Jump to content
Калькуляторы

Cisco ASR1000 OSPF трабл

Добрый день!

Есть сетка с OSPF внутри.

В физическом кольце коммутаторы D-Link, два из которых подключены к Cisco ASR1002.

На ASR1002 есть: 2 BGP FW, NAT, ISG, Netflow.

Версия прошивки: asr1000rp1-adventerprise.03.03.00.S.151-2.S.bin

 

Вот соседи по OSPF (схемка прилагается к письму):

ASR1002#sh ip ospf neighbor

Neighbor ID     Pri   State           Dead Time   Address         Interface
1.1.1.87          1   FULL/BDR        00:00:31    10.255.10.1     GigabitEthernet0/1/2
1.1.1.99          1   FULL/BDR        00:00:06    10.255.10.5     GigabitEthernet0/1/0

Проблема в том, что постоянно отваливается соседство то с одним, то с двумя соседями одновременно:

6756: Aug 23 10:50:59.005 OMSST: %OSPF-5-ADJCHG: Process 1, Nbr 1.1.1.99 on GigabitEthernet0/1/0 from FULL to DOWN, Neighbor Down: Dead timer expired
016757: Aug 23 10:51:29.018 OMSST: %OSPF-5-ADJCHG: Process 1, Nbr 1.1.1.99 on GigabitEthernet0/1/0 from LOADING to FULL, Loading Done
016758: Aug 23 11:24:59.145 OMSST: %OSPF-5-ADJCHG: Process 1, Nbr 1.1.1.99 on GigabitEthernet0/1/0 from FULL to DOWN, Neighbor Down: Dead timer expired
016759: Aug 23 11:25:29.156 OMSST: %OSPF-5-ADJCHG: Process 1, Nbr 1.1.1.99 on GigabitEthernet0/1/0 from LOADING to FULL, Loading Done
016761: Aug 23 13:04:29.555 OMSST: %OSPF-5-ADJCHG: Process 1, Nbr 1.1.1.99 on GigabitEthernet0/1/0 from FULL to DOWN, Neighbor Down: Dead timer expired
016762: Aug 23 13:04:59.566 OMSST: %OSPF-5-ADJCHG: Process 1, Nbr 1.1.1.99 on GigabitEthernet0/1/0 from LOADING to FULL, Loading Done
016763: Aug 23 13:34:49.683 OMSST: %OSPF-5-ADJCHG: Process 1, Nbr 1.1.1.99 on GigabitEthernet0/1/0 from FULL to DOWN, Neighbor Down: Dead timer expired
016764: Aug 23 13:35:19.695 OMSST: %OSPF-5-ADJCHG: Process 1, Nbr 1.1.1.99 on GigabitEthernet0/1/0 from LOADING to FULL, Loading Done

Вот это имеет отношение к OSPF:

ASR1002#sh run | s router ospf
router ospf 1
router-id 10.255.0.1
auto-cost reference-bandwidth 10000
area 4 nssa
passive-interface default
no passive-interface GigabitEthernet0/1/0
no passive-interface GigabitEthernet0/1/2
network 10.255.10.2 0.0.0.0 area 0.0.0.1
network 10.255.10.6 0.0.0.0 area 0.0.0.2
neighbor 10.255.10.5
default-information originate always metric-type 1

ASR1002#sh run int gi0/1/0
Building configuration...

Current configuration : 456 bytes
!
interface GigabitEthernet0/1/0
description === ASR1002[Gi0/1/0] --- agsw01-99[23] [Access Net] ===
dampening
ip address 10.255.10.6 255.255.255.252
ip access-group nat-pool in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip flow egress
ip virtual-reassembly
load-interval 30
carrier-delay msec 0
negotiation auto
service-policy type control ISG-IP-POLICY
ip subscriber routed
 initiator unclassified ip-address
end

ASR1002#sh run int gi0/1/2
Building configuration...

Current configuration : 456 bytes
!
interface GigabitEthernet0/1/2
description === ASR1002[Gi0/1/2] --- agsw01-87[23] [Access Net] ===
dampening
ip address 10.255.10.2 255.255.255.252
ip access-group nat-pool in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip flow egress
ip virtual-reassembly
load-interval 30
carrier-delay msec 0
negotiation auto
service-policy type control ISG-IP-POLICY
ip subscriber routed
 initiator unclassified ip-address

 

По дампу видно, что с какого-то момента цыска в hello пакете перестаёт анонсировать длинк и через стандартный dead timer перестаёт его опознавать как соседа. Рвёт adjacency и восстанавливает заново через 30 секунд (это видно из лога, приведённого мной).

 

Пробовал ставить всё в одну зону (area). Пробовал на подинтерфейсах. Всё-равно вылезает эта проблема.

 

Искал у цыски в багах. Ничего подобного не нашёл.

 

Кто чего подскажет?

scheme_ospf.jpg

Share this post


Link to post
Share on other sites

Я бы с удовольствием, но вот товарищи из D-Link'а не дали возможности. )

Share this post


Link to post
Share on other sites

а так ?

create ospf area 0.0.0.1 type normal

 

и вообще на DGS'ах как сконфигурено?

Share this post


Link to post
Share on other sites

Всё-таки решил воспользоваться дебагом на цыске. И даже нашёл нужные команды.

В результате вижу следующее. С какого-то момента цыска перестаёт видеть Hello пакеты от D-Link'а. Хотя, судя по дампам, снятым с промежуточного коммутатора (специально был поставлен для мирроринга трафика, ибо D-Link не умеет миррорить трафик, который генерируется его собственным CPU), пакеты от D-Link'а регулярно ходят. Вот момент, когда цыска получает очередной привет и потом не видит его на протяжении времени, равному "мёртвому" таймеру (InactivityTimer вроде это - или Dead timer):

018299: Aug 23 17:58:39.073 OMSST: OSPF-1 HELLO Gi0/1/0: Rcv hello from 1.1.1.99 area 0.0.0.2 10.255.10.5
018300: Aug 23 17:58:39.450 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
ASR1002#
018301: Aug 23 17:58:40.430 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
018302: Aug 23 17:58:41.367 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
ASR1002#
018303: Aug 23 17:58:42.286 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
018304: Aug 23 17:58:42.327 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
018305: Aug 23 17:58:43.189 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
ASR1002#
018306: Aug 23 17:58:44.119 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
018307: Aug 23 17:58:45.096 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
ASR1002#
018308: Aug 23 17:58:45.794 OMSST: OSPF-1 HLOIN: input packet - Hello   GigabitEthernet0/1/2 (0)
018309: Aug 23 17:58:46.093 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
ASR1002#
018310: Aug 23 17:58:47.046 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
018311: Aug 23 17:58:48.010 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
018312: Aug 23 17:58:48.026 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
018313: Aug 23 17:58:48.026 OMSST: OSPF-1 HELLO Gi0/1/0: Send hello to 224.0.0.5 area 0.0.0.2 from 10.255.10.6
ASR1002#
018314: Aug 23 17:58:48.975 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
018315: Aug 23 17:58:49.908 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
ASR1002#
018316: Aug 23 17:58:50.844 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
018317: Aug 23 17:58:51.785 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
ASR1002#
018318: Aug 23 17:58:52.286 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
018319: Aug 23 17:58:52.747 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
ASR1002#
018320: Aug 23 17:58:53.739 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
018321: Aug 23 17:58:54.718 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
ASR1002#
018322: Aug 23 17:58:55.621 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
018323: Aug 23 17:58:55.795 OMSST: OSPF-1 HLOIN: input packet - Hello   GigabitEthernet0/1/2 (0)
018324: Aug 23 17:58:56.601 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
ASR1002#
018325: Aug 23 17:58:57.028 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
018326: Aug 23 17:58:57.028 OMSST: OSPF-1 HELLO Gi0/1/0: Send hello to 224.0.0.5 area 0.0.0.2 from 10.255.10.6
018327: Aug 23 17:58:57.506 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
ASR1002#
018328: Aug 23 17:58:58.489 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
018329: Aug 23 17:58:59.418 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
ASR1002#
018330: Aug 23 17:59:00.355 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
018331: Aug 23 17:59:01.288 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
