leveler Опубликовано 23 августа, 2011 · Жалоба Добрый день! Есть сетка с OSPF внутри. В физическом кольце коммутаторы D-Link, два из которых подключены к Cisco ASR1002. На ASR1002 есть: 2 BGP FW, NAT, ISG, Netflow. Версия прошивки: asr1000rp1-adventerprise.03.03.00.S.151-2.S.bin Вот соседи по OSPF (схемка прилагается к письму): ASR1002#sh ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 1.1.1.87 1 FULL/BDR 00:00:31 10.255.10.1 GigabitEthernet0/1/2 1.1.1.99 1 FULL/BDR 00:00:06 10.255.10.5 GigabitEthernet0/1/0 Проблема в том, что постоянно отваливается соседство то с одним, то с двумя соседями одновременно: 6756: Aug 23 10:50:59.005 OMSST: %OSPF-5-ADJCHG: Process 1, Nbr 1.1.1.99 on GigabitEthernet0/1/0 from FULL to DOWN, Neighbor Down: Dead timer expired 016757: Aug 23 10:51:29.018 OMSST: %OSPF-5-ADJCHG: Process 1, Nbr 1.1.1.99 on GigabitEthernet0/1/0 from LOADING to FULL, Loading Done 016758: Aug 23 11:24:59.145 OMSST: %OSPF-5-ADJCHG: Process 1, Nbr 1.1.1.99 on GigabitEthernet0/1/0 from FULL to DOWN, Neighbor Down: Dead timer expired 016759: Aug 23 11:25:29.156 OMSST: %OSPF-5-ADJCHG: Process 1, Nbr 1.1.1.99 on GigabitEthernet0/1/0 from LOADING to FULL, Loading Done 016761: Aug 23 13:04:29.555 OMSST: %OSPF-5-ADJCHG: Process 1, Nbr 1.1.1.99 on GigabitEthernet0/1/0 from FULL to DOWN, Neighbor Down: Dead timer expired 016762: Aug 23 13:04:59.566 OMSST: %OSPF-5-ADJCHG: Process 1, Nbr 1.1.1.99 on GigabitEthernet0/1/0 from LOADING to FULL, Loading Done 016763: Aug 23 13:34:49.683 OMSST: %OSPF-5-ADJCHG: Process 1, Nbr 1.1.1.99 on GigabitEthernet0/1/0 from FULL to DOWN, Neighbor Down: Dead timer expired 016764: Aug 23 13:35:19.695 OMSST: %OSPF-5-ADJCHG: Process 1, Nbr 1.1.1.99 on GigabitEthernet0/1/0 from LOADING to FULL, Loading Done Вот это имеет отношение к OSPF: ASR1002#sh run | s router ospf router ospf 1 router-id 10.255.0.1 auto-cost reference-bandwidth 10000 area 4 nssa passive-interface default no passive-interface GigabitEthernet0/1/0 no passive-interface GigabitEthernet0/1/2 network 10.255.10.2 0.0.0.0 area 0.0.0.1 network 10.255.10.6 0.0.0.0 area 0.0.0.2 neighbor 10.255.10.5 default-information originate always metric-type 1 ASR1002#sh run int gi0/1/0 Building configuration... Current configuration : 456 bytes ! interface GigabitEthernet0/1/0 description === ASR1002[Gi0/1/0] --- agsw01-99[23] [Access Net] === dampening ip address 10.255.10.6 255.255.255.252 ip access-group nat-pool in no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip flow egress ip virtual-reassembly load-interval 30 carrier-delay msec 0 negotiation auto service-policy type control ISG-IP-POLICY ip subscriber routed initiator unclassified ip-address end ASR1002#sh run int gi0/1/2 Building configuration... Current configuration : 456 bytes ! interface GigabitEthernet0/1/2 description === ASR1002[Gi0/1/2] --- agsw01-87[23] [Access Net] === dampening ip address 10.255.10.2 255.255.255.252 ip access-group nat-pool in no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip flow egress ip virtual-reassembly load-interval 30 carrier-delay msec 0 negotiation auto service-policy type control ISG-IP-POLICY ip subscriber routed initiator unclassified ip-address По дампу видно, что с какого-то момента цыска в hello пакете перестаёт анонсировать длинк и через стандартный dead timer перестаёт его опознавать как соседа. Рвёт adjacency и восстанавливает заново через 30 секунд (это видно из лога, приведённого мной). Пробовал ставить всё в одну зону (area). Пробовал на подинтерфейсах. Всё-равно вылезает эта проблема. Искал у цыски в багах. Ничего подобного не нашёл. Кто чего подскажет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Telesis Опубликовано 23 августа, 2011 · Жалоба попробуйте сделать ospf p-t-p Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 23 августа, 2011 · Жалоба Я бы с удовольствием, но вот товарищи из D-Link'а не дали возможности. ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Zaqwr Опубликовано 23 августа, 2011 · Жалоба а так ? create ospf area 0.0.0.1 type normal и вообще на DGS'ах как сконфигурено? