Wingman Posted August 31, 2016 · Report post Хотелка: QinQ, авторизация по unclassified ip-address, но при этом - релей dhcp через ASR, чтобы выдавать адреса на основе svlan+cvlan. interface TenGigabitEthernet0/2/0.200 description UR-200 encapsulation dot1Q 200 second-dot1q any ip dhcp relay information option server-id-override ip dhcp relay information policy-action replace ip unnumbered Loopback200 poll ip helper-address 10.10.10.143 service-policy type control ISG-POLICY ip subscriber routed initiator unclassified ip-address end Лупбек: interface Loopback200 description UR-200 ip dhcp relay information policy-action replace ip dhcp relay source-interface TenGigabitEthernet0/2/0.50 ip address 10.100.100.1 255.255.255.0 secondary ip address 10.206.141.1 255.255.255.0 end #sh run | in dhcp ip dhcp-relay information option server-override ip dhcp-relay source-interface TenGigabitEthernet0/2/0.50 ip dhcp route connected ip dhcp relay information option vpn ip dhcp relay information trust-all ip dhcp global-options ip dhcp relay information policy-action replace ip dhcp relay source-interface TenGigabitEthernet0/2/0.50 ip dhcp relay information option server-id-override ip dhcp relay information policy-action replace Суть проблемы: на сервер запрос улетает; сервер отвечает в сторону ASR; однако до клиента ответы не доходят. Связность с клиентом 100% есть - если вбить ип руками, всё работает. Дамп от клиента: 19:33:05.457870 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:0c:29:55:f4:36, length 300 19:33:12.609640 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:0c:29:55:f4:36, length 300 19:33:42.264319 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:0c:29:55:f4:36, length 300 debug ip dhcp server packet: Aug 31 16:44:29.020: Option 82 not present Aug 31 16:44:29.020: DHCPD: Reload workspace interface TenGigabitEthernet0/2/0.200 tableid 0. Aug 31 16:44:29.020: DHCPD: tableid for 109.206.141.1 on TenGigabitEthernet0/2/0.200 is 0 Aug 31 16:44:29.020: DHCPD: tableid for 109.206.140.1 on TenGigabitEthernet0/2/0.200 is 0 Aug 31 16:44:29.020: DHCPD: tableid for 109.206.132.1 on TenGigabitEthernet0/2/0.200 is 0 Aug 31 16:44:29.020: DHCPD: tableid for 10.100.100.1 on TenGigabitEthernet0/2/0.200 is 0 Aug 31 16:44:29.020: DHCPD: client's VPN is . Aug 31 16:44:29.020: Option 82 not present Aug 31 16:44:29.020: DHCPD: Looking up binding using address 109.206.141.1 Aug 31 16:44:29.020: DHCPD: setting giaddr to 109.206.141.1. Aug 31 16:44:29.020: DHCPD: adding relay information option. Aug 31 16:44:29.020: DHCPD: giaddr changed to 10.10.10.224 Aug 31 16:44:29.020: DHCPD: BOOTREQUEST from 000c.2955.f436 forwarded to 10.10.10.143. Aug 31 16:44:29.021: Option 82 not present Aug 31 16:44:29.021: DHCPD: Reload workspace interface TenGigabitEthernet0/2/0.50 tableid 0. Aug 31 16:44:29.021: DHCPD: tableid for 10.10.10.224 on TenGigabitEthernet0/2/0.50 is 0 Aug 31 16:44:29.021: DHCPD: client's VPN is . Aug 31 16:44:29.021: DHCPD: forwarding BOOTREPLY to client 000c.2955.f436. Aug 31 16:44:29.021: DHCPD: ARP entry exists (10.100.100.2, 000c.2955.f436). Aug 31 16:44:29.021: DHCPD: egress Interfce TenGigabitEthernet0/2/0.50 Aug 31 16:44:29.021: DHCPD: unicasting BOOTREPLY to client 000c.2955.f436 (10.100.100.2). И, собственно, всё - пакет до клиента не долетает ;( Смущает момент: arp после dhcp-запроса прописывается на лупбек: Protocol Address Age (min) Hardware Addr Type Interface Internet 10.100.100.2 11 000c.2955.f436 LOOPBA Loopback200 Может быть, из-за этого он не на тот интерфейс ответ пуляет? Как арп должен выглядеть в рабочей схеме? В какую сторону ещё можно копнуть? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mikezzzz Posted September 1, 2016 · Report post а для чег оиспользуете unnumbered poll? в точно такой же конфигурации работает из без poll - asr1k добавляет статические или connected маршруты на основн dhcp binding, poll как-то через ARPу и пытается работать "The polling option enables the dynamic discovery of hosts (connected though the unnumbered interfaces) based on the Address Resolution Protocol (ARP) protocol." Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
