Перейти к содержимому
Калькуляторы

ISG на ASR1000 и overlapping mac

Столкнулся с проблемой совпадения абонентских MAC адресов на разных сабинтерфейсах.

Пример конфигурации сабинтерфейса:

 

interface Port-channel1.100
 encapsulation dot1Q 100
 vrf forwarding internet
 ip unnumbered Loopback1 poll
 no ip redirects
 ip local-proxy-arp
 ip verify unicast source reachable-via rx
 service-policy type control IsgStatic
 ip subscriber l2-connected
  initiator unclassified mac-address

Как только на другом сабинтерфейсе появляется тот же MAC, что и на первом интерфейсе, старая сессия закрывается. Такое поведение вызвано механизмом l2 roaming.
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/isg/configuration/xe-16/isg-xe-16-book/isg-l2-roaming.html

 

Но если в старых версиях он бы отключен по умолчанию, то в более новых включен отключить его невозможно:

 

(config)#no ip subscriber l2-roaming
Subscriber roaming is enabled as default, this configuration is not required
(config)#ip subscriber l2-roaming    
Subscriber roaming is enabled as default, this configuration is not required

Как с этим жить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На красный ехать нельзя. Одинаковые МАКи тоже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, ShyLion сказал:

На красный ехать нельзя. Одинаковые МАКи тоже.

Чё это нельзя? В разных vlan на разных сабинтерфейсах. Тем более это работает, пока не включишь ISG.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так и на красный ездят некоторые :)

Я к тому, что надо с причиной проблемы сражаться а не с последствиями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Бывают раздельные светофоры по полосам. Тут этот случай. В старых версиях ISG проблемы не было, появились в новых, так как l2 roaming стал включен по умолчанию и не выключается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Завтра в одном вилане нарисуются одинаковые МАКи, и что будете делать?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Схема vlan per customer.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

хм. как-то не логично тогда сеансы по макам различать

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сеансы различаются по порту доступа (svlan + cvlan или nas port), MAC не является идентификатором сеанса, соответственно username и session id генерятся на основе порта доступа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, Bushi сказал:

Чё это нельзя?

На PPPoE можно, там есть отдельный уникальный идентификатор сессии и контроль соединения.

В IPoE нет возможности отличить абонента, кроме как по VLAN/MAC.

Конкретно за ISG на ASR не скажу (не сталкивался), но видимо в данной версии/реализации ISG после распаковки VLAN не хранится и абоненты различаются только по MAC.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В старых версиях IOS в ISG не было проблемы. Какого то хрена функционал l2 roaming сделали неотключаемым.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
33 minutes ago, Bushi said:

Сеансы различаются по порту доступа (svlan + cvlan или nas port), MAC не является идентификатором сеанса, соответственно username и session id генерятся на основе порта доступа.

А что в полиси прописано в качестве идентификатора?

 

ЗЫ: сорри за офтопик

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
 identifier nas-port

можно и так

 identifier mac-address plus nas-port

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Интересно, как оно вяжется с initiator unclassified mac-address ?

Какое-то противоречие вижу я. На каждый новый мак подрывается создать новый сеанс, находит существующий и успокаивается?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В ‎27‎.‎07‎.‎2018 в 17:01, Bushi сказал:

ip local-proxy-arp

Не надо так делать, при включении ip subscriber l2-connected используется другой механизм вместо общего прокси-арп, если работают оба, возможны приключения (и тут уже пробегал кто-то с приключениями, и тоже на ASR-1000).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, это лишнее, согласен

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тоже налетали на такой косяк при переходе на ISG, причём МАСи были - ноутбуков подключальщиков.

Не знаю, нахрена они при настройке клиентских роутеров клонировали МАС ноута...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У нас несколько разных абонентов на аутсорсинге у одной компании, зачем-то вбили на микротики везде один mac.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У нас в прошивку роутера талантливые сотрудники мак захерачивали.

 

А еще как-то был случай - у абонента через говнодлинк все работает а через циску нивкакую.

Вдумчивый снифинг показал, что не обремененые знаниями монтажникики на тупом дивайсе мак от балды прописали, с мультикаст-битом 1.

Тупоголовый свитч пропускал, а слишком умная циска нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Bushi При переносе конфига с микротика на микротик переносятся и маки. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас