Jump to content
Калькуляторы

asr1k dhcp-relay не релеит ;(

Хотелка: QinQ, авторизация по unclassified ip-address, но при этом - релей dhcp через ASR, чтобы выдавать адреса на основе svlan+cvlan.

 

interface TenGigabitEthernet0/2/0.200
description UR-200
encapsulation dot1Q 200 second-dot1q any
ip dhcp relay information option server-id-override
ip dhcp relay information policy-action replace
ip unnumbered Loopback200 poll
ip helper-address 10.10.10.143
service-policy type control ISG-POLICY
ip subscriber routed
 initiator unclassified ip-address
end

 

Лупбек:

interface Loopback200
description UR-200
ip dhcp relay information policy-action replace
ip dhcp relay source-interface TenGigabitEthernet0/2/0.50
ip address 10.100.100.1 255.255.255.0 secondary
ip address 10.206.141.1 255.255.255.0
end

 

#sh run | in dhcp
ip dhcp-relay information option server-override
ip dhcp-relay source-interface TenGigabitEthernet0/2/0.50
ip dhcp route connected
ip dhcp relay information option vpn
ip dhcp relay information trust-all
ip dhcp global-options
ip dhcp relay information policy-action replace
ip dhcp relay source-interface TenGigabitEthernet0/2/0.50
ip dhcp relay information option server-id-override
ip dhcp relay information policy-action replace

 

Суть проблемы: на сервер запрос улетает; сервер отвечает в сторону ASR; однако до клиента ответы не доходят.

Связность с клиентом 100% есть - если вбить ип руками, всё работает.

 

Дамп от клиента:

19:33:05.457870 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:0c:29:55:f4:36, length 300
19:33:12.609640 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:0c:29:55:f4:36, length 300
19:33:42.264319 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:0c:29:55:f4:36, length 300

 

 

debug ip dhcp server packet:

Aug 31 16:44:29.020: Option 82 not present
Aug 31 16:44:29.020: DHCPD: Reload workspace interface TenGigabitEthernet0/2/0.200 tableid 0.
Aug 31 16:44:29.020: DHCPD: tableid for 109.206.141.1 on TenGigabitEthernet0/2/0.200 is 0
Aug 31 16:44:29.020: DHCPD: tableid for 109.206.140.1 on TenGigabitEthernet0/2/0.200 is 0
Aug 31 16:44:29.020: DHCPD: tableid for 109.206.132.1 on TenGigabitEthernet0/2/0.200 is 0
Aug 31 16:44:29.020: DHCPD: tableid for 10.100.100.1 on TenGigabitEthernet0/2/0.200 is 0
Aug 31 16:44:29.020: DHCPD: client's VPN is .
Aug 31 16:44:29.020: Option 82 not present
Aug 31 16:44:29.020: DHCPD: Looking up binding using address 109.206.141.1
Aug 31 16:44:29.020: DHCPD: setting giaddr to 109.206.141.1.
Aug 31 16:44:29.020: DHCPD: adding relay information option.
Aug 31 16:44:29.020: DHCPD: giaddr changed to 10.10.10.224
Aug 31 16:44:29.020: DHCPD: BOOTREQUEST from 000c.2955.f436 forwarded to 10.10.10.143.
Aug 31 16:44:29.021: Option 82 not present
Aug 31 16:44:29.021: DHCPD: Reload workspace interface TenGigabitEthernet0/2/0.50 tableid 0.
Aug 31 16:44:29.021: DHCPD: tableid for 10.10.10.224 on TenGigabitEthernet0/2/0.50 is 0
Aug 31 16:44:29.021: DHCPD: client's VPN is .
Aug 31 16:44:29.021: DHCPD: forwarding BOOTREPLY to client 000c.2955.f436.
Aug 31 16:44:29.021: DHCPD: ARP entry exists (10.100.100.2, 000c.2955.f436).
Aug 31 16:44:29.021: DHCPD: egress Interfce TenGigabitEthernet0/2/0.50
Aug 31 16:44:29.021: DHCPD: unicasting BOOTREPLY to client 000c.2955.f436 (10.100.100.2).

 

И, собственно, всё - пакет до клиента не долетает ;(

 

Смущает момент: arp после dhcp-запроса прописывается на лупбек:

Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  10.100.100.2           11   000c.2955.f436  LOOPBA Loopback200

Может быть, из-за этого он не на тот интерфейс ответ пуляет? Как арп должен выглядеть в рабочей схеме?