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 24 августа, 2011 · Жалоба Всё-таки решил воспользоваться дебагом на цыске. И даже нашёл нужные команды. В результате вижу следующее. С какого-то момента цыска перестаёт видеть Hello пакеты от D-Link'а. Хотя, судя по дампам, снятым с промежуточного коммутатора (специально был поставлен для мирроринга трафика, ибо D-Link не умеет миррорить трафик, который генерируется его собственным CPU), пакеты от D-Link'а регулярно ходят. Вот момент, когда цыска получает очередной привет и потом не видит его на протяжении времени, равному "мёртвому" таймеру (InactivityTimer вроде это - или Dead timer): 018299: Aug 23 17:58:39.073 OMSST: OSPF-1 HELLO Gi0/1/0: Rcv hello from 1.1.1.99 area 0.0.0.2 10.255.10.5 018300: Aug 23 17:58:39.450 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) ASR1002# 018301: Aug 23 17:58:40.430 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) 018302: Aug 23 17:58:41.367 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) ASR1002# 018303: Aug 23 17:58:42.286 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) 018304: Aug 23 17:58:42.327 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) 018305: Aug 23 17:58:43.189 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) ASR1002# 018306: Aug 23 17:58:44.119 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) 018307: Aug 23 17:58:45.096 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) ASR1002# 018308: Aug 23 17:58:45.794 OMSST: OSPF-1 HLOIN: input packet - Hello GigabitEthernet0/1/2 (0) 018309: Aug 23 17:58:46.093 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) ASR1002# 018310: Aug 23 17:58:47.046 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) 018311: Aug 23 17:58:48.010 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) 018312: Aug 23 17:58:48.026 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) 018313: Aug 23 17:58:48.026 OMSST: OSPF-1 HELLO Gi0/1/0: Send hello to 224.0.0.5 area 0.0.0.2 from 10.255.10.6 ASR1002# 018314: Aug 23 17:58:48.975 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) 018315: Aug 23 17:58:49.908 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) ASR1002# 018316: Aug 23 17:58:50.844 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) 018317: Aug 23 17:58:51.785 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) ASR1002# 018318: Aug 23 17:58:52.286 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) 018319: Aug 23 17:58:52.747 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) ASR1002# 018320: Aug 23 17:58:53.739 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) 018321: Aug 23 17:58:54.718 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) ASR1002# 018322: Aug 23 17:58:55.621 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) 018323: Aug 23 17:58:55.795 OMSST: OSPF-1 HLOIN: input packet - Hello GigabitEthernet0/1/2 (0) 018324: Aug 23 17:58:56.601 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) ASR1002# 018325: Aug 23 17:58:57.028 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) 018326: Aug 23 17:58:57.028 OMSST: OSPF-1 HELLO Gi0/1/0: Send hello to 224.0.0.5 area 0.0.0.2 from 10.255.10.6 018327: Aug 23 17:58:57.506 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) ASR1002# 018328: Aug 23 17:58:58.489 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) 018329: Aug 23 17:58:59.418 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) ASR1002# 018330: Aug 23 17:59:00.355 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) 018331: Aug 23 17:59:01.288 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) ASR1002# 018332: Aug 23 17:59:01.675 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) 018333: Aug 23 17:59:02.216 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) ASR1002# 018334: Aug 23 17:59:03.123 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) 018335: Aug 23 17:59:04.083 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) ASR1002# 018336: Aug 23 17:59:05.064 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) 018337: Aug 23 17:59:05.795 OMSST: OSPF-1 HLOIN: input packet - Hello GigabitEthernet0/1/2 (0) 018338: Aug 23 17:59:06.059 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) ASR1002# 018339: Aug 23 17:59:06.263 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) 018340: Aug 23 17:59:06.263 OMSST: OSPF-1 HELLO Gi0/1/0: Send hello to 224.0.0.5 area 0.0.0.2 from 10.255.10.6 018341: Aug 23 17:59:06.998 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) ASR1002# 018342: Aug 23 17:59:07.983 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) 