SE600 / DHCP / No ip for IPoE

[kortes]

Всем доброго дня!

Люди, помогите! Я уже всю голову сломал с этой проблемой. Буду признателен за любую подсказку
Преамбула такая:
в один прекрасный день компания лишилась серверов и хранилища, на котором крутился биллинг (по RADIUS командовал абонами на BRAS).
Пользователи работают по IPoE (прилетает dhcp запрос, биллинг, основываясь на option 82,  выдавал ip и имя интерфейса, сессия стартовала)
в экстренном порядке, чтоб все могли продолжать пользоваться интернетом, перевёл всех пользователей в режим без авторизации

aaa authentication subscriber none

Т.к. ранее было несколько multibind интерфейсов и биллинг командовал, куда приземлить пользователей, то сейчас все адреса пришлось перенести на один интерфейс
 

interface iface-subscribers multibind
  ip address 10.8.0.1/19
  ip address 1.1.1.1/24 secondary
  ip address 2.2.2.1/24 secondary
  dhcp server interface
  ip pool 10.8.0.0/19

В секции subscriber default сделал всем единую политику в 50M

 subscriber default
   qos policy policing 50M-IN
   qos policy metering 50M-OUT
   nat policy-name Dyn-NAPT-1
   dhcp max-addrs 1

И описал подсети для dhcp. Динамически юзерам выдаются ip из пула 10.8/19, а подсети с публичными ip исключительно для статиков (раньше это были Framed-IP)

 dhcp server policy
   option subnet-mask 255.255.224.0
   option domain-name-server 8.8.8.8
   option ntp-server 188.43.5.69
   default-lease-time 600
   maximum-lease-time 600
   subnet 10.8.0.0/19 name dhcp-private-1
     option subnet-mask 255.255.224.0
     option router 10.8.0.1
   subnet 1.1.1.0/24 name dhcp-public-1
     option subnet-mask 255.255.255.0
     option router 1.1.1.1
   subnet 2.2.2.0/24 name dhcp-public-2
     mac-address 00:13:46:ec:d6:11 ip-address 2.2.2.3
     mac-address 04:95:e6:3e:56:c0 ip-address 2.2.2.4
     option subnet-mask 255.255.255.0
     option router 2.2.2.1
!

И вроде всё ок работает, но появились пользователи, у которых стартует сессия, а IP не выдаются.

SE600#show subscribers active username ac:9e:17:89:2e:48
ac:9e:17:89:2e:48
        Session state Up
        Circuit   1/1 vlan-id 768 clips 378571
        Internal Circuit   1/1:511:63:31/7/2/180134
        Interface bound  iface-subscribers
        Current port-limit unlimited
        Protocol Stack IPV4
        dhcp max-addrs 1 (applied)
        dhcp vendor class id udhcp 1.17.4 (applied)
        dhcp option client id 0x3d0701ac9e17892e48 (applied)
        qos-policing-policy 50M-IN (applied from sub_default)
        qos-metering-policy 50M-OUT (applied from sub_default)
        nat policy-name Dyn-NAPT-1 (applied from sub_default)
SE600#

Вывод лога по юзеру тоже особо информации не дал (
SE600#show subscribers log username ac:9e:17:89:2e:48

Скрытый текст

---------------------------------------------------------
24632   IN      Sun May 10 11:15:49.975686

        IPC_ENDPOINT = CLIPSd, MSG_TYPE = SESSION_UP,
        Username = ac:9e:17:89:2e:48,
        CCT_HANDLE = Unknown circuit
        Internal Circuit = 1/1:511:63:31/7/2/180055
        aaa_idx = 50159593, extern_handle = 5c6a3, pvd_idx = 40080301,
        Event code = 0
---------------------------------------------------------
24633   OUT     Sun May 10 11:15:49.976153

        IPC_ENDPOINT = ISM-CCT, MSG_TYPE = CCT-GEN-CFG,
        Username = ac:9e:17:89:2e:48,
        CCT_HANDLE = Unknown circuit
        Internal Circuit = 1/1:511:63:31/7/2/180055
        aaa_idx = 50159593, extern_handle = 5c6a3, pvd_idx = 40080301,
        Event code = 0
---------------------------------------------------------
24634   OUT     Sun May 10 11:15:49.976483

        IPC_ENDPOINT = ISM-IF, MSG_TYPE = IF-BIND,
        Username = ac:9e:17:89:2e:48,
        CCT_HANDLE = Unknown circuit
        Internal Circuit = 1/1:511:63:31/7/2/180055
        aaa_idx = 50159593, extern_handle = 5c6a3, pvd_idx = 40080301,
        Event code = 0
---------------------------------------------------------
24635   OUT     Sun May 10 11:15:49.976539

