Sem fio : Cisco GGSN Gateway GPRS Support Node

Compreenda e pesquise defeitos o CoA do RAIO e desligue mensagens

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (21 Abril 2016) | Feedback

Introdução

Este documento descreve as mensagens da desconexão de RADIUS (DM).

Contribuído por Tomasz Dudarski e por Maciej Poszywak, engenheiros de TAC da Cisco.

Definição de mensagens CoA do RAIO

Uma mudança da mensagem da autorização (CoA) é usada a fim mudar atributos e os filtros dos dados associados com uma sessão do usuário. As mensagens CoA dos suportes de sistema do server do Authentication, Authorization, and Accounting (AAA) para mudar os filtros dos dados associados com uma sessão do subscritor.

Nota: Os filtros em atributos do ID de filtro (se atual no pedido) devem ser configurados no ASR 5000 para o aplicativo ao tráfego de usuário. Este é o formulário do Access Control Lists (ACLs) e é configurado no ASR 5000 com comandos ip access-list.

O mensagem request CoA deve conter atributos para identificar a sessão do usuário; os atributos e os filtros dos dados precisam de ser aplicados à sessão do usuário. O atributo do ID de filtro (identificação 11 do atributo) contém os nomes dos filtros. Se o ASR 5000 executa com sucesso o pedido CoA, um CoA ACK está enviado para trás ao servidor Radius e os filtros novos dos atributos e dos dados são aplicados à sessão do usuário. Se não, um CoA NAK é enviado com razão apropriada como um atributo do código de erro sem fazer nenhumas mudanças à sessão do usuário.

RAIO DM

O mensagem DM é usado a fim desligar sessões do usuário no ASR 5000 de um servidor Radius. O mensagem request DM deve conter atributos necessários a fim identificar a sessão do usuário. Se o sistema desliga com sucesso a sessão do usuário, o DM ACK está enviado para trás ao servidor Radius. Se não, DM-NAK é enviado com motivos de erro apropriados.

Como mencionado previamente, é possível que o NAS não pode honrar mensagens da solicitação de desconexão ou do CoA-pedido por qualquer motivo. O atributo da causa de erro fornece mais detalhe na causa do problema. PODE ser incluído dentro das mensagens Disconexão-ACK, Disconexão-NAK, e CoA-NAK.

O campo de valor é quatro octetos, que contém um inteiro que especifique a causa do erro.

  • Os valores 0-199 e 300-399 são reservados.
  • O 200-299 dos valores representa a conclusão bem sucedida, de modo que estes valores possam somente ser enviados dentro da mensagem Disconexão-ACK ou CoA-ACK e NÃO DEVAM ser enviados dentro de um Disconexão-NAK ou de um CoA-NAK.
  • O 400-499 dos valores representa os erros fatais comprometidos pelo servidor Radius, de modo que POSSAM ser enviados dentro das mensagens CoA-NAK ou Disconexão-NAK e NÃO DEVAM ser enviados dentro das mensagens CoA-ACK ou Disconexão-ACK.
  • O 500-599 dos valores representa os erros fatais que ocorrem em um NAS ou em um proxy RADIUS, de modo que POSSAM ser enviados dentro das mensagens CoA-NAK e Disconexão-NAK, e NÃO DEVEM ser enviados dentro das mensagens CoA-ACK ou Disconexão-ACK. Os valores da causa de erro DEVEM ser registrados pelo servidor Radius.

As representações codificadas (expressadas no decimal) incluem:

   #     Value
   ---  -----
   201   Residual Session Context Removed>
   202   Invalid EAP Packet (Ignored)
   401   Unsupported Attribute
   402   Missing Attribute
   403   NAS Identification Mismatch
   404   Invalid Request
   405   Unsupported Service
   406   Unsupported Extension
   501   Administratively Prohibited
   502   Request Not Routable (Proxy)
   503   Session Context Not Found
   504   Session Context Not Removable
   505   Other Proxy Processing Error
   506   Resources Unavailable
   507   Request Initiated

Atributos para a identificação da sessão

Para a identificação do ASR 5000, um destes métodos pode ser usado:

  • Nas-ip-address: O endereço IP de Um ou Mais Servidores Cisco ICM NT NAS se atual no pedido COA/DM deve combinar com o endereço IP de Um ou Mais Servidores Cisco ICM NT ASR 5000 NAS.
  • NAS-identificador: Se este atributo esta presente, seu valor deve combinar ao nas-identificador gerado para a sessão do usuário.
    Este é um atributo imperativo para a identificação da sessão, se o ASR 5000 é configurado com NAS-identificador.

