Tamplier Posted April 4, 2017 · Report post Реализуем следующую схему: IPoE+QnQ+opt82+ISG 1) Клиент при подключении запрашивает ip адрес 2) Коммутатор добавляет 82 опцию (на каждого пользователя отдельный VLAN) 3) Пакет попадая на коммутатор агрегации получает верхнюю метку QinQ (в примере использован 4000, в боевом режиме планируем на каждый коммутатор доступа отдельный QinQ VLAN) 4) BRAS Cisco ASR1000 получив данный пакет инициализирует авторизацию делая запрос к RADIUS и DHCP серверу. 5) RADIUS по opt82 находит в базе клиента и передает сервисы для данной сессии BRAS 6) DHCP по opt82 определяет какой ip адрес выдать абоненту и передает ответ BRAS. 7) BRAS получив пакет от RADIUS навешивает сервисы на сессию. 8) BRAS получив пакет от DHCP передает его клиенту, клиент отвечает DHCP серверу. 9) DHCP сервер получив ответ от клиента завершает авторизацию. Но работает только первый прописанный second-dot1q, остальные не работают. RADIUS сервисы навешивает, а DHCP пакеты до BRAS доходят, но в сторону клиента не передаются. Создавать на каждого клиента отдельный интерфейс не выход. Кто нибудь сталкивался с данной проблемой? Пример конфигурации интерфейса interface GigabitEthernet0/0/2.4000 encapsulation dot1Q 4000 second-dot1q 101-124 (В данном случае работает только 101) ip unnumbered Loopback0 ip helper-address XXX.XXX.XXX.XXX no ip redirects ip local-proxy-arp ip nat inside ip pim passive service-policy type control ISG-CUSTOMERS ip subscriber l2-connected initiator dhcp ip virtual-reassembly Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vipro Posted April 4, 2017 · Report post Аналогичный конфиг. Претензий к encapsulation dot1Q 4000 second-dot1q 101-124 не имеем. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
buckethead Posted April 4, 2017 · Report post Работает не только диапазон в second-dot1q, но и ключевое слово any безо всяких проблем. Два вопроса по дизайну -- зачем opt 82 с доступа при QinQ? зачем на каждый коммутатор доступа свой s-tag? Мой совет -- смотреть софт на ASR, пробовать исключить opt82 с доступа в тест, там, емнип, не всё гладко с этим делом. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted April 4, 2017 · Report post А я бы в сторону дхцп посмотрел.. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Tamplier Posted April 4, 2017 · Report post С данным конфигом проблема аналогичная ip dhcp pool TEST network 192.168.0.0 255.255.0.0 default-router 192.168.0.1 lease 0 0 10 interface GigabitEthernet0/0/2.4000 encapsulation dot1Q 4000 second-dot1q 101-124 ip address 192.168.0.1 255.255.0.0 no ip redirects ip local-proxy-arp ip nat inside ip pim passive ip access-group LOG-IN in ip access-group LOG-OUT out ip virtual-reassembly Перепробовали софт boot system flash bootflash:/asr1000rp1-advipservicesk9.03.16.05.S.155-3.S5-ext.bin boot system flash bootflash:/asr1000rp1-advipservicesk9.03.13.06a.S.154-3.S6a-ext.bin boot system flash bootflash:/asr1000rp1-adventerprisek9.03.13.06a.S.154-3.S6a-ext.bin boot system flash bootflash:/asr1000rp1-adventerprisek9.03.16.05.S.155-3.S5-ext.bin boot system flash bootflash:/asr1000rp1-advipservicesk9.03.16.02.S.155-3.S2-ext.bin boot system flash bootflash:/asr1000rp1-adventerprisek9.03.14.00.S.155-1.S-std.bin boot system flash bootflash:/asr1000rp1-adventerprisek9.03.12.00.S.154-2.S-std.bin Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Tamplier Posted April 4, 2017 · Report post Аналогичный конфиг. Претензий к encapsulation dot1Q 4000 second-dot1q 101-124 не имеем. Подскажите версию софта на котором у вас работает Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted April 4, 2017 · Report post Second-dot1q без исг не взлетает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vipro Posted April 4, 2017 · Report post Сейчас System image file is "bootflash:asr1001-universalk9.03.13.06a.S.154-3.S6a-ext.bin". А вообще и на предыдущих работало. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Tamplier Posted April 4, 2017 · Report post Second-dot1q без исг не взлетает. И с ISG и без работает только по первому из списка Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted April 4, 2017 · Report post Покажите уже show subscriber sess uid Show ip dhcp bind Show ip route connected Show arp Уберите пим sh run | i dhcp Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Tamplier Posted April 4, 2017 · Report post BRAS#Show ip dhcp bind Bindings from all pools not associated with VRF: IP address Client-ID/ Lease expiration Type State Interface Hardware address/ User name 192.168.0.2 01e4.8d8c.2462.cc Apr 04 2017 11:40 PM Automatic Selecting GigabitEthernet0/0/2.4000 192.168.0.3 01e4.8d8c.2462.cb Apr 04 2017 11:40 PM Automatic Selecting GigabitEthernet0/0/2.4000 192.168.0.6 01e4.8d8c.2462.c9 Apr 04 2017 11:44 PM Automatic Active GigabitEthernet0/0/2.4000 Show ip route connected C 192.168.0.0/16 is directly connected, GigabitEthernet0/0/2.4000 