Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
Community Member

Cisco ASA 5510 PPPOE

Здравствуйте коллеги!

Не могу понять, почему не проходит PADI пакет на интерфейс. Смотрю снифером, ASA шлет броадкаст padi, а на интерфейсе который смотрит в провайдера он не появляется.

Конфиг следующий

ASA5510 (pppoe) ---(etherchanel)---Catalyst 3750----провайдер

На ASA

interface Port-channel1.170

vlan 170

nameif outside-prov

security-level 0

pppoe client vpdn group prov

pppoe client route distance 200

ip address pppoe setroute

На 3750

interface Port-channel7

description ASA-2-100

switchport trunk encapsulation dot1q

switchport trunk allowed vlan 160,170,180

switchport mode trunk

!

interface GigabitEthernet2/0/4

description prov

switchport access vlan 170

1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения

Cisco ASA 5510 PPPOE

Сделайте:

0) Отключите DHCP snooping для vlan170. Как ни странно, я вижу упоминания о том, что он может мешать PPPoE. Если отключение помогло - можно будет поиграться с настройками портов.

1) show int gi2/0/4

show int po7

show int для опорных интерфейсов po7

Если есть дропы - проверьте, что они не растут при отправке новых PADI.

2) В логах что-нибудь необычное есть?

11 ОТВЕТ.

Cisco ASA 5510 PPPOE

"на интерфейсе который смотрит в провайдера он не появляется"

Как смотрите? SPAN? Тогда посмотрите, влетают ли в Po7 PADI, и если да - с тегом ли они.

Community Member

Cisco ASA 5510 PPPOE

Да, SPAN.

Вот что приходит в po7

Frame 48: 64 bytes on wire (512 bits), 64 bytes captured (512 bits) on interface 0

Ethernet II, Src: Cisco_98:da:34 (00:1d:a2:98:da:34), Dst: Broadcast (ff:ff:ff:ff:ff:ff)

802.1Q Virtual LAN, PRI: 0, CFI: 0, ID: 170

PPP-over-Ethernet Discovery

Cisco ASA 5510 PPPOE

"64 bytes on wire" - это при сниффинге обрезалось?

Если да:

VACLов или любой другой фильтрации на свитче нет?

Как полностью называется модель свитча, и какой стоит софт?

Community Member

Cisco ASA 5510 PPPOE

Из фильтрации только dhcp snooping.

     1 54    WS-C3750X-48P      15.2(1)E              C3750E-UNIVERSALK9NPE-M 

*    2 54    WS-C3750X-48P      15.2(1)E              C3750E-UNIVERSALK9NPE-M

Cisco ASA 5510 PPPOE

Сделайте:

0) Отключите DHCP snooping для vlan170. Как ни странно, я вижу упоминания о том, что он может мешать PPPoE. Если отключение помогло - можно будет поиграться с настройками портов.

1) show int gi2/0/4

show int po7

show int для опорных интерфейсов po7

Если есть дропы - проверьте, что они не растут при отправке новых PADI.

2) В логах что-нибудь необычное есть?

Community Member

Cisco ASA 5510 PPPOE

Я извиняюсь, рука дрогнула и случайно нажал кнопку правильный ответ. Это не верно. Просьба к модератору исправить это.

Community Member

Cisco ASA 5510 PPPOE

Теперь к делу. Вопрос решил Cisco TAC. Проблема была в следующем: трафик в сторону провайдера на интерфейсе G2/0/4 не отправлялся по причине того, что порт был в состоянии STP Inconsistent. После внесения изменений в настройки порта и блокирование BPDU пакетов командой "spanning-tree bpdufilter enable" состояние порта поменялось на Forwarding и пакеты стали уходить и приходить от провайдера.

Вот правильная настройка интерфейса

interface GigabitEthernet2/0/4

description prov

switchport access vlan 170

spanning-tree bpdufilter enable

Дмитрий, спасибо за помощь.

Cisco ASA 5510 PPPOE

Раз есть возможность заводить кейсы, а проблема требует решения - лучше TAC и запрашивать. В отличие от TAC, случайный прохожий с форума не может запросить show tech со всех устройств, собранный дамп пакетов, подключиться по вебексу с целью собственными руками пробежаться по железке и так далее, а задержка между запросами и ответами огромна Я вот например почему-то решил из описания проблемы, что иные пакеты помимо PADI из интерфейса выходят.

Ну рад, что проблема решилась.

Community Member

Cisco ASA 5510 PPPOE

Просто до этого не было опыта общения с Cisco TAС))

И на последок. Еще столкнулся с неполадкой на ASA. После того, как заходили pppoe пакеты на коммутаторе, ASA все равно не устанавливала сессию, хотя снифер показывал что PADO пакет ей отправляется. Начал разбираться, оказалось, что ASA отсылала PADI пакет с source мак адресом от другого port-chanel ну и ответ соответсвенно приходил на неправильный мак. Удаление настроек pppoe с интерфейса и создание их заново решило проблему.

Cisco ASA 5510 PPPOE

А вот по багам точно надо писать в TAC. В первую очередь если версия софта новая, и в release notes/bug toolkit ничего подобного не упоминается. Возможно, имеет смысл завести кейс даже после устранения проблемы, если сможете предоставить шаги конфигурации, которые привели к проблеме.

Community Member

Cisco ASA 5510 PPPOE

На ASA у меня смартнета нет, без него можно писать? Проблему врядли воспроизведу.

293
Просмотры
0
Полезный материал
11
Ответы
СоздатьДля создания публикации, пожалуйста в систему