buckethead Posted September 1, 2016 · Report post Так как l3-connected, промежуточных relay нет? ISG этого не умеет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted September 1, 2016 · Report post а для чег оиспользуете unnumbered poll? в точно такой же конфигурации работает из без poll - asr1k добавляет статические или connected маршруты на основн dhcp binding, poll как-то через ARPу и пытается работать "The polling option enables the dynamic discovery of hosts (connected though the unnumbered interfaces) based on the Address Resolution Protocol (ARP) protocol." Это у него, чтобы статиком можно было ставить адреса, а не только по dhcp получать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
S.Sannikov Posted September 1, 2016 · Report post а для чег оиспользуете unnumbered poll? в точно такой же конфигурации работает из без poll - asr1k добавляет статические или connected маршруты на основн dhcp binding, poll как-то через ARPу и пытается работать "The polling option enables the dynamic discovery of hosts (connected though the unnumbered interfaces) based on the Address Resolution Protocol (ARP) protocol." Это у него, чтобы статиком можно было ставить адреса, а не только по dhcp получать. Но работает не так как надо. Виндоус например при включенном poll и получении адреса по DHCP начинает говорить про duplicate ip. Но это все для l2-connected, а здесь зачем-то сделано routed. ТС сделай l2-connected и initiator unclassifed mac. Только poll убери. И будет тебе счастье)) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 1, 2016 (edited) · Report post Это у него, чтобы статиком можно было ставить адреса, а не только по dhcp получать. Да, именно так Но работает не так как надо. Виндоус например при включенном poll и получении адреса по DHCP начинает говорить про duplicate ip. Но это все для l2-connected, а здесь зачем-то сделано routed. ТС сделай l2-connected и initiator unclassifed mac. Только poll убери. И будет тебе счастье)) Балин... Да, на венде это заметил, думал, баг какой-то =\ Почему-то думал, что initiator mac будет слать в радиус только mac как идентификатор. Сейчас сделал L2-connected + initiator mac - авторизация работает, но с релеем - та же шляпа Sep 1 07:20:26.053: DHCPD: BOOTREQUEST from 000c.2955.f436 forwarded to 10.10.10.143. Sep 1 07:20:26.054: Option 82 not present Sep 1 07:20:26.054: DHCPD: Reload workspace interface TenGigabitEthernet0/2/0.50 tableid 0. Sep 1 07:20:26.054: DHCPD: tableid for 10.10.10.224 on TenGigabitEthernet0/2/0.50 is 0 Sep 1 07:20:26.054: DHCPD: client's VPN is . Sep 1 07:20:26.054: DHCPD: forwarding BOOTREPLY to client 000c.2955.f436. Sep 1 07:20:26.054: DHCPD: creating ARP entry (10.100.100.2, 000c.2955.f436, vrf default). Sep 1 07:20:26.055: DHCPD: egress Interfce TenGigabitEthernet0/2/0.50 Sep 1 07:20:26.055: DHCPD: unicasting BOOTREPLY to client 000c.2955.f436 (10.100.100.2).und all Однако до клиента ответы таки нихрена не долетают =\ Так как l3-connected, промежуточных relay нет? ISG этого не умеет. Вот тут я удивился. Т.е. оно не умеет юникастить до клиентского мака? Обязательно релей на доступе должен релеить в ASR, а он - отвечать оффером только в свитч доступа? Кто-нибуть может подтвердить? p.s. Но это тоже херня получится: с акцесса запрос придёт из управляющего влана, а мне нужно, чтобы asr в запрос навешивал данные об s-vlan + c-vlan Edited September 1, 2016 by Wingman Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
purecopper Posted September 1, 2016 · Report post Wingman а если на аксессе opt82 включить? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 1, 2016 · Report post Wingman а если на аксессе opt82 включить? Я же говорю, если релеить акцесом - в opt82 не будет инфы о slvan+cvlan Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
purecopper Posted September 1, 2016 · Report post Wingman точно, ступил. Мы в данной ситуации используем Remote-id+circuit-id, а не svid+cvid. А можно ли opt82 поднять на агрегацию? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
