mr6in Опубликовано 21 ноября, 2017 · Жалоба Прикупили железку ASR 1002, возникла проблема, сессии поднимает на ура, в Интернет доступа нет, хоть интерфейс внешний для pppoe-сессии виден. Настраивал по разным манам результата нет. С цисками раньше дел не имел, прошу помочь aaa new-model aaa session-mib disconnect aaa authentication ppp default group radius aaa authorization network default group radius aaa accounting update periodic 5 aaa accounting network default start-stop group radius aaa session-id common bba-group pppoe global virtual-template 1 sessions max limit 8000 ac name ASR sessions per-mac limit 1 sessions per-vlan limit 500 sessions auto cleanup interface GigabitEthernet0/0/1 #внешний интерфейс ip address 192.168.0.1 255.255.255.0 ip nat outside ip route-cache flow negotiation auto interface GigabitEthernet0/0/2 #внутренний интерфейс ip address 10.222.0.2 255.255.224.0 pppoe enable group global interface Virtual-Template1 mtu 1492 ip nat inside ip unnumbered GigabitEthernet0/0/2 ip route-cache flow autodetect encapsulation ppp peer default ip address pool PPPoE ppp max-bad-auth 3 ppp authentication chap radius ppp authorization radius ppp accounting radius ppp timeout retry 3 ppp timeout authentication 45 ppp timeout idle 3600 ip nat inside source list 1 interface GigabitEthernet0/0/1 overload ip classless access-list 1 permit 10.222.2.1 10.222.9.254 ip local pool PPPoE 10.222.2.1 10.222.9.254 ip flow-cache timeout inactive 10 ip flow-cache timeout active 1 ip flow-export source GigabitEthernet0/0/1 ip flow-export version 5 ip flow-export destination 10.222.18.161 9996 access-list 3 permit 10.222.18.161 access-list 3 deny any log snmp-server community qbiqing RW 3 snmp-server ifindex persist snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart snmp-server enable traps tty snmp-server enable traps aaa_server snmp-server host 10.222.18.161 161 snmp-server host 10.222.18.161 2c snmp-server host 10.222.18.161 aaa snmp-server host 10.222.18.161 qqq11 snmp radius-server attribute 8 include-in-access-req radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU radius-server attribute 31 mac format unformatted radius-server host 10.222.18.161 auth-port 1812 acct-port 1813 non-standard radius-server retransmit 5 radius-server timeout 30 radius-server deadtime 1 radius-server key 0 gbilloy radius-server vsa send accounting radius-server vsa send authentication Циска шлюз свой видит. из pppoe сессии виден внутренний и внешний интерфейс, дальше ни-ни Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rz3dwy Опубликовано 22 ноября, 2017 · Жалоба а куда она будет слать трафик, если нету маршрута? добавьте ip route 0.0.0.0 0.0.0.0 <ip шлюза> Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 22 ноября, 2017 · Жалоба access-list 1 permit 10.222.2.1 10.222.9.254 что это за херня ? ) Должно быть access-list 1 permit 10.222.2.0 0.0.0.255 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 22 ноября, 2017 · Жалоба там масочка шире, должно быть permit 10.222.2.0 0.0.7.255 или permit 10.222.2.0 0.0.15.255 ну и да, нужно бы ТСу освоить wildcard Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mr6in Опубликовано 22 ноября, 2017 · Жалоба Всем спасибо за помощь! возникла еще одна проблема. Сессии поднимаются, доступ в интернет есть, но не работают днс, при этом сессия днс получает. Т.е. на стороне клиента по IP в интернет доступ есть а по доменному имени нет. Буду рад любому совету. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mr6in Опубликовано 23 ноября, 2017 (изменено) · Жалоба 54 минуты назад, mr6in сказал: Всем спасибо за помощь! возникла еще одна проблема. Сессии поднимаются, доступ в интернет есть, но не работают днс, при этом сессия днс получает. Т.е. на стороне клиента по IP в интернет доступ есть а по доменному имени нет. Буду рад любому совету. дальнейшие копания выявили следующее. После перезагрузки циски какое то время все работает нормально. Через 5-7 минут перестают работать dns еще через пять остается виден лишь IP внешнего интерфейса (это из под сессии). Сама циска при этом пингует шлюз и днс. И еще. Заметил что некоторые сайты грузятся дольше остальных, и похоже дело отличие в http/https Изменено 23 ноября, 2017 пользователем mr6in Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 23 ноября, 2017 · Жалоба ip tcp adjust mss 1452 На вирт темплее Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mr6in Опубликовано 24 ноября, 2017 · Жалоба Всем огромное человеческое спасибо! Заработало Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mr6in Опубликовано 24 ноября, 2017 · Жалоба Рано радовался((( Интернет стабильно работает несколько часов, потом сайты перестают открываться, хотя 8ки пингуются, mtu 1492 mss 1452, такое ощущение что эти значения слетают, хотя такое невозможно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Archville Опубликовано 24 ноября, 2017 · Жалоба А у вас банально трансляции не кончаются? А то вы как-то всех абонентов в один IP адрес натите... покажите sh ip nat statistics в момент когда "кончается" интернет. а еще, судя по ip адресу вашего внешнего интерфейса, вы еще где-то натите ваш трафик - это не очень хорошо.