kortes Опубликовано 10 мая, 2020 (изменено) · Жалоба Всем доброго дня! Люди, помогите! Я уже всю голову сломал с этой проблемой. Буду признателен за любую подсказку Преамбула такая: в один прекрасный день компания лишилась серверов и хранилища, на котором крутился биллинг (по RADIUS командовал абонами на BRAS). Пользователи работают по IPoE (прилетает dhcp запрос, биллинг, основываясь на option 82, выдавал ip и имя интерфейса, сессия стартовала) в экстренном порядке, чтоб все могли продолжать пользоваться интернетом, перевёл всех пользователей в режим без авторизации aaa authentication subscriber none Т.к. ранее было несколько multibind интерфейсов и биллинг командовал, куда приземлить пользователей, то сейчас все адреса пришлось перенести на один интерфейс interface iface-subscribers multibind ip address 10.8.0.1/19 ip address 1.1.1.1/24 secondary ip address 2.2.2.1/24 secondary dhcp server interface ip pool 10.8.0.0/19 В секции subscriber default сделал всем единую политику в 50M subscriber default qos policy policing 50M-IN qos policy metering 50M-OUT nat policy-name Dyn-NAPT-1 dhcp max-addrs 1 И описал подсети для dhcp. Динамически юзерам выдаются ip из пула 10.8/19, а подсети с публичными ip исключительно для статиков (раньше это были Framed-IP) dhcp server policy option subnet-mask 255.255.224.0 option domain-name-server 8.8.8.8 option ntp-server 188.43.5.69 default-lease-time 600 maximum-lease-time 600 subnet 10.8.0.0/19 name dhcp-private-1 option subnet-mask 255.255.224.0 option router 10.8.0.1 subnet 1.1.1.0/24 name dhcp-public-1 option subnet-mask 255.255.255.0 option router 1.1.1.1 subnet 2.2.2.0/24 name dhcp-public-2 mac-address 00:13:46:ec:d6:11 ip-address 2.2.2.3 mac-address 04:95:e6:3e:56:c0 ip-address 2.2.2.4 option subnet-mask 255.255.255.0 option router 2.2.2.1 ! И вроде всё ок работает, но появились пользователи, у которых стартует сессия, а IP не выдаются. SE600#show subscribers active username ac:9e:17:89:2e:48 ac:9e:17:89:2e:48 Session state Up Circuit 1/1 vlan-id 768 clips 378571 Internal Circuit 1/1:511:63:31/7/2/180134 Interface bound iface-subscribers Current port-limit unlimited Protocol Stack IPV4 dhcp max-addrs 1 (applied) dhcp vendor class id udhcp 1.17.4 (applied) dhcp option client id 0x3d0701ac9e17892e48 (applied) qos-policing-policy 50M-IN (applied from sub_default) qos-metering-policy 50M-OUT (applied from sub_default) nat policy-name Dyn-NAPT-1 (applied from sub_default) SE600# Вывод лога по юзеру тоже особо информации не дал ( SE600#show subscribers log username ac:9e:17:89:2e:48 Скрытый текст --------------------------------------------------------- 24632 IN Sun May 10 11:15:49.975686 IPC_ENDPOINT = CLIPSd, MSG_TYPE = SESSION_UP, Username = ac:9e:17:89:2e:48, CCT_HANDLE = Unknown circuit Internal Circuit = 1/1:511:63:31/7/2/180055 aaa_idx = 50159593, extern_handle = 5c6a3, pvd_idx = 40080301, Event code = 0 --------------------------------------------------------- 24633 OUT Sun May 10 11:15:49.976153 IPC_ENDPOINT = ISM-CCT, MSG_TYPE = CCT-GEN-CFG, Username = ac:9e:17:89:2e:48, CCT_HANDLE = Unknown circuit Internal Circuit = 1/1:511:63:31/7/2/180055 aaa_idx = 50159593, extern_handle = 5c6a3, pvd_idx = 40080301, Event code = 0 --------------------------------------------------------- 24634 OUT Sun May 10 11:15:49.976483 IPC_ENDPOINT = ISM-IF, MSG_TYPE = IF-BIND, Username = ac:9e:17:89:2e:48, CCT_HANDLE = Unknown circuit Internal Circuit = 1/1:511:63:31/7/2/180055 aaa_idx = 50159593, extern_handle = 5c6a3, pvd_idx = 40080301, Event code = 0 --------------------------------------------------------- 24635 OUT Sun May 10 11:15:49.976539 IPC_ENDPOINT = RCM, MSG_TYPE = POLICY-PROV-REQ, Username = ac:9e:17:89:2e:48, CCT_HANDLE = Unknown circuit Internal Circuit = 1/1:511:63:31/7/2/180055 aaa_idx = 50159593, extern_handle = 5c6a3, pvd_idx = 40080301, Event code = 0 (provision qos request. flag:0x3003 dpf_flag:0x0) --------------------------------------------------------- 24636 OUT Sun May 10 11:15:49.976544 IPC_ENDPOINT = RCM, MSG_TYPE = POLICY-PROV-REQ, Username = ac:9e:17:89:2e:48, CCT_HANDLE = Unknown circuit Internal Circuit = 1/1:511:63:31/7/2/180055 aaa_idx = 50159593, extern_handle = 5c6a3, pvd_idx = 40080301, Event code = 13 (un-provision nat policy request.) --------------------------------------------------------- 24637 OUT Sun May 10 11:15:49.976564 IPC_ENDPOINT = ISM-CCT, MSG_TYPE = CCT-GEN-CFG, Username = ac:9e:17:89:2e:48, CCT_HANDLE = Unknown circuit Internal Circuit = 1/1:511:63:31/7/2/180055 aaa_idx = 50159593, extern_handle = 5c6a3, pvd_idx = 40080301, Event code = 0 --------------------------------------------------------- 24638 IN Sun May 10 11:15:49.981871 IPC_ENDPOINT = RCM, MSG_TYPE = POLICY-PROV-REPLY, Username = ac:9e:17:89:2e:48, CCT_HANDLE = Unknown circuit Internal Circuit = 1/1:511:63:31/7/2/180055 aaa_idx = 50159593, extern_handle = 5c6a3, pvd_idx = 40080301, Event code = 0 (provision qos response. flag:0x0 dpf_flag:0x0) --------------------------------------------------------- --------------------------------------------------------- 24639 IN Sun May 10 11:15:49.982079 IPC_ENDPOINT = RCM, MSG_TYPE = POLICY-PROV-REPLY, Username = ac:9e:17:89:2e:48, CCT_HANDLE = Unknown circuit Internal Circuit = 1/1:511:63:31/7/2/180055 aaa_idx = 50159593, extern_handle = 5c6a3, pvd_idx = 40080301, Event code = 12 (provision nat policy response.) --------------------------------------------------------- Куда ещё копать можно?? Почему такое может происходить? Да, и забыл добавить, что вот так заворачиваю vlan с абонами в контекст port ethernet 1/1 mtu 1700 no shutdown encapsulation dot1q dot1q pvc 300 service clips dhcp source-mac context krr dot1q pvc 760 service clips dhcp source-mac context krr dot1q pvc 761 service clips dhcp source-mac context krr dot1q pvc 764 service clips dhcp source-mac context krr dot1q pvc 765 service clips dhcp source-mac context krr dot1q pvc 767 service clips dhcp source-mac context krr dot1q pvc 768 service clips dhcp source-mac context krr Изменено 10 мая, 2020 пользователем kortes Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
semop Опубликовано 11 мая, 2020 · Жалоба 23 часа назад, kortes сказал: SE600#show subscribers active username ac:9e:17:89:2e:48 sh dhcp se ho ma ac:9e:17:89:2e:48 sh dhcp se ra Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kortes Опубликовано 11 мая, 2020 · Жалоба @semop первой командой вижу, что DHCP ответил и выделил адрес. вторая ничего не выводит. похоже на уровне доступа какой-то затык. пока предполагаю, что какая-то коробка блокирует DHCP Offer от BRAS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 11 мая, 2020 · Жалоба @kortes Нужен ваершарк + зеркало в порт записываете нормальный дамп с рабочей машиной. Записываете дамп с проблематичной машиной и сравниваете. Да долго, но вы сразу увидите проблему. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
semop Опубликовано 14 мая, 2020 · Жалоба В 11.05.2020 в 14:08, kortes сказал: @semop первой командой вижу, что DHCP ответил и выделил адрес. вторая ничего не выводит. похоже на уровне доступа какой-то затык. пока предполагаю, что какая-то коробка блокирует DHCP Offer от BRAS. Так вот вопрос что именно первая выводит. Вторая тоже должна выводить. Пулы дхсп, свободные/занятые. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...