Wingman Posted August 31, 2016 Хотелка: QinQ, авторизация по unclassified ip-address, но при этом - релей dhcp через ASR, чтобы выдавать адреса на основе svlan+cvlan. interface TenGigabitEthernet0/2/0.200 description UR-200 encapsulation dot1Q 200 second-dot1q any ip dhcp relay information option server-id-override ip dhcp relay information policy-action replace ip unnumbered Loopback200 poll ip helper-address 10.10.10.143 service-policy type control ISG-POLICY ip subscriber routed initiator unclassified ip-address end Лупбек: interface Loopback200 description UR-200 ip dhcp relay information policy-action replace ip dhcp relay source-interface TenGigabitEthernet0/2/0.50 ip address 10.100.100.1 255.255.255.0 secondary ip address 10.206.141.1 255.255.255.0 end #sh run | in dhcp ip dhcp-relay information option server-override ip dhcp-relay source-interface TenGigabitEthernet0/2/0.50 ip dhcp route connected ip dhcp relay information option vpn ip dhcp relay information trust-all ip dhcp global-options ip dhcp relay information policy-action replace ip dhcp relay source-interface TenGigabitEthernet0/2/0.50 ip dhcp relay information option server-id-override ip dhcp relay information policy-action replace Суть проблемы: на сервер запрос улетает; сервер отвечает в сторону ASR; однако до клиента ответы не доходят. Связность с клиентом 100% есть - если вбить ип руками, всё работает. Дамп от клиента: 19:33:05.457870 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:0c:29:55:f4:36, length 300 19:33:12.609640 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:0c:29:55:f4:36, length 300 19:33:42.264319 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:0c:29:55:f4:36, length 300 debug ip dhcp server packet: Aug 31 16:44:29.020: Option 82 not present Aug 31 16:44:29.020: DHCPD: Reload workspace interface TenGigabitEthernet0/2/0.200 tableid 0. Aug 31 16:44:29.020: DHCPD: tableid for 109.206.141.1 on TenGigabitEthernet0/2/0.200 is 0 Aug 31 16:44:29.020: DHCPD: tableid for 109.206.140.1 on TenGigabitEthernet0/2/0.200 is 0 Aug 31 16:44:29.020: DHCPD: tableid for 109.206.132.1 on TenGigabitEthernet0/2/0.200 is 0 Aug 31 16:44:29.020: DHCPD: tableid for 10.100.100.1 on TenGigabitEthernet0/2/0.200 is 0 Aug 31 16:44:29.020: DHCPD: client's VPN is . Aug 31 16:44:29.020: Option 82 not present Aug 31 16:44:29.020: DHCPD: Looking up binding using address 109.206.141.1 Aug 31 16:44:29.020: DHCPD: setting giaddr to 109.206.141.1. Aug 31 16:44:29.020: DHCPD: adding relay information option. Aug 31 16:44:29.020: DHCPD: giaddr changed to 10.10.10.224 Aug 31 16:44:29.020: DHCPD: BOOTREQUEST from 000c.2955.f436 forwarded to 10.10.10.143. Aug 31 16:44:29.021: Option 82 not present Aug 31 16:44:29.021: DHCPD: Reload workspace interface TenGigabitEthernet0/2/0.50 tableid 0. Aug 31 16:44:29.021: DHCPD: tableid for 10.10.10.224 on TenGigabitEthernet0/2/0.50 is 0 Aug 31 16:44:29.021: DHCPD: client's VPN is . Aug 31 16:44:29.021: DHCPD: forwarding BOOTREPLY to client 000c.2955.f436. Aug 31 16:44:29.021: DHCPD: ARP entry exists (10.100.100.2, 000c.2955.f436). Aug 31 16:44:29.021: DHCPD: egress Interfce TenGigabitEthernet0/2/0.50 Aug 31 16:44:29.021: DHCPD: unicasting BOOTREPLY to client 000c.2955.f436 (10.100.100.2). И, собственно, всё - пакет до клиента не долетает ;( Смущает момент: arp после dhcp-запроса прописывается на лупбек: Protocol Address Age (min) Hardware Addr Type Interface Internet 10.100.100.2 11 000c.2955.f436 LOOPBA Loopback200 Может быть, из-за этого он не на тот интерфейс ответ пуляет? Как арп должен выглядеть в рабочей схеме? В какую сторону ещё можно копнуть? Share this post Link to post Share on other sites More sharing options...
mikezzzz Posted September 1, 2016 а для чег оиспользуете unnumbered poll? в точно такой же конфигурации работает из без poll - asr1k добавляет статические или connected маршруты на основн dhcp binding, poll как-то через ARPу и пытается работать "The polling option enables the dynamic discovery of hosts (connected though the unnumbered interfaces) based on the Address Resolution Protocol (ARP) protocol." Share this post Link to post Share on other sites More sharing options...
