ワイヤレス : Cisco GGSN ゲートウェイ GPRS サポート ノード

理解し、RADIUS CoA を解決し、メッセージを切断して下さい

2016 年 1 月 16 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 12 月 17 日) | フィードバック

概要

この資料は Radius不通 メッセージ(DM)を記述したものです。

Tomasz Dudarski および Maciej Poszywak によって貢献される、Cisco TAC エンジニア。

RADIUS CoA メッセージの定義

許可(CoA)メッセージの変更は属性およびユーザセッションと関連付けられるデータ フィルターを変更するために使用されます。 サブスクライバ セッションと関連付けられるデータ フィルターを変更する認証、許可、アカウンティング(AAA) サーバからのシステム 支援 CoA メッセージ。

: フィルタid 属性のフィルターはユーザトラフィックへのアプリケーションのための ASR 5000 で(もしあれば要求で)設定する必要があります。 これはアクセス コントロール リスト(ACL)の形式で、ASR 5000 で ip access-list コマンドで設定されます。

CoA REQUEST メッセージはユーザセッションを識別するために属性が含まれているはずです; 属性およびデータ フィルターはユーザセッションに加えられる必要があります。 フィルタid アトリビュート(アトリビュート ID は 11)フィルターの名前が含まれています。 ASR 5000 が CoA 要求をうまく実行する場合、CoA ACK は RADIUSサーバに送られ、新しい属性およびデータ フィルターはユーザセッションに加えられます。 さもなければ、CoA NAK はエラーコード アトリビュートとして適切な原因とユーザセッションへの変更を行なわないで送信 されます。

RADIUS DM

DM メッセージは RADIUSサーバから ASR 5000 のユーザセッションを切断するために使用されます。 DM REQUEST メッセージはユーザセッションを識別するために必要な属性が含まれているはずです。 システムが正常にユーザセッションを切断する場合、DM ACK は RADIUSサーバに送返されます。 さもなければ、DM-NAK は適切なエラーの理由と送信 されます。

NAS がどういうわけか Disconnect 要求または CoA 要求 メッセージに名誉を与えることができないことは以前に述べられるように、可能性のあるです。 エラー原因 アトリビュートは問題の原因でより多くの詳細を提供します。 それは接続解除 ACK、接続解除 NAK および CoA NAK メッセージの内で含まれます。

Value フィールドは 4 オクテットです、エラーの原因を規定 する 整数が含まれている。

  • 値は 0-199 および 300-399 予約済みです。
  • 200-299 はこれらの値が接続解除 ACK か CoA ACK メッセージの内で送信 されるだけかもしれないし、接続解除 NAK か CoA NAK の内で送信 されてはならないように、正常な完了を表します。
  • 400-499 は CoA NAK か接続解除 NAK メッセージの内で送信 することができ、CoA ACK か接続解除 ACK メッセージの内で送信 されてはならないように RADIUSサーバによって発生する重大エラーを表します。
  • 500-599 は CoA NAK および接続解除 NAK メッセージの内で送信 することができる生じ CoA ACK か接続解除 ACK メッセージの内で送信 されてはならないように NAS か RADIUSプロキシで重大エラーを表します。 エラー原因値は RADIUSサーバによって記録 する必要があります。

コード値は(小数点に表現される)下記のものを含んでいます:

   #     Value
   ---  -----
   201   Residual Session Context Removed>
   202   Invalid EAP Packet (Ignored)
   401   Unsupported Attribute
   402   Missing Attribute
   403   NAS Identification Mismatch
   404   Invalid Request
   405   Unsupported Service
   406   Unsupported Extension
   501   Administratively Prohibited
   502   Request Not Routable (Proxy)
   503   Session Context Not Found
   504   Session Context Not Removable
   505   Other Proxy Processing Error
   506   Resources Unavailable
   507   Request Initiated

セッション 識別のための属性

ASR 5000 の識別の場合、これらのメソッドの 1 つは使用することができます:

  • NAS-IP-Address: COA/DM 要求の NAS IP アドレスはもしあれば ASR 5000 NAS IP アドレスと一致する必要があります。
  • NAS 識別子: このアトリビュートがある場合、値はユーザセッションのために生成される NAS 識別子に一致する必要があります。
    これは ASR 5000 が NAS 識別子で設定される場合、セッション 識別のための必須属性です。

