×

Предупреждение

  • Cisco Support Forums is in Read Only mode while the site is being migrated.
  • Cisco Support Forums is in Read Only mode while the site is being migrated.

Cisco ASA 5510 PPPOE

Answered Question
дек 11th, 2013
User Badges:

Здравствуйте коллеги!


Не могу понять, почему не проходит PADI пакет на интерфейс. Смотрю снифером, ASA шлет броадкаст padi, а на интерфейсе который смотрит в провайдера он не появляется.


Конфиг следующий


ASA5510 (pppoe) ---(etherchanel)---Catalyst 3750----провайдер


На ASA


interface Port-channel1.170

vlan 170

nameif outside-prov

security-level 0

pppoe client vpdn group prov

pppoe client route distance 200

ip address pppoe setroute


На 3750


interface Port-channel7

description ASA-2-100

switchport trunk encapsulation dot1q

switchport trunk allowed vlan 160,170,180

switchport mode trunk

!

interface GigabitEthernet2/0/4

description prov

switchport access vlan 170

I have this problem too.
0 голоса
Correct Answer by Dmitriy Zhiznevskiy about 3 года 8 месяцев назад

Сделайте:

0) Отключите DHCP snooping для vlan170. Как ни странно, я вижу упоминания о том, что он может мешать PPPoE. Если отключение помогло - можно будет поиграться с настройками портов.


1) show int gi2/0/4

show int po7

show int для опорных интерфейсов po7

Если есть дропы - проверьте, что они не растут при отправке новых PADI.

2) В логах что-нибудь необычное есть?

Loading.
Dmitriy Zhiznevskiy ср, 12/11/2013 - 05:53
User Badges:
  • Silver, 250 points or more
  • Почетные Знаки Сообщества,

    Выбор участников, Февраль 2014

"на интерфейсе который смотрит в провайдера он не появляется"

Как смотрите? SPAN? Тогда посмотрите, влетают ли в Po7 PADI, и если да - с тегом ли они.

Mikhail Stepanischev чт, 12/12/2013 - 04:16
User Badges:

Да, SPAN.


Вот что приходит в po7

Frame 48: 64 bytes on wire (512 bits), 64 bytes captured (512 bits) on interface 0

Ethernet II, Src: Cisco_98:da:34 (00:1d:a2:98:da:34), Dst: Broadcast (ff:ff:ff:ff:ff:ff)

802.1Q Virtual LAN, PRI: 0, CFI: 0, ID: 170

PPP-over-Ethernet Discovery

Dmitriy Zhiznevskiy чт, 12/12/2013 - 05:46
User Badges:
  • Silver, 250 points or more
  • Почетные Знаки Сообщества,

    Выбор участников, Февраль 2014

"64 bytes on wire" - это при сниффинге обрезалось?


Если да:

VACLов или любой другой фильтрации на свитче нет?

Как полностью называется модель свитча, и какой стоит софт?

Mikhail Stepanischev чт, 12/12/2013 - 05:53
User Badges:

Из фильтрации только dhcp snooping.


     1 54    WS-C3750X-48P      15.2(1)E              C3750E-UNIVERSALK9NPE-M 

*    2 54    WS-C3750X-48P      15.2(1)E              C3750E-UNIVERSALK9NPE-M

Correct Answer
Dmitriy Zhiznevskiy чт, 12/12/2013 - 06:54
User Badges:
  • Silver, 250 points or more
  • Почетные Знаки Сообщества,

    Выбор участников, Февраль 2014

Сделайте:

0) Отключите DHCP snooping для vlan170. Как ни странно, я вижу упоминания о том, что он может мешать PPPoE. Если отключение помогло - можно будет поиграться с настройками портов.


1) show int gi2/0/4

show int po7

show int для опорных интерфейсов po7

Если есть дропы - проверьте, что они не растут при отправке новых PADI.

2) В логах что-нибудь необычное есть?

Mikhail Stepanischev пт, 12/13/2013 - 03:03
User Badges:

Я извиняюсь, рука дрогнула и случайно нажал кнопку правильный ответ. Это не верно. Просьба к модератору исправить это.

Mikhail Stepanischev пт, 12/13/2013 - 03:11
User Badges:

Теперь к делу. Вопрос решил Cisco TAC. Проблема была в следующем: трафик в сторону провайдера на интерфейсе G2/0/4 не отправлялся по причине того, что порт был в состоянии STP Inconsistent. После внесения изменений в настройки порта и блокирование BPDU пакетов командой "spanning-tree bpdufilter enable" состояние порта поменялось на Forwarding и пакеты стали уходить и приходить от провайдера.


Вот правильная настройка интерфейса


interface GigabitEthernet2/0/4

description prov

switchport access vlan 170

spanning-tree bpdufilter enable


Дмитрий, спасибо за помощь.

Dmitriy Zhiznevskiy пт, 12/13/2013 - 03:41
User Badges:
  • Silver, 250 points or more
  • Почетные Знаки Сообщества,

    Выбор участников, Февраль 2014

Раз есть возможность заводить кейсы, а проблема требует решения - лучше TAC и запрашивать. В отличие от TAC, случайный прохожий с форума не может запросить show tech со всех устройств, собранный дамп пакетов, подключиться по вебексу с целью собственными руками пробежаться по железке и так далее, а задержка между запросами и ответами огромна Я вот например почему-то решил из описания проблемы, что иные пакеты помимо PADI из интерфейса выходят.


Ну рад, что проблема решилась.

Mikhail Stepanischev пт, 12/13/2013 - 03:47
User Badges:

Просто до этого не было опыта общения с Cisco TAС))


И на последок. Еще столкнулся с неполадкой на ASA. После того, как заходили pppoe пакеты на коммутаторе, ASA все равно не устанавливала сессию, хотя снифер показывал что PADO пакет ей отправляется. Начал разбираться, оказалось, что ASA отсылала PADI пакет с source мак адресом от другого port-chanel ну и ответ соответсвенно приходил на неправильный мак. Удаление настроек pppoe с интерфейса и создание их заново решило проблему.

Dmitriy Zhiznevskiy пт, 12/13/2013 - 04:11
User Badges:
  • Silver, 250 points or more
  • Почетные Знаки Сообщества,

    Выбор участников, Февраль 2014

А вот по багам точно надо писать в TAC. В первую очередь если версия софта новая, и в release notes/bug toolkit ничего подобного не упоминается. Возможно, имеет смысл завести кейс даже после устранения проблемы, если сможете предоставить шаги конфигурации, которые привели к проблеме.

Действия

Информация о дискуссии