Juni 21

Telekom DSL Einwahl auf Cisco

Immer wieder stolpert man über teilweise schwindelerregende Cisco-Konfigurationen
für DTAG DSL Einwahlen. Nachdem ich kürzlich im T-Forum eine Empfehlung las,
dass man doch den hostname der Cisco (!!) auf die Einwahlkennung setzen solle,
kam mir in den Sinn, doch mal eine korrekte Beispielkonfiguration reinzustellen.

Ich gehe an dieser Stelle davon aus, dass die Grundkonfiguration bereits erfolgt ist (LAN-Interfaces,
Access-Listen, eventuell noch DHCP und dergleichen).
Basis ist in diesem Fall eine Cisco 886VA-J mit 15er IOS,
wobei es mit den meisten anderen Cisco Geräten ähnlich funktionieren wird.

Zuerst legt man den zuständigen Dialer an, in diesem Fall Dialer0.
Dieser muss folgendes beinhalten:
description DTAG-Einwahl
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly in
encapsulation ppp
ip tcp adjust-mss 1452
load-interval 30
dialer pool 1
dialer idle-timeout 0
dialer-group 1
ppp authentication chap callin
ppp chap hostname 00000123456701234123#0001@t-online.de
ppp chap password EINWAHLKENNWORT
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable

Dazu folgendes:

ip nat outside und ip virtual-reassembly in sind nur nötig,
wenn ihr auch NAT machen wollt/müsst.
Dazu muss natürlich auf dem entsprechenden LAN-Interface auch ein ip nat inside
eingetragen werden, sowie die NAT-Regeln und access-lists konfiguriert werden
(auf die will ich hier aber nicht weiter eingehen).

ppp chap hostname ist hierbei die Einwahlkennung, die kann bei neueren Anschlüssen oder
Business Zugängen natürlich auch anders aussehen. Gleiches gilt für ppp chap password.

Mit ppp ipcp dns request bekommt man die DNS-Server der Telekom eingetragen.
Falls man andere nutzen möchte, kann man auch statt dem request
eine IP-Adresse eines DNS eintragen.

Der Rest kann so bleiben.

Nun muss noch auf dem entsprechenden Interface der pppoe client eingetragen werden.
Bei ADSL ohne BNG bzw. Annex-B Anschlüssen sieht dann so aus:
interface ATM0
description DTAG-ADSL
no ip address
no atm ilmi-keepalive
pvc 1/32
pppoe-client dial-pool-number 1

… nicht das pvc 1/32 vergessen – das ist bei der Telekom fix.

Bei Anschlüssen, die mittlerweile auf All-IP oder auf die BNGs der
Telekom umgestellt wurden, muss auch bei ADSL (in der Regel dann schon
Annex-J, habe zumindest noch keine Annex-B’ler mit BNG gesehen)
ein VLAN 7 Tag gesetzt werden.
Im Gegensatz zu VDSL (s.u.), wird dabei jedoch nicht Ethernet0 verwendet, sondern es bleibt
im ATM-Interface. Dort wird dann ein Subinterface angelegt und darin wird
getagged:
interface ATM0
description DTAG-ADSL
no ip address
no atm ilmi-keepalive
interface ATM0.7 point-to-point
pvc 1/32
bridge-dot1q encap 7
pppoe-client dial-pool-number 1

Bei VDSL muss dass das WAN-Interface ebenfalls mit VLAN 7 getaggt sein.
Hier wird dann Ethernet0 inkl. Subinterface verwendet.
Beispiel:
interface Ethernet0
no ip address

interface Ethernet0.7
description DTAG-VDSL
encapsulation dot1Q 7
pppoe enable
pppoe-client dial-pool-number 1

Das kommt NICHT in den controller vdsl 0, sondern in das subinterface des Ethernet0!