018343: Aug 23 17:59:08.975 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) ASR1002# 018344: Aug 23 17:59:09.936 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) 018345: Aug 23 17:59:10.930 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) ASR1002# 018346: Aug 23 17:59:11.399 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) 018347: Aug 23 17:59:11.889 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) ASR1002# 018348: Aug 23 17:59:12.876 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) 018349: Aug 23 17:59:13.869 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) ASR1002# 018350: Aug 23 17:59:14.792 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) 018351: Aug 23 17:59:15.733 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) ASR1002# 018352: Aug 23 17:59:15.796 OMSST: OSPF-1 HLOIN: input packet - Hello GigabitEthernet0/1/2 (0) 018353: Aug 23 17:59:16.174 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) 018354: Aug 23 17:59:16.174 OMSST: OSPF-1 HELLO Gi0/1/0: Send hello to 224.0.0.5 area 0.0.0.2 from 10.255.10.6 018355: Aug 23 17:59:16.714 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) ASR1002# 018356: Aug 23 17:59:17.648 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) 018357: Aug 23 17:59:18.616 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) 018358: Aug 23 17:59:19.073 OMSST: OSPF-1 HLOTM: timer expiration - NBR_DEAD_TIMER (0) 018359: Aug 23 17:59:19.073 OMSST: OSPF-1 ADJ Gi0/1/0: 1.1.1.99 address 10.255.10.5 is dead 018360: Aug 23 17:59:19.073 OMSST: OSPF-1 ADJ Gi0/1/0: 1.1.1.99 address 10.255.10.5 is dead, state DOWN 018361: Aug 23 17:59:19.073 OMSST: %OSPF-5-ADJCHG: Process 1, Nbr 1.1.1.99 on GigabitEthernet0/1/0 from FULL to DOWN, Neighbor Down: Dead timer expired ASR1002# 018362: Aug 23 17:59:19.073 OMSST: OSPF-1 ADJ Gi0/1/0: Neighbor change event 018363: Aug 23 17:59:19.073 OMSST: OSPF-1 ADJ Gi0/1/0: DR/BDR election 018364: Aug 23 17:59:19.073 OMSST: OSPF-1 ADJ Gi0/1/0: Elect BDR 0.0.0.0 018365: Aug 23 17:59:19.073 OMSST: OSPF-1 ADJ Gi0/1/0: Elect DR 10.255.0.1 018366: Aug 23 17:59:19.073 OMSST: OSPF-1 ADJ Gi0/1/0: DR: 10.255.0.1 (Id) BDR: none 018367: Aug 23 17:59:19.564 OMSST: OSPF-1 HLOTM: timer expiration - IF_HELLO_TIMER (0) Есть подозрение, что у ESP кончаются какие-то ресурсы (DRAM, TCAM, чего-то ещё), и она забивает на эти пакеты. Но пока нужные команды диагностики не найдены. Что интересно, это что сосед 1.1.1.87 отваливается раз в 10-20 реже,чем 1.1.1.99. Если что, вот выдержка с конфига коммутатора, касающаяся OSPF: ... # VLAN ... create vlan 699 tag 699 config vlan 699 add untagged 23 advertisement disable disable qinq disable gvrp disable vlan_trunk config gvrp 1-22,24-27 state disable ingress_checking enable acceptable_frame admit_all pvid 1 config gvrp 23 state disable ingress_checking enable acceptable_frame admit_all pvid 699 ... # IP ... create ipif Vlan699 10.255.10.5/30 699 state enable config ipif Vlan699 proxy_arp disable local disable ... # OSPF create ospf area 0.0.0.1 type normal create ospf area 0.0.0.2 type normal create ospf area 5.0.0.0 type nssa translate disable stub_summary enabled metric 1 create ospf area 99.0.0.0 type nssa translate disable stub_summary enabled metric 1 config ospf ipif System area 0.0.0.0 priority 1 hello_interval 10 dead_interval 40 config ospf ipif System authentication none metric 1 state disable passive disable config ospf ipif Vlan301 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40 config ospf ipif Vlan301 authentication none metric 1 state enable passive disable config ospf ipif Vlan302 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40 config ospf ipif Vlan302 authentication none metric 1 state enable passive disable config ospf ipif Vlan303 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40 config ospf ipif Vlan303 authentication none metric 1 state enable passive disable config ospf ipif Vlan304 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40 config ospf ipif Vlan304 authentication none metric 1 state enable passive disable config ospf ipif Vlan305 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40 config ospf ipif Vlan305 authentication none metric 1 state enable passive disable config ospf ipif Vlan306 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40 config ospf ipif Vlan306 