Tamplier Опубликовано 14 октября, 2016 · Жалоба Здравствуйте! Может кто сталкивался с проблемой, того что Cisco вставляет свои данные при relay. Проверяли на разных версиях софта (Version 03.16.02.S - Extended Support Release, Version 03.16.01a.S, Version 03.14.00.S 12.10.2016 10:38:18.828861 [0x000008e7b700] DEBUG dhcp_op82_parse:407: SubOp82: UNDEF SubOp82 ID 0x96 found. Skip. 12.10.2016 10:38:18.828864 [0x000008e7b700] DEBUG dhcp_op82_parse:430: Op82 Circuit ID :VLAN 0, Unit 0, Port 0 (l=0), Remote ID 00000A64000100000BBE (l=10) 12.10.2016 10:38:18.828870 [0x000008e7b700] DEBUG dhcp_allocate_ip:4693: lookup up client by Op.82: 0x7f4cfc002030 12.10.2016 10:38:18.828872 [0x000008e7b700] DEBUG pool_ip_entry_match_op82:153: branched by Op.82 RemoteID 00000A64000100000BBE 12.10.2016 10:38:18.828987 [0x000008e7b700] DEBUG pool_ip_entry_match_op82:179: RemoteID = 00000A64000100000BBE, record not FOUND 12.10.2016 10:38:18.828990 [0x000008e7b700] DEBUG dhcp_allocate_ip:4704: client MAC 00:11:22:33:44:55 not permitted by Op.82: 0x7f4cfc002030 12.10.2016 10:38:18.828993 [0x000008e7b700] DEBUG dhcp_device_list_lookup_op82:4498: Op.82 lookup device RemoteID 00000A64000100000BBE 12.10.2016 10:38:18.829014 [0x000008e7b700] DEBUG dhcp_device_list_lookup_op82:4525: RemoteID = 00000A64000100000BBE, record NOT FOUND 12.10.2016 10:38:18.829016 [0x000008e7b700] DEBUG dhcp_allocate_ip:4709: service hardware not found by Op.82: 0x7f4cfc002030 12.10.2016 10:38:18.829020 [0x000008e7b700] DEBUG dhcp_msg_dispatch:108: DHCPDISCOVER from unknown client HW MAC 00:11:22:33:44:55 12.10.2016 10:38:18.829022 [0x000008e7b700] DEBUG dhcp_main:293: dhcp_msg_dispatch(0x7f4cfc000a90) failed Конфигурация следующая: ip dhcp relay information policy keep no ip dhcp relay information check ip dhcp relay information trust-all ip dhcp binding cleanup interval 10 policy-map type control ISG-CUSTOMERS-BY-MAC class type control IP-UNAUTH-ISG event timed-policy-expiry 1 service disconnect ! class type control always event session-start 10 authorize aaa list ISG-AUTH-1 password ISG identifier mac-address 20 set-timer IP-UNAUTH-TIMER 1 30 service-policy type service name SERVICE-TRUSTED 40 service-policy type service name SERVICE_L4R ! class type control always event session-restart 10 authorize aaa list ISG-AUTH-1 password ISG identifier mac-address 20 set-timer IP-UNAUTH-TIMER 1 30 service-policy type service name SERVICE-TRUSTED 40 service-policy type service name SERVICE_L4R interface GigabitEthernet0/0/0.3006 encapsulation dot1Q 3006 ip unnumbered Loopback0 ip helper-address XXX.XXX.XXX.XXX no ip redirects ip local-proxy-arp ip nat inside ip pim passive service-policy type control ISG-CUSTOMERS-BY-MAC ip subscriber l2-connected initiator dhcp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
buckethead Опубликовано 14 октября, 2016 · Жалоба ISG не умеет промежуточный relay, это в restrictions в configuration guide явно указано. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tamplier Опубликовано 14 октября, 2016 · Жалоба ISG не умеет промежуточный relay, это в restrictions в configuration guide явно указано. У нас абоненты авторизуются по opt82 которую вставляют коммутаторы доступа. Но возникла необходимость авторизовывать абонентов по mac, так как не во всех местах можно привязать учетную запись абонента к порту коммутатора, из-за того что их там может быть несколько. И в силу особенностей Lanbilling для привязки таким абонентам статического белого ip необходимо чтобы opt82 в DHCP пакете отсутствовала, соответственно создали отдельный интерфейс с другим policy с идентификатором mac-address. Но проблема в том, что cisco при получении dhcp пакета без opt82 вставляет свою, хотя явно указано ip dhcp relay information policy keep. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
buckethead Опубликовано 14 октября, 2016 · Жалоба Если коммутаторы просто подставляют Option 82, то должно работать по-идее. Если giaddr меняется, то не будет работать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tamplier Опубликовано 14 октября, 2016 (изменено) · Жалоба Если коммутаторы просто подставляют Option 82, то должно работать по-идее. Если giaddr меняется, то не будет работать. Для авторизации opt82 используем mac коммутатора и номер порта class type control always event session-start 10 authorize aaa list ISG-AUTH-1 password ISG identifier remote-id plus circuit-id separator - В том то и дело что на другой cisco все работает, а на ASR1000 почему то вставляет свое значение в DHCP пакет без opt82. Работает на: Cisco IOS Software, 7200 Software (C7200P-IS-M), Version 12.2(31)SB18, RELEASE SOFTWARE (fc1) Изменено 14 октября, 2016 пользователем Tamplier Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...