RADIUS CoA および切断メッセージについての説明とトラブルシューティング

概要

このドキュメントでは、RADIUS切断メッセージ(DM)について説明します。

RADIUS CoAメッセージの定義

ユーザセッションに関連付けられた属性とデータフィルタを変更するために、認可変更(CoA)メッセージが使用されます。システムは、Authentication, Authorization, and Accounting（AAA；認証、認可、アカウンティング）サーバからのCoAメッセージをサポートして、サブスクライバセッションに関連付けられたデータフィルタを変更します。

注：フィルタID属性（要求に含まれる場合）のフィルタは、ユーザトラフィックへのアプリケーション用にASR 5000で設定する必要があります。これはアクセスコントロールリスト(ACL)の形式であり、ASR 5000ではip access-listコマンドを使用して設定されます。

CoA要求メッセージには、ユーザセッションを識別するための属性が含まれている必要があります。属性とデータフィルタをユーザセッションに適用する必要があります。filter-id属性（属性ID 11）には、フィルタの名前が含まれます。ASR 5000がCoA要求を正常に実行すると、CoA ACKがRADIUSサーバに返され、新しい属性とデータフィルタがユーザセッションに適用されます。それ以外の場合は、ユーザセッションに変更を加えることなく、エラーコード属性として適切な理由でCoA NAKが送信されます。

RADIUS DM

DMメッセージは、ASR 5000のユーザセッションをRADIUSサーバから切断するために使用されます。DM要求メッセージには、ユーザセッションを識別するために必要な属性が含まれている必要があります。システムがユーザセッションを正常に切断すると、DM ACKがRADIUSサーバに送り返されます。それ以外の場合は、適切なエラー理由でDM-NAKが送信されます。

前述したように、NASが何らかの理由でDisconnect-RequestメッセージまたはCoA-Requestメッセージを受け入れることができない可能性があります。Error-Cause属性は、問題の原因に関する詳細を提供します。Disconnect-ACK、Disconnect-NAK、およびCoA-NAKメッセージに含めることができます。

Valueフィールドは4オクテットで、エラーの原因を示す整数が含まれています。

• 値0-199および300-399は予約されています。
• 値200 ～ 299は正常に完了したことを示し、これらの値はDisconnect-ACKまたはCoA-ACKメッセージ内でのみ送信され、Disconnect-NAKまたはCoA-NAK内では送信されません。
• 値400-499はRADIUSサーバによってコミットされた致命的なエラーを表し、CoA-NAKメッセージまたはDisconnect-NAKメッセージ内で送信でき、CoA-ACKメッセージまたはDisconnect-ACKメッセージ内で送信してはなりません。
• 値500 ～ 599は、NASまたはRADIUSプロキシで発生する致命的なエラーを表します。したがって、これらのエラーはCoA-NAKおよびDisconnect-NAKメッセージ内で送信でき、CoA-ACKメッセージまたはDisconnect-ACKメッセージ内内内内には送信してはなりません。Error-Causeの値はRADIUSサーバによって記録される必要があります。

エラーコードの値（10進数）は次のとおりです。

   #     Value
   ---   -----
   201   Residual Session Context Removed>
   202   Invalid EAP Packet (Ignored)
   401   Unsupported Attribute
   402   Missing Attribute
   403   NAS Identification Mismatch
   404   Invalid Request
   405   Unsupported Service
   406   Unsupported Extension
   501   Administratively Prohibited
   502   Request Not Routable (Proxy)
   503   Session Context Not Found
   504   Session Context Not Removable
   505   Other Proxy Processing Error
   506   Resources Unavailable
   507   Request Initiated

セッションIDの属性

ASR 5000の識別には、次のいずれかの方法を使用できます。

• nas-ip-address:COA/DM要求にNAS IPアドレスがある場合は、ASR 5000 NAS IPアドレスと一致する必要があります。
• NAS-Identifier:この属性が存在する場合、その値はユーザセッション用に生成されたnas-identifierと一致する必要があります。
  ASR 5000にNAS-Identifierが設定されている場合、これはセッションIDの必須属性です。