В какую сторону ещё можно копнуть?

Share this post


Link to post
Share on other sites

а для чег оиспользуете unnumbered poll?

в точно такой же конфигурации работает из без poll - asr1k добавляет статические или connected маршруты на основн dhcp binding, poll как-то через ARPу и пытается работать "The polling option enables the dynamic discovery of hosts (connected though the unnumbered interfaces) based on the Address Resolution Protocol (ARP) protocol."

Share this post


Link to post
Share on other sites

а для чег оиспользуете unnumbered poll?

в точно такой же конфигурации работает из без poll - asr1k добавляет статические или connected маршруты на основн dhcp binding, poll как-то через ARPу и пытается работать "The polling option enables the dynamic discovery of hosts (connected though the unnumbered interfaces) based on the Address Resolution Protocol (ARP) protocol."

 

Это у него, чтобы статиком можно было ставить адреса, а не только по dhcp получать.

Share this post


Link to post
Share on other sites

а для чег оиспользуете unnumbered poll?

в точно такой же конфигурации работает из без poll - asr1k добавляет статические или connected маршруты на основн dhcp binding, poll как-то через ARPу и пытается работать "The polling option enables the dynamic discovery of hosts (connected though the unnumbered interfaces) based on the Address Resolution Protocol (ARP) protocol."

 

Это у него, чтобы статиком можно было ставить адреса, а не только по dhcp получать.

 

Но работает не так как надо. Виндоус например при включенном poll и получении адреса по DHCP начинает говорить про duplicate ip. Но это все для l2-connected, а здесь зачем-то сделано routed.

 

ТС сделай l2-connected и initiator unclassifed mac. Только poll убери. И будет тебе счастье))

Share this post


Link to post
Share on other sites

Это у него, чтобы статиком можно было ставить адреса, а не только по dhcp получать.

Да, именно так

 

Но работает не так как надо. Виндоус например при включенном poll и получении адреса по DHCP начинает говорить про duplicate ip. Но это все для l2-connected, а здесь зачем-то сделано routed.

 

ТС сделай l2-connected и initiator unclassifed mac. Только poll убери. И будет тебе счастье))

Балин... Да, на венде это заметил, думал, баг какой-то =\ Почему-то думал, что initiator mac будет слать в радиус только mac как идентификатор.

Сейчас сделал L2-connected + initiator mac - авторизация работает, но с релеем - та же шляпа

 

Sep  1 07:20:26.053: DHCPD: BOOTREQUEST from 000c.2955.f436 forwarded to 10.10.10.143.
Sep  1 07:20:26.054: Option 82 not present
Sep  1 07:20:26.054: DHCPD: Reload workspace interface TenGigabitEthernet0/2/0.50 tableid 0.
Sep  1 07:20:26.054: DHCPD: tableid for 10.10.10.224 on TenGigabitEthernet0/2/0.50 is 0
Sep  1 07:20:26.054: DHCPD: client's VPN is .
Sep  1 07:20:26.054: DHCPD: forwarding BOOTREPLY to client 000c.2955.f436.
Sep  1 07:20:26.054: DHCPD: creating ARP entry (10.100.100.2, 000c.2955.f436, vrf default).
Sep  1 07:20:26.055: DHCPD: egress Interfce TenGigabitEthernet0/2/0.50
Sep  1 07:20:26.055: DHCPD: unicasting BOOTREPLY to client 000c.2955.f436 (10.100.100.2).und all

 

Однако до клиента ответы таки нихрена не долетают =\

 

 

Так как l3-connected, промежуточных relay нет? ISG этого не умеет.

Вот тут я удивился. Т.е. оно не умеет юникастить до клиентского мака? Обязательно релей на доступе должен релеить в ASR, а он - отвечать оффером только в свитч доступа?

Кто-нибуть может подтвердить?

 

p.s. Но это тоже херня получится: с акцесса запрос придёт из управляющего влана, а мне нужно, чтобы asr в запрос навешивал данные об s-vlan + c-vlan

Edited by Wingman

Share this post


Link to post
Share on other sites

Wingman точно, ступил. Мы в данной ситуации используем Remote-id+circuit-id, а не svid+cvid. А можно ли opt82 поднять на агрегацию?