Wer dann noch prüfen möchte, ob die Einwahl steht, kann das mit einem
sh pppoe session prüfen. Hier steht dann jeweils die MAC des Cisco Ports
und die der Gegenstelle auf DTAG Seite. Falls die MAC der Gegenstelle
nur Nullen hat (0000.0000.0000) passt was nicht, meist fehlt der PVC-Eintrag
oder bei VDSL das VLAN7 Tagging.

Wenn in der ganz rechten Spalte im State/Type UP steht,
hat alles geklappt und die Einwahl steht.

*Theoretisch* kann man bei Einwahlen, die über BNG laufen, auch komplett ohne Einwahlkennung
arbeiten, da die DTAG an den BNG-Anschlüssen ein Autologin vornehmen kann.
Es schadet aber nicht, die Kennung mitzusenden, daher bin ich hier mal dabei geblieben.
Je nach Einstellungen im T-Kundenportal kann das Autologin auch deaktiviert sein.

On popular demand (mal mehr, mal weniger eindringlich – ich weise an dieser Stelle mal darauf hin,
dass ich kein Dienstleister bin, sondern das hier einfach nur ein paar Hinweise aus eigenen
Erfahrungen und Vorhaben sind) noch der IPv6 Teil. Mit in den Dialer muss dabei nur:
ipv6 address autoconfig
ipv6 enable
no ipv6 nd ra suppress
ipv6 dhcp client pd DTAG-Prefix rapid-commit

Dann muss das Ganze u.a. noch in das zuständige LAN-Interface bzw. VLan
(ipv6 address DTAG-Prefix *Adresse aus dem Prefix*, z.B. die ::1/64).
Das ist dann aber schon wieder die LAN-seitige Konfiguration, um die es hier nicht geht.

Wer jetzt noch den Namen der terminierenden Gegenstelle und die Online-Zeit sehen
möchte, wird mit sh caller fündig.

Für technisch Interessierte:
Der Name der DTAG-Router setzt sich meist aus einem Ortskürzel und einem Kürzel für den
Gerätetyp, gefolgt von einer Nummer, zusammen. HNOA41 heisst zum Beispiel:
HNO=Hannover, A=Cisco ASR. Die meisten Einwahlrouter sind gekennzeichnet
durch A, X (Juniper ERX, überwiegend 1440er) oder se-800 (Ericsson Redback SE800).
Mittlerweile gibt es zunehmend auch die BNG’s mit anderer Namensgebung:
Meist haben die Kisten eine Kombination aus Ort, Herstellerkürzel (bislang immer nur J für Juniper)
und einer Nummer (idr. 00, da nur wenige Orte mehrere BNGs haben dürften).
Teilweise scheinen die allerdings auch keinen Namen konfiguriert zu haben und heißen
dann einfach ganz plump JUNOS (sicherlich ein default-Wert…).


Schlagwörter: ,

Veröffentlicht21. Juni 2015 von gerger in Kategorie "Allgemein

12 COMMENTS :

  1. By Obi on

    Moin!

    Sag mal, rein interessenhalber – kommst du mit dem 886VAJ über 40 Mbit im Downstream?

    Ich habe hier schon so gut wie alles durch:

    Einfaches NAT overload auf einem gerouteten interface -> 100Mbit linespeed

    PPPoE internes Modem, mit MTU 1492 und ip tcp adjust-mss 1452 -> ~40Mbit
    PPPoE externes Modem, mit MTU 1492 und ip tcp adjust-mss 1452 -> ~40Mbit
    PPPoE mit PPPoE Server auf einem Ubiquity Edgerouter und der „externes Modem Config“ -> ~40 Mbit

    Diverse MTU Werte habe ich schon durch. Irgendwie liegt das Limit im PPPoE…

    Mich würden jetzt nur mal Erfahrungswerte interessieren, ob jemand eine Konfiguration hat, die mit einem VDSL 100 auch ~ 100 Mbit liefert.

