BNG DHCP IPoE (opt82 initiator unclassified-ip)

[learner]

День добрый!

В наличии ASR9k XR 6.7.2 и идея заставить ее работать BNG с управлением по CoA на QinQ Bundle-Ether интерфейсе ipv4 unnumbered Loopback с unclassified-ip адресами IPoE абонентов, полученными через proxy BNG на отдельный DHCP с выдачей адресов по opt82.

В целом, оно работает, остается разобраться с маршрутизацией, дошло до route leak между VRF, а это значит, что что-то делается не так...

Почему по VRF: интерфейс сабскрайбера нормально встает только когда не совпадает сеть, назначенные через DHCP сети на интерфейсе unnumbered, который является шлюзом этой сети, или ругается: IP Subscriber session create failure ( Cover Route prefix-length is same with subscriber prefix-leng)

Если адрес и шлюз сабскрайбера давать из другой сети, ответ от сервера DHCP не дойдет и роутинга не будет (разные адреса на интерфейсах).

Поэтому, приходится запихивать в default или отдельные VRF и устраивать route leak, так как один и тот-же адрес в разных VRF

Существует-ли простой вариант решения?

sho dhcp ipv4 proxy bind
Fri Apr  2 20:01:13.749 MAGT

                                           Lease
 MAC Address      IP Address      State    Remaining       Interface          VRF      Sublabel
--------------  --------------  ---------  ---------  -------------------  ---------  ----------
5254.006e.e13c  10.222.128.4    BOUND      989        BE1001.1133          NET     0x0
 

радиусы:

 

aaa authorization subscriber radius group freeradius

 

VRF-ы

 

vrf NAT
 rd 65441:95
 address-family ipv4 unicast
  import route-target
   65441:95
  !
  export route-target
   65441:95
  !
 !
!
vrf NET
 rd 56441:1
 address-family ipv4 unicast
  import route-target
   56441:1
  !
  export route-target
   56441:1
 

DHCP

 

dhcp ipv4

 profile DHCP-PROXY proxy

 helper-address vrf NET 10.1.1.245 giaddr 10.222.128.1

  !
  relay information option
  relay information policy keep
  relay information option allow-untrusted
 !
 interface Bundle-Ether1001.1133 proxy profile DHCP-PROXY
 

Темплейты сервисов

 

dynamic-template

 type ipsubscriber FREERADIUS
  accounting aaa list radius type session periodic-interval 1
  ipv4 unnumbered Loopback223
 

Интерфейсы

 

interface Loopback222
 vrf NET
 ipv4 address 10.222.128.1 255.255.192.0

 

interface Bundle-Ether2.95

description Интерфейс в сторону серверов NAT
 ipv4 address 10.254.254.4 255.255.255.0
 encapsulation dot1q 95

 

interface Bundle-Ether1001.1133

description Интерфейс в сторону тестового абонента в vlan
 vrf NET
 ipv4 point-to-point
 ipv4 unnumbered Loopback222
 service-policy type control subscriber IPoE-DHCP
 encapsulation dot1q 15 second-dot1q 1133
 ipsubscriber ipv4 routed
  initiator unclassified-ip
 !
interface Bundle-Ether1001.1134

description Интерфейс в сторону остальной сети
 vrf NET
 ipv4 address 10.11.34.252 255.255.255.0
 encapsulation dot1q 16 second-dot1q 1134

 

роутинг

 

router static
 address-family ipv4 unicast
  0.0.0.0/0 10.254.254.254
 !
 vrf NAT
  address-family ipv4 unicast
   0.0.0.0/0 10.254.254.254
  !
 !
 vrf NET
  address-family ipv4 unicast
   10.0.0.0/8 10.11.34.254
  !
router bgp 56441
 bgp router-id 10.0.0.1
 address-family ipv4 unicast
  network 10.0.0.0/32
 !
 address-family vpnv4 unicast
 !
 neighbor-group NET
  remote-as 56441
  address-family ipv4 unicast
 !
 vrf NAT
  rd 56441:95
  default-information originate
  address-family ipv4 unicast
   redistribute connected
   redistribute static
  !
 !
 vrf NET
  rd 56441:1
  address-family ipv4 unicast
   redistribute connected
  !
  neighbor 10.222.128.1
   use neighbor-group NET
  !
  neighbor 10.254.254.4
   use neighbor-group NET