Share this post


Link to post
Share on other sites

ip dhcp drop-inform
ip dhcp relay information option
no ip dhcp relay information check

interface Port-channel1.3901
encapsulation dot1Q 3901 second-dot1q 101-1000,1101-1599,1601-1999,2101-3000,3051-3074,4001
ip unnumbered Loopback0
ip helper-address ххх.ххх.ххх.ххх
ip helper-address ххх.ххх.ххх.ххх
no ip redirects
no ip unreachables
ip nat inside
pppoe enable group global
pppoe max-sessions 10000
service-policy type control ISG-CUSTOMERS-POLICY
ip subscriber l2-connected
 initiator unclassified mac-address

 

Вот так работает. Релеит и клиенты получают.

 

Проверь еще знаешь что! Маршрут с DHCP-сервера на IP, которые прописаны в loopback 0.

Потому-что запросы идут от имени того IP.

Share this post


Link to post
Share on other sites

Вот так работает. Релеит и клиенты получают.

 

Не пашет, собака ><

 

Проверь еще знаешь что! Маршрут с DHCP-сервера на IP, которые прописаны в loopback 0.

Потому-что запросы идут от имени того IP.

Маршруты есть, конечно; и запросы, кстати, идут с того же интерфейса, где dhcp сидит:

 

Вот на dhcp:

11:58:45.402112 IP 10.10.10.224.67 > 10.10.10.143.67: BOOTP/DHCP, Request from 00:0c:29:55:f4:36, length 302
11:58:45.402718 IP 10.10.10.143.67 > 10.10.10.224.67: BOOTP/DHCP, Reply, length 300

 

Да и из дебага циски видно, что ответ к ней прилетает, затык начинается уже дальше - там, где "forwarding BOOTREPLY to client"

 

Дальше-веселее :))

Дебаг с l2-connected:

 

JZQoXX3.png

Share this post


Link to post
Share on other sites

С софтом "игрались" ?

Нуу, перешивал с asr1002x-universalk9.03.13.05.S.154-3.S5-ext.SPA.bin на asr1002x-universalk9.03.16.02.S.155-3.S2-ext.SPA.bin и обратно, сейчас на первой

Share this post


Link to post
Share on other sites

С софтом "игрались" ?

Нуу, перешивал с asr1002x-universalk9.03.13.05.S.154-3.S5-ext.SPA.bin на asr1002x-universalk9.03.16.02.S.155-3.S2-ext.SPA.bin и обратно, сейчас на первой

я к тому, что частенько на форуме видел, что бывают баги и лучше проверять на нескольких версиях софта, когда кажется что всё 100% ок.

Share this post


Link to post
Share on other sites

я к тому, что частенько на форуме видел, что бывают баги и лучше проверять на нескольких версиях софта, когда кажется что всё 100% ок.

Попробовал сейчас на обоих (3.13 и 3.16) - на обоих SIOCSARP ioctl failed при добавлении арп-записи

Блин, это я уже закосячил: после ребута не добавил на лупбеке 10.100.100.1/24, а в конфиге он не был сохранён.

Добавил, ошибок нет, но и `unicasting BOOTREPLY to client 000c.2955.f436` до клиента по прежнему не долетает ;(

 

 

И ещё одна "интересность": после безуспешных попыток получить адрес, клиент не может авторизоваться и по unclassified mac. Запросы не проходят, клиент не видит арпа АСРа; аср не видит арпа клиента.

clera arp / clear route не помогают, помогает только ребут асра (может быть, ещё что-то надо поклирить, пока не нащупал) ;(

После последнего ребута - такого не происходит :/

Edited by Wingman

Share this post


Link to post
Share on other sites

убери все свои строчки касаемо дхцп и сделай как в примере.

ip dhcp drop-inform

ip dhcp relay information option

no ip dhcp relay information check

и хелперы на интерфейсе.

Share this post


Link to post
Share on other sites

Но работает не так как надо. Виндоус например при включенном poll и получении адреса по DHCP начинает говорить про duplicate ip. Но это все для l2-connected, а здесь зачем-то сделано routed.

 

ТС сделай l2-connected и initiator unclassifed mac. Только poll убери. И будет тебе счастье))

Вылезла проблема: без `poll` - оно да, работает, но через энное время - пропадает и не появляется arp-запись. У клиента, соответственно, всё отваливается

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.