ASR9k+freeradius проблема с выдачей ip

[G1UK]

Доброго временит суток, столкнулся с проблемой, и наверное зашел в тупик.

Пытаемся организовать IPoE на QinQ с VLAN на пользователя.

Схема следующая, трафик завернутый в qinq доходит до ASR. Там происходит инициализация сессии по DHCP запросу, хотя наверное проще будет дать кусок конфига.

dynamic-template
 type ipsubscriber NN
  timeout idle 60 traffic both
  accounting aaa list default type session periodic-interval 60
  ipv4 mtu 1550
  ipv4 unnumbered Bundle-Ether2.80
 !
interface GigabitEthernet0/0/0/0.80
 ipv4 address XXX.XXX.XXX.1 255.255.255.0
 ipv4 address XXX.XXX.XXX.1 255.255.255.0 secondary
 ipv4 verify unicast source reachable-via rx
 service-policy type control subscriber IPoE
 ipsubscriber ipv4 l2-connected
  initiator dhcp
  initiator unclassified-source
 !
 encapsulation ambiguous dot1q any second-dot1q any
!
dhcp ipv4
 profile pf1 server
  lease 0 0 10
  dns-server 8.8.8.8
  subnet-mask 255.255.255.0
  default-router XXX.XXX.XXX.1 XXX.XXX.XXX.1
!
interface GigabitEthernet0/0/0/0.80 server profile pf1

aaa attribute format username-format
 format-string length 253 "%s%s" inner-vlan-id outer-vlan-id
!
aaa accounting service default group radius group r1
aaa accounting subscriber default group radius group r1
aaa authorization subscriber default group radius group r1
!
policy-map type control subscriber IPoE
 event session-start match-first
  class type control subscriber class-default do-until-failure
   10 activate dynamic-template NN
   20 authorize aaa list default format username-format password cisco
  ! 
 ! 
 end-policy-map

Соответственно при старте сессии уходит запрос на Freeradius, тот в свою очередь возвращает IP адрес, маску. Тут начинаются проблемы, большинство роутеров приимают настройки и все работает корректно, но часть win7 клиентов, и mikrotik, ASUS, отказываются получать адреса и шлют постоянные запросы. Один из вариантов решения я нашел прописав в dhcp пуле 

 

option 249 hex XXXXXXXXXXXX force-insert
 

По крайне мере после этого win7 начала принимать адреса. Но тут же всплывает вторая проблема, адреса фрирадиусом выдаются из нескольких подсетей, а в 249 как я понимаю можно указать только один шлюз. Соответственно вопрос, ка этот вопрос можно решить?

[G1UK]

Да и вообще в целом, может подход не правильный изначально, может есть более "красивые" реализации dhcp+ASR+radius , если у кого есть опыт, буду рад подсказкам, заранее спасибо.

[VolanD666]

4 часа назад, G1UK сказал:

Да и вообще в целом, может подход не правильный изначально, может есть более "красивые" реализации dhcp+ASR+radius , если у кого есть опыт, буду рад подсказкам, заранее спасибо.

Ну, а на устройства, где есть проблема, ответ прилетает?

[G1UK]

1 час назад, VolanD666 сказал:

Ну, а на устройства, где есть проблема, ответ прилетает?

Да, даже более того, поменять на роутер TPlink или winxp win10 приходит IP и все ок.

[vurd]

Наверное нужно бы дамп посмотреть. Снимите с клиента, возможно в ответе будет что-то интересное.

[xcme]

В 03.10.2017 в 05:39, G1UK сказал:

aaa attribute format username-format

 format-string length 253 "%s%s" inner-vlan-id outer-vlan-id

...

20 authorize aaa list default format username-format password cisco

А у вас эта конструкция нормально работает? Радис получает пару svid+cvid?

 

Я пробовал вот сюда вместо source-ip-address пихать ctag-vlan-id и stag-vlan-id, но так даже запрос не отправляется.
 

policy-map type control <policy_name>
 class type control always event session-start
  10 authorize aaa list <aaa_auth> password <password> identifier source-ip-address

Вот с source-ip-address, mac-address и nas-port работает нормально.

 

В 03.10.2017 в 05:39, G1UK сказал:

в 249 как я понимаю можно указать только один шлюз. Соответственно вопрос, ка этот вопрос можно решить?

Опытным путем установлено (не в случае для ASR, а вообще) что вставлять можно и нужно ТОЛЬКО Router Option(3). Во всех остальных случаях, т.е. при наличии опций 33, 121 и 249 обязательно есть клиенты, которые не поймут либо сами опции, либо их сочетание. Если второй адрес убрать из третьей опции, проблемным клиентам легче не становится?

[xcme]

Наверное, мой вопрос тоже надо в эту тему:

Пробую поднять DHCP Server Radius Proxy по гайду: https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_dhcp/configuration/xe-3s/dhcp-xe-3s-book/dhcp-serv-rad-proxy-xe.html

 

Там сказано:

Цитата

Specifies the parameters that RADIUS sends to a DHCP server when downloading configuration information for a DHCP client.

The string command argument contains the following formatting characters to insert DHCP client information:

• %c- --Ethernet address of the DHCP client (chaddr field)

   

• %i- --Inner VLAN ID from the DHCP relay information (option 82)

   

• %o---Outer VLAN ID from the DHCP relay information (option 82)

   

• %p --Port number from the DHCP relay information (option 82)

   

• %g --Gateway address of the DHCP relay agent (giaddr field)

   

• %% --Transmits the percent sign (%) character in the string sent to the RADIUS server

   

Note	The percent (%) is a marker to insert the DHCP client information associated with the specified character. The % is not sent to the RADIUS server unless you specify the %% character.

По факту можно использовать только %c, а во всех остальных случаях подставляется пустая строка. Кто-нибудь использовал этот функционал?

 

p.s. Пробую на ASR 1001x.

[buckethead]

Ну тут как бы да: мешать в одну кучу разные платформы и сетевые ОС это, мягко говоря, странно.

А то, что вы ищите по stag/ctag не работает на IOS-XE, об этом давно в курсе TAC, но они отмахиваются, ибо это не критикал, и есть альтернативы.