Tamplier Опубликовано 4 апреля, 2017 · Жалоба Реализуем следующую схему: IPoE+QnQ+opt82+ISG 1) Клиент при подключении запрашивает ip адрес 2) Коммутатор добавляет 82 опцию (на каждого пользователя отдельный VLAN) 3) Пакет попадая на коммутатор агрегации получает верхнюю метку QinQ (в примере использован 4000, в боевом режиме планируем на каждый коммутатор доступа отдельный QinQ VLAN) 4) BRAS Cisco ASR1000 получив данный пакет инициализирует авторизацию делая запрос к RADIUS и DHCP серверу. 5) RADIUS по opt82 находит в базе клиента и передает сервисы для данной сессии BRAS 6) DHCP по opt82 определяет какой ip адрес выдать абоненту и передает ответ BRAS. 7) BRAS получив пакет от RADIUS навешивает сервисы на сессию. 8) BRAS получив пакет от DHCP передает его клиенту, клиент отвечает DHCP серверу. 9) DHCP сервер получив ответ от клиента завершает авторизацию. Но работает только первый прописанный second-dot1q, остальные не работают. RADIUS сервисы навешивает, а DHCP пакеты до BRAS доходят, но в сторону клиента не передаются. Создавать на каждого клиента отдельный интерфейс не выход. Кто нибудь сталкивался с данной проблемой? Пример конфигурации интерфейса interface GigabitEthernet0/0/2.4000 encapsulation dot1Q 4000 second-dot1q 101-124 (В данном случае работает только 101) ip unnumbered Loopback0 ip helper-address XXX.XXX.XXX.XXX no ip redirects ip local-proxy-arp ip nat inside ip pim passive service-policy type control ISG-CUSTOMERS ip subscriber l2-connected initiator dhcp ip virtual-reassembly Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vipro Опубликовано 4 апреля, 2017 · Жалоба Аналогичный конфиг. Претензий к encapsulation dot1Q 4000 second-dot1q 101-124 не имеем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
buckethead Опубликовано 4 апреля, 2017 · Жалоба Работает не только диапазон в second-dot1q, но и ключевое слово any безо всяких проблем. Два вопроса по дизайну -- зачем opt 82 с доступа при QinQ? зачем на каждый коммутатор доступа свой s-tag? Мой совет -- смотреть софт на ASR, пробовать исключить opt82 с доступа в тест, там, емнип, не всё гладко с этим делом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 4 апреля, 2017 · Жалоба А я бы в сторону дхцп посмотрел.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tamplier Опубликовано 4 апреля, 2017 · Жалоба С данным конфигом проблема аналогичная ip dhcp pool TEST network 192.168.0.0 255.255.0.0 default-router 192.168.0.1 lease 0 0 10 interface GigabitEthernet0/0/2.4000 encapsulation dot1Q 4000 second-dot1q 101-124 ip address 192.168.0.1 255.255.0.0 no ip redirects ip local-proxy-arp ip nat inside ip pim passive ip access-group LOG-IN in ip access-group LOG-OUT out ip virtual-reassembly Перепробовали софт boot system flash bootflash:/asr1000rp1-advipservicesk9.03.16.05.S.155-3.S5-ext.bin boot system flash bootflash:/asr1000rp1-advipservicesk9.03.13.06a.S.154-3.S6a-ext.bin boot system flash bootflash:/asr1000rp1-adventerprisek9.03.13.06a.S.154-3.S6a-ext.bin boot system flash bootflash:/asr1000rp1-adventerprisek9.03.16.05.S.155-3.S5-ext.bin boot system flash bootflash:/asr1000rp1-advipservicesk9.03.16.02.S.155-3.S2-ext.bin boot system flash bootflash:/asr1000rp1-adventerprisek9.03.14.00.S.155-1.S-std.bin boot system flash bootflash:/asr1000rp1-adventerprisek9.03.12.00.S.154-2.S-std.bin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tamplier Опубликовано 4 апреля, 2017 · Жалоба Аналогичный конфиг. Претензий к encapsulation dot1Q 4000 second-dot1q 101-124 не имеем. Подскажите версию софта на котором у вас работает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 4 апреля, 2017 · Жалоба Second-dot1q без исг не взлетает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vipro Опубликовано 4 апреля, 2017 · Жалоба Сейчас System image file is "bootflash:asr1001-universalk9.03.13.06a.S.154-3.S6a-ext.bin". А вообще и на предыдущих работало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tamplier Опубликовано 4 апреля, 2017 · Жалоба Second-dot1q без исг не взлетает. И с ISG и без работает только по первому из списка Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 4 апреля, 2017 · Жалоба Покажите уже show subscriber sess uid Show ip dhcp bind Show ip route connected Show arp Уберите пим sh run | i dhcp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tamplier Опубликовано 4 апреля, 2017 · Жалоба BRAS#Show ip dhcp bind Bindings from all pools not associated with VRF: IP address Client-ID/ Lease expiration Type State Interface Hardware address/ User name 192.168.0.2 01e4.8d8c.2462.cc Apr 04 2017 11:40 PM Automatic Selecting GigabitEthernet0/0/2.4000 192.168.0.3 01e4.8d8c.2462.cb Apr 04 2017 11:40 PM Automatic Selecting GigabitEthernet0/0/2.4000 192.168.0.6 01e4.8d8c.2462.c9 Apr 04 2017 11:44 PM Automatic Active GigabitEthernet0/0/2.4000 Show ip route connected C 192.168.0.0/16 is directly connected, GigabitEthernet0/0/2.4000 192.168.0.0/32 