ユーザセッションの識別に関しては、どちらかはこれらのメソッドの 1 つ使用されます:

  • Acct セッション ID: このアトリビュートがある場合、値はユーザセッションのための acct セッション ID に一致する必要があります。
  • Framed-IP-Address: このアトリビュートがある場合、値はセッションのフレーム化された IP アドレスに一致する必要があります。
  • ユーザ名: このアトリビュートがある場合、値はセッションのユーザ名に一致する必要があります。
  • 呼出ステーション ID: これはユーザの IMSI (IMSI)です。

RADIUS DM の設定

RADIUS DM の設定はかなり容易です。 すべての行は宛先 コンテキスト(RADIUSコンフィギュレーションとの 1)で設定される必要があります。

半径変更承認 NAS IP ip_address [暗号化される]キー値[ポート ポート]
[eventtimestamp ウィンドウ ウィンドウ] [非 NAS 識別チェック]
[非反転パス前方チェック] [MPLS ラベル 入力 in_label_value | 出力 out_label_value1
[out_label_value2]

 

: 「半径変更承認 NAS IP」はローカル コンテキストの AAA インターフェイス アドレスであるはずです。 この CLI コマンドは時々混乱のもとです。

設定例

radius change-authorize-nas-ip 192.168.88.40 encrypted key <key value>
no-reverse-path-forward-check
no-nas-identification-check

障害シナリオ例

DM メッセージは ASR 5000 側面で受け取りませんでした

ソケットが UDP ポート 3799 の準備ができていないことは可能性のあるです。 (RFC 3756 に従って、RADIUS Disconnect 要求 パケットは UDP ポートに 3799) 送信 されます。

この動作は簡単であるできます。 プロセスはすべての CoA 要求を処理するアクティブ SMC/MIO カードの 1 の aaamgr 例 385 です。 この CLI コマンドは宛先 コンテキストで実行される必要があります。

#cli test-commands password <xx> #show radius info radius group all instance 385

 そのような出力外観のような: 

# show radius info radius group all instance 385 AAAMGR instance 385:
cb-list-en: 3 AAA Group: <>

---------------------------------------------
socket number: 19
socket state: ready
local ip address: 10.176.81.215
local udp port: 50954
flow id: 0
use med interface: no
VRF context ID: 66

この例では、ポート 3799 がないし、これは報告された動作のための原因です。 ケースで同じを見る場合、ソリューションは受信ソケットを作り直すために CoA 設定を取除き、再追加することです。 最初のソリューションが助けない場合さらに、aaamgr 例 385 を止めることを試みることができます。

記述されていた操作の後で、この出力を見るはずです:

# show radius info radius group all instance 385 AAAMGR instance 385:
cb-list-en: 3 AAA Group: <>

--------------------------------------------->
socket number: 19>
socket state: ready
local ip address: 10.176.81.215
local udp port: 50954
flow id: 0
use med interface: no
VRF context ID: 66 
socket number: 21   <---------------------
socket state: ready
local ip address: 10.176.81.215
local udp port: 3799 <--------------------
flow id: 0
use med interface: no

そしてソケットは適切な context/VR のデバッグ シェルから目に見えるはずです: 

bash-2.05b# netstat -lun | grep 3799
udp 0 0 10.176.81.215:3799 0.0.0.0:*

UDP ポート 3379 に DM メッセージ無しで準備ができたソケットがあります

まだ DM メッセージを見ないどんなに、UDP ポート 3379 に準備ができたソケットがあります。 これは半径変更承認 NAS IP の誤ったコンフィギュレーションによっておそらく引き起こされます。 どちらか DM REQUEST メッセージ入って来た属性値は RADIUS の方の会計 要求で送信 された物を一致する。

説明要求

Thursday August 06 2015
<<<<OUTBOUND
Code: 4 (Accounting-Request)
      Attribute Type: 44 (Acct-Session-Id)
                Length: 18
                Value: 42 43 37 31 44 46 32 36 BC71DF26
                       30 36 30 33 41 32 42 46 0603A2BF
      Attribute Type: 31 (Calling-Station-Id)
                Length: 14
                Value: 39 39 38 39 33 31 37 32 99893172
                       30 39 31 31             0911
      Attribute Type: 4 (NAS-IP-Address)
                Length: 6
                Value: C0 A8 58 E1             ..X.
                       (192.168.88.225)
      Attribute Type: 8 (Framed-IP-Address)
                Length: 6
                Value: 0A 55 12 21             .U.!
                       (10.85.18.33)

