Helldriver Опубликовано 4 февраля, 2010 · Жалоба Добрый день, господа. Не доводилось ли кому реализовывать управление абонентами через ISG на DOCSIS сети? Очень интересует опыт и подводные камни. Концепция такова - есть CMTS'ы (uBR10k), надо обеспечить терминацию сессий клиентов, и управление ими, на вышестоящих BRAS'ах (ASR1006), при этом как credentials пользователя должна выступать DHCP Option 82. Цель - получить идентично выглядящую (и идентично управляемую) услугу вне зависимости от типа access'а. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 4 февраля, 2010 · Жалоба Тестил когда-то ISG с авторизацией по DHCP Option 82. Доступ не на DOCSIS правда, а просто на свичах с 802.1ку. Но логика решения та же, только вместо агрегации на 65х будет uBR10k (насколько я понимаю, DHCP Option 82 вставлять будут они?) . см. тут: http://forum.nag.ru/forum/index.php?showtopic=45488&hl= Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Helldriver Опубликовано 4 февраля, 2010 · Жалоба Тестил когда-то ISG с авторизацией по DHCP Option 82. Доступ не на DOCSIS правда, а просто на свичах с 802.1ку. Но логика решения та же, только вместо агрегации на 65х будет uBR10k (насколько я понимаю, DHCP Option 82 вставлять будут они?) .см. тут: http://forum.nag.ru/forum/index.php?showtopic=45488&hl= Не совсем... По идее - Option82 должен навешивать абонентский кабельный модем... Вот отсюда, похоже, и вырастает проблема - как через L3-устройство под названием uBR отрелеить DHCP запросы на ASR, который в свою очередь, отрелеит их на сервер и зафиксирует в ISG сессию. Который день рою документацию - все становится только пессимистичнее, а такая красивая схема рисовалась... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
silencess Опубликовано 11 марта, 2015 · Жалоба добрый день, подниму темку из небытия, может у кого сохранился опыт внедрения такого решения ? как заставить uBR10k отправлять запросы в BRASS ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 11 марта, 2015 · Жалоба For ISG to use DHCP to assign IP addresses, the following conditions must be met: The subscriber must be Layer 2-connected. ISG must be in the path of DHCP requests, serving as a DHCP server or relay. Appropriate IP subnets must be configured on the subscriber interface. ISG DHCP Restrictions ISG cannot relay DHCP requests when a Layer 3 DHCP relay agent is between an ISG device and subscriber devices. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
silencess Опубликовано 11 марта, 2015 · Жалоба этот момент понятен,с брасом проблем нет, хотелось бы увидеть кусок кода с uBR10k в рабочей конфигурации или что прописать надо кроме того как: 1. ip dhcp relay information option 2. стерминировать vlan с браса на cmts на коммутаторах проблем не составляет, прописываем ip dhcp snooping vlan XXX или dhcp relay и т.д. (в зависимости от модели железки) и счастье есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 11 марта, 2015 · Жалоба у нас выдача по макам на доксисе к сожалению... 2) ip dhcp relay information option на бандлах cable dhcp-giaddr primary cable helper-address ip_dhcp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
silencess Опубликовано 11 марта, 2015 · Жалоба хелпер же с бандла надо убрать, иначе он не в радиус а в dhcp шлет все? или в ip хелпера указать брас ? (как то антинаучно, приходило в голову и такое, не пробовал еще, полагаю что не будет работать) можно кусок кода настроек с вашего uBR10k увидеть, при каких настройках на CMTS он у вас общается с радиусом ? пробовал так: в глобальных настройках ip dhcp relay information option настройки баиндла interface Bundle1.1 ip address 172.16.0.1 255.255.0.0 no ip redirects no ip unreachables ip flow ingress ip flow egress cable source-verify dhcp cable dhcp-giaddr policy cable helper-address XX.XX.XX.XX cable-modem no keepalive настройки интерфейса смотрящего в брас interface FastEthernet0/0/0.30 encapsulation dot1Q 30 no ip route-cache пакетов на брасе не увидел. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 11 марта, 2015 (изменено) · Жалоба у нас как и у человека выше. isg на asr1k. модемы у нас в врфе.. через врф стиринг.. interface Bundle103 no ip address no cable arp filter request-send no cable arp filter reply-accept cable vrf-steering cable-modem MNG_NETS ! interface Bundle103.1 description USERS ip address 1.2.3.1 255.255.255.0 cable dhcp-giaddr primary cable helper-address <ip dhcp> ! interface Bundle103.2 description CM vrf forwarding MNG_NETS ip address 192.168.15.254 255.255.255.0 ip policy route-map BUNDLE-MAP-103 cable dhcp-giaddr policy cable helper-address <ip dhcp> cable source-route ! в роутмапе BUNDLE-MAP-103 Match clauses: ip address (access-lists): BUNDLE-ACL-103 Set clauses: global в ацле permit ip 1.2.3.0 0.0.0.255 any маршрутизацию проверьте до дхцп сервера. без стиринга что-то типа interface Bundle200 no ip address shutdown cable arp filter request-send 3 2 cable arp filter reply-accept 3 2 cable source-verify cable dhcp-giaddr primary cable helper-address *.*,*.* cable-modem cable helper-address *.*,*.* host Изменено 11 марта, 2015 пользователем zhenya` Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