Para a identificação da sessão do usuário, qualquer um um destes métodos é usado:

  • Acct-Sessão-ID: Se este atributo esta presente, seu valor deve combinar à acct-sessão-identificação para a sessão do usuário.
  • Framed-IP-endereço: Se este atributo esta presente, seus valores devem combinar ao endereço IP de Um ou Mais Servidores Cisco ICM NT moldado da sessão.
  • Nome de usuário: Se este atributo esta presente, seus valores devem combinar ao username da sessão.
  • Chamar-Estação-ID: Esta é a identidade internacional do assinante de celular (IMSI) do usuário.

Configuração do RAIO DM

A configuração de um RAIO DM é bastante fácil. Todas as linhas precisam de ser configuradas no contexto do destino (esse com a configuração RADIUS).

[port port] do valor chave do [encrypted] dos ip_address mudança-autorizar-nas-IP do raio
[no-nas-identification-check] do [eventtimestamp-window window]
[no-reverse-path-forward-check] [in_label_value da entrada da mpls-etiqueta | saída out_label_value1
[out_label_value2]

 

Nota: Do “o mudança-autorizar-nas-IP raio” deve ser endereço da relação AAA do seu contexto local. Este comando CLI é às vezes uma fonte de confusão.

Configuração de exemplo

radius change-authorize-nas-ip 192.168.88.40 encrypted key <key value>
no-reverse-path-forward-check
no-nas-identification-check

Exemplos do cenário de falha

Nenhum mensagem DM recebeu no lado ASR 5000

É possível que o soquete não está pronto para a porta 3799 UDP. (De acordo com o RFC 3756, o pacote de solicitação de desconexão do RAIO é enviado à porta 3799 UDP).

Este comportamento pode ser simplificado. O processo que segura todos os pedidos CoA é o exemplo 385 do aaamgr, que é esse no cartão ativo SMC/MIO. Este comando CLI precisa de ser executado no contexto do destino.

#cli test-commands password <xx> #show radius info radius group all instance 385

 Tal saída olha como: 

# show radius info radius group all instance 385 AAAMGR instance 385:
cb-list-en: 3 AAA Group: <>

---------------------------------------------
socket number: 19
socket state: ready
local ip address: 10.176.81.215
local udp port: 50954
flow id: 0
use med interface: no
VRF context ID: 66

Neste exemplo, não há nenhuma porta 3799 e esta é a razão para o comportamento relatado. Se você vê o mesmos em seu caso, a solução é remover e adicionar novamente a configuração CoA a fim recrear o soquete de escuta. Adicionalmente, você pode tentar matar o exemplo 385 do aaamgr se a primeira solução não ajuda.

Após as ações descritas, você deve ver esta saída:

# show radius info radius group all instance 385 AAAMGR instance 385:
cb-list-en: 3 AAA Group: <>

--------------------------------------------->
socket number: 19>
socket state: ready
local ip address: 10.176.81.215
local udp port: 50954
flow id: 0
use med interface: no
VRF context ID: 66 
socket number: 21   <---------------------
socket state: ready
local ip address: 10.176.81.215
local udp port: 3799 <--------------------
flow id: 0
use med interface: no

e o soquete deve ser visível do shell debugar no context/VR apropriado: 

bash-2.05b# netstat -lun | grep 3799
udp 0 0 10.176.81.215:3799 0.0.0.0:*

A porta 3379 UDP tem o soquete pronto sem mensagens DM

A porta 3379 UDP tem o soquete pronto, porém você ainda não vê os mensagens DM. Isto é causado provavelmente por uma configuração incorreta do mudança-autorizar-nas-IP do raio. Um ou outro os valores de atributo que vieram no mensagem request DM não combinam esses que foram enviadas em um pedido da contabilidade para o RAIO.