buckethead Posted September 1, 2016 Так как l3-connected, промежуточных relay нет? ISG этого не умеет. Share this post Link to post Share on other sites More sharing options...
vurd Posted September 1, 2016 а для чег оиспользуете unnumbered poll? в точно такой же конфигурации работает из без poll - asr1k добавляет статические или connected маршруты на основн dhcp binding, poll как-то через ARPу и пытается работать "The polling option enables the dynamic discovery of hosts (connected though the unnumbered interfaces) based on the Address Resolution Protocol (ARP) protocol." Это у него, чтобы статиком можно было ставить адреса, а не только по dhcp получать. Share this post Link to post Share on other sites More sharing options...
S.Sannikov Posted September 1, 2016 а для чег оиспользуете unnumbered poll? в точно такой же конфигурации работает из без poll - asr1k добавляет статические или connected маршруты на основн dhcp binding, poll как-то через ARPу и пытается работать "The polling option enables the dynamic discovery of hosts (connected though the unnumbered interfaces) based on the Address Resolution Protocol (ARP) protocol." Это у него, чтобы статиком можно было ставить адреса, а не только по dhcp получать. Но работает не так как надо. Виндоус например при включенном poll и получении адреса по DHCP начинает говорить про duplicate ip. Но это все для l2-connected, а здесь зачем-то сделано routed. ТС сделай l2-connected и initiator unclassifed mac. Только poll убери. И будет тебе счастье)) Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 1, 2016 (edited) Это у него, чтобы статиком можно было ставить адреса, а не только по dhcp получать. Да, именно так Но работает не так как надо. Виндоус например при включенном poll и получении адреса по DHCP начинает говорить про duplicate ip. Но это все для l2-connected, а здесь зачем-то сделано routed. ТС сделай l2-connected и initiator unclassifed mac. Только poll убери. И будет тебе счастье)) Балин... Да, на венде это заметил, думал, баг какой-то =\ Почему-то думал, что initiator mac будет слать в радиус только mac как идентификатор. Сейчас сделал L2-connected + initiator mac - авторизация работает, но с релеем - та же шляпа Sep 1 07:20:26.053: DHCPD: BOOTREQUEST from 000c.2955.f436 forwarded to 10.10.10.143. Sep 1 07:20:26.054: Option 82 not present Sep 1 07:20:26.054: DHCPD: Reload workspace interface TenGigabitEthernet0/2/0.50 tableid 0. Sep 1 07:20:26.054: DHCPD: tableid for 10.10.10.224 on TenGigabitEthernet0/2/0.50 is 0 Sep 1 07:20:26.054: DHCPD: client's VPN is . Sep 1 07:20:26.054: DHCPD: forwarding BOOTREPLY to client 000c.2955.f436. Sep 1 07:20:26.054: DHCPD: creating ARP entry (10.100.100.2, 000c.2955.f436, vrf default). Sep 1 07:20:26.055: DHCPD: egress Interfce TenGigabitEthernet0/2/0.50 Sep 1 07:20:26.055: DHCPD: unicasting BOOTREPLY to client 000c.2955.f436 (10.100.100.2).und all Однако до клиента ответы таки нихрена не долетают =\ Так как l3-connected, промежуточных relay нет? ISG этого не умеет. Вот тут я удивился. Т.е. оно не умеет юникастить до клиентского мака? Обязательно релей на доступе должен релеить в ASR, а он - отвечать оффером только в свитч доступа? Кто-нибуть может подтвердить? p.s. Но это тоже херня получится: с акцесса запрос придёт из управляющего влана, а мне нужно, чтобы asr в запрос навешивал данные об s-vlan + c-vlan Edited September 1, 2016 by Wingman Share this post Link to post Share on other sites More sharing options...
purecopper Posted September 1, 2016 Wingman а если на аксессе opt82 включить? Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 1, 2016 Wingman а если на аксессе opt82 включить? Я же говорю, если релеить акцесом - в opt82 не будет инфы о slvan+cvlan Share this post Link to post Share on other sites More sharing options...
purecopper Posted September 1, 2016 Wingman точно, ступил. Мы в данной ситуации используем Remote-id+circuit-id, а не svid+cvid. А можно ли opt82 поднять на агрегацию? Share this post Link to post Share on other sites More sharing options...
