[Wingman]

Продолжаю мучения с аср :)

 

Немного в ступоре.

 

Конфиг интерфейса:

interface TenGigabitEthernet0/2/0.4020
encapsulation dot1Q 4020 second-dot1q any
ip unnumbered Loopback4020
service-policy type control ISG-POLICY
ip subscriber l2-connected
 initiator unclassified mac-address ipv4
end

 

Конфиг лупбека:

interface Loopback4020
ip address 10.100.100.1 255.255.255.0 secondary
ip address 10.200.200.1 255.255.255.0
end

 

Так - ничего не работает. Клиент из сети 10.100.100/24 не видит АСР, АСР не видит клиента. Арпов нет с обоих сторон.

Но стоит убрать unnumbered, как всё начинает летать:

 

interface TenGigabitEthernet0/2/0.4020
encapsulation dot1Q 4020 second-dot1q any
ip address 10.100.100.1 255.255.255.0 secondary
ip address 10.200.200.1 255.255.255.0
no ip redirects
no ip unreachables
service-policy type control ISG-POLICY
ip subscriber l2-connected
 initiator unclassified mac-address ipv4
end

Арпы тут же появляются, пинги ходят, юзеры авторизуются. В чем может быть косяк? Рабочая же схема...

 

p.s. пробовал на разных иосах: 3.13 и 3.16

[buckethead]

А в первом варианте с unnumbered - есть сессия для этого mac?

[Wingman]

А в первом варианте с unnumbered - есть сессия для этого mac?

Нет, нету

[buckethead]

Ну так у вас форвардинга не будет, потому что нет сессии клиента. В чём криминал?

Разбирайтесь, почему нет сетапа сессии.

 

Вот это вообще о чём?

initiator unclassified mac-address ipv4

C unclassified mac не работал, ipv4 что даёт?

[Wingman]

Ну так у вас форвардинга не будет, потому что нет сессии клиента. В чём криминал?

Разбирайтесь, почему нет сетапа сессии.

Так в том-то и проблема, блин, что сессия и не пытается создаваться; арпов/маков на кошке и на клиенте не появляется

 

C unclassified mac не работал, ipv4 что даёт?

Сессия инициируется только для v4-трафиком, v6 игнорируется

[buckethead]

Понял. А что вот здесь?

service-policy type control ISG-POLICY

 

Сессия инициируется только для v4-трафиком, v6 игнорируется

А v6-сессии вообще поддерживаются? Вроде же только paththrough?

[Wingman]

Понял. А что вот здесь?

service-policy type control ISG-POLICY

 

policy-map type control ISG-POLICY
class type control CLASS-UNAUTH event timed-policy-expiry
 1 service disconnect
!
class type control always event session-start
 10 authorize aaa list ISG-AUTH password radius identifier source-ip-address
 20 set-timer TIMER-UNAUTH 3
 30 service-policy type service name SERVICE-TRUSTED
 40 service-policy type service name SERVICE-REDIR
!
class type control always event radius-timeout
 10 service-policy type service name SERVICE-TRUSTED
 20 service-policy type service name SERVICE-REDIR
 30 set-timer TIMER-UNAUTH 1
!
class type control always event access-reject
 10 service-policy type service name SERVICE-TRUSTED
 20 service-policy type service name SERVICE-REDIR-INET
 30 service-policy type service name SERVICE-REDIR-LOCAL
 50 set-timer TIMER-UNAUTH 5
!

 

Сессия инициируется только для v4-трафиком, v6 игнорируется

А v6-сессии вообще поддерживаются? Вроде же только paththrough?

Вроде как поддерживаются, только не в одной сессии с v4, а в разных

[buckethead]

identifier source-ip-address

 

Для unclassified mac работать не будет скорее всего, пробуйте identifier mac-address, remote-id, nas-port и другие.

 

У нас схема l2-connected, initiator - dhcp, циска - релей, авторизация по remote-id, из которого достаётся svlan, cvlan, на доступе никаких релеев, опций, снупингов и прочей херни. На агрегации тоже, только qinq/selective qinq.

[Wingman]

identifier source-ip-address

 

Для unclassified mac работать не будет скорее всего, пробуйте identifier mac-address, remote-id, nas-port и другие.

 

У нас схема l2-connected, initiator - dhcp, циска - релей, авторизация по remote-id, из которого достаётся svlan, cvlan, на доступе никаких релеев, опций, снупингов и прочей херни. На агрегации тоже, только qinq/selective qinq.

Так работает же. Только не на unnumbered-интерфейсах =\

[buckethead]

Наверное поэтому и не работает, что unnumbered. На unnumbered еще и interface session не работает. Точнее работает, но только один раз.

 

Вообще, а какой смысл для l2-connected схемы использовать l3-идентификатор?

[Wingman]

Наверное поэтому и не работает, что unnumbered. На unnumbered еще и interface session не работает. Точнее работает, но только один раз.

 

Вообще, а какой смысл для l2-connected схемы использовать l3-идентификатор?

Понял, крайне прискорбно ;(

 

Смысл в том, что в билинге хранятся ip`шники. Хранить маки и при смене железа у юзера их перепрописывать - крайне не хочется

[buckethead]

Ну надо делать l3-connected unclassified-ip.

[Wingman]

Ну надо делать l3-connected unclassified-ip.

Изначально так и делал; без poll тоже не взлетало

[tractor_driver]

в случае с

interface TenGigabitEthernet0/2/0.4020
encapsulation dot1Q 4020 second-dot1q any
ip unnumbered Loopback4020

 

/32 маршрут есть на клиента? (должен создаватьcя автоматически при получении по dhcp - asr сервер или релей)

Изменено 2 сентября, 2016 пользователем tractor_driver

[Wingman]

Хотел завести без dhcp

[tractor_driver]

Хотел завести без dhcp

попробуйте тогда маршрут вручную прописать.