ASR1002#
018332: Aug 23 17:59:01.675 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
018333: Aug 23 17:59:02.216 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
ASR1002#
018334: Aug 23 17:59:03.123 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
018335: Aug 23 17:59:04.083 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
ASR1002#
018336: Aug 23 17:59:05.064 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
018337: Aug 23 17:59:05.795 OMSST: OSPF-1 HLOIN: input packet - Hello   GigabitEthernet0/1/2 (0)
018338: Aug 23 17:59:06.059 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
ASR1002#
018339: Aug 23 17:59:06.263 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
018340: Aug 23 17:59:06.263 OMSST: OSPF-1 HELLO Gi0/1/0: Send hello to 224.0.0.5 area 0.0.0.2 from 10.255.10.6
018341: Aug 23 17:59:06.998 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
ASR1002#
018342: Aug 23 17:59:07.983 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
018343: Aug 23 17:59:08.975 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
ASR1002#
018344: Aug 23 17:59:09.936 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
018345: Aug 23 17:59:10.930 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
ASR1002#
018346: Aug 23 17:59:11.399 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
018347: Aug 23 17:59:11.889 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
ASR1002#
018348: Aug 23 17:59:12.876 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
018349: Aug 23 17:59:13.869 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
ASR1002#
018350: Aug 23 17:59:14.792 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
018351: Aug 23 17:59:15.733 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
ASR1002#
018352: Aug 23 17:59:15.796 OMSST: OSPF-1 HLOIN: input packet - Hello   GigabitEthernet0/1/2 (0)
018353: Aug 23 17:59:16.174 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
018354: Aug 23 17:59:16.174 OMSST: OSPF-1 HELLO Gi0/1/0: Send hello to 224.0.0.5 area 0.0.0.2 from 10.255.10.6
018355: Aug 23 17:59:16.714 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
ASR1002#
018356: Aug 23 17:59:17.648 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
018357: Aug 23 17:59:18.616 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)
018358: Aug 23 17:59:19.073 OMSST: OSPF-1 HLOTM: timer expiration - NBR_DEAD_TIMER (0)
018359: Aug 23 17:59:19.073 OMSST: OSPF-1 ADJ   Gi0/1/0: 1.1.1.99 address 10.255.10.5 is dead
018360: Aug 23 17:59:19.073 OMSST: OSPF-1 ADJ   Gi0/1/0: 1.1.1.99 address 10.255.10.5 is dead, state DOWN
018361: Aug 23 17:59:19.073 OMSST: %OSPF-5-ADJCHG: Process 1, Nbr 1.1.1.99 on GigabitEthernet0/1/0 from FULL to DOWN, Neighbor Down: Dead timer expired
ASR1002#
018362: Aug 23 17:59:19.073 OMSST: OSPF-1 ADJ   Gi0/1/0: Neighbor change event
018363: Aug 23 17:59:19.073 OMSST: OSPF-1 ADJ   Gi0/1/0: DR/BDR election
018364: Aug 23 17:59:19.073 OMSST: OSPF-1 ADJ   Gi0/1/0: Elect BDR 0.0.0.0
018365: Aug 23 17:59:19.073 OMSST: OSPF-1 ADJ   Gi0/1/0: Elect DR 10.255.0.1
018366: Aug 23 17:59:19.073 OMSST: OSPF-1 ADJ   Gi0/1/0: DR: 10.255.0.1 (Id)   BDR: none
018367: Aug 23 17:59:19.564 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0)

Есть подозрение, что у ESP кончаются какие-то ресурсы (DRAM, TCAM, чего-то ещё), и она забивает на эти пакеты. Но пока нужные команды диагностики не найдены.

Что интересно, это что сосед 1.1.1.87 отваливается раз в 10-20 реже,чем 1.1.1.99.

 

Если что, вот выдержка с конфига коммутатора, касающаяся OSPF:

...
# VLAN
...
create vlan 699 tag 699
config vlan 699 add untagged 23 advertisement disable
disable qinq
disable gvrp
disable vlan_trunk
config gvrp 1-22,24-27 state disable ingress_checking enable acceptable_frame admit_all pvid 1
config gvrp 23 state disable ingress_checking enable acceptable_frame admit_all pvid 699
...
# IP
...
create ipif Vlan699 10.255.10.5/30 699 state enable
config ipif Vlan699 proxy_arp disable local disable
...
# OSPF

