Wingman Опубликовано 1 сентября, 2016 · Жалоба Продолжаю мучения с аср :) Немного в ступоре. Конфиг интерфейса: interface TenGigabitEthernet0/2/0.4020 encapsulation dot1Q 4020 second-dot1q any ip unnumbered Loopback4020 service-policy type control ISG-POLICY ip subscriber l2-connected initiator unclassified mac-address ipv4 end Конфиг лупбека: interface Loopback4020 ip address 10.100.100.1 255.255.255.0 secondary ip address 10.200.200.1 255.255.255.0 end Так - ничего не работает. Клиент из сети 10.100.100/24 не видит АСР, АСР не видит клиента. Арпов нет с обоих сторон. Но стоит убрать unnumbered, как всё начинает летать: interface TenGigabitEthernet0/2/0.4020 encapsulation dot1Q 4020 second-dot1q any ip address 10.100.100.1 255.255.255.0 secondary ip address 10.200.200.1 255.255.255.0 no ip redirects no ip unreachables service-policy type control ISG-POLICY ip subscriber l2-connected initiator unclassified mac-address ipv4 end Арпы тут же появляются, пинги ходят, юзеры авторизуются. В чем может быть косяк? Рабочая же схема... p.s. пробовал на разных иосах: 3.13 и 3.16 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
buckethead Опубликовано 2 сентября, 2016 · Жалоба А в первом варианте с unnumbered - есть сессия для этого mac? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 2 сентября, 2016 · Жалоба А в первом варианте с unnumbered - есть сессия для этого mac? Нет, нету Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
buckethead Опубликовано 2 сентября, 2016 · Жалоба Ну так у вас форвардинга не будет, потому что нет сессии клиента. В чём криминал? Разбирайтесь, почему нет сетапа сессии. Вот это вообще о чём? initiator unclassified mac-address ipv4 C unclassified mac не работал, ipv4 что даёт? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 2 сентября, 2016 · Жалоба Ну так у вас форвардинга не будет, потому что нет сессии клиента. В чём криминал? Разбирайтесь, почему нет сетапа сессии. Так в том-то и проблема, блин, что сессия и не пытается создаваться; арпов/маков на кошке и на клиенте не появляется C unclassified mac не работал, ipv4 что даёт? Сессия инициируется только для v4-трафиком, v6 игнорируется Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
buckethead Опубликовано 2 сентября, 2016 · Жалоба Понял. А что вот здесь? service-policy type control ISG-POLICY Сессия инициируется только для v4-трафиком, v6 игнорируется А v6-сессии вообще поддерживаются? Вроде же только paththrough? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 2 сентября, 2016 · Жалоба Понял. А что вот здесь? service-policy type control ISG-POLICY policy-map type control ISG-POLICY class type control CLASS-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event session-start 10 authorize aaa list ISG-AUTH password radius identifier source-ip-address 20 set-timer TIMER-UNAUTH 3 30 service-policy type service name SERVICE-TRUSTED 40 service-policy type service name SERVICE-REDIR ! class type control always event radius-timeout 10 service-policy type service name SERVICE-TRUSTED 20 service-policy type service name SERVICE-REDIR 30 set-timer TIMER-UNAUTH 1 ! class type control always event access-reject 10 service-policy type service name SERVICE-TRUSTED 20 service-policy type service name SERVICE-REDIR-INET 30 service-policy type service name SERVICE-REDIR-LOCAL 50 set-timer TIMER-UNAUTH 5 ! Сессия инициируется только для v4-трафиком, v6 игнорируется А v6-сессии вообще поддерживаются? Вроде же только paththrough? Вроде как поддерживаются, только не в одной сессии с v4, а в разных Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
