Jump to content
Калькуляторы

ASR1000 проблема с QinQ Не работает схема IPoE+QnQ+opt82+ISG

Реализуем следующую схему:

 

IPoE+QnQ+opt82+ISG

 

1) Клиент при подключении запрашивает ip адрес

2) Коммутатор добавляет 82 опцию (на каждого пользователя отдельный VLAN)

3) Пакет попадая на коммутатор агрегации получает верхнюю метку QinQ (в примере использован 4000, в боевом режиме планируем на каждый коммутатор доступа отдельный QinQ VLAN)

4) BRAS Cisco ASR1000 получив данный пакет инициализирует авторизацию делая запрос к RADIUS и DHCP серверу.

5) RADIUS по opt82 находит в базе клиента и передает сервисы для данной сессии BRAS

6) DHCP по opt82 определяет какой ip адрес выдать абоненту и передает ответ BRAS.

7) BRAS получив пакет от RADIUS навешивает сервисы на сессию.

8) BRAS получив пакет от DHCP передает его клиенту, клиент отвечает DHCP серверу.

9) DHCP сервер получив ответ от клиента завершает авторизацию.

 

Но работает только первый прописанный second-dot1q, остальные не работают. RADIUS сервисы навешивает, а DHCP пакеты до BRAS доходят, но в сторону клиента не передаются. Создавать на каждого клиента отдельный интерфейс не выход. Кто нибудь сталкивался с данной проблемой?

 

Пример конфигурации интерфейса

 

interface GigabitEthernet0/0/2.4000

encapsulation dot1Q 4000 second-dot1q 101-124 (В данном случае работает только 101)

ip unnumbered Loopback0

ip helper-address XXX.XXX.XXX.XXX

no ip redirects

ip local-proxy-arp

ip nat inside

ip pim passive

service-policy type control ISG-CUSTOMERS

ip subscriber l2-connected

initiator dhcp

ip virtual-reassembly

Share this post


Link to post
Share on other sites

Аналогичный конфиг.

Претензий к

encapsulation dot1Q 4000 second-dot1q 101-124

не имеем.

Share this post


Link to post
Share on other sites

Работает не только диапазон в second-dot1q, но и ключевое слово any безо всяких проблем.

Два вопроса по дизайну -- зачем opt 82 с доступа при QinQ? зачем на каждый коммутатор доступа свой s-tag?

Мой совет -- смотреть софт на ASR, пробовать исключить opt82 с доступа в тест, там, емнип, не всё гладко с этим делом.

Share this post


Link to post
Share on other sites

С данным конфигом проблема аналогичная

 

ip dhcp pool TEST

network 192.168.0.0 255.255.0.0

default-router 192.168.0.1

lease 0 0 10

 

 

interface GigabitEthernet0/0/2.4000

encapsulation dot1Q 4000 second-dot1q 101-124

ip address 192.168.0.1 255.255.0.0

no ip redirects

ip local-proxy-arp

ip nat inside

ip pim passive

ip access-group LOG-IN in

ip access-group LOG-OUT out

ip virtual-reassembly

 

Перепробовали софт

 

boot system flash bootflash:/asr1000rp1-advipservicesk9.03.16.05.S.155-3.S5-ext.bin

boot system flash bootflash:/asr1000rp1-advipservicesk9.03.13.06a.S.154-3.S6a-ext.bin

boot system flash bootflash:/asr1000rp1-adventerprisek9.03.13.06a.S.154-3.S6a-ext.bin

boot system flash bootflash:/asr1000rp1-adventerprisek9.03.16.05.S.155-3.S5-ext.bin

boot system flash bootflash:/asr1000rp1-advipservicesk9.03.16.02.S.155-3.S2-ext.bin

boot system flash bootflash:/asr1000rp1-adventerprisek9.03.14.00.S.155-1.S-std.bin

boot system flash bootflash:/asr1000rp1-adventerprisek9.03.12.00.S.154-2.S-std.bin

Share this post


Link to post
Share on other sites

Аналогичный конфиг.

Претензий к

encapsulation dot1Q 4000 second-dot1q 101-124

не имеем.

 

Подскажите версию софта на котором у вас работает

Share this post


Link to post
Share on other sites

Сейчас System image file is "bootflash:asr1001-universalk9.03.13.06a.S.154-3.S6a-ext.bin".

А вообще и на предыдущих работало.

Share this post


Link to post
Share on other sites

Second-dot1q без исг не взлетает.