Pedido explicando

Thursday August 06 2015
<<<<OUTBOUND
Code: 4 (Accounting-Request)
      Attribute Type: 44 (Acct-Session-Id)
                Length: 18
                Value: 42 43 37 31 44 46 32 36 BC71DF26
                       30 36 30 33 41 32 42 46 0603A2BF
      Attribute Type: 31 (Calling-Station-Id)
                Length: 14
                Value: 39 39 38 39 33 31 37 32 99893172
                       30 39 31 31             0911
      Attribute Type: 4 (NAS-IP-Address)
                Length: 6
                Value: C0 A8 58 E1             ..X.
                       (192.168.88.225)
      Attribute Type: 8 (Framed-IP-Address)
                Length: 6
                Value: 0A 55 12 21             .U.!
                       (10.85.18.33)

Solicitação de desconexão

Radius Protocol
    Code: Disconnect-Request (40)
    Packet identifier: 0x2 (2)
    Length: 71
    Authenticator: 4930a228f13da294550239f5187b08b9

    Attribute Value Pairs
        AVP: l=6 t=NAS-IP-Address(4): 192.168.88.225
            NAS-IP-Address: 192.168.88.225 (192.168.88.225)

        AVP: l=6 t=Framed-IP-Address(8): 10.85.18.33
            Framed-IP-Address: 10.85.18.33 (10.85.18.33)

        AVP: l=14 t=Calling-Station-Id(31): 998931720911
            Calling-Station-Id: 998931720911

        AVP: l=18 t=Acct-Session-Id(44): BC71DF260603A2BF
            Acct-Session-Id: BC71DF260603A200

Neste exemplo, o valor da Acct-Sessão-identificação que vem ao ASR 5000 é diferente do que esse enviado para o RAIO e o este é a razão para a edição. Este problema pode ser fixado por mudanças apropriadas no lado do RAIO.

A Acct-Sessão-identificação para a sessão ativa pode ser verificada com o <> ativo do imsi da AAA-configuração dos assinantes GGSN-somente do comando show.

[local]# show subscribers ggsn-only aaa-configuration active imsi 434051801170727

Username: 998931720911@mihc1             Status: Online/Active
  Access Type: ggsn-pdp-type-ipv4        Network Type: IP
  Access Tech: WCDMA UTRAN               Access Network Peer ID: n/a
  callid: 057638b8                       imsi: 434051801170727
  3GPP2 Carrier ID: n/a
  3GPP2 ESN: n/a
  RADIUS Auth Server: 192.168.88.40  RADIUS Acct Server: n/a
  NAS IP Address: 192.168.88.225
  Acct-session-id: BC71DF260603A2BF

Todos os atributos combinam, mas o ASR 5000 envia DM NAK com o Mensagem de Erro: 401 - Atributo Unsupported

Neste momento sabe-se que esta mensagem do tipo de erro significa que a edição vem do servidor Radius. Contudo, não é ainda claro o que é errado. Aqui, a limitação do ASR 5000 não apoia a Chamar-estação-identificação no raio DM. Daqui, se se vê lá, responde com o erro destacado.

INBOUND>>>>>
RADIUS COA Rx PDU, from 192.168.1.254:38073 to 192.168.1.2:1800
Code: 40 (Disconnect-Request)
Id: 106
Length: 61
Authenticator: 8D F1 50 2E DD 79 49 39 79 A0 B5 FC 59 3E C4 51
     Attribute Type: 32 (NAS-Identifier)
               Length: 9
               Value: 73 74 61 72 65 6E 74   starent
     Attribute Type: 1 (User-Name)
               Length: 10
               Value: 74 65 73 74 75 73 65 72 testuser
     Attribute Type: 30 (Called-Station-ID)
               Length: 9
               Value: 65 63 73 2D 61 70 6E   ecs-apn
     Attribute Type: 31 (Calling-Station-Id)
               Length: 13
               Value: 36 34 32 31 31 32 33 34 64211234
                      35 36 37               567

<<<<OUTBOUND 06:57:42:683 Eventid:70902(6)
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:38073
Code: 42 (Disconnect-Nak)
Id: 106
Length: 26
Authenticator: 34 2E DE B4 77 22 4A FE A5 16 93 91 0D B2 E6 3B
     Attribute Type: 101 (Error-Cause)
               Length: 6
               Value: 00 00 01 91             ....
                       (Unsupported-Attribute)

O sistema configurou “nenhum-nas-identificação-verificação” do “na linha mudança-autorizar-nas-IP raio”, erro da “NAS-Identificação-má combinação” ainda retornado

