Bushi Posted July 27, 2018 Posted July 27, 2018 Столкнулся с проблемой совпадения абонентских MAC адресов на разных сабинтерфейсах. Пример конфигурации сабинтерфейса: interface Port-channel1.100 encapsulation dot1Q 100 vrf forwarding internet ip unnumbered Loopback1 poll no ip redirects ip local-proxy-arp ip verify unicast source reachable-via rx service-policy type control IsgStatic ip subscriber l2-connected initiator unclassified mac-address Как только на другом сабинтерфейсе появляется тот же MAC, что и на первом интерфейсе, старая сессия закрывается. Такое поведение вызвано механизмом l2 roaming.https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/isg/configuration/xe-16/isg-xe-16-book/isg-l2-roaming.html Но если в старых версиях он бы отключен по умолчанию, то в более новых включен отключить его невозможно: (config)#no ip subscriber l2-roaming Subscriber roaming is enabled as default, this configuration is not required (config)#ip subscriber l2-roaming Subscriber roaming is enabled as default, this configuration is not required Как с этим жить? Вставить ник Quote
ShyLion Posted July 30, 2018 Posted July 30, 2018 На красный ехать нельзя. Одинаковые МАКи тоже. Вставить ник Quote
Bushi Posted July 30, 2018 Author Posted July 30, 2018 2 часа назад, ShyLion сказал: На красный ехать нельзя. Одинаковые МАКи тоже. Чё это нельзя? В разных vlan на разных сабинтерфейсах. Тем более это работает, пока не включишь ISG. Вставить ник Quote
ShyLion Posted July 30, 2018 Posted July 30, 2018 Так и на красный ездят некоторые :) Я к тому, что надо с причиной проблемы сражаться а не с последствиями. Вставить ник Quote
Bushi Posted July 30, 2018 Author Posted July 30, 2018 Бывают раздельные светофоры по полосам. Тут этот случай. В старых версиях ISG проблемы не было, появились в новых, так как l2 roaming стал включен по умолчанию и не выключается. Вставить ник Quote
ShyLion Posted July 30, 2018 Posted July 30, 2018 Завтра в одном вилане нарисуются одинаковые МАКи, и что будете делать? Вставить ник Quote
ShyLion Posted July 30, 2018 Posted July 30, 2018 хм. как-то не логично тогда сеансы по макам различать Вставить ник Quote
Bushi Posted July 30, 2018 Author Posted July 30, 2018 Сеансы различаются по порту доступа (svlan + cvlan или nas port), MAC не является идентификатором сеанса, соответственно username и session id генерятся на основе порта доступа. Вставить ник Quote
alibek Posted July 30, 2018 Posted July 30, 2018 1 час назад, Bushi сказал: Чё это нельзя? На PPPoE можно, там есть отдельный уникальный идентификатор сессии и контроль соединения. В IPoE нет возможности отличить абонента, кроме как по VLAN/MAC. Конкретно за ISG на ASR не скажу (не сталкивался), но видимо в данной версии/реализации ISG после распаковки VLAN не хранится и абоненты различаются только по MAC. Вставить ник Quote
Bushi Posted July 30, 2018 Author Posted July 30, 2018 В старых версиях IOS в ISG не было проблемы. Какого то хрена функционал l2 roaming сделали неотключаемым. Вставить ник Quote
ShyLion Posted July 30, 2018 Posted July 30, 2018 33 minutes ago, Bushi said: Сеансы различаются по порту доступа (svlan + cvlan или nas port), MAC не является идентификатором сеанса, соответственно username и session id генерятся на основе порта доступа. А что в полиси прописано в качестве идентификатора? ЗЫ: сорри за офтопик Вставить ник Quote
Bushi Posted July 30, 2018 Author Posted July 30, 2018 identifier nas-port можно и так identifier mac-address plus nas-port Вставить ник Quote
ShyLion Posted July 30, 2018 Posted July 30, 2018 Интересно, как оно вяжется с initiator unclassified mac-address ? Какое-то противоречие вижу я. На каждый новый мак подрывается создать новый сеанс, находит существующий и успокаивается? Вставить ник Quote
jffulcrum Posted July 30, 2018 Posted July 30, 2018 В 27.07.2018 в 17:01, Bushi сказал: ip local-proxy-arp Не надо так делать, при включении ip subscriber l2-connected используется другой механизм вместо общего прокси-арп, если работают оба, возможны приключения (и тут уже пробегал кто-то с приключениями, и тоже на ASR-1000). Вставить ник Quote
UglyAdmin Posted July 30, 2018 Posted July 30, 2018 Тоже налетали на такой косяк при переходе на ISG, причём МАСи были - ноутбуков подключальщиков. Не знаю, нахрена они при настройке клиентских роутеров клонировали МАС ноута... Вставить ник Quote
Bushi Posted July 30, 2018 Author Posted July 30, 2018 У нас несколько разных абонентов на аутсорсинге у одной компании, зачем-то вбили на микротики везде один mac. Вставить ник Quote
ShyLion Posted July 30, 2018 Posted July 30, 2018 У нас в прошивку роутера талантливые сотрудники мак захерачивали. А еще как-то был случай - у абонента через говнодлинк все работает а через циску нивкакую. Вдумчивый снифинг показал, что не обремененые знаниями монтажникики на тупом дивайсе мак от балды прописали, с мультикаст-битом 1. Тупоголовый свитч пропускал, а слишком умная циска нет. Вставить ник Quote
pingz Posted July 31, 2018 Posted July 31, 2018 @Bushi При переносе конфига с микротика на микротик переносятся и маки. Вставить ник Quote
pingz Posted August 25, 2018 Posted August 25, 2018 @xcme из выше сказанного можно сделать вывод, проблемы индейцев шрифта не волнуют ^_^ Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.