Bushi Posted July 27, 2018 · Report post Столкнулся с проблемой совпадения абонентских MAC адресов на разных сабинтерфейсах. Пример конфигурации сабинтерфейса: interface Port-channel1.100 encapsulation dot1Q 100 vrf forwarding internet ip unnumbered Loopback1 poll no ip redirects ip local-proxy-arp ip verify unicast source reachable-via rx service-policy type control IsgStatic ip subscriber l2-connected initiator unclassified mac-address Как только на другом сабинтерфейсе появляется тот же MAC, что и на первом интерфейсе, старая сессия закрывается. Такое поведение вызвано механизмом l2 roaming.https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/isg/configuration/xe-16/isg-xe-16-book/isg-l2-roaming.html Но если в старых версиях он бы отключен по умолчанию, то в более новых включен отключить его невозможно: (config)#no ip subscriber l2-roaming Subscriber roaming is enabled as default, this configuration is not required (config)#ip subscriber l2-roaming Subscriber roaming is enabled as default, this configuration is not required Как с этим жить? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted July 30, 2018 · Report post На красный ехать нельзя. Одинаковые МАКи тоже. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Bushi Posted July 30, 2018 · Report post 2 часа назад, ShyLion сказал: На красный ехать нельзя. Одинаковые МАКи тоже. Чё это нельзя? В разных vlan на разных сабинтерфейсах. Тем более это работает, пока не включишь ISG. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted July 30, 2018 · Report post Так и на красный ездят некоторые :) Я к тому, что надо с причиной проблемы сражаться а не с последствиями. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Bushi Posted July 30, 2018 · Report post Бывают раздельные светофоры по полосам. Тут этот случай. В старых версиях ISG проблемы не было, появились в новых, так как l2 roaming стал включен по умолчанию и не выключается. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted July 30, 2018 · Report post Завтра в одном вилане нарисуются одинаковые МАКи, и что будете делать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Bushi Posted July 30, 2018 · Report post Схема vlan per customer. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted July 30, 2018 · Report post хм. как-то не логично тогда сеансы по макам различать Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Bushi Posted July 30, 2018 · Report post Сеансы различаются по порту доступа (svlan + cvlan или nas port), MAC не является идентификатором сеанса, соответственно username и session id генерятся на основе порта доступа. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted July 30, 2018 · Report post 1 час назад, Bushi сказал: Чё это нельзя? На PPPoE можно, там есть отдельный уникальный идентификатор сессии и контроль соединения. В IPoE нет возможности отличить абонента, кроме как по VLAN/MAC. Конкретно за ISG на ASR не скажу (не сталкивался), но видимо в данной версии/реализации ISG после распаковки VLAN не хранится и абоненты различаются только по MAC. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Bushi Posted July 30, 2018 · Report post В старых версиях IOS в ISG не было проблемы. Какого то хрена функционал l2 roaming сделали неотключаемым. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted July 30, 2018 · Report post 33 minutes ago, Bushi said: Сеансы различаются по порту доступа (svlan + cvlan или nas port), MAC не является идентификатором сеанса, соответственно username и session id генерятся на основе порта доступа. А что в полиси прописано в качестве идентификатора? ЗЫ: сорри за офтопик Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Bushi Posted July 30, 2018 · Report post identifier nas-port можно и так identifier mac-address plus nas-port Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted July 30, 2018 · Report post Интересно, как оно вяжется с initiator unclassified mac-address ? Какое-то противоречие вижу я. На каждый новый мак подрывается создать новый сеанс, находит существующий и успокаивается? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Bushi Posted July 30, 2018 · Report post Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted July 30, 2018 · Report post Жизнь - боль :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted July 30, 2018 · Report post В 27.07.2018 в 17:01, Bushi сказал: ip local-proxy-arp Не надо так делать, при включении ip subscriber l2-connected используется другой механизм вместо общего прокси-арп, если работают оба, возможны приключения (и тут уже пробегал кто-то с приключениями, и тоже на ASR-1000). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Bushi Posted July 30, 2018 · Report post Да, это лишнее, согласен Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
UglyAdmin Posted July 30, 2018 · Report post Тоже налетали на такой косяк при переходе на ISG, причём МАСи были - ноутбуков подключальщиков. Не знаю, нахрена они при настройке клиентских роутеров клонировали МАС ноута... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Bushi Posted July 30, 2018 · Report post У нас несколько разных абонентов на аутсорсинге у одной компании, зачем-то вбили на микротики везде один mac. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted July 30, 2018 · Report post У нас в прошивку роутера талантливые сотрудники мак захерачивали. А еще как-то был случай - у абонента через говнодлинк все работает а через циску нивкакую. Вдумчивый снифинг показал, что не обремененые знаниями монтажникики на тупом дивайсе мак от балды прописали, с мультикаст-битом 1. Тупоголовый свитч пропускал, а слишком умная циска нет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted July 31, 2018 · Report post @Bushi При переносе конфига с микротика на микротик переносятся и маки. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xcme Posted August 7, 2018 · Report post @Bushi Чем закончилось? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Bushi Posted August 25, 2018 · Report post Ничем. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted August 25, 2018 · Report post @xcme из выше сказанного можно сделать вывод, проблемы индейцев шрифта не волнуют ^_^ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...