create ospf area 0.0.0.1 type normal
create ospf area 0.0.0.2 type normal
create ospf area 5.0.0.0 type nssa  translate disable stub_summary enabled metric 1
create ospf area 99.0.0.0 type nssa  translate disable stub_summary enabled metric 1
config ospf ipif System area 0.0.0.0 priority 1 hello_interval 10 dead_interval 40
config ospf ipif System authentication none metric 1 state disable passive disable
config ospf ipif Vlan301 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40
config ospf ipif Vlan301 authentication none metric 1 state enable passive disable
config ospf ipif Vlan302 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40
config ospf ipif Vlan302 authentication none metric 1 state enable passive disable
config ospf ipif Vlan303 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40
config ospf ipif Vlan303 authentication none metric 1 state enable passive disable
config ospf ipif Vlan304 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40
config ospf ipif Vlan304 authentication none metric 1 state enable passive disable
config ospf ipif Vlan305 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40
config ospf ipif Vlan305 authentication none metric 1 state enable passive disable
config ospf ipif Vlan306 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40
config ospf ipif Vlan306 authentication none metric 1 state enable passive disable
config ospf ipif Vlan307 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40
config ospf ipif Vlan307 authentication none metric 1 state enable passive disable
config ospf ipif Vlan308 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40
config ospf ipif Vlan308 authentication none metric 1 state enable passive disable
config ospf ipif Vlan309 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40
config ospf ipif Vlan309 authentication none metric 1 state enable passive disable
config ospf ipif Vlan310 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40
config ospf ipif Vlan310 authentication none metric 1 state enable passive disable
config ospf ipif Vlan311 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40
config ospf ipif Vlan311 authentication none metric 1 state enable passive disable
config ospf ipif Vlan312 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40
config ospf ipif Vlan312 authentication none metric 1 state enable passive disable
config ospf ipif Vlan313 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40
config ospf ipif Vlan313 authentication none metric 1 state enable passive disable
config ospf ipif Vlan314 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40
config ospf ipif Vlan314 authentication none metric 1 state enable passive disable
config ospf ipif Vlan315 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40
config ospf ipif Vlan315 authentication none metric 1 state enable passive disable
config ospf ipif Vlan316 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40
config ospf ipif Vlan316 authentication none metric 1 state enable passive disable
config ospf ipif Vlan317 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40
config ospf ipif Vlan317 authentication none metric 1 state enable passive disable
config ospf ipif Vlan318 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40
config ospf ipif Vlan318 authentication none metric 1 state enable passive disable
config ospf ipif Vlan319 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40
config ospf ipif Vlan319 authentication none metric 1 state enable passive disable
config ospf ipif Vlan320 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40
config ospf ipif Vlan320 authentication none metric 1 state enable passive disable
config ospf ipif Vlan321 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40
config ospf ipif Vlan321 authentication none metric 1 state enable passive disable
config ospf ipif Vlan322 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40
config ospf ipif Vlan322 authentication none metric 1 state enable passive disable
config ospf ipif Vlan280 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40
config ospf ipif Vlan280 authentication none metric 1 state enable passive disable
config ospf ipif Vlan601 area 0.0.0.0 priority 1 hello_interval 10 dead_interval 40
config ospf ipif Vlan601 authentication none metric 1 state enable passive disable
config ospf ipif Vlan603 area 0.0.0.0 priority 1 hello_interval 10 dead_interval 40
config ospf ipif Vlan603 authentication none metric 1 state enable passive disable
config ospf ipif Vlan5 area 5.0.0.0 priority 1 hello_interval 10 dead_interval 40
config ospf ipif Vlan5 authentication none metric 1 state enable passive disable
config ospf ipif Vlan699 area 0.0.0.2 priority 0 hello_interval 10 dead_interval 40
config ospf ipif Vlan699 authentication none metric 1 state enable passive disable
config ospf ipif Vlan401 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40
config ospf ipif Vlan401 authentication none metric 1 state enable passive disable
create ospf aggregation 5.0.0.0 10.255.5.0/24 lsdb_type summary advertise enable
create ospf aggregation 99.0.0.0 10.99.0.0/16 lsdb_type summary advertise enable
create ospf aggregation 99.0.0.0 <Подсеть белых IP-адресов>/24 lsdb_type summary advertise enable
config ospf router_id 1.1.1.99
enable ospf
...

Share this post


Link to post
Share on other sites

 

ASR1002#sh run int gi0/1/0
Building configuration...

