DOCSIS+ISG+Option82

[Helldriver]

Добрый день, господа.

 

Не доводилось ли кому реализовывать управление абонентами через ISG на DOCSIS сети? Очень интересует опыт и подводные камни. Концепция такова - есть CMTS'ы (uBR10k), надо обеспечить терминацию сессий клиентов, и управление ими, на вышестоящих BRAS'ах (ASR1006), при этом как credentials пользователя должна выступать DHCP Option 82. Цель - получить идентично выглядящую (и идентично управляемую) услугу вне зависимости от типа access'а.

[Stak]

 

Тестил когда-то ISG с авторизацией по DHCP Option 82. Доступ не на DOCSIS правда, а просто на свичах с 802.1ку. Но логика решения та же, только вместо агрегации на 65х будет uBR10k (насколько я понимаю, DHCP Option 82 вставлять будут они?) .

см. тут: http://forum.nag.ru/forum/index.php?showtopic=45488&hl=

[Helldriver]

Тестил когда-то ISG с авторизацией по DHCP Option 82. Доступ не на DOCSIS правда, а просто на свичах с 802.1ку. Но логика решения та же, только вместо агрегации на 65х будет uBR10k (насколько я понимаю, DHCP Option 82 вставлять будут они?) .

см. тут: http://forum.nag.ru/forum/index.php?showtopic=45488&hl=

Не совсем... По идее - Option82 должен навешивать абонентский кабельный модем... Вот отсюда, похоже, и вырастает проблема - как через L3-устройство под названием uBR отрелеить DHCP запросы на ASR, который в свою очередь, отрелеит их на сервер и зафиксирует в ISG сессию. Который день рою документацию - все становится только пессимистичнее, а такая красивая схема рисовалась...

[silencess]

добрый день, подниму темку из небытия, может у кого сохранился опыт внедрения такого решения ?

как заставить uBR10k отправлять запросы в BRASS ?

[zhenya`]

For ISG to use DHCP to assign IP addresses, the following conditions must be met:

 

The subscriber must be Layer 2-connected.

ISG must be in the path of DHCP requests, serving as a DHCP server or relay.

Appropriate IP subnets must be configured on the subscriber interface.

 

ISG DHCP Restrictions

 

ISG cannot relay DHCP requests when a Layer 3 DHCP relay agent is between an ISG device and subscriber devices.

[silencess]

этот момент понятен,с брасом проблем нет, хотелось бы увидеть кусок кода с uBR10k в рабочей конфигурации или что прописать надо кроме того как:

1. ip dhcp relay information option

2. стерминировать vlan с браса на cmts

 

на коммутаторах проблем не составляет, прописываем ip dhcp snooping vlan XXX или dhcp relay и т.д. (в зависимости от модели железки) и счастье есть.

[zhenya`]

у нас выдача по макам на доксисе к сожалению...

2)

ip dhcp relay information option

на бандлах

cable dhcp-giaddr primary

cable helper-address ip_dhcp

[silencess]

хелпер же с бандла надо убрать, иначе он не в радиус а в dhcp шлет все?

или в ip хелпера указать брас ? (как то антинаучно, приходило в голову и такое, не пробовал еще, полагаю что не будет работать)

 

можно кусок кода настроек с вашего uBR10k увидеть, при каких настройках на CMTS он у вас общается с радиусом ?

 

пробовал так:

 

в глобальных настройках

ip dhcp relay information option

 

настройки баиндла

interface Bundle1.1

ip address 172.16.0.1 255.255.0.0

no ip redirects

no ip unreachables

ip flow ingress

ip flow egress

cable source-verify dhcp

cable dhcp-giaddr policy

cable helper-address XX.XX.XX.XX cable-modem

no keepalive

 

настройки интерфейса смотрящего в брас

interface FastEthernet0/0/0.30

encapsulation dot1Q 30

no ip route-cache

 

пакетов на брасе не увидел.

[zhenya`]

у нас как и у человека выше. isg на asr1k.

 

модемы у нас в врфе.. через врф стиринг..

 

interface Bundle103

no ip address

no cable arp filter request-send

no cable arp filter reply-accept

cable vrf-steering cable-modem MNG_NETS

!

interface Bundle103.1

description USERS

ip address 1.2.3.1 255.255.255.0

cable dhcp-giaddr primary

cable helper-address <ip dhcp>

!

interface Bundle103.2

description CM

vrf forwarding MNG_NETS

ip address 192.168.15.254 255.255.255.0

ip policy route-map BUNDLE-MAP-103

cable dhcp-giaddr policy

cable helper-address <ip dhcp>

cable source-route

!