 

Полиси

 

class-map type control subscriber match-any ISG-IP
 match source-address ipv4 10.0.0.0 255.0.0.0
 end-class-map
!
!
policy-map type control subscriber IPoE-DHCP
 event session-start match-first
  class type control subscriber ISG-IP do-until-failure
   5 activate dynamic-template FREERADIUS
   10 authorize aaa list radius identifier source-address-ipv4 password test

Результат 

sho subs sess all det int
Fri Apr  2 20:25:02.225 MAGT
Interface:                Bundle-Ether1001.1133.ip5162
Circuit ID:               Unknown
Remote ID:                Unknown
Type:                     IP: Packet-trigger
IPv4 State:               Up, Fri Apr  2 20:24:44 2021
IPv4 Address:             10.222.128.4, VRF: default
IPv4 Up helpers:          0x00000040 {IPSUB}
IPv4 Up requestors:       0x00000040 {IPSUB}
Mac Address:              Unknown
Account-Session Id:       0000145b
Nas-Port:                 Unknown
User name:                10.222.128.4
Formatted User name:      unknown
Client User name:         unknown
Outer VLAN ID:            15
Inner VLAN ID:            1133
Subscriber Label:         0x00000069
Created:                  Fri Apr  2 20:24:43 2021
State:                    Activated, Fri Apr  2 20:24:44 2021

Authentication:           unauthenticated
Authorization:            authorized
Ifhandle:                 0x00005420
Session History ID:       2
Access-interface:         Bundle-Ether1001.1133
iEdge Oper Flags:         0x00000006
SRG Flags:                0x00000000(N)
SRG Group ID:             0
Prepaid State:            (Disabled)
Policy Executed:

event Session-Start match-first [at 1617355483]
 class type control subscriber ISG-IP do-until-failure [Succeeded]
 5 activate dynamic-template FREERADIUS [cerr: No error][aaa: Success]
 10 authorize aaa list radius [cerr: No error][aaa: Success]
Session Accounting:
  Acct-Session-Id:          0000145b
  Method-list:              default
  Accounting started:       Fri Apr  2 20:24:44 2021
  Interim accounting:       On, interval 1 mins
    Last successful update: Never
    Last unsuccessful update: Never
    Next update in:         00:00:43 (dhms)
    Last update sent:       Never
    Updates sent:           0
    Updates accepted:       0
    Updates rejected:       0
    Update send failures:   0
Last COA request received: unavailable
User Profile received from AAA:
 Attribute List: 0x15010024
1:  idletimeout     len=  4  value= 60(3c)
2:  acct-interval   len=  4  value= 60(3c)
Services:
  Name        : FREERADIUS
  Service-ID  : 0x4000009
  Type        : Template
  Status      : Applied
[Event History]
   Apr  2 20:24:43.776 Service status update [many]
-------------------------
[Event History]
   Apr  2 20:24:42.752 IPv4 Start
   Apr  2 20:24:42.752 SUBDB session create
   Apr  2 20:24:42.752 Authorization req
   Apr  2 20:24:42.752 Authorization res
   Apr  2 20:24:42.752 SUBDB produce done Start
   Apr  2 20:24:43.648 SUBDB produce done
   Apr  2 20:24:43.648 Session Update
   Apr  2 20:24:43.648 Session Up
   Apr  2 20:24:43.648 IPv4 Up
   Apr  2 20:24:43.648 Account Start req
 

sho ip route vrf NET 10.222.128.4
Fri Apr  2 20:49:49.519 MAGT

Routing entry for 10.222.128.4/32
  Known via "subscriber DHCPV4_SUBSCR", distance 1, metric 0 (connected)
  Installed Apr  2 20:47:00.837 for 00:02:48
  Routing Descriptor Blocks
    directly connected, via Bundle-Ether1001.1133
      Route metric is 0
  No advertising protos.

 

sho ip route 10.222.128.4
Fri Apr  2 20:50:00.862 MAGT

Routing entry for 10.222.128.4/32
  Known via "subscriber IPSUB_SUBSCR", distance 2, metric 0
  Installed Apr  2 20:49:32.222 for 00:00:28
  Routing Descriptor Blocks
    via Bundle-Ether1001.1133.ip5184
      Route metric is 0
  No advertising protos.