        IPC_ENDPOINT = RCM, MSG_TYPE = POLICY-PROV-REQ,
        Username = ac:9e:17:89:2e:48,
        CCT_HANDLE = Unknown circuit
        Internal Circuit = 1/1:511:63:31/7/2/180055
        aaa_idx = 50159593, extern_handle = 5c6a3, pvd_idx = 40080301,
        Event code = 0 (provision qos request. flag:0x3003 dpf_flag:0x0)
---------------------------------------------------------
24636   OUT     Sun May 10 11:15:49.976544

        IPC_ENDPOINT = RCM, MSG_TYPE = POLICY-PROV-REQ,
        Username = ac:9e:17:89:2e:48,
        CCT_HANDLE = Unknown circuit
        Internal Circuit = 1/1:511:63:31/7/2/180055
        aaa_idx = 50159593, extern_handle = 5c6a3, pvd_idx = 40080301,
        Event code = 13 (un-provision nat policy request.)
---------------------------------------------------------
24637   OUT     Sun May 10 11:15:49.976564

        IPC_ENDPOINT = ISM-CCT, MSG_TYPE = CCT-GEN-CFG,
        Username = ac:9e:17:89:2e:48,
        CCT_HANDLE = Unknown circuit
        Internal Circuit = 1/1:511:63:31/7/2/180055
        aaa_idx = 50159593, extern_handle = 5c6a3, pvd_idx = 40080301,
        Event code = 0
---------------------------------------------------------
24638   IN      Sun May 10 11:15:49.981871

        IPC_ENDPOINT = RCM, MSG_TYPE = POLICY-PROV-REPLY,
        Username = ac:9e:17:89:2e:48,
        CCT_HANDLE = Unknown circuit
        Internal Circuit = 1/1:511:63:31/7/2/180055
        aaa_idx = 50159593, extern_handle = 5c6a3, pvd_idx = 40080301,
        Event code = 0 (provision qos response. flag:0x0 dpf_flag:0x0)
---------------------------------------------------------
---------------------------------------------------------
24639   IN      Sun May 10 11:15:49.982079

        IPC_ENDPOINT = RCM, MSG_TYPE = POLICY-PROV-REPLY,
        Username = ac:9e:17:89:2e:48,
        CCT_HANDLE = Unknown circuit
        Internal Circuit = 1/1:511:63:31/7/2/180055
        aaa_idx = 50159593, extern_handle = 5c6a3, pvd_idx = 40080301,
        Event code = 12 (provision nat policy response.)
---------------------------------------------------------

Куда ещё копать можно?? Почему такое может происходить?

 

Да, и забыл добавить, что вот так заворачиваю vlan с абонами в контекст

 

port ethernet 1/1 
 mtu 1700
 no shutdown
 encapsulation dot1q
 dot1q pvc 300 
  service clips dhcp source-mac context krr
 dot1q pvc 760 
  service clips dhcp source-mac context krr
 dot1q pvc 761 
  service clips dhcp source-mac context krr
 dot1q pvc 764 
  service clips dhcp source-mac context krr
 dot1q pvc 765 
  service clips dhcp source-mac context krr
 dot1q pvc 767 
  service clips dhcp source-mac context krr
 dot1q pvc 768 
  service clips dhcp source-mac context krr

 

Edited May 10, 2020 by kortes

[semop]

23 часа назад, kortes сказал:

SE600#show subscribers active username ac:9e:17:89:2e:48

sh dhcp se ho ma ac:9e:17:89:2e:48

 

sh dhcp se ra

[kortes]

@semop 
первой командой вижу, что DHCP ответил и выделил адрес.
вторая ничего не выводит.

похоже на уровне доступа какой-то затык. пока предполагаю, что какая-то коробка блокирует DHCP Offer от BRAS.

[pingz]

@kortes  Нужен ваершарк + зеркало в порт записываете нормальный дамп с рабочей машиной. Записываете дамп с проблематичной машиной и сравниваете. 

 

Да долго, но вы сразу увидите проблему. 

[semop]

В 11.05.2020 в 14:08, kortes сказал:

@semop 
первой командой вижу, что DHCP ответил и выделил адрес.
вторая ничего не выводит.

похоже на уровне доступа какой-то затык. пока предполагаю, что какая-то коробка блокирует DHCP Offer от BRAS.

Так вот вопрос что именно первая выводит.

Вторая тоже должна выводить. Пулы дхсп, свободные/занятые.