silencess Опубликовано 13 марта, 2015 · Жалоба до dhcp сервера маршрут есть. точнее будет до ISG, он у меня тоже на asr 1006 а без vrf кто нибудь делал ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bushi Опубликовано 13 марта, 2015 · Жалоба У меня ubr7246vxr, настраивал очень давно ip dhcp relay information option no ip dhcp relay information check ... interface Bundle1 description CableBundle no ip address ip flow ingress cable arp filter request-send 4 2 cable arp filter reply-accept 4 2 no cable proxy-arp cable source-verify dhcp cable source-verify leasetimer 10 cable source-verify leasequery-filter upstream 2 5 ! interface Bundle1.1 description Internet ip address X.X.X.X 255.255.252.0 secondary ip address 172.22.0.1 255.255.0.0 ip access-group RF-UBR-in in ip access-group RF-UBR-out out ip verify unicast source reachable-via rx no ip redirects ip local-proxy-arp ip flow ingress no cable arp cable source-verify dhcp cable dhcp-giaddr policy cable helper-address X.X.151.59 cable-modem cable helper-address X.X.151.59 host Где X.X.151.59 - адрес DHCP сервера И попробуйте здесь спросить: http://sysadmins.ru/forum18.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bushi Опубликовано 13 марта, 2015 · Жалоба Я не имел дела с asr1006, но для bras все будет выглядеть так, как будто между bras и абонентами стоит L3 устройство (например, L3 свич) с DHCP relay. Такую схему легко реализовать на, например, smartedge, но для ISG я нашел такой коментарий: ISG DHCP Restrictions ISG cannot relay DHCP requests when a Layer 3 DHCP relay agent is between an ISG device and subscriber devices. И вот эта же проблема http://forum.nag.ru/forum/index.php?showtopic=97453 http://forum.nag.ru/forum/index.php?showtopic=81047&st=0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
silencess Опубликовано 13 марта, 2015 · Жалоба У меня ubr7246vxr, настраивал очень давно Где X.X.151.59 - адрес DHCP сервера И попробуйте здесь спросить: http://sysadmins.ru/forum18.html а на интерфейсах что в сеть смотрят что настраивали,самый важный момент ? там тоже спросил, пока никто не нашелся, кто делал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bushi Опубликовано 13 марта, 2015 · Жалоба У меня ubr7246vxr, настраивал очень давно Где X.X.151.59 - адрес DHCP сервера И попробуйте здесь спросить: http://sysadmins.ru/forum18.html а на интерфейсах что в сеть смотрят что настраивали,самый важный момент ? там тоже спросил, пока никто не нашелся, кто делал. Ничего особенного, просто назначен ip адрес на интерфейсе, но мы не используем ISG для кабельных клиентов. Прочитайте мой пост выше про ISG. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
silencess Опубликовано 13 марта, 2015 · Жалоба странно, а dhcp сервер не кастомный, там ничего хитрого не крутили для связки с радиусом ? почитал, у меня схема проще, мне бы только отправить запросы с ubr в сторону браса, дальше я их поймаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bushi Опубликовано 13 марта, 2015 · Жалоба странно, а dhcp сервер не кастомный, там ничего хитрого не крутили для связки с радиусом ? почитал, у меня схема проще, мне бы только отправить запросы с ubr в сторону браса, дальше я их поймаю. Я же написал выше, ISG мы не используем для кабельных клиентов, причем здесь radius? Судя по вашему описанию, у Вас именно такая схема. Вам привели выше конфиги для отправки запроса на DHCP сервер. Вы можете вместо DHCP сервера отправлять на BRAS, только если у вас BRAS на циске, это ничего не даст, так как абонентские хосты в случае циски обязательно должны быть подключены по L2, а у вас между BRAS и абонентом устройство L3 - головной модем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
