Wingman Posted September 1, 2016 Продолжаю мучения с аср :) Немного в ступоре. Конфиг интерфейса: interface TenGigabitEthernet0/2/0.4020 encapsulation dot1Q 4020 second-dot1q any ip unnumbered Loopback4020 service-policy type control ISG-POLICY ip subscriber l2-connected initiator unclassified mac-address ipv4 end Конфиг лупбека: interface Loopback4020 ip address 10.100.100.1 255.255.255.0 secondary ip address 10.200.200.1 255.255.255.0 end Так - ничего не работает. Клиент из сети 10.100.100/24 не видит АСР, АСР не видит клиента. Арпов нет с обоих сторон. Но стоит убрать unnumbered, как всё начинает летать: interface TenGigabitEthernet0/2/0.4020 encapsulation dot1Q 4020 second-dot1q any ip address 10.100.100.1 255.255.255.0 secondary ip address 10.200.200.1 255.255.255.0 no ip redirects no ip unreachables service-policy type control ISG-POLICY ip subscriber l2-connected initiator unclassified mac-address ipv4 end Арпы тут же появляются, пинги ходят, юзеры авторизуются. В чем может быть косяк? Рабочая же схема... p.s. пробовал на разных иосах: 3.13 и 3.16 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
buckethead Posted September 2, 2016 А в первом варианте с unnumbered - есть сессия для этого mac? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 2, 2016 А в первом варианте с unnumbered - есть сессия для этого mac? Нет, нету Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
buckethead Posted September 2, 2016 Ну так у вас форвардинга не будет, потому что нет сессии клиента. В чём криминал? Разбирайтесь, почему нет сетапа сессии. Вот это вообще о чём? initiator unclassified mac-address ipv4 C unclassified mac не работал, ipv4 что даёт? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 2, 2016 Ну так у вас форвардинга не будет, потому что нет сессии клиента. В чём криминал? Разбирайтесь, почему нет сетапа сессии. Так в том-то и проблема, блин, что сессия и не пытается создаваться; арпов/маков на кошке и на клиенте не появляется C unclassified mac не работал, ipv4 что даёт? Сессия инициируется только для v4-трафиком, v6 игнорируется Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
buckethead Posted September 2, 2016 Понял. А что вот здесь? service-policy type control ISG-POLICY Сессия инициируется только для v4-трафиком, v6 игнорируется А v6-сессии вообще поддерживаются? Вроде же только paththrough? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 2, 2016 Понял. А что вот здесь? service-policy type control ISG-POLICY policy-map type control ISG-POLICY class type control CLASS-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event session-start 10 authorize aaa list ISG-AUTH password radius identifier source-ip-address 20 set-timer TIMER-UNAUTH 3 30 service-policy type service name SERVICE-TRUSTED 40 service-policy type service name SERVICE-REDIR ! class type control always event radius-timeout 10 service-policy type service name SERVICE-TRUSTED 20 service-policy type service name SERVICE-REDIR 30 set-timer TIMER-UNAUTH 1 ! class type control always event access-reject 10 service-policy type service name SERVICE-TRUSTED 20 service-policy type service name SERVICE-REDIR-INET 30 service-policy type service name SERVICE-REDIR-LOCAL 50 set-timer TIMER-UNAUTH 5 ! Сессия инициируется только для v4-трафиком, v6 игнорируется А v6-сессии вообще поддерживаются? Вроде же только paththrough? Вроде как поддерживаются, только не в одной сессии с v4, а в разных Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
buckethead Posted September 2, 2016 identifier source-ip-address Для unclassified mac работать не будет скорее всего, пробуйте identifier mac-address, remote-id, nas-port и другие. У нас схема l2-connected, initiator - dhcp, циска - релей, авторизация по remote-id, из которого достаётся svlan, cvlan, на доступе никаких релеев, опций, снупингов и прочей херни. На агрегации тоже, только qinq/selective qinq. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 2, 2016 identifier source-ip-address Для unclassified mac работать не будет скорее всего, пробуйте identifier mac-address, remote-id, nas-port и другие. У нас схема l2-connected, initiator - dhcp, циска - релей, авторизация по remote-id, из которого достаётся svlan, cvlan, на доступе никаких релеев, опций, снупингов и прочей херни. На агрегации тоже, только qinq/selective qinq. Так работает же. Только не на unnumbered-интерфейсах =\ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
buckethead Posted September 2, 2016 Наверное поэтому и не работает, что unnumbered. На unnumbered еще и interface session не работает. Точнее работает, но только один раз. Вообще, а какой смысл для l2-connected схемы использовать l3-идентификатор? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 2, 2016 Наверное поэтому и не работает, что unnumbered. На unnumbered еще и interface session не работает. Точнее работает, но только один раз. Вообще, а какой смысл для l2-connected схемы использовать l3-идентификатор? Понял, крайне прискорбно ;( Смысл в том, что в билинге хранятся ip`шники. Хранить маки и при смене железа у юзера их перепрописывать - крайне не хочется Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