    Antworten
    1. By gerger (Beitrag Autor) on

      Moin, Obi!
      MTU & TCP MSS passen. Ich habe seit kurzem bei mir an der Cisco eine, mit knapp 90Mbit/s synchrone, VVDSL Leitung hängen.
      Die Geschwindigkeit kann ich auch voll nutzen, mit etwa 50% Last auf der Cisco.
      Da ich an der Leitung ein statisches IP-Netz geroutet bekomme, nutze ich kein allerdings kein NAT – und da liegt das Problem
      bei dir vermutlich begraben: Die Cisco schafft den Durchsatz bei aktivem NAT einfach nicht.
      Cisco selbst gibt den Durchsatz bei aktiviertem NAT overload (PAT) für die 880er Reihe mit 60Mbit/s an.
      Beruflich habe ich mit den Kisten oft zu tun, meine Erfahrung geht eher in Richtung 50Mbit/s und dann hängt sie schon bei 90-100% Last.

      Aus dem Grund habe ich das NAT ausgelagert: VVDSL->Cisco C886VA->Mikrotik RB962.
      Der Mikrotik macht dann ein klassisches NAT+DHCP, die Cisco routet nur durch.

      Schau mal auf deiner 886 in der CLI unter Vollgas auf die Last (sh proc cpu hist).
      Gut möglich, dass die am Limit ist.

      Antworten
      1. By Obi on

        Hi gerger,

        NAT alleine kann es auch nicht sein. Wie gesagt, gebe ich dem Cisco ein WAN Interface mit statischer IP und hänge noch einen Router davor, der die Einwahl und PPPoE übernimmt, kommt ich inklusive NAT auf dem Cisco auf 100MBit. Kommt allerdings PPPoE dazu und der Cisco macht die Einwahl, bricht das Ganze ein. Habe mal ein SNMP Monitoring angeklemmt, die CPU kommt beim PPPoE auf dem Router bis 60%

        Habe einen TAC eröffnet,

        erste Rückmeldung ist ein Dokument von 2009 wo die 880er mit 50000 pps bei 64 byte Paketgröße angegeben werden, was in etwa 25,6 MBit entspricht. Paketgröße liegt bei uns aber deutlich höher und die pps liegen bei NAT und ohne PPPoE bei 6000 – 7000 und ohne pppoe bei rund 3500.

        Lasse mich mal überraschen was Cisco dazu sagt.

        Antworten
        1. By gerger (Beitrag Autor) on

          Hi Obi,

          bis 60% ist ja noch in Ordnung. Das ist dann tatsächlich merkwürdig.
          Ich habe bei mir derzeit das 15.6(3)M0a IOS laufen. Wenn du möchtest,
          können wir ja einmal gemeinsam einen Blick auf die Konfiguration der Cisco werfen.
          Wenn du magst, kannst du sie mir einfach per Mail zukommen lassen – am besten an die Mail-Adresse im
          Impressum. Vielleicht findet sich ja doch noch etwas, wo wir da ansetzen können oder ich stelle
          es mal auf einer 886 mit entsprechend gleichem Softwarestand nach.

          Antworten
          1. By Obi on

            Moin Gerger,

            ich bin heute Morgen nochmal durch die Config gegangen und habe auch nach Cisco Tech Dokus geschaut, irgendwas in Richtung Buffer Limits etc.

            Gestolpert bin ich dann über folgendes: https://www.cisco.com/c/en/us/support/docs/ios-nx-os-software/ios-software-releases-121-mainline/12809-tuning.html

            Also auf dem Dialer Interface ip cef aktiviert und mein laufender Download schnellte von 40 Mbit auf 99 Mbit hoch. CPU blieb bei rund 60%.

            Ich finde es echt blamabel für Cisco, denen ich ein show tech, diverse configs und sonst etwas geschickt habe – das nicht gefunden zu haben.

            Vielleicht kannst du das in deiner Config ja nochmal ergänzen und gegenprüfen.