ユーザセッションを識別するには、次のいずれかの方法を使用します。

• Acct-Session-ID:この属性が存在する場合、その値はユーザセッションのacct-session-idに一致する必要があります。
• framed-ip-address:この属性が存在する場合、その値はセッションのフレーム化されたIPアドレスと一致する必要があります。
• ユーザ名:この属性が存在する場合、その値はセッションのユーザ名と一致する必要があります。
• Calling-Station-ID:これは、ユーザのInternational Mobile Subscriber Identity(IMSI)です。

RADIUS DMの設定

RADIUS DMの設定は非常に簡単です。すべての回線は、宛先コンテキスト（RADIUS設定の回線）で設定する必要があります。

radius change-authorize-nas-ip ip_address [ encrypted ]キー の値を入力します。 [port port ]
[ eventtimestamp-window ウィンドウ ] [ no-nas-identification-check ]
[ no-reverse-path-forward-check][ mpls-label input in_label_value |出力 out_label_value1
[ out_label_value2 ]

 

注：「radius change-authorize-nas-ip」は、ローカルコンテキストのAAAインターフェイスアドレスである必要があります。このCLIコマンドは、混乱の原因となることがあります。

サンプル コンフィギュレーション

radius change-authorize-nas-ip 192.168.88.40 encrypted key <key value>
 no-reverse-path-forward-check 
no-nas-identification-check

障害シナリオの例

ASR 5000側でDMメッセージを受信しない

ソケットがUDPポート3799の準備ができていない可能性があります（RFC 3756によると、RADIUS Disconnect-RequestパケットがUDPポート3799に送信されます）。

この動作は簡素化できます。すべてのCoA要求を処理するプロセスは、aaamgrインスタンス385です。これは、アクティブなSMC/MIOカード上のプロセスです。このCLIコマンドは、宛先コンテキストで実行する必要があります。

#cli test-commands password <xx> #show radius info radius group all instance 385

 このような出力は次のようになります。 

# show radius info radius group all instance 385 AAAMGR instance 385:
 cb-list-en: 3 AAA Group: <>
---------------------------------------------
socket number: 19
socket state: ready
local ip address: 10.176.81.215
local udp port: 50954
flow id: 0
use med interface: no
VRF context ID: 66

この例では、ポート3799が存在しないため、これが報告された動作の理由です。同じケースが表示される場合、解決策は、リスニングソケットを再作成するためにCoA設定を削除し、再度追加することです。さらに、最初の解決策が役に立たない場合は、aaamgrインスタンス385をkillしてみてください。

説明した操作の後、次の出力が表示されます。

# show radius info radius group all instance 385 AAAMGR instance 385:
 cb-list-en: 3 AAA Group: <>
--------------------------------------------->
socket number: 19>
socket state: ready
local ip address: 10.176.81.215
local udp port: 50954
flow id: 0
use med interface: no
VRF context ID: 66 
socket number: 21   <---------------------
socket state: ready
local ip address: 10.176.81.215
local udp port: 3799 <--------------------
flow id: 0
use med interface: no

適切なコンテキスト/VRのデバッグシェルからソケットが表示されます。 

bash-2.05b# netstat -lun | grep 3799
udp 0 0 10.176.81.215:3799 0.0.0.0:*

UDPポート3379 Has Ready Socket with No DM

UDPポート3379にはreadyソケットがありますが、まだDMメッセージが表示されません。これは、おそらくradius change-authorize-nas-ipの設定が正しくないために発生します。DM要求メッセージに含まれる属性値が、RADIUSに対するアカウンティング要求で送信された属性値と一致しません。