silencess Опубликовано 13 марта, 2015 · Жалоба на самом деле не важно что использовать в качестве BRAS - циску редбек или хуавей или жунипер... значит я вас недопонял просто. при таких настройках, авторизация от абонентов ubr-а не приходит на брас. вижу лишь на dhcp обычные запросы с опцией82 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bushi Опубликовано 13 марта, 2015 · Жалоба на самом деле не важно что использовать в качестве BRAS - циску редбек или хуавей или жунипер... значит я вас недопонял просто. при таких настройках, авторизация от абонентов ubr-а не приходит на брас. вижу лишь на dhcp обычные запросы с опцией82 Все верно, головной модем работает в режиме роутера и релеит DHCP запросы, так и должно быть. Авторизировать же должен BRAS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
silencess Опубликовано 13 марта, 2015 · Жалоба тогда я в упор не понимаю почему я не вижу на брасе ничего с ubr. могли бы вы ткнуть пальцем, что от меня ускользает в понимании? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bushi Опубликовано 13 марта, 2015 · Жалоба тогда я в упор не понимаю почему я не вижу на брасе ничего с ubr. могли бы вы ткнуть пальцем, что от меня ускользает в понимании? Что вы хотите получить с ubr? Ничего кроме dhcp запросов и не должно быть. Нарисуйте схему что вы хотите получить. UBR релеит запрос DHCP от абонента на BRAS, а BRAS, получив запрос, его игнорирует, потому что абонент должен быть подключен к BRAS по L2 (ip subscriber l2-connected). Вам выше уже 2 раза написали фразу из документации: ISG cannot relay DHCP requests when a Layer 3 DHCP relay agent is between an ISG device and subscriber devices. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
silencess Опубликовано 13 марта, 2015 (изменено) · Жалоба Что бы dhcp запросы ушли в определеный vlan. схема: http://imglink.ru/show-image.php?id=293aecbf06565cb124b71633da4083bc настройки на интерфейсе браса: interface GigabitEthernet0/0/1.300 description clients encapsulation dot1Q 300 ip address XX.XX.XX.XX 255.255.0.0 ip helper-address XX.XX.XX.XX ip flow ingress ip flow egress service-policy type control ISG-CUSTOMERS ip subscriber routed initiator dhcp class-aware end (другие абоненты подключеные не через ubr нормально работают с брасом, в том числе и CMTS не от cisco) Изменено 13 марта, 2015 пользователем silencess Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bushi Опубликовано 13 марта, 2015 · Жалоба Честно говоря из схемы ничего не понял. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 14 марта, 2015 · Жалоба description clients encapsulation dot1Q 300 ip address XX.XX.XX.XX 255.255.0.0 какие клиентс ? убр роутер! клиентские сети должны висеть на бандле. дальше линковая сеть между убр и исг. на асре ip subscriber routed initiator unclassified ip-address Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bushi Опубликовано 15 марта, 2015 · Жалоба description clients encapsulation dot1Q 300 ip address XX.XX.XX.XX 255.255.0.0 какие клиентс ? убр роутер! клиентские сети должны висеть на бандле. дальше линковая сеть между убр и исг. на асре ip subscriber routed initiator unclassified ip-address В данном случае сессия инициируется любым ip пакетом о абонента, то есть абоненту должен быть присвоен адрес до аутентификации на брасе и, скорее всего, придется использовать только постоянные ip адреса, закрепленные за абонентами. Насколько я понял, топикстартер хочет получить иницилизацию сессии по dhcp пакету. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Zarin Опубликовано 15 марта, 2015 (изменено) · Жалоба Вот этот сценарий. http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_dhcp/configuration/xe-3s/asr1000/dhcp-xe-3s-asr1000-book/dhcp-relay-agent-xe.html#GUID-A50C5029-5B39-4D44-9C93-4B4C09799E87 Когда между BRAS и клиентом находится еще один relay agent. У нас такая схема авторизации успешно работает. Нужные вам данные, для авторизации клиента, будут находиться в суб. опции 9. 9 - содержит 1 и 2 суб. опции вставленные на оборудовании доступа. Вот пример содержимого, если мне память не изменяет, тут я искал giaddr вставленный первым relay agent'ом. Agent-Information Option 82, length 85: Unknown SubOption 9, length 27: 0x0000: 0000 0009 160a 140a 0e10 0152 0e02 0c02 0x0010: 0a00 000a 0e10 010c 0000 00 Remote-ID SubOption 2, length 12: ^B^J^@^@^J^H^C^A^H^@^LM-^O Unknown SubOption 151, length 28: 0x0000: 0069 6e66 7261 2d77 616e 2d69 6e65 742d 0x0010: 7769 6669 2d63 6170 7469 7665 Unknown SubOption 150, length 4: 0x0000: 0a08 0300 Unknown SubOption 152, length 4: 0x0000: 0a08 0301 END Option 255, length 0 А вот RFC: http://www.networksorcery.com/enp/rfc/rfc4243.txt Изменено 15 марта, 2015 пользователем Zarin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...