          2. By gerger (Beitrag Autor) on

            Moin Obi,

            danke für die Rückmeldung!
            Ich habe ip cef global aktiviert, daher ist es nicht in der Dialer-Config drin. Cisco Express Forwarding sollte generell aktiv sein,
            sonst machen die Kisten das komplett in Software – und das ist natürlich extrem träge.
            Das Cisco das nicht aufgefallen ist, ist in der Tat mager. Das ist eigentlich eine absolute Standardsache (ich wundere mich, dass es bei Dir per
            default nicht schon global aktiv war). Lediglich bei Verwendung von Netflow zur Auswertung würde ich diese Einstellung (und auch dann
            nur pro Interface) anfassen und auf route-cache flow setzen. Beruflich ist mir bislang erst ein Fall (bei vielen hundert eingesetzten Geräten der Reihe)
            untergekommen, dass es Probleme mit ip cef gab. Das war aber ein Softwarebug auf einer 2800er, wenn ich mir recht entsinne.

            Ich werde aber die Tage mal schauen, dass ich eine neue und vollständigere Anleitung für die Kisten schreibe (gerade durch die Telekom-Umstellung auf BNG
            müssen nach und nach ohnehin alle ADSL/VDSL’er mit VLAN 7 Tag rausgehen, sodass diese Anleitung teilweise nicht mehr passt). Da werde ich dann
            mal die wichtigstens Einstellungen auch außerhalb der Dialer-Config reinpacken.

  2. By Jochen Reinecke on

    Moin Gerger,

    top Artikel erstmal! Wir hatten die 886VA erfolgreich mit Annex B Anschlüssen und der Dialer / ATM – Konfig laufen. Gleiches auch mit Dialer / Ethernet tagged 7 und VDSL-Anschlüssen.

    Nun haben wir aber an einigen Standorten neue Anschlüsse und laut Aussage der Telekom Annex J mit … ? Und genau da fangen die Probleme an. ATM Interface wird aktiv, Ethernet 0 nicht. Die Telekom sagt aber ich solle bitte taggen. Der Anschluss wird synchron und Show Controllers vdsl 0 zeigt auch Annex J an. Firmware passt als _j Variante. Einwahl über PPPE / Zuweisung der IP-Adresse lüppt leider nicht…

    Ideen? Ggf. durch die Umstellung auf BNG etwas anderes zu beachten?

    Grüße und Dank

    Jochen

    Antworten
    1. By Jochen Reinecke on

      Hallo nochmal,

      das ATM Interface muss getaggt werden… Folgende Konfig also für BNG-Annex J / ADSL Anschlüsse:

      interface ATM0
      no ip address
      load-interval 60
      no atm ilmi-keepalive
      !
      interface ATM0.7 point-to-point
      pvc 1/32
      bridge-dot1q encap 7
      pppoe-client dial-pool-number 1
      !

      Dialer bleibt wie gehabt.

      Grüße

      Jochen

      Antworten
      1. By gerger (Beitrag Autor) on

        Moin Jochen,
        da warst Du schneller als ich 😉
        Genau so muss es bei ADSL (Annex J und spätestens mit BNG) sein.
        Das Ethernet Interface kommt nur bei VDSL mit in’s Spiel, bei ADSL bleibt alles im ATM Interface bzw. dessen
        SubInterface. Ich mache bei Gelegenheit nochmal ein Update rein, wo das Augenmerk auf die neueren All-IP und BNG
        Leitungen liegt – früher oder später wird es ja ohnehin alles darauf hinauslaufen.

        Antworten
  3. By Marc on

    Das wichtigste fehlt!

    ipv6 address autoconfig
    ipv6 enable
    ipv6 mtu 1440
    ipv6 dhcp client pd TELEKOM-PFX

    wir leben ja nicht mehr in 1996 🙂

    Antworten
  4. By L. Rabenbach on

    Hilfe, haben die 90er gerufen und werben auch nochmal fuer BTX?

    Bitte die Anleitung um IPv6 erweitern. (IPv6 MTU ist natuerlich auch 1492, die IPv6 tcp adjust MSS 1432).

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.