Disconnect 要求

Radius Protocol
    Code: Disconnect-Request (40)
    Packet identifier: 0x2 (2)
    Length: 71
    Authenticator: 4930a228f13da294550239f5187b08b9

    Attribute Value Pairs
        AVP: l=6 t=NAS-IP-Address(4): 192.168.88.225
            NAS-IP-Address: 192.168.88.225 (192.168.88.225)

        AVP: l=6 t=Framed-IP-Address(8): 10.85.18.33
            Framed-IP-Address: 10.85.18.33 (10.85.18.33)

        AVP: l=14 t=Calling-Station-Id(31): 998931720911
            Calling-Station-Id: 998931720911

        AVP: l=18 t=Acct-Session-Id(44): BC71DF260603A2BF
            Acct-Session-Id: BC71DF260603A200

この例では、ASR 5000 に異なっている来る RADIUS およびこれの方に送信 されるものと Acct セッション ID の値は問題のための原因です。 この問題は RADIUS 側の適切な変更によって解決することができます。

アクティブセッションのための Acct セッション ID はコマンドで示しますサブスクライバに ggsn だけ AAA設定をアクティブな imsi <> 確認することができます。

[local]# show subscribers ggsn-only aaa-configuration active imsi 434051801170727

Username: 998931720911@mihc1             Status: Online/Active
  Access Type: ggsn-pdp-type-ipv4        Network Type: IP
  Access Tech: WCDMA UTRAN               Access Network Peer ID: n/a
  callid: 057638b8                       imsi: 434051801170727
  3GPP2 Carrier ID: n/a
  3GPP2 ESN: n/a
  RADIUS Auth Server: 192.168.88.40  RADIUS Acct Server: n/a
  NAS IP Address: 192.168.88.225
  Acct-session-id: BC71DF260603A2BF

すべての属性一致、しかし ASR 5000 はエラーメッセージとの DM NAK を送信 します: 401 -サポートされていないアトリビュート

この時点で問題が RADIUSサーバから来ることをこの種のエラーメッセージが意味することが知られています。 ただし、それはまだ間違っている何がクリアではないです。 ここでは、ASR 5000 に関する制限事項は Radius DM の呼出ステーション ID をサポートしません。 それ故に、そこに見られれば、それは強調表示されたエラーと答えます。

INBOUND>>>>>
RADIUS COA Rx PDU, from 192.168.1.254:38073 to 192.168.1.2:1800
Code: 40 (Disconnect-Request)
Id: 106
Length: 61
Authenticator: 8D F1 50 2E DD 79 49 39 79 A0 B5 FC 59 3E C4 51
     Attribute Type: 32 (NAS-Identifier)
               Length: 9
               Value: 73 74 61 72 65 6E 74   starent
     Attribute Type: 1 (User-Name)
               Length: 10
               Value: 74 65 73 74 75 73 65 72 testuser
     Attribute Type: 30 (Called-Station-ID)
               Length: 9
               Value: 65 63 73 2D 61 70 6E   ecs-apn
     Attribute Type: 31 (Calling-Station-Id)
               Length: 13
               Value: 36 34 32 31 31 32 33 34 64211234
                      35 36 37               567

<<<<OUTBOUND 06:57:42:683 Eventid:70902(6)
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:38073
Code: 42 (Disconnect-Nak)
Id: 106
Length: 26
Authenticator: 34 2E DE B4 77 22 4A FE A5 16 93 91 0D B2 E6 3B
     Attribute Type: 101 (Error-Cause)
               Length: 6
               Value: 00 00 01 91             ....
                       (Unsupported-Attribute)