S.Sannikov Posted September 1, 2016 · Report post ip dhcp drop-inform ip dhcp relay information option no ip dhcp relay information check interface Port-channel1.3901 encapsulation dot1Q 3901 second-dot1q 101-1000,1101-1599,1601-1999,2101-3000,3051-3074,4001 ip unnumbered Loopback0 ip helper-address ххх.ххх.ххх.ххх ip helper-address ххх.ххх.ххх.ххх no ip redirects no ip unreachables ip nat inside pppoe enable group global pppoe max-sessions 10000 service-policy type control ISG-CUSTOMERS-POLICY ip subscriber l2-connected initiator unclassified mac-address Вот так работает. Релеит и клиенты получают. Проверь еще знаешь что! Маршрут с DHCP-сервера на IP, которые прописаны в loopback 0. Потому-что запросы идут от имени того IP. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 1, 2016 · Report post Вот так работает. Релеит и клиенты получают. Не пашет, собака >< Проверь еще знаешь что! Маршрут с DHCP-сервера на IP, которые прописаны в loopback 0. Потому-что запросы идут от имени того IP. Маршруты есть, конечно; и запросы, кстати, идут с того же интерфейса, где dhcp сидит: Вот на dhcp: 11:58:45.402112 IP 10.10.10.224.67 > 10.10.10.143.67: BOOTP/DHCP, Request from 00:0c:29:55:f4:36, length 302 11:58:45.402718 IP 10.10.10.143.67 > 10.10.10.224.67: BOOTP/DHCP, Reply, length 300 Да и из дебага циски видно, что ответ к ней прилетает, затык начинается уже дальше - там, где "forwarding BOOTREPLY to client" Дальше-веселее :)) Дебаг с l2-connected: Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Butch3r Posted September 1, 2016 · Report post С софтом "игрались" ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 1, 2016 · Report post С софтом "игрались" ? Нуу, перешивал с asr1002x-universalk9.03.13.05.S.154-3.S5-ext.SPA.bin на asr1002x-universalk9.03.16.02.S.155-3.S2-ext.SPA.bin и обратно, сейчас на первой Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Butch3r Posted September 1, 2016 · Report post С софтом "игрались" ? Нуу, перешивал с asr1002x-universalk9.03.13.05.S.154-3.S5-ext.SPA.bin на asr1002x-universalk9.03.16.02.S.155-3.S2-ext.SPA.bin и обратно, сейчас на первой я к тому, что частенько на форуме видел, что бывают баги и лучше проверять на нескольких версиях софта, когда кажется что всё 100% ок. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 1, 2016 · Report post S.Sannikov, а у вас какой софт, если не секрет? Не поделитесь иосом? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 1, 2016 (edited) · Report post я к тому, что частенько на форуме видел, что бывают баги и лучше проверять на нескольких версиях софта, когда кажется что всё 100% ок. Попробовал сейчас на обоих (3.13 и 3.16) - на обоих SIOCSARP ioctl failed при добавлении арп-записи Блин, это я уже закосячил: после ребута не добавил на лупбеке 10.100.100.1/24, а в конфиге он не был сохранён. Добавил, ошибок нет, но и `unicasting BOOTREPLY to client 000c.2955.f436` до клиента по прежнему не долетает ;( И ещё одна "интересность": после безуспешных попыток получить адрес, клиент не может авторизоваться и по unclassified mac. Запросы не проходят, клиент не видит арпа АСРа; аср не видит арпа клиента. clera arp / clear route не помогают, помогает только ребут асра (может быть, ещё что-то надо поклирить, пока не нащупал) ;( После последнего ребута - такого не происходит :/ Edited September 1, 2016 by Wingman Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted September 1, 2016 · Report post initiator dhcp Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 1, 2016 · Report post Да в том-то и дело, что мне не нужен initiator dhcp Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted September 1, 2016 · Report post убери политику исг на время. посмотри будет ли работать релей. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 1, 2016 · Report post Убирал, не работает Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted September 1, 2016 · Report post убери все свои строчки касаемо дхцп и сделай как в примере. ip dhcp drop-inform ip dhcp relay information option no ip dhcp relay information check и хелперы на интерфейсе. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 1, 2016 · Report post Ты не поверишь... ;( Не пашет Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted September 1, 2016 · Report post а если убрать аннамберед ? и ипы на интерфейс назначить ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 1, 2016 · Report post А смысл? Даже если взлетит, для меня будет уже неприменимо ;( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 1, 2016 · Report post Но работает не так как надо. Виндоус например при включенном poll и получении адреса по DHCP начинает говорить про duplicate ip. Но это все для l2-connected, а здесь зачем-то сделано routed. ТС сделай l2-connected и initiator unclassifed mac. Только poll убери. И будет тебе счастье)) Вылезла проблема: без `poll` - оно да, работает, но через энное время - пропадает и не появляется arp-запись. У клиента, соответственно, всё отваливается Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...