S.Sannikov Posted September 1, 2016 ip dhcp drop-inform ip dhcp relay information option no ip dhcp relay information check interface Port-channel1.3901 encapsulation dot1Q 3901 second-dot1q 101-1000,1101-1599,1601-1999,2101-3000,3051-3074,4001 ip unnumbered Loopback0 ip helper-address ххх.ххх.ххх.ххх ip helper-address ххх.ххх.ххх.ххх no ip redirects no ip unreachables ip nat inside pppoe enable group global pppoe max-sessions 10000 service-policy type control ISG-CUSTOMERS-POLICY ip subscriber l2-connected initiator unclassified mac-address Вот так работает. Релеит и клиенты получают. Проверь еще знаешь что! Маршрут с DHCP-сервера на IP, которые прописаны в loopback 0. Потому-что запросы идут от имени того IP. Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 1, 2016 Вот так работает. Релеит и клиенты получают. Не пашет, собака >< Проверь еще знаешь что! Маршрут с DHCP-сервера на IP, которые прописаны в loopback 0. Потому-что запросы идут от имени того IP. Маршруты есть, конечно; и запросы, кстати, идут с того же интерфейса, где dhcp сидит: Вот на dhcp: 11:58:45.402112 IP 10.10.10.224.67 > 10.10.10.143.67: BOOTP/DHCP, Request from 00:0c:29:55:f4:36, length 302 11:58:45.402718 IP 10.10.10.143.67 > 10.10.10.224.67: BOOTP/DHCP, Reply, length 300 Да и из дебага циски видно, что ответ к ней прилетает, затык начинается уже дальше - там, где "forwarding BOOTREPLY to client" Дальше-веселее :)) Дебаг с l2-connected: Share this post Link to post Share on other sites More sharing options...
Butch3r Posted September 1, 2016 С софтом "игрались" ? Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 1, 2016 С софтом "игрались" ? Нуу, перешивал с asr1002x-universalk9.03.13.05.S.154-3.S5-ext.SPA.bin на asr1002x-universalk9.03.16.02.S.155-3.S2-ext.SPA.bin и обратно, сейчас на первой Share this post Link to post Share on other sites More sharing options...
Butch3r Posted September 1, 2016 С софтом "игрались" ? Нуу, перешивал с asr1002x-universalk9.03.13.05.S.154-3.S5-ext.SPA.bin на asr1002x-universalk9.03.16.02.S.155-3.S2-ext.SPA.bin и обратно, сейчас на первой я к тому, что частенько на форуме видел, что бывают баги и лучше проверять на нескольких версиях софта, когда кажется что всё 100% ок. Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 1, 2016 S.Sannikov, а у вас какой софт, если не секрет? Не поделитесь иосом? Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 1, 2016 (edited) я к тому, что частенько на форуме видел, что бывают баги и лучше проверять на нескольких версиях софта, когда кажется что всё 100% ок. Попробовал сейчас на обоих (3.13 и 3.16) - на обоих SIOCSARP ioctl failed при добавлении арп-записи Блин, это я уже закосячил: после ребута не добавил на лупбеке 10.100.100.1/24, а в конфиге он не был сохранён. Добавил, ошибок нет, но и `unicasting BOOTREPLY to client 000c.2955.f436` до клиента по прежнему не долетает ;( И ещё одна "интересность": после безуспешных попыток получить адрес, клиент не может авторизоваться и по unclassified mac. Запросы не проходят, клиент не видит арпа АСРа; аср не видит арпа клиента. clera arp / clear route не помогают, помогает только ребут асра (может быть, ещё что-то надо поклирить, пока не нащупал) ;( После последнего ребута - такого не происходит :/ Edited September 1, 2016 by Wingman Share this post Link to post Share on other sites More sharing options...
zhenya` Posted September 1, 2016 initiator dhcp Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 1, 2016 Да в том-то и дело, что мне не нужен initiator dhcp Share this post Link to post Share on other sites More sharing options...
zhenya` Posted September 1, 2016 убери политику исг на время. посмотри будет ли работать релей. Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 1, 2016 Убирал, не работает Share this post Link to post Share on other sites More sharing options...
zhenya` Posted September 1, 2016 убери все свои строчки касаемо дхцп и сделай как в примере. ip dhcp drop-inform ip dhcp relay information option no ip dhcp relay information check и хелперы на интерфейсе. Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 1, 2016 Ты не поверишь... ;( Не пашет Share this post Link to post Share on other sites More sharing options...
zhenya` Posted September 1, 2016 а если убрать аннамберед ? и ипы на интерфейс назначить ? Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 1, 2016 А смысл? Даже если взлетит, для меня будет уже неприменимо ;( Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 1, 2016 Но работает не так как надо. Виндоус например при включенном poll и получении адреса по DHCP начинает говорить про duplicate ip. Но это все для l2-connected, а здесь зачем-то сделано routed. ТС сделай l2-connected и initiator unclassifed mac. Только poll убери. И будет тебе счастье)) Вылезла проблема: без `poll` - оно да, работает, но через энное время - пропадает и не появляется arp-запись. У клиента, соответственно, всё отваливается Share this post Link to post Share on other sites More sharing options...