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mr6in Опубликовано 24 ноября, 2017 · Жалоба 40 минут назад, Archville сказал: А у вас банально трансляции не кончаются? А то вы как-то всех абонентов в один IP адрес натите... покажите sh ip nat statistics в момент когда "кончается" интернет. а еще, судя по ip адресу вашего внешнего интерфейса, вы еще где-то натите ваш трафик - это не очень хорошо.... до этого работало на Debian+PPPoE таких проблем не было Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Archville Опубликовано 24 ноября, 2017 · Жалоба это ни о чем не говорит. В линуксячем ядре все немного по другому. И таймауты другие и алгоритм обработки всяких ошибок/переполнений/коллизий скорее всего отличается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mr6in Опубликовано 25 ноября, 2017 · Жалоба 21 час назад, Archville сказал: а еще, судя по ip адресу вашего внешнего интерфейса, вы еще где-то натите ваш трафик - это не очень хорошо.... Это временный IP, вообще там "белый" ip Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 25 ноября, 2017 · Жалоба В логе ошибок нет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mr6in Опубликовано 25 ноября, 2017 · Жалоба 11 минут назад, zhenya` сказал: В логе ошибок нет? как я уже говорил, с циской дел не имел, но просто sh log ничего странного не показывает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 25 ноября, 2017 · Жалоба Таймеры попробуйте задать поменьше (значения можно подкорректировать): ip nat settings pap ip nat translation timeout 60 ip nat translation tcp-timeout 60 ip nat translation pptp-timeout 600 ip nat translation udp-timeout 60 ip nat translation icmp-timeout 60 ip nat translation max-entries all-host 600 Внутри шаблона у меня еще такая строка: ip mtu 1492 P.S. Ну и, имхо, правильнее вешать шаблон на лупбек, а не на физический интерфейс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 26 ноября, 2017 · Жалоба В 24.11.2017 в 15:40, mr6in сказал: Рано радовался((( Интернет стабильно работает несколько часов, потом сайты перестают открываться, хотя 8ки пингуются, mtu 1492 mss 1452, такое ощущение что эти значения слетают, хотя такое невозможно Похоже на протухание кэша DNS. Посмотрите - что вы отдаете клиентам в части днс, не зафильтровано ли ? Ну и шаблоны я нарисовываю на виртуальные интерфейсы, через темплейт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mr6in Опубликовано 11 января, 2018 (изменено) · Жалоба В 26.11.2017 в 11:53, YuryD сказал: Похоже на протухание кэша DNS. Посмотрите - что вы отдаете клиентам в части днс, не зафильтровано ли ? Ну и шаблоны я нарисовываю на виртуальные интерфейсы, через темплейт. Временно отложили циску, теперь взялсь вновь, можно поподробнее про протухание кэша, и фильтров? Самостоятельный поиск ни к чему не привел. Вот финальный конфиг: version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no platform punt-keepalive disable-kernel-core ! hostname ASR ! boot-start-marker boot-end-marker ! ! vrf definition Mgmt-intf ! address-family ipv4 exit-address-family ! address-family ipv6 exit-address-family ! enable password xxxxx ! aaa new-model aaa session-mib disconnect ! ! aaa authentication ppp default group radius aaa authorization network default group radius aaa accounting update periodic 5 aaa accounting network default start-stop group radius ! ! ! ! ! aaa session-id common ! ! ! ip flow-cache timeout inactive 10 ip flow-cache timeout active 1 ! ! ! ! ! ! multilink bundle-name authenticated ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! username xxxx privilege 15 password 0 xxxxxx ! redundancy mode none ! ! ! ip tftp source-interface GigabitEthernet0 ! policy-map pppoe_5000_in class class-default police 5000000 937500 1875000 conform-action transmit exceed-action drop violate-action drop policy-map pppoe_5000_out class class-default shape average 5280000 5000 5000 policy-map pppoe_10000_in class class-default police 10240000 1024000 1280000 conform-action transmit exceed-action drop violate-action drop policy-map pppoe_30000_in class class-default police 30000000 937500 1875000 conform-action transmit exceed-action drop violate-action drop policy-map pppoe_15000_in class class-default police 15000000 937500 1875000 conform-action transmit exceed-action drop violate-action drop ! ! ! ! ! ! ! ! ! ! ! ! ! bba-group pppoe global virtual-template 1 sessions max limit 8000 ac name ASR sessions per-mac limit 1 sessions per-vlan limit 500 sessions auto cleanup ! ! interface Loopback0 no ip address ! interface GigabitEthernet0/0/0 no ip address shutdown negotiation auto ! interface GigabitEthernet0/0/1 no ip address shutdown negotiation auto ! interface GigabitEthernet0/0/2 ip address 10.222.0.2 255.255.224.0 negotiation auto pppoe enable group global ! interface GigabitEthernet0/0/3 ip address х.