buckethead Опубликовано 2 сентября, 2016 · Жалоба identifier source-ip-address Для unclassified mac работать не будет скорее всего, пробуйте identifier mac-address, remote-id, nas-port и другие. У нас схема l2-connected, initiator - dhcp, циска - релей, авторизация по remote-id, из которого достаётся svlan, cvlan, на доступе никаких релеев, опций, снупингов и прочей херни. На агрегации тоже, только qinq/selective qinq. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 2 сентября, 2016 · Жалоба identifier source-ip-address Для unclassified mac работать не будет скорее всего, пробуйте identifier mac-address, remote-id, nas-port и другие. У нас схема l2-connected, initiator - dhcp, циска - релей, авторизация по remote-id, из которого достаётся svlan, cvlan, на доступе никаких релеев, опций, снупингов и прочей херни. На агрегации тоже, только qinq/selective qinq. Так работает же. Только не на unnumbered-интерфейсах =\ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
buckethead Опубликовано 2 сентября, 2016 · Жалоба Наверное поэтому и не работает, что unnumbered. На unnumbered еще и interface session не работает. Точнее работает, но только один раз. Вообще, а какой смысл для l2-connected схемы использовать l3-идентификатор? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 2 сентября, 2016 · Жалоба Наверное поэтому и не работает, что unnumbered. На unnumbered еще и interface session не работает. Точнее работает, но только один раз. Вообще, а какой смысл для l2-connected схемы использовать l3-идентификатор? Понял, крайне прискорбно ;( Смысл в том, что в билинге хранятся ip`шники. Хранить маки и при смене железа у юзера их перепрописывать - крайне не хочется Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
buckethead Опубликовано 2 сентября, 2016 · Жалоба Ну надо делать l3-connected unclassified-ip. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 2 сентября, 2016 · Жалоба Ну надо делать l3-connected unclassified-ip. Изначально так и делал; без poll тоже не взлетало Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tractor_driver Опубликовано 2 сентября, 2016 (изменено) · Жалоба в случае с interface TenGigabitEthernet0/2/0.4020 encapsulation dot1Q 4020 second-dot1q any ip unnumbered Loopback4020 /32 маршрут есть на клиента? (должен создаватьcя автоматически при получении по dhcp - asr сервер или релей) Изменено 2 сентября, 2016 пользователем tractor_driver Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 2 сентября, 2016 · Жалоба Хотел завести без dhcp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tractor_driver Опубликовано 2 сентября, 2016 · Жалоба Хотел завести без dhcp попробуйте тогда маршрут вручную прописать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 2 сентября, 2016 · Жалоба Так а смысл? Даже если взлетит - не прописывать же всем клиентам, весь смысл в динамике Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tractor_driver Опубликовано 2 сентября, 2016 · Жалоба Так а смысл? Даже если взлетит - не прописывать же всем клиентам, весь смысл в динамике ну тогда ничего не получится, ибо ip unnumbered по другому не будет работать, ip придется вешать непосредственно на sub-if Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 2 сентября, 2016 · Жалоба Да, я уже примерно понял, спасибо ;( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 2 сентября, 2016 · Жалоба Совсем другая проблема, но не хочу ещё одну тему плодить. ASR отдаёт в аккаунтинг-стоп acct-input-* и acct-output-* по два раза. Что совсем не по rfc, и радиус с билингом закономерно не хотят пережёвывать такой аккаунтинг. asr: ASR1-224#sh run | in accou aaa accounting delay-start all aaa accounting update periodic 10 aaa accounting network default start-stop group radius aaa accounting