса запрос придёт из управляющего влана, а мне нужно, чтобы asr в запрос навешивал данные об s-vlan + c-vlan

Изменено 1 сентября, 2016 пользователем Wingman

[purecopper]

Wingman а если на аксессе opt82 включить?

[Wingman]

Wingman а если на аксессе opt82 включить?

Я же говорю, если релеить акцесом - в opt82 не будет инфы о slvan+cvlan

[purecopper]

Wingman точно, ступил. Мы в данной ситуации используем Remote-id+circuit-id, а не svid+cvid. А можно ли opt82 поднять на агрегацию?

[S.Sannikov]

ip dhcp drop-inform
ip dhcp relay information option
no ip dhcp relay information check

interface Port-channel1.3901
encapsulation dot1Q 3901 second-dot1q 101-1000,1101-1599,1601-1999,2101-3000,3051-3074,4001
ip unnumbered Loopback0
ip helper-address ххх.ххх.ххх.ххх
ip helper-address ххх.ххх.ххх.ххх
no ip redirects
no ip unreachables
ip nat inside
pppoe enable group global
pppoe max-sessions 10000
service-policy type control ISG-CUSTOMERS-POLICY
ip subscriber l2-connected
 initiator unclassified mac-address

 

Вот так работает. Релеит и клиенты получают.

 

Проверь еще знаешь что! Маршрут с DHCP-сервера на IP, которые прописаны в loopback 0.

Потому-что запросы идут от имени того IP.

[Wingman]

Вот так работает. Релеит и клиенты получают.

 

Не пашет, собака ><

 

Проверь еще знаешь что! Маршрут с DHCP-сервера на IP, которые прописаны в loopback 0.

Потому-что запросы идут от имени того IP.

Маршруты есть, конечно; и запросы, кстати, идут с того же интерфейса, где dhcp сидит:

 

Вот на dhcp:

11:58:45.402112 IP 10.10.10.224.67 > 10.10.10.143.67: BOOTP/DHCP, Request from 00:0c:29:55:f4:36, length 302
11:58:45.402718 IP 10.10.10.143.67 > 10.10.10.224.67: BOOTP/DHCP, Reply, length 300

 

Да и из дебага циски видно, что ответ к ней прилетает, затык начинается уже дальше - там, где "forwarding BOOTREPLY to client"

 

Дальше-веселее :))

Дебаг с l2-connected:

 

[Butch3r]

С софтом "игрались" ?

[Wingman]

С софтом "игрались" ?

Нуу, перешивал с asr1002x-universalk9.03.13.05.S.154-3.S5-ext.SPA.bin на asr1002x-universalk9.03.16.02.S.155-3.S2-ext.SPA.bin и обратно, сейчас на первой

[Butch3r]

С софтом "игрались" ?

Нуу, перешивал с asr1002x-universalk9.03.13.05.S.154-3.S5-ext.SPA.bin на asr1002x-universalk9.03.16.02.S.155-3.S2-ext.SPA.bin и обратно, сейчас на первой

я к тому, что частенько на форуме видел, что бывают баги и лучше проверять на нескольких версиях софта, когда кажется что всё 100% ок.

[Wingman]

S.Sannikov, а у вас какой софт, если не секрет? Не поделитесь иосом?

[Wingman]

я к тому, что частенько на форуме видел, что бывают баги и лучше проверять на нескольких версиях софта, когда кажется что всё 100% ок.

Попробовал сейчас на обоих (3.13 и 3.16) - на обоих SIOCSARP ioctl failed при добавлении арп-записи

Блин, это я уже закосячил: после ребута не добавил на лупбеке 10.100.100.1/24, а в конфиге он не был сохранён.

Добавил, ошибок нет, но и `unicasting BOOTREPLY to client 000c.2955.f436` до клиента по прежнему не долетает ;(

 

 

И ещё одна "интересность": после безуспешных попыток получить адрес, клиент не может авторизоваться и по unclassified mac. Запросы не проходят, клиент не видит арпа АСРа; аср не видит арпа клиента.

clera arp / clear route не помогают, помогает только ребут асра (может быть, ещё что-то надо поклирить, пока не нащупал) ;(

После последнего ребута - такого не происходит :/

Изменено 1 сентября, 2016 пользователем Wingman

[zhenya`]

initiator dhcp

[Wingman]

Да в том-то и дело, что мне не нужен initiator dhcp

[zhenya`]

убери политику исг на время. посмотри будет ли работать релей.

[Wingman]

Убирал, не работает

[zhenya`]

убери все свои строчки касаемо дхцп и сделай как в примере.

ip dhcp drop-inform

ip dhcp relay information option

no ip dhcp relay information check

и хелперы на интерфейсе.

[Wingman]

Ты не поверишь... ;(

Не пашет

[zhenya`]

а если убрать аннамберед ? и ипы на интерфейс назначить ?

[Wingman]

А смысл? Даже если взлетит, для меня будет уже неприменимо ;(

[Wingman]

Но работает не так как надо. Виндоус например при включенном poll и получении адреса по DHCP начинает говорить про duplicate ip. Но это все для l2-connected, а здесь зачем-то сделано routed.

 

ТС сделай l2-connected и initiator unclassifed mac. Только poll убери. И будет тебе счастье))

Вылезла проблема: без `poll` - оно да, работает, но через энное время - пропадает и не появляется arp-запись. У клиента, соответственно, всё отваливается