[Wingman]

Так а смысл? Даже если взлетит - не прописывать же всем клиентам, весь смысл в динамике

[tractor_driver]

Так а смысл? Даже если взлетит - не прописывать же всем клиентам, весь смысл в динамике

ну тогда ничего не получится, ибо ip unnumbered по другому не будет работать, ip придется вешать непосредственно на sub-if

[Wingman]

Да, я уже примерно понял, спасибо ;(

[Wingman]

Совсем другая проблема, но не хочу ещё одну тему плодить.

 

ASR отдаёт в аккаунтинг-стоп acct-input-* и acct-output-* по два раза. Что совсем не по rfc, и радиус с билингом закономерно не хотят пережёвывать такой аккаунтинг.

 

asr:

ASR1-224#sh run  | in accou
aaa accounting delay-start all
aaa accounting update periodic 10
aaa accounting network default start-stop group radius
aaa accounting network ISG-AUTH start-stop group RG-ISG-AUTH
subscriber service session-accounting
subscriber service accounting interim-interval 10

aaa accounting network ISG-AUTH start-stop group RG-ISG-AUTH
 10 authorize aaa list ISG-AUTH password radius identifier source-ip-address

 

С радиуса при авторизации прилетает Cisco-Avpair := accounting-list=ISG-AUTH, чтобы аккаунтинг работал для сессии.

 

Дебаг циски:

 

Sep  2 19:01:50.775: RADIUS:  authenticator A1 58 02 9B 62 4A FA 26 - 64 04 B3 E7 1B 73 B2 C1
Sep  2 19:01:50.775: RADIUS:  Acct-Session-Id     [44]  10  "00000AA4"
Sep  2 19:01:50.775: RADIUS:  Framed-IP-Address   [8]   6   10.206.141.100
Sep  2 19:01:50.775: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
Sep  2 19:01:50.776: RADIUS:  Acct-Input-Packets  [47]  6   7690
Sep  2 19:01:50.776: RADIUS:  Acct-Output-Packets [48]  6   7694
Sep  2 19:01:50.776: RADIUS:  Acct-Input-Octets   [42]  6   672134
Sep  2 19:01:50.776: RADIUS:  Acct-Output-Octets  [43]  6   668824
Sep  2 19:01:50.776: RADIUS:  Vendor, Cisco       [26]  17
Sep  2 19:01:50.776: RADIUS:   ssg-control-info   [253] 11  "I0;672134"
Sep  2 19:01:50.776: RADIUS:  Vendor, Cisco       [26]  17
Sep  2 19:01:50.776: RADIUS:   ssg-control-info   [253] 11  "O0;668824"
Sep  2 19:01:50.776: RADIUS:  User-Name           [1]   17  "10.206.141.100"
Sep  2 19:01:50.776: RADIUS:  Acct-Authentic      [45]  6   Local                     [2]
Sep  2 19:01:50.776: RADIUS:  Vendor, Cisco       [26]  32
Sep  2 19:01:50.776: RADIUS:   Cisco AVpair       [1]   26  "connect-progress=Call Up"
Sep  2 19:01:50.776: RADIUS:  Acct-Session-Time   [46]  6   7343
Sep  2 19:01:50.776: RADIUS:  Acct-Input-Octets   [42]  6   579163
Sep  2 19:01:50.776: RADIUS:  Acct-Output-Octets  [43]  6   576636
Sep  2 19:01:50.776: RADIUS:  Acct-Input-Packets  [47]  6   6589
Sep  2 19:01:50.776: RADIUS:  Acct-Output-Packets [48]  6   6590
Sep  2 19:01:50.776: RADIUS:  Acct-Terminate-Cause[49]  6   admin-reset               [6]
Sep  2 19:01:50.776: RADIUS:  Vendor, Cisco       [26]  39
Sep  2 19:01:50.776: RADIUS:   Cisco AVpair       [1]   33  "disc-cause-ext=Local Admin Disc"
Sep  2 19:01:50.776: RADIUS:  Acct-Status-Type    [40]  6   Stop                      [2]
Sep  2 19:01:50.776: RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
Sep  2 19:01:50.776: RADIUS:  NAS-Port            [5]   6

 

Acct-Input-Packets, Acct-Output-Packets, Acct-Input-Octets, Acct-Output-Octets - в запросе по два раза, причем значения отличаются.

С чем такое может быть связано?

[buckethead]

aaa accounting network default start-stop group radius

aaa accounting network ISG-AUTH start-stop group RG-ISG-AUTH

Я не совсем уверен, но может вот здесь? У вас еще для чего-то используется default список, может попробовать его исключить?

[Wingman]

Нет, это я уже сейчас накрутил... Исключение не пмогло

[zhenya`]

в сервисах случаешь не отправляешь ? еще один акаунтинг лист

[Wingman]

Не, аккаунтинг-лист навешивается один:

[Wingman]

В общем, такая хрень происходит только если навешивать аккаунтинг-полиси радиусом. Если тот же самый аккаунтинг-лист навешивать вручную в общей полиси-мапе, аккаунтинг отправляется валидный.

 

А также, если передавать не Cisco AVpair := "accounting-list=ISG-ACCT", а Cisco-Account-Info := "Aall-inet-svc", где all-inet-svc:

#sh run | s all-inet-svc
policy-map type service all-inet-svc
class type traffic all-inet
 accounting aaa list ISG-ACCT
!
class type traffic default in-out
 drop
!

 

то аккаунтинг работает правильно.

Изменено 4 сентября, 2016 пользователем Wingman