システムは「半径変更承認 NAS IP」行をの「非 NAS 識別チェック」、まだ返される「NAS 識別ミスマッチ」エラー設定しました

これはこの設定で起こります:

radius change-authorize-nas-ip 192.168.1.2 encrypted key 
+A27wvxlgy06ia30pcqswmdajxd11ckg4ns88i6l92dghsqw7v77f1 port 1800
event-timestamp-window 0 no-reverse-path-forward-check no-nas-identification-check
    aaa group default
    radius attribute nas-ip-address address 192.168.1.2
    radius server 192.168.1.128 encrypted key
+A3ec01d8zs92ed1gz2mytddjjrf11af3u0watpyr3gd0rs8mthlzc port 1812
    radius accounting server 192.168.1.128 encrypted key
+A24x0pj4mjgnqh0sclbnen1lm6f1d6drn2nw3yf31tmfldk9fr38e         port 1813
#exit

アクティブな PDPコンテキストに関しては、Disconnect 要求は露出しています:

INBOUND>>>>>  04:27:13:898 Eventid:70901(6)
RADIUS COA Rx PDU, from 192.168.1.254:42082 to 192.168.1.2:1800 (52) PDU-dict=starent-vsa1
 Code: 40 (Disconnect-Request)
 Id: 115
 Length: 52
 Authenticator: BF 95 05 0B 87 B4 42 59 5F C6 CC 78 D7 17 77 7F
      Attribute Type: 32 (NAS-Identifier)
                Length: 9
                Value: 73 74 61 72 65 6E 74    starent
      Attribute Type: 1 (User-Name)
                Length: 10
                Value: 74 65 73 74 75 73 65 72 testuser
      Attribute Type: 31 (Calling-Station-Id)
          &nbsp                Value: 36 34 32 31 31 32 33 34 64211234;     Length: 13

                       35 36 37                567

Monday October 19 2015
<<<<OUTBOUND  04:27:13:898 Eventid:70902(6)
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:42082 (26) PDU-dict=starent-vsa1
 Code: 42 (Disconnect-Nak)
 Id: 115
 Length: 26
 Authenticator: 75 D1 04 3E 31 19 9C 92 B2 2E 5D 5F 98 B9 34 99
      Attribute Type: 101 (Error-Cause)
                Length: 6
                Value: 00 00 01 93             ....
                       (NAS-Identification-Mismatch)

ただし、この行がデフォルト AAA グループに含まれている時:

    radius attribute nas-identifier starent

それははたらき始めます:

Monday October 19 2015
INBOUND>>>>>  05:19:01:798 Eventid:70901(6)
RADIUS COA Rx PDU, from 192.168.1.254:55426 to 192.168.1.2:1800 (52) PDU-dict=starent-vsa1
 Code: 40 (Disconnect-Request)
 Id: 171
 Length: 52
 Authenticator: 3A 67 43 25 DC 18 5C E3 23 08 04 C0 9C 31 68 68
      NAS-Identifier = starent
      User-Name = testuser
      Calling-Station-Id = 64211234567


Monday October 19 2015
<<<<OUTBOUND  05:19:01:799 Eventid:70902(6)
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:55426 (26) PDU-dict=starent-vsa1
 Code: 41 (Disconnect-Ack)
 Id: 171
 Length: 26
 Authenticator: 45 07 79 C5 E0 92 53 28 8F AD A3 E3 C4 B4 52 10
      Acct-Termination-Cause = Admin_Reset

またはそれはまた AAA グループの、Disconnect 要求から取除かれた NAS 識別子 AVP の NAS 識別子の設定なしではたらきます:

INBOUND>>>>>  05:14:41:374 Eventid:70901(6)
RADIUS COA Rx PDU, from 192.168.1.254:54757 to 192.168.1.2:1800 (43) PDU-dict=starent-vsa1
 Code: 40 (Disconnect-Request)
 Id: 78
 Length: 43
 Authenticator: 84 5D FE 5E 90 0D C8 16 84 7A 11 67 FF 82 40 DB
      User-Name = testuser
      Calling-Station-Id = 64211234567

Monday October 19 2015
<<<<OUTBOUND  05:14:41:375 Eventid:70902(6
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:54757 (26) PDU-dict=starent-vsa1
 Code: 41 (Disconnect-Ack)
 Id: 78
 Length: 26
 Authenticator: 34 84 5B 8E AF 02 1C F2 58 26 1B 0C 20 37 93 33
      Acct-Termination-Cause = Admin_Reset

Cisco バグ ID CSCuw78786 は入りました。 これはリリース 17.2.0 およびリリース 15 でテストされました。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 119397