х.х.х 255.255.255.252 ip nat outside ip flow ingress negotiation auto ! interface GigabitEthernet0 vrf forwarding Mgmt-intf ip address 10.222.0.6 255.255.224.0 negotiation auto ! interface Virtual-Template1 mtu 1492 ip unnumbered Loopback0 ip nat inside ip flow ingress ip flow egress ip tcp adjust-mss 1452 peer default ip address pool PPPoE ppp max-bad-auth 3 ppp authentication chap radius ppp authorization radius ppp accounting radius ppp ipcp dns 194.67.1.154 194.67.1.155 ppp timeout retry 3 ppp timeout authentication 45 ppp timeout idle 3600 ! ip local pool PPPoE 10.222.2.1 10.222.10.254 ip nat translation timeout 60 ip nat translation tcp-timeout 60 ip nat translation pptp-timeout 600 ip nat translation udp-timeout 60 ip nat translation icmp-timeout 60 ip nat translation max-entries all-host 600 ip nat inside source list 1 interface GigabitEthernet0/0/3 overload ip forward-protocol nd ! ip flow-export source GigabitEthernet0/0/2 ip flow-export destination 10.222.18.161 9996 no ip http server no ip http secure-server ip route 0.0.0.0 0.0.0.0 х.х.х.х ! access-list 1 permit 10.222.0.0 0.0.15.255 access-list 3 permit 10.222.18.161 access-list 3 deny any log ! snmp-server community bgbilling RW 3 snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart snmp-server enable traps tty snmp-server enable traps aaa_server snmp-server host 10.222.18.161 161 snmp-server host 10.222.18.161 2c snmp-server host 10.222.18.161 aaa snmp-server host 10.222.18.161 pass snmp snmp ifmib ifindex persist ! radius-server attribute 8 include-in-access-req radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU radius-server attribute 31 mac format unformatted lower-case radius-server host 10.222.18.161 auth-port 1812 acct-port 1813 non-standard radius-server retransmit 5 radius-server timeout 30 radius-server deadtime 1 radius-server key bgbilling radius-server vsa send accounting radius-server vsa send authentication ! ! control-plane ! ! ! ! ! line con 0 stopbits 1 line aux 0 stopbits 1 line vty 0 4 password xxxxxx ! ! end Изменено 11 января, 2018 пользователем mr6in Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 11 января, 2018 · Жалоба conf t int lo0 ip addr <любой адрес> 255.255.255.255 как выше сказали показывайте show ip nat stat в момент проблем. + на интерфейсах с айпи адресами no ip proxy-arp no ip unreach no ip redirect Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mr6in Опубликовано 11 января, 2018 · Жалоба 5 часов назад, zhenya` сказал: conf t int lo0 ip addr <любой адрес> 255.255.255.255 как выше сказали показывайте show ip nat stat в момент проблем. + на интерфейсах с айпи адресами no ip proxy-arp no ip unreach no ip redirect ASR#sh ip nat statistics Total active translations: 837 (0 static, 837 dynamic; 837 extended) Outside interfaces: GigabitEthernet0/0/3 Inside interfaces: Virtual-Access2.1, Virtual-Access2.2, Virtual-Access2.5, Virtual-Access2.9 Virtual-Access2.24, Virtual-Access2.34, Virtual-Access2.38 Virtual-Access2.46, Virtual-Access2.48, Virtual-Access2.61 Virtual-Access2.62, Virtual-Access2.86, Virtual-Access2.87 Virtual-Access2.92, Virtual-Access2.97, Virtual-Access2.101 Virtual-Access2.105, Virtual-Access2.114, Virtual-Access2.115 Virtual-Access2.118, Virtual-Access2.144, Virtual-Access2.153 Virtual-Access2.419, Virtual-Access2.428, Virtual-Access2.431 Virtual-Access2.432, Virtual-Access2.433, Virtual-Access2.442 Virtual-Access2.447, Virtual-Access2.459, Virtual-Template1 Hits: 18815146 Misses: 297016 CEF Translated packets: 0, CEF Punted packets: 0 Expired translations: 304199 Dynamic mappings: -- Inside Source [Id: 1] access-list 1 interface GigabitEthernet0/0/3 refcount 807 nat-limit statistics: max entry: max allowed 0, used 0, missed 0 All Host Max allowed: 600 Pool stats drop: 0 Mapping stats drop: 0 Port block alloc fail: 0 IP alias add fail: 0 Limit entry add fail: 0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mr6in Опубликовано 11 января, 2018 · Жалоба 6 часов назад, zhenya` сказал: + на интерфейсах с айпи адресами no ip proxy-arp no ip unreach no ip redirect сделал, результат тот же Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...