И с ISG и без работает только по первому из списка

Share this post


Link to post
Share on other sites

Покажите уже show subscriber sess uid

Show ip dhcp bind

Show ip route connected

Show arp

 

 

 

Уберите пим

 

sh run | i dhcp

Share this post


Link to post
Share on other sites

BRAS#Show ip dhcp bind

Bindings from all pools not associated with VRF:

IP address Client-ID/ Lease expiration Type State Interface

Hardware address/

User name

192.168.0.2 01e4.8d8c.2462.cc Apr 04 2017 11:40 PM Automatic Selecting GigabitEthernet0/0/2.4000

192.168.0.3 01e4.8d8c.2462.cb Apr 04 2017 11:40 PM Automatic Selecting GigabitEthernet0/0/2.4000

192.168.0.6 01e4.8d8c.2462.c9 Apr 04 2017 11:44 PM Automatic Active GigabitEthernet0/0/2.4000

 

Show ip route connected

C 192.168.0.0/16 is directly connected, GigabitEthernet0/0/2.4000

192.168.0.0/32 is subnetted, 1 subnets

L 192.168.0.1 is directly connected, GigabitEthernet0/0/2.4000

 

 

Show arp

Internet 192.168.0.1 - 0025.845e.b402 ARPA GigabitEthernet0/0/2.4000

Internet 192.168.0.2 0 Incomplete ARPA

Internet 192.168.0.3 198 e48d.8c24.62cb ARPA GigabitEthernet0/0/2.4000

Internet 192.168.0.4 0 Incomplete ARPA

Internet 192.168.0.5 0 Incomplete ARPA

Internet 192.168.0.6 49 e48d.8c24.62c9 ARPA GigabitEthernet0/0/2.4000

Internet 192.168.0.7 0 Incomplete ARPA

 

sh run | i dhcp

 

ip dhcp relay information policy keep

no ip dhcp relay information check

ip dhcp relay information trust-all

ip dhcp binding cleanup interval 10

ip dhcp pool TEST

 

Убрали pim поведение не изменилось

Share this post


Link to post
Share on other sites

Restrictions for Ambiguous VLAN Support for IP Sessions over ISG

Ambiguous VLANs are currently supported only for Inteliigent Services Gateway (ISG) sessions.

 

Верните полный конфиг уже.)

Share this post


Link to post
Share on other sites

Сейчас System image file is "bootflash:asr1001-universalk9.03.13.06a.S.154-3.S6a-ext.bin".

А вообще и на предыдущих работало.

 

На ASR1000 не нашли данную ветку или и от ASR1001 может подойти?

Edited by Tamplier

Share this post


Link to post
Share on other sites

Сейчас System image file is "bootflash:asr1001-universalk9.03.13.06a.S.154-3.S6a-ext.bin".

А вообще и на предыдущих работало.

 

На ASR1000 не нашли данную ветку или и от ASR1001 может подойти?

софт asr1001-universalk9.03.13.06a.S.154-3.S6a-ext.bin для Cisco ASR1001 эта другая железка в отличии от той которая у вас судя по прошивкам которые вы перепробовали.

 

для asr1002-RP1 ветка соответствует этой - asr1000rp1-adventerprisek9.03.13.06a.S.154-3.S6a-ext.bin

Share this post


Link to post
Share on other sites

Подключили 3 клиентов в разных vlan 101,102,103 использовали прошивку asr1000rp1-adventerprisek9.03.13.06a.S.154-3.S6a-ext.bin снимали дамп на выходе с Cisco. Судя по дампу она всем клиентам отвечает в 101. При этом если прописываем в 102 статический ip то пакеты icmp пакеты идут в 102.

Share this post


Link to post
Share on other sites

interface Port-channel1.1403

description subscribers

encapsulation dot1Q 1403 second-dot1q 1001-1144

ip unnumbered Loopback100

no ip redirects

no ip unreachables

ip local-proxy-arp

ip nat inside

ip flow monitor Netflow-monitor unicast input

ip flow monitor Netflow-monitor unicast output

arp timeout 300

service-policy type control ISG-POLICY

ip subscriber l2-connected

initiator dhcp

!

 

прекрасно все работает.

Софт System image file is "bootflash:asr1000rp2-advipservicesk9.03.16.02.S.155-3.S2-ext.bi"

 

я замечал поведение, когда пакеты идут в левый c-vlan (первый из range) когда клиент 2 адреса просит (к примеру такое бывает, если у клиента ras включен). По факту два абонента в одном c-vlanе такое же сделают.

Share this post


Link to post
Share on other sites

я замечал поведение, когда пакеты идут в левый c-vlan (первый из range) когда клиент 2 адреса просит (к примеру такое бывает, если у клиента ras включен).

У ASR вообще странное поведение c этим делом. Если пара discover/offer пролетела в одном cvlan, а потом кто-то поменял порт, то для этого мака offer будет приходить в прежнем cvlan, даже если он изменился. Не всегда воспроизводится.

По факту два абонента в одном c-vlanе такое же сделают.

При initiator dhcp будут тупо друг у друга дропать сессию.

 

Если l2connected, конечно.

Share this post


Link to post
Share on other sites

а это смотря что в политике. у меня было с Opt82. после второй лизы трафик уходил в первый С-vlan из диапазона.

Share this post


Link to post
Share on other sites

Спасибо zhenya` проблема была в строчке dot1q tunneling ethertype 0x88A8 физического интерфейса

interface GigabitEthernet0/0/2

no ip address

dot1q tunneling ethertype 0x88A8

negotiation auto

Share this post


Link to post
Share on other sites

Реализуем следующую схему:

 

IPoE+QnQ+opt82+ISG

В ващей схеме, аутентификация и авторизация по номеру порта или по клиентскому влану?

Share this post


Link to post
Share on other sites

По связке Мак коммутатора + номер порта

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this