Jump to content
Калькуляторы

ISG на ASR1000 и overlapping mac

Столкнулся с проблемой совпадения абонентских MAC адресов на разных сабинтерфейсах.

Пример конфигурации сабинтерфейса:

 

interface Port-channel1.100
 encapsulation dot1Q 100
 vrf forwarding internet
 ip unnumbered Loopback1 poll
 no ip redirects
 ip local-proxy-arp
 ip verify unicast source reachable-via rx
 service-policy type control IsgStatic
 ip subscriber l2-connected
  initiator unclassified mac-address

Как только на другом сабинтерфейсе появляется тот же MAC, что и на первом интерфейсе, старая сессия закрывается. Такое поведение вызвано механизмом l2 roaming.
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/isg/configuration/xe-16/isg-xe-16-book/isg-l2-roaming.html

 

Но если в старых версиях он бы отключен по умолчанию, то в более новых включен отключить его невозможно:

 

(config)#no ip subscriber l2-roaming
Subscriber roaming is enabled as default, this configuration is not required
(config)#ip subscriber l2-roaming    
Subscriber roaming is enabled as default, this configuration is not required

Как с этим жить?

Share this post


Link to post
Share on other sites

2 часа назад, ShyLion сказал:

На красный ехать нельзя. Одинаковые МАКи тоже.

Чё это нельзя? В разных vlan на разных сабинтерфейсах. Тем более это работает, пока не включишь ISG.

Share this post


Link to post
Share on other sites

Так и на красный ездят некоторые :)

Я к тому, что надо с причиной проблемы сражаться а не с последствиями.

Share this post


Link to post
Share on other sites

Бывают раздельные светофоры по полосам. Тут этот случай. В старых версиях ISG проблемы не было, появились в новых, так как l2 roaming стал включен по умолчанию и не выключается.

Share this post


Link to post
Share on other sites

Сеансы различаются по порту доступа (svlan + cvlan или nas port), MAC не является идентификатором сеанса, соответственно username и session id генерятся на основе порта доступа.

Share this post


Link to post
Share on other sites

1 час назад, Bushi сказал:

Чё это нельзя?

На PPPoE можно, там есть отдельный уникальный идентификатор сессии и контроль соединения.

В IPoE нет возможности отличить абонента, кроме как по VLAN/MAC.

Конкретно за ISG на ASR не скажу (не сталкивался), но видимо в данной версии/реализации ISG после распаковки VLAN не хранится и абоненты различаются только по MAC.

Share this post


Link to post
Share on other sites

33 minutes ago, Bushi said:

Сеансы различаются по порту доступа (svlan + cvlan или nas port), MAC не является идентификатором сеанса, соответственно username и session id генерятся на основе порта доступа.

А что в полиси прописано в качестве идентификатора?

 

ЗЫ: сорри за офтопик

Share this post


Link to post
Share on other sites

Интересно, как оно вяжется с initiator unclassified mac-address ?

Какое-то противоречие вижу я. На каждый новый мак подрывается создать новый сеанс, находит существующий и успокаивается?

Share this post


Link to post
Share on other sites

В ‎27‎.‎07‎.‎2018 в 17:01, Bushi сказал:

ip local-proxy-arp

Не надо так делать, при включении ip subscriber l2-connected используется другой механизм вместо общего прокси-арп, если работают оба, возможны приключения (и тут уже пробегал кто-то с приключениями, и тоже на ASR-1000).

Share this post


Link to post
Share on other sites

Тоже налетали на такой косяк при переходе на ISG, причём МАСи были - ноутбуков подключальщиков.

Не знаю, нахрена они при настройке клиентских роутеров клонировали МАС ноута...

Share this post


Link to post
Share on other sites

У нас несколько разных абонентов на аутсорсинге у одной компании, зачем-то вбили на микротики везде один mac.

Share this post


Link to post
Share on other sites

У нас в прошивку роутера талантливые сотрудники мак захерачивали.

 

А еще как-то был случай - у абонента через говнодлинк все работает а через циску нивкакую.

Вдумчивый снифинг показал, что не обремененые знаниями монтажникики на тупом дивайсе мак от балды прописали, с мультикаст-битом 1.

Тупоголовый свитч пропускал, а слишком умная циска нет.

Share this post


Link to post
Share on other sites

@xcme  из выше сказанного можно сделать вывод, проблемы индейцев шрифта не волнуют ^_^

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.