authentication none metric 1 state enable passive disable config ospf ipif Vlan307 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40 config ospf ipif Vlan307 authentication none metric 1 state enable passive disable config ospf ipif Vlan308 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40 config ospf ipif Vlan308 authentication none metric 1 state enable passive disable config ospf ipif Vlan309 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40 config ospf ipif Vlan309 authentication none metric 1 state enable passive disable config ospf ipif Vlan310 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40 config ospf ipif Vlan310 authentication none metric 1 state enable passive disable config ospf ipif Vlan311 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40 config ospf ipif Vlan311 authentication none metric 1 state enable passive disable config ospf ipif Vlan312 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40 config ospf ipif Vlan312 authentication none metric 1 state enable passive disable config ospf ipif Vlan313 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40 config ospf ipif Vlan313 authentication none metric 1 state enable passive disable config ospf ipif Vlan314 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40 config ospf ipif Vlan314 authentication none metric 1 state enable passive disable config ospf ipif Vlan315 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40 config ospf ipif Vlan315 authentication none metric 1 state enable passive disable config ospf ipif Vlan316 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40 config ospf ipif Vlan316 authentication none metric 1 state enable passive disable config ospf ipif Vlan317 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40 config ospf ipif Vlan317 authentication none metric 1 state enable passive disable config ospf ipif Vlan318 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40 config ospf ipif Vlan318 authentication none metric 1 state enable passive disable config ospf ipif Vlan319 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40 config ospf ipif Vlan319 authentication none metric 1 state enable passive disable config ospf ipif Vlan320 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40 config ospf ipif Vlan320 authentication none metric 1 state enable passive disable config ospf ipif Vlan321 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40 config ospf ipif Vlan321 authentication none metric 1 state enable passive disable config ospf ipif Vlan322 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40 config ospf ipif Vlan322 authentication none metric 1 state enable passive disable config ospf ipif Vlan280 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40 config ospf ipif Vlan280 authentication none metric 1 state enable passive disable config ospf ipif Vlan601 area 0.0.0.0 priority 1 hello_interval 10 dead_interval 40 config ospf ipif Vlan601 authentication none metric 1 state enable passive disable config ospf ipif Vlan603 area 0.0.0.0 priority 1 hello_interval 10 dead_interval 40 config ospf ipif Vlan603 authentication none metric 1 state enable passive disable config ospf ipif Vlan5 area 5.0.0.0 priority 1 hello_interval 10 dead_interval 40 config ospf ipif Vlan5 authentication none metric 1 state enable passive disable config ospf ipif Vlan699 area 0.0.0.2 priority 0 hello_interval 10 dead_interval 40 config ospf ipif Vlan699 authentication none metric 1 state enable passive disable config ospf ipif Vlan401 area 99.0.0.0 priority 1 hello_interval 10 dead_interval 40 config ospf ipif Vlan401 authentication none metric 1 state enable passive disable create ospf aggregation 5.0.0.0 10.255.5.0/24 lsdb_type summary advertise enable create ospf aggregation 99.0.0.0 10.99.0.0/16 lsdb_type summary advertise enable create ospf aggregation 99.0.0.0 <Подсеть белых IP-адресов>/24 lsdb_type summary advertise enable config ospf router_id 1.1.1.99 enable ospf ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