 

в роутмапе BUNDLE-MAP-103

Match clauses:

ip address (access-lists): BUNDLE-ACL-103

Set clauses:

global

 

в ацле

permit ip 1.2.3.0 0.0.0.255 any

 

маршрутизацию проверьте до дхцп сервера.

 

без стиринга что-то типа

 

interface Bundle200

no ip address

shutdown

cable arp filter request-send 3 2

cable arp filter reply-accept 3 2

cable source-verify

cable dhcp-giaddr primary

cable helper-address *.*,*.* cable-modem

cable helper-address *.*,*.* host

Edited March 11, 2015 by zhenya`

[silencess]

до dhcp сервера маршрут есть. точнее будет до ISG, он у меня тоже на asr 1006

а без vrf кто нибудь делал ?

[Bushi]

У меня ubr7246vxr, настраивал очень давно

ip dhcp relay information option

no ip dhcp relay information check

...

interface Bundle1

description CableBundle

no ip address

ip flow ingress

cable arp filter request-send 4 2

cable arp filter reply-accept 4 2

no cable proxy-arp

cable source-verify dhcp

cable source-verify leasetimer 10

cable source-verify leasequery-filter upstream 2 5

!

interface Bundle1.1

description Internet

ip address X.X.X.X 255.255.252.0 secondary

ip address 172.22.0.1 255.255.0.0

ip access-group RF-UBR-in in

ip access-group RF-UBR-out out

ip verify unicast source reachable-via rx

no ip redirects

ip local-proxy-arp

ip flow ingress

no cable arp

cable source-verify dhcp

cable dhcp-giaddr policy

cable helper-address X.X.151.59 cable-modem

cable helper-address X.X.151.59 host

 

Где X.X.151.59 - адрес DHCP сервера

 

И попробуйте здесь спросить:

http://sysadmins.ru/forum18.html

[Bushi]

Я не имел дела с asr1006, но для bras все будет выглядеть так, как будто между bras и абонентами стоит L3 устройство (например, L3 свич) с DHCP relay. Такую схему легко реализовать на, например, smartedge, но для ISG я нашел такой коментарий:

 

ISG DHCP Restrictions

ISG cannot relay DHCP requests when a Layer 3 DHCP relay agent is between an ISG device and subscriber devices.

 

И вот эта же проблема

http://forum.nag.ru/forum/index.php?showtopic=97453

http://forum.nag.ru/forum/index.php?showtopic=81047&st=0

[silencess]

У меня ubr7246vxr, настраивал очень давно

Где X.X.151.59 - адрес DHCP сервера

 

И попробуйте здесь спросить:

http://sysadmins.ru/forum18.html

 

а на интерфейсах что в сеть смотрят что настраивали,самый важный момент ?

там тоже спросил, пока никто не нашелся, кто делал.

[Bushi]

У меня ubr7246vxr, настраивал очень давно

Где X.X.151.59 - адрес DHCP сервера

 

И попробуйте здесь спросить:

http://sysadmins.ru/forum18.html

 

а на интерфейсах что в сеть смотрят что настраивали,самый важный момент ?

там тоже спросил, пока никто не нашелся, кто делал.

Ничего особенного, просто назначен ip адрес на интерфейсе, но мы не используем ISG для кабельных клиентов. Прочитайте мой пост выше про ISG.

[silencess]

странно, а dhcp сервер не кастомный, там ничего хитрого не крутили для связки с радиусом ?

почитал, у меня схема проще, мне бы только отправить запросы с ubr в сторону браса, дальше я их поймаю.

[Bushi]

странно, а dhcp сервер не кастомный, там ничего хитрого не крутили для связки с радиусом ?

почитал, у меня схема проще, мне бы только отправить запросы с ubr в сторону браса, дальше я их поймаю.

Я же написал выше, ISG мы не используем для кабельных клиентов, причем здесь radius?

Судя по вашему описанию, у Вас именно такая схема. Вам привели выше конфиги для отправки запроса на DHCP сервер. Вы можете вместо DHCP сервера отправлять на BRAS, только если у вас BRAS на циске, это ничего не даст, так как абонентские хосты в случае циски обязательно должны быть подключены по L2, а у вас между BRAS и абонентом устройство L3 - головной модем.

[silencess]

на самом деле не важно что использовать в качестве BRAS - циску редбек или хуавей или жунипер...

значит я вас недопонял просто.

 

при таких настройках, авторизация от абонентов ubr-а не приходит на брас.