192.168.0.0/32 is subnetted, 1 subnets L 192.168.0.1 is directly connected, GigabitEthernet0/0/2.4000 Show arp Internet 192.168.0.1 - 0025.845e.b402 ARPA GigabitEthernet0/0/2.4000 Internet 192.168.0.2 0 Incomplete ARPA Internet 192.168.0.3 198 e48d.8c24.62cb ARPA GigabitEthernet0/0/2.4000 Internet 192.168.0.4 0 Incomplete ARPA Internet 192.168.0.5 0 Incomplete ARPA Internet 192.168.0.6 49 e48d.8c24.62c9 ARPA GigabitEthernet0/0/2.4000 Internet 192.168.0.7 0 Incomplete ARPA sh run | i dhcp ip dhcp relay information policy keep no ip dhcp relay information check ip dhcp relay information trust-all ip dhcp binding cleanup interval 10 ip dhcp pool TEST Убрали pim поведение не изменилось Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted April 4, 2017 · Report post Restrictions for Ambiguous VLAN Support for IP Sessions over ISG Ambiguous VLANs are currently supported only for Inteliigent Services Gateway (ISG) sessions. Верните полный конфиг уже.) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Tamplier Posted April 5, 2017 (edited) · Report post Сейчас System image file is "bootflash:asr1001-universalk9.03.13.06a.S.154-3.S6a-ext.bin". А вообще и на предыдущих работало. На ASR1000 не нашли данную ветку или и от ASR1001 может подойти? Edited April 5, 2017 by Tamplier Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Cold Posted April 5, 2017 · Report post Сейчас System image file is "bootflash:asr1001-universalk9.03.13.06a.S.154-3.S6a-ext.bin". А вообще и на предыдущих работало. На ASR1000 не нашли данную ветку или и от ASR1001 может подойти? софт asr1001-universalk9.03.13.06a.S.154-3.S6a-ext.bin для Cisco ASR1001 эта другая железка в отличии от той которая у вас судя по прошивкам которые вы перепробовали. для asr1002-RP1 ветка соответствует этой - asr1000rp1-adventerprisek9.03.13.06a.S.154-3.S6a-ext.bin Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Tamplier Posted April 5, 2017 · Report post Подключили 3 клиентов в разных vlan 101,102,103 использовали прошивку asr1000rp1-adventerprisek9.03.13.06a.S.154-3.S6a-ext.bin снимали дамп на выходе с Cisco. Судя по дампу она всем клиентам отвечает в 101. При этом если прописываем в 102 статический ip то пакеты icmp пакеты идут в 102. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted April 5, 2017 · Report post interface Port-channel1.1403 description subscribers encapsulation dot1Q 1403 second-dot1q 1001-1144 ip unnumbered Loopback100 no ip redirects no ip unreachables ip local-proxy-arp ip nat inside ip flow monitor Netflow-monitor unicast input ip flow monitor Netflow-monitor unicast output arp timeout 300 service-policy type control ISG-POLICY ip subscriber l2-connected initiator dhcp ! прекрасно все работает. Софт System image file is "bootflash:asr1000rp2-advipservicesk9.03.16.02.S.155-3.S2-ext.bi" я замечал поведение, когда пакеты идут в левый c-vlan (первый из range) когда клиент 2 адреса просит (к примеру такое бывает, если у клиента ras включен). По факту два абонента в одном c-vlanе такое же сделают. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Tamplier Posted April 5, 2017 · Report post У вас тоже ASR1000? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted April 5, 2017 · Report post Да. В личку посмотрите. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
buckethead Posted April 5, 2017 · Report post я замечал поведение, когда пакеты идут в левый c-vlan (первый из range) когда клиент 2 адреса просит (к примеру такое бывает, если у клиента ras включен). У ASR вообще странное поведение c этим делом. Если пара discover/offer пролетела в одном cvlan, а потом кто-то поменял порт, то для этого мака offer будет приходить в прежнем cvlan, даже если он изменился. Не всегда воспроизводится. По факту два абонента в одном c-vlanе такое же сделают. При initiator dhcp будут тупо друг у друга дропать сессию. Если l2connected, конечно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted April 5, 2017 · Report post а это смотря что в политике. у меня было с Opt82. после второй лизы трафик уходил в первый С-vlan из диапазона. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Tamplier Posted April 6, 2017 · Report post Прикрепил дамп для наглядности dump.zip Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Tamplier Posted April 6, 2017 · Report post Спасибо zhenya` проблема была в строчке dot1q tunneling ethertype 0x88A8 физического интерфейса interface GigabitEthernet0/0/2 no ip address dot1q tunneling ethertype 0x88A8 negotiation auto Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
flamaster Posted April 9, 2017 · Report post Реализуем следующую схему: IPoE+QnQ+opt82+ISG В ващей схеме, аутентификация и авторизация по номеру порта или по клиентскому влану? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Tamplier Posted June 23, 2017 · Report post По связке Мак коммутатора + номер порта Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...