is subnetted, 1 subnets L 192.168.0.1 is directly connected, GigabitEthernet0/0/2.4000 Show arp Internet 192.168.0.1 - 0025.845e.b402 ARPA GigabitEthernet0/0/2.4000 Internet 192.168.0.2 0 Incomplete ARPA Internet 192.168.0.3 198 e48d.8c24.62cb ARPA GigabitEthernet0/0/2.4000 Internet 192.168.0.4 0 Incomplete ARPA Internet 192.168.0.5 0 Incomplete ARPA Internet 192.168.0.6 49 e48d.8c24.62c9 ARPA GigabitEthernet0/0/2.4000 Internet 192.168.0.7 0 Incomplete ARPA sh run | i dhcp ip dhcp relay information policy keep no ip dhcp relay information check ip dhcp relay information trust-all ip dhcp binding cleanup interval 10 ip dhcp pool TEST Убрали pim поведение не изменилось Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 4 апреля, 2017 · Жалоба Restrictions for Ambiguous VLAN Support for IP Sessions over ISG Ambiguous VLANs are currently supported only for Inteliigent Services Gateway (ISG) sessions. Верните полный конфиг уже.) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tamplier Опубликовано 5 апреля, 2017 (изменено) · Жалоба Сейчас System image file is "bootflash:asr1001-universalk9.03.13.06a.S.154-3.S6a-ext.bin". А вообще и на предыдущих работало. На ASR1000 не нашли данную ветку или и от ASR1001 может подойти? Изменено 5 апреля, 2017 пользователем Tamplier Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cold Опубликовано 5 апреля, 2017 · Жалоба Сейчас System image file is "bootflash:asr1001-universalk9.03.13.06a.S.154-3.S6a-ext.bin". А вообще и на предыдущих работало. На ASR1000 не нашли данную ветку или и от ASR1001 может подойти? софт asr1001-universalk9.03.13.06a.S.154-3.S6a-ext.bin для Cisco ASR1001 эта другая железка в отличии от той которая у вас судя по прошивкам которые вы перепробовали. для asr1002-RP1 ветка соответствует этой - asr1000rp1-adventerprisek9.03.13.06a.S.154-3.S6a-ext.bin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tamplier Опубликовано 5 апреля, 2017 · Жалоба Подключили 3 клиентов в разных vlan 101,102,103 использовали прошивку asr1000rp1-adventerprisek9.03.13.06a.S.154-3.S6a-ext.bin снимали дамп на выходе с Cisco. Судя по дампу она всем клиентам отвечает в 101. При этом если прописываем в 102 статический ip то пакеты icmp пакеты идут в 102. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 5 апреля, 2017 · Жалоба interface Port-channel1.1403 description subscribers encapsulation dot1Q 1403 second-dot1q 1001-1144 ip unnumbered Loopback100 no ip redirects no ip unreachables ip local-proxy-arp ip nat inside ip flow monitor Netflow-monitor unicast input ip flow monitor Netflow-monitor unicast output arp timeout 300 service-policy type control ISG-POLICY ip subscriber l2-connected initiator dhcp ! прекрасно все работает. Софт System image file is "bootflash:asr1000rp2-advipservicesk9.03.16.02.S.155-3.S2-ext.bi" я замечал поведение, когда пакеты идут в левый c-vlan (первый из range) когда клиент 2 адреса просит (к примеру такое бывает, если у клиента ras включен). По факту два абонента в одном c-vlanе такое же сделают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tamplier Опубликовано 5 апреля, 2017 · Жалоба У вас тоже ASR1000? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 5 апреля, 2017 · Жалоба Да. В личку посмотрите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
buckethead Опубликовано 5 апреля, 2017 · Жалоба я замечал поведение, когда пакеты идут в левый c-vlan (первый из range) когда клиент 2 адреса просит (к примеру такое бывает, если у клиента ras включен). У ASR вообще странное поведение c этим делом. Если пара discover/offer пролетела в одном cvlan, а потом кто-то поменял порт, то для этого мака offer будет приходить в прежнем cvlan, даже если он изменился. Не всегда воспроизводится. По факту два абонента в одном c-vlanе такое же сделают. При initiator dhcp будут тупо друг у друга дропать сессию. Если l2connected, конечно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 5 апреля, 2017 · Жалоба а это смотря что в политике. у меня было с Opt82. после второй лизы трафик уходил в первый С-vlan из диапазона. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tamplier Опубликовано 6 апреля, 2017 · Жалоба Прикрепил дамп для наглядности dump.zip Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tamplier Опубликовано 6 апреля, 2017 · Жалоба Спасибо zhenya` проблема была в строчке dot1q tunneling ethertype 0x88A8 физического интерфейса interface GigabitEthernet0/0/2 no ip address dot1q tunneling ethertype 0x88A8 negotiation auto Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flamaster Опубликовано 9 апреля, 2017 · Жалоба Реализуем следующую схему: IPoE+QnQ+opt82+ISG В ващей схеме, аутентификация и авторизация по номеру порта или по клиентскому влану? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tamplier Опубликовано 23 июня, 2017 · Жалоба По связке Мак коммутатора + номер порта Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...