network ISG-AUTH start-stop group RG-ISG-AUTH subscriber service session-accounting subscriber service accounting interim-interval 10 aaa accounting network ISG-AUTH start-stop group RG-ISG-AUTH 10 authorize aaa list ISG-AUTH password radius identifier source-ip-address С радиуса при авторизации прилетает Cisco-Avpair := accounting-list=ISG-AUTH, чтобы аккаунтинг работал для сессии. Дебаг циски: Sep 2 19:01:50.775: RADIUS: authenticator A1 58 02 9B 62 4A FA 26 - 64 04 B3 E7 1B 73 B2 C1 Sep 2 19:01:50.775: RADIUS: Acct-Session-Id [44] 10 "00000AA4" Sep 2 19:01:50.775: RADIUS: Framed-IP-Address [8] 6 10.206.141.100 Sep 2 19:01:50.775: RADIUS: Framed-Protocol [7] 6 PPP [1] Sep 2 19:01:50.776: RADIUS: Acct-Input-Packets [47] 6 7690 Sep 2 19:01:50.776: RADIUS: Acct-Output-Packets [48] 6 7694 Sep 2 19:01:50.776: RADIUS: Acct-Input-Octets [42] 6 672134 Sep 2 19:01:50.776: RADIUS: Acct-Output-Octets [43] 6 668824 Sep 2 19:01:50.776: RADIUS: Vendor, Cisco [26] 17 Sep 2 19:01:50.776: RADIUS: ssg-control-info [253] 11 "I0;672134" Sep 2 19:01:50.776: RADIUS: Vendor, Cisco [26] 17 Sep 2 19:01:50.776: RADIUS: ssg-control-info [253] 11 "O0;668824" Sep 2 19:01:50.776: RADIUS: User-Name [1] 17 "10.206.141.100" Sep 2 19:01:50.776: RADIUS: Acct-Authentic [45] 6 Local [2] Sep 2 19:01:50.776: RADIUS: Vendor, Cisco [26] 32 Sep 2 19:01:50.776: RADIUS: Cisco AVpair [1] 26 "connect-progress=Call Up" Sep 2 19:01:50.776: RADIUS: Acct-Session-Time [46] 6 7343 Sep 2 19:01:50.776: RADIUS: Acct-Input-Octets [42] 6 579163 Sep 2 19:01:50.776: RADIUS: Acct-Output-Octets [43] 6 576636 Sep 2 19:01:50.776: RADIUS: Acct-Input-Packets [47] 6 6589 Sep 2 19:01:50.776: RADIUS: Acct-Output-Packets [48] 6 6590 Sep 2 19:01:50.776: RADIUS: Acct-Terminate-Cause[49] 6 admin-reset [6] Sep 2 19:01:50.776: RADIUS: Vendor, Cisco [26] 39 Sep 2 19:01:50.776: RADIUS: Cisco AVpair [1] 33 "disc-cause-ext=Local Admin Disc" Sep 2 19:01:50.776: RADIUS: Acct-Status-Type [40] 6 Stop [2] Sep 2 19:01:50.776: RADIUS: NAS-Port-Type [61] 6 Virtual [5] Sep 2 19:01:50.776: RADIUS: NAS-Port [5] 6 Acct-Input-Packets, Acct-Output-Packets, Acct-Input-Octets, Acct-Output-Octets - в запросе по два раза, причем значения отличаются. С чем такое может быть связано? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
buckethead Опубликовано 3 сентября, 2016 · Жалоба aaa accounting network default start-stop group radiusaaa accounting network ISG-AUTH start-stop group RG-ISG-AUTH Я не совсем уверен, но может вот здесь? У вас еще для чего-то используется default список, может попробовать его исключить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 3 сентября, 2016 · Жалоба Нет, это я уже сейчас накрутил... Исключение не пмогло Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 3 сентября, 2016 · Жалоба в сервисах случаешь не отправляешь ? еще один акаунтинг лист Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 3 сентября, 2016 · Жалоба Не, аккаунтинг-лист навешивается один: Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 4 сентября, 2016 (изменено) · Жалоба В общем, такая хрень происходит только если навешивать аккаунтинг-полиси радиусом. Если тот же самый аккаунтинг-лист навешивать вручную в общей полиси-мапе, аккаунтинг отправляется валидный. А также, если передавать не Cisco AVpair := "accounting-list=ISG-ACCT", а Cisco-Account-Info := "Aall-inet-svc", где all-inet-svc: #sh run | s all-inet-svc policy-map type service all-inet-svc class type traffic all-inet accounting aaa list ISG-ACCT ! class type traffic default in-out drop ! то аккаунтинг работает правильно. Изменено 4 сентября, 2016 пользователем Wingman Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...