APS8 Опубликовано 24 августа, 2011 · Жалоба ASR1002#sh run int gi0/1/0 Building configuration... Current configuration : 456 bytes ! interface GigabitEthernet0/1/0 description === ASR1002[Gi0/1/0] --- agsw01-99[23] [Access Net] === dampening ip address 10.255.10.6 255.255.255.252 ip access-group nat-pool in no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip flow egress ip virtual-reassembly load-interval 30 carrier-delay msec 0 negotiation auto service-policy type control ISG-IP-POLICY ip subscriber routed initiator unclassified ip-address end ISG-IP-POLICY можно посмотреть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 24 августа, 2011 · Жалоба Да собственно стандартные все настройки: class-map type traffic match-any CLASS-TO-REDIRECT match access-group input name REDIRECT match access-group output name REDIRECT ! class-map type control match-all ISG-IP-UNAUTH match timer UNAUTH-TIMER match authen-status unauthenticated ! ! class-map match-all test match protocol bittorrent policy-map type service LOCAL_L4R service local ip access-group REDIRECT in ip access-group REDIRECT out 1 class type traffic CLASS-TO-REDIRECT redirect to group REDIRECT_PORTAL ! class type traffic default in-out drop ! ! policy-map type control ISG-IP-POLICY class type control ISG-IP-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event quota-depleted 1 set-param drop-traffic FALSE ! class type control always event credit-exhausted 1 service-policy type service name LOCAL_L4R ! class type control always event session-start 10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address 20 set-timer UNAUTH-TIMER 1 30 service-policy type service name LOCAL_L4R ! class type control always event session-restart 10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address 20 set-timer UNAUTH-TIMER 1 30 service-policy type service name LOCAL_L4R ! class type control always event service-stop 1 service-policy type service unapply identifier service-name 10 service-policy type service unapply identifier service-name Есть подозрение, что цыска соседа в субскрайберы записывает? ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
IbZ Опубликовано 17 октября, 2011 (изменено) · Жалоба Есть подозрение, что цыска соседа в субскрайберы записывает? ) Заранее извиняюсь если мертвеца из гроба поднимаю... :)) Да, у меня вот есть очень большое подозрение что так и происходит у вас и 10.255.10.1 и 10.255.10.5 для циски стоят со стороны тех интерфейсов где service-policy type control ISG-IP-POLICY стоит, и очень похоже на то что в какой то момент (например кто-то трассировочку пускает) длинки посылают пакет _через_ циску, соответственно создается ип-сессия, скорее всего в вашем радиусе они не проавторизовываются ( посмотрите в этот момент sh sss sess | i 10.255.10. ) и соответственно в течении "20 set-timer UNAUTH-TIMER 1" одной минуты весь трафик от длинков дропается. Минута проходит, неавторизованная сессия удаляется, мультикаст от длинка до сиски (не через, не сквозь! ) нормально начинает ходить. До следующей трассировочки... когда длинк попытается прокинуть пакетик со своим сурс_ип через/сквозь (а не до) сиску... Изменено 17 октября, 2011 пользователем IbZ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 17 октября, 2011 · Жалоба CSCti72546 - ISG IP interface sessions breaks the multicast packets processing Symptom: ISG IP interface sessions " ip subscriber interface" breaks the multicast packets processing. Conditions: This symptom is observed on a Cisco ASR1000 series router when functions as ISG IP interface sessions Workaround: For Routing protocols use multicast address for Hello/update processing, use neighbor command to exchanges routing information with the neighbors in the form of unicast packets. Fixed in: 15.1(2)S, 15.1(1)S, 15.0(1)S2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
IbZ Опубликовано 18 октября, 2011 · Жалоба Fixed in: 15.1(2)S, 15.1(1)S, 15.0(1)S2 Я так понимаю в этом Версия прошивки: asr1000rp1-adventerprise.03.03.00.S.151-2.S.bin должно быть пофиксено? Я на самом деле не с праздным интересом... У меня такая же примерно проблема с bgp. Я ее вроде как решил с помощью переписывания policy и аксесс-листов, но в процессе решения у меня возникло ощущение что я сделал что-то некошерно.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 18 октября, 2011 · Жалоба bgp обменивается юникастом и там только с помощью acl решать вопрос. с ospf же проблема была с мультикастом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 19 октября, 2011 · Жалоба не проблема сказать ospf делать unicast hello. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...