Current configuration : 456 bytes
!
interface GigabitEthernet0/1/0
description === ASR1002[Gi0/1/0] --- agsw01-99[23] [Access Net] ===
dampening
ip address 10.255.10.6 255.255.255.252
ip access-group nat-pool in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip flow egress
ip virtual-reassembly
load-interval 30
carrier-delay msec 0
negotiation auto
service-policy type control ISG-IP-POLICY
ip subscriber routed
 initiator unclassified ip-address
end

 

ISG-IP-POLICY можно посмотреть?

Share this post


Link to post
Share on other sites

Да собственно стандартные все настройки:

class-map type traffic match-any CLASS-TO-REDIRECT
match access-group input name REDIRECT
match access-group output name REDIRECT
!
class-map type control match-all ISG-IP-UNAUTH
match timer UNAUTH-TIMER
match authen-status unauthenticated
!
!
class-map match-all test
match protocol bittorrent
policy-map type service LOCAL_L4R
service local
ip access-group REDIRECT in
ip access-group REDIRECT out
1 class type traffic CLASS-TO-REDIRECT
 redirect to group REDIRECT_PORTAL
!
class type traffic default in-out
 drop
!
!
policy-map type control ISG-IP-POLICY
class type control ISG-IP-UNAUTH event timed-policy-expiry
 1 service disconnect
!
class type control always event quota-depleted
 1 set-param drop-traffic FALSE
!
class type control always event credit-exhausted
 1 service-policy type service name LOCAL_L4R
!
class type control always event session-start
 10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address
 20 set-timer UNAUTH-TIMER 1
 30 service-policy type service name LOCAL_L4R
!
class type control always event session-restart
 10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address
 20 set-timer UNAUTH-TIMER 1
 30 service-policy type service name LOCAL_L4R
!
class type control always event service-stop
 1 service-policy type service unapply identifier service-name
 10 service-policy type service unapply identifier service-name

 

Есть подозрение, что цыска соседа в субскрайберы записывает? )

Share this post


Link to post
Share on other sites

 

Есть подозрение, что цыска соседа в субскрайберы записывает? )

 

Заранее извиняюсь если мертвеца из гроба поднимаю... :))

 

Да, у меня вот есть очень большое подозрение что так и происходит

у вас и 10.255.10.1 и 10.255.10.5 для циски стоят со стороны тех интерфейсов где service-policy type control ISG-IP-POLICY стоит, и очень похоже на то что в какой то момент (например кто-то трассировочку пускает) длинки посылают пакет _через_ циску, соответственно создается ип-сессия, скорее всего в вашем радиусе они не проавторизовываются ( посмотрите в этот момент sh sss sess | i 10.255.10. ) и соответственно в течении "20 set-timer UNAUTH-TIMER 1" одной минуты весь трафик от длинков дропается. Минута проходит, неавторизованная сессия удаляется, мультикаст от длинка до сиски (не через, не сквозь! ) нормально начинает ходить.

До следующей трассировочки... когда длинк попытается прокинуть пакетик со своим сурс_ип через/сквозь (а не до) сиску...

Edited by IbZ

Share this post


Link to post
Share on other sites

CSCti72546 - ISG IP interface sessions breaks the multicast packets processing

Symptom: ISG IP interface sessions " ip subscriber interface" breaks the multicast packets processing.

Conditions: This symptom is observed on a Cisco ASR1000 series router when functions as ISG IP interface sessions

Workaround: For Routing protocols use multicast address for Hello/update processing, use neighbor command to exchanges routing information with the neighbors in the form of unicast packets.

Fixed in: 15.1(2)S, 15.1(1)S, 15.0(1)S2

Share this post


Link to post
Share on other sites

Fixed in: 15.1(2)S, 15.1(1)S, 15.0(1)S2

Я так понимаю в этом

Версия прошивки: asr1000rp1-adventerprise.03.03.00.S.151-2.S.bin

должно быть пофиксено?

Я на самом деле не с праздным интересом... У меня такая же примерно проблема с bgp. Я ее вроде как решил с помощью переписывания policy и аксесс-листов, но в процессе решения у меня возникло ощущение что я сделал что-то некошерно....

Share this post


Link to post
Share on other sites

bgp обменивается юникастом и там только с помощью acl решать вопрос.

с ospf же проблема была с мультикастом.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this