вижу лишь на dhcp обычные запросы с опцией82

[Bushi]

на самом деле не важно что использовать в качестве BRAS - циску редбек или хуавей или жунипер...

значит я вас недопонял просто.

 

при таких настройках, авторизация от абонентов ubr-а не приходит на брас.

вижу лишь на dhcp обычные запросы с опцией82

Все верно, головной модем работает в режиме роутера и релеит DHCP запросы, так и должно быть. Авторизировать же должен BRAS.

[silencess]

тогда я в упор не понимаю почему я не вижу на брасе ничего с ubr. могли бы вы ткнуть пальцем, что от меня ускользает в понимании?

[Bushi]

тогда я в упор не понимаю почему я не вижу на брасе ничего с ubr. могли бы вы ткнуть пальцем, что от меня ускользает в понимании?

Что вы хотите получить с ubr? Ничего кроме dhcp запросов и не должно быть. Нарисуйте схему что вы хотите получить.

UBR релеит запрос DHCP от абонента на BRAS, а BRAS, получив запрос, его игнорирует, потому что абонент должен быть подключен к BRAS по L2 (ip subscriber l2-connected).

 

Вам выше уже 2 раза написали фразу из документации:

 

ISG cannot relay DHCP requests when a Layer 3 DHCP relay agent is between an ISG device and subscriber devices.

[silencess]

Что бы dhcp запросы ушли в определеный vlan.

 

схема: http://imglink.ru/show-image.php?id=293aecbf06565cb124b71633da4083bc

 

настройки на интерфейсе браса:

interface GigabitEthernet0/0/1.300

description clients

encapsulation dot1Q 300

ip address XX.XX.XX.XX 255.255.0.0

ip helper-address XX.XX.XX.XX

ip flow ingress

ip flow egress

service-policy type control ISG-CUSTOMERS

ip subscriber routed

initiator dhcp class-aware

end

 

(другие абоненты подключеные не через ubr нормально работают с брасом, в том числе и CMTS не от cisco)

Edited March 13, 2015 by silencess

[Bushi]

Честно говоря из схемы ничего не понял.

[zhenya`]

description clients

encapsulation dot1Q 300

ip address XX.XX.XX.XX 255.255.0.0

 

какие клиентс ? убр роутер! клиентские сети должны висеть на бандле. дальше линковая сеть между убр и исг.

 

на асре

ip subscriber routed

initiator unclassified ip-address

[Bushi]

description clients

encapsulation dot1Q 300

ip address XX.XX.XX.XX 255.255.0.0

 

какие клиентс ? убр роутер! клиентские сети должны висеть на бандле. дальше линковая сеть между убр и исг.

 

на асре

ip subscriber routed

initiator unclassified ip-address

В данном случае сессия инициируется любым ip пакетом о абонента, то есть абоненту должен быть присвоен адрес до аутентификации на брасе и, скорее всего, придется использовать только постоянные ip адреса, закрепленные за абонентами. Насколько я понял, топикстартер хочет получить иницилизацию сессии по dhcp пакету.

[Zarin]

Вот этот сценарий. http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_dhcp/configuration/xe-3s/asr1000/dhcp-xe-3s-asr1000-book/dhcp-relay-agent-xe.html#GUID-A50C5029-5B39-4D44-9C93-4B4C09799E87

Когда между BRAS и клиентом находится еще один relay agent.

У нас такая схема авторизации успешно работает.

 

Нужные вам данные, для авторизации клиента, будут находиться в суб. опции 9.

9 - содержит 1 и 2 суб. опции вставленные на оборудовании доступа.

 

Вот пример содержимого, если мне память не изменяет, тут я искал giaddr вставленный первым relay agent'ом.

 

Agent-Information Option 82, length 85: 
Unknown SubOption 9, length 27: 
0x0000: 0000 0009 160a 140a 0e10 0152 0e02 0c02
0x0010: 0a00 000a 0e10 010c 0000 00
Remote-ID SubOption 2, length 12: ^B^J^@^@^J^H^C^A^H^@^LM-^O
Unknown SubOption 151, length 28: 
0x0000: 0069 6e66 7261 2d77 616e 2d69 6e65 742d
0x0010: 7769 6669 2d63 6170 7469 7665
Unknown SubOption 150, length 4: 
0x0000: 0a08 0300
Unknown SubOption 152, length 4: 
0x0000: 0a08 0301
END Option 255, length 0

 

А вот RFC: http://www.networksorcery.com/enp/rfc/rfc4243.txt

Edited March 15, 2015 by Zarin