buckethead Posted September 2, 2016 Ну надо делать l3-connected unclassified-ip. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 2, 2016 Ну надо делать l3-connected unclassified-ip. Изначально так и делал; без poll тоже не взлетало Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tractor_driver Posted September 2, 2016 (edited) в случае с interface TenGigabitEthernet0/2/0.4020 encapsulation dot1Q 4020 second-dot1q any ip unnumbered Loopback4020 /32 маршрут есть на клиента? (должен создаватьcя автоматически при получении по dhcp - asr сервер или релей) Edited September 2, 2016 by tractor_driver Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 2, 2016 Хотел завести без dhcp Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tractor_driver Posted September 2, 2016 Хотел завести без dhcp попробуйте тогда маршрут вручную прописать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 2, 2016 Так а смысл? Даже если взлетит - не прописывать же всем клиентам, весь смысл в динамике Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tractor_driver Posted September 2, 2016 Так а смысл? Даже если взлетит - не прописывать же всем клиентам, весь смысл в динамике ну тогда ничего не получится, ибо ip unnumbered по другому не будет работать, ip придется вешать непосредственно на sub-if Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 2, 2016 Да, я уже примерно понял, спасибо ;( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 2, 2016 Совсем другая проблема, но не хочу ещё одну тему плодить. ASR отдаёт в аккаунтинг-стоп acct-input-* и acct-output-* по два раза. Что совсем не по rfc, и радиус с билингом закономерно не хотят пережёвывать такой аккаунтинг. asr: ASR1-224#sh run | in accou aaa accounting delay-start all aaa accounting update periodic 10 aaa accounting network default start-stop group radius aaa accounting network ISG-AUTH start-stop group RG-ISG-AUTH subscriber service session-accounting subscriber service accounting interim-interval 10 aaa accounting network ISG-AUTH start-stop group RG-ISG-AUTH 10 authorize aaa list ISG-AUTH password radius identifier source-ip-address С радиуса при авторизации прилетает Cisco-Avpair := accounting-list=ISG-AUTH, чтобы аккаунтинг работал для сессии. Дебаг циски: Sep 2 19:01:50.775: RADIUS: authenticator A1 58 02 9B 62 4A FA 26 - 64 04 B3 E7 1B 73 B2 C1 Sep 2 19:01:50.775: RADIUS: Acct-Session-Id [44] 10 "00000AA4" Sep 2 19:01:50.775: RADIUS: Framed-IP-Address [8] 6 10.206.141.100 Sep 2 19:01:50.775: RADIUS: Framed-Protocol [7] 6 PPP [1] Sep 2 19:01:50.776: RADIUS: Acct-Input-Packets [47] 6 7690 Sep 2 19:01:50.776: RADIUS: Acct-Output-Packets [48] 6 7694 Sep 2 19:01:50.776: RADIUS: Acct-Input-Octets [42] 6 672134 Sep 2 19:01:50.776: RADIUS: Acct-Output-Octets [43] 6 668824 Sep 2 19:01:50.776: RADIUS: Vendor, Cisco [26] 17 Sep 2 19:01:50.776: RADIUS: ssg-control-info [253] 11 "I0;672134" Sep 2 19:01:50.776: RADIUS: Vendor, Cisco [26] 17 Sep 2 19:01:50.776: RADIUS: ssg-control-info [253] 11 "O0;668824" Sep 2 19:01:50.776: RADIUS: User-Name [1] 17 "10.206.141.100" Sep 2 19:01:50.776: RADIUS: Acct-Authentic [45] 6 Local [2] Sep 2 19:01:50.776: RADIUS: Vendor, Cisco [26] 32 Sep 2 19:01:50.776: RADIUS: Cisco AVpair [1] 26 "connect-progress=Call Up" Sep 2 19:01:50.776: RADIUS: Acct-Session-Time [46] 6 7343 Sep 2 19:01:50.776: RADIUS: Acct-Input-Octets [42] 6 579163 Sep 2 19:01:50.776: RADIUS: Acct-Output-Octets [43] 6 576636 Sep 2 19:01:50.776: RADIUS: Acct-Input-Packets [47] 6 6589 Sep 2 19:01:50.776: RADIUS: Acct-Output-Packets [48] 6 6590 Sep 2 19:01:50.776: RADIUS: Acct-Terminate-Cause[49] 6 admin-reset [6] Sep 2 19:01:50.776: RADIUS: Vendor, Cisco [26] 39 Sep 2 19:01:50.776: RADIUS: Cisco AVpair [1] 33 "disc-cause-ext=Local Admin Disc" Sep 2 19:01:50.776: RADIUS: Acct-Status-Type [40] 6 Stop [2] Sep 2 19:01:50.776: RADIUS: NAS-Port-Type [61] 6 Virtual [5] Sep 2 19:01:50.776: RADIUS: NAS-Port [5] 6 Acct-Input-Packets, Acct-Output-Packets, Acct-Input-Octets, Acct-Output-Octets - в запросе по два раза, причем значения отличаются. С чем такое может быть связано? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
buckethead Posted September 3, 2016 aaa accounting network default start-stop group radiusaaa accounting network ISG-AUTH start-stop group RG-ISG-AUTH Я не совсем уверен, но может вот здесь? У вас еще для чего-то используется default список, может попробовать его исключить? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 3, 2016 Нет, это я уже сейчас накрутил... Исключение не пмогло Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted September 3, 2016 в сервисах случаешь не отправляешь ? еще один акаунтинг лист Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 3, 2016 Не, аккаунтинг-лист навешивается один: Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 4, 2016 (edited) В общем, такая хрень происходит только если навешивать аккаунтинг-полиси радиусом. Если тот же самый аккаунтинг-лист навешивать вручную в общей полиси-мапе, аккаунтинг отправляется валидный. А также, если передавать не Cisco AVpair := "accounting-list=ISG-ACCT", а Cisco-Account-Info := "Aall-inet-svc", где all-inet-svc: #sh run | s all-inet-svc policy-map type service all-inet-svc class type traffic all-inet accounting aaa list ISG-ACCT ! class type traffic default in-out drop ! то аккаунтинг работает правильно. Edited September 4, 2016 by Wingman Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