Isto acontece nesta configuração:

radius change-authorize-nas-ip 192.168.1.2 encrypted key 
+A27wvxlgy06ia30pcqswmdajxd11ckg4ns88i6l92dghsqw7v77f1 port 1800
event-timestamp-window 0 no-reverse-path-forward-check no-nas-identification-check
    aaa group default
    radius attribute nas-ip-address address 192.168.1.2
    radius server 192.168.1.128 encrypted key
+A3ec01d8zs92ed1gz2mytddjjrf11af3u0watpyr3gd0rs8mthlzc port 1812
    radius accounting server 192.168.1.128 encrypted key
+A24x0pj4mjgnqh0sclbnen1lm6f1d6drn2nw3yf31tmfldk9fr38e         port 1813
#exit

Para um contexto ativo PDP, a solicitação de desconexão é despida:

INBOUND>>>>>  04:27:13:898 Eventid:70901(6)
RADIUS COA Rx PDU, from 192.168.1.254:42082 to 192.168.1.2:1800 (52) PDU-dict=starent-vsa1
 Code: 40 (Disconnect-Request)
 Id: 115
 Length: 52
 Authenticator: BF 95 05 0B 87 B4 42 59 5F C6 CC 78 D7 17 77 7F
      Attribute Type: 32 (NAS-Identifier)
                Length: 9
                Value: 73 74 61 72 65 6E 74    starent
      Attribute Type: 1 (User-Name)
                Length: 10
                Value: 74 65 73 74 75 73 65 72 testuser
      Attribute Type: 31 (Calling-Station-Id)
          &nbsp                Value: 36 34 32 31 31 32 33 34 64211234;     Length: 13

                       35 36 37                567

Monday October 19 2015
<<<<OUTBOUND  04:27:13:898 Eventid:70902(6)
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:42082 (26) PDU-dict=starent-vsa1
 Code: 42 (Disconnect-Nak)
 Id: 115
 Length: 26
 Authenticator: 75 D1 04 3E 31 19 9C 92 B2 2E 5D 5F 98 B9 34 99
      Attribute Type: 101 (Error-Cause)
                Length: 6
                Value: 00 00 01 93             ....
                       (NAS-Identification-Mismatch)

Contudo, quando esta linha for incluída no grupo do padrão AAA:

    radius attribute nas-identifier starent

começa trabalhar:

Monday October 19 2015
INBOUND>>>>>  05:19:01:798 Eventid:70901(6)
RADIUS COA Rx PDU, from 192.168.1.254:55426 to 192.168.1.2:1800 (52) PDU-dict=starent-vsa1
 Code: 40 (Disconnect-Request)
 Id: 171
 Length: 52
 Authenticator: 3A 67 43 25 DC 18 5C E3 23 08 04 C0 9C 31 68 68
      NAS-Identifier = starent
      User-Name = testuser
      Calling-Station-Id = 64211234567


Monday October 19 2015
<<<<OUTBOUND  05:19:01:799 Eventid:70902(6)
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:55426 (26) PDU-dict=starent-vsa1
 Code: 41 (Disconnect-Ack)
 Id: 171
 Length: 26
 Authenticator: 45 07 79 C5 E0 92 53 28 8F AD A3 E3 C4 B4 52 10
      Acct-Termination-Cause = Admin_Reset

Ou igualmente trabalhará sem configuração do nas-identificador no grupo AAA, mas com NAS-identificador AVP removido da solicitação de desconexão:

INBOUND>>>>>  05:14:41:374 Eventid:70901(6)
RADIUS COA Rx PDU, from 192.168.1.254:54757 to 192.168.1.2:1800 (43) PDU-dict=starent-vsa1
 Code: 40 (Disconnect-Request)
 Id: 78
 Length: 43
 Authenticator: 84 5D FE 5E 90 0D C8 16 84 7A 11 67 FF 82 40 DB
      User-Name = testuser
      Calling-Station-Id = 64211234567

Monday October 19 2015
<<<<OUTBOUND  05:14:41:375 Eventid:70902(6
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:54757 (26) PDU-dict=starent-vsa1
 Code: 41 (Disconnect-Ack)
 Id: 78
 Length: 26
 Authenticator: 34 84 5B 8E AF 02 1C F2 58 26 1B 0C 20 37 93 33
      Acct-Termination-Cause = Admin_Reset

A identificação de bug Cisco CSCuw78786 foi submetida. Isto foi testado na liberação 17.2.0 e na liberação 15.



Document ID: 119397