会計要求

Thursday August 06 2015
<<<<OUTBOUND 
Code: 4 (Accounting-Request)
      Attribute Type: 44 (Acct-Session-Id)
                Length: 18
                Value: 42 43 37 31 44 46 32 36 BC71DF26
                       30 36 30 33 41 32 42 46 0603A2BF
      Attribute Type: 31 (Calling-Station-Id)
                Length: 14
                Value: 39 39 38 39 33 31 37 32 99893172
                       30 39 31 31             0911
      Attribute Type: 4 (NAS-IP-Address)
                Length: 6
                Value: C0 A8 58 E1             ..X.
                       (192.168.88.225)
      Attribute Type: 8 (Framed-IP-Address)
                Length: 6
                Value: 0A 55 12 21             .U.!
                       (10.85.18.33)

Disconnect-Request

Radius Protocol
    Code: Disconnect-Request (40)
    Packet identifier: 0x2 (2)
    Length: 71
    Authenticator: 4930a228f13da294550239f5187b08b9

    Attribute Value Pairs
        AVP: l=6 t=NAS-IP-Address(4): 192.168.88.225
            NAS-IP-Address: 192.168.88.225 (192.168.88.225)

        AVP: l=6 t=Framed-IP-Address(8): 10.85.18.33
            Framed-IP-Address: 10.85.18.33 (10.85.18.33)

        AVP: l=14 t=Calling-Station-Id(31): 998931720911
            Calling-Station-Id: 998931720911

        AVP: l=18 t=Acct-Session-Id(44): BC71DF260603A2BF
            Acct-Session-Id: BC71DF260603A200

この例では、ASR 5000に到達するAcct-Session-Idの値がRADIUSに送信される値と異なるため、これが問題の原因です。この問題は、RADIUS側の適切な変更によって解決できます。

アクティブセッションのAcct-Session-Idは、show subscribers ggsn-only aaa-configuration active imsi <>コマンドで確認できます。

[local]# show subscribers ggsn-only aaa-configuration active imsi 434051801170727

Username: 998931720911@mihc1             Status: Online/Active
  Access Type: ggsn-pdp-type-ipv4        Network Type: IP
  Access Tech: WCDMA UTRAN               Access Network Peer ID: n/a
  callid: 057638b8                       imsi: 434051801170727
  3GPP2 Carrier ID: n/a
  3GPP2 ESN: n/a
  RADIUS Auth Server: 192.168.88.40  RADIUS Acct Server: n/a
  NAS IP Address: 192.168.88.225
  Acct-session-id: BC71DF260603A2BF

すべての属性が一致するが、ASR 5000がエラーメッセージとともにDM NAKを送信する401 – サポートされていない属性

この時点で、この種のエラーメッセージは、RADIUSサーバから問題が発生したことを意味します。しかし、何が間違っているのかはまだ明らかではない。ここでは、ASR 5000の制限は、Radius DMでCalled-station-Idをサポートしません。したがって、表示されている場合は、強調表示されたエラーで応答します。

INBOUND>>>>>
RADIUS COA Rx PDU, from 192.168.1.254:38073 to 192.168.1.2:1800
Code: 40 (Disconnect-Request)
Id: 106
Length: 61
Authenticator: 8D F1 50 2E DD 79 49 39 79 A0 B5 FC 59 3E C4 51
     Attribute Type: 32 (NAS-Identifier)
               Length: 9
               Value: 73 74 61 72 65 6E 74   starent
     Attribute Type: 1 (User-Name)
               Length: 10
               Value: 74 65 73 74 75 73 65 72 testuser
     Attribute Type: 30 (Called-Station-ID)
               Length: 9
               Value: 65 63 73 2D 61 70 6E   ecs-apn
     Attribute Type: 31 (Calling-Station-Id)
               Length: 13
               Value: 36 34 32 31 31 32 33 34 64211234
                      35 36 37               567

<<<<OUTBOUND 06:57:42:683 Eventid:70902(6)
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:38073
Code: 42 (Disconnect-Nak)
Id: 106
Length: 26
Authenticator: 34 2E DE B4 77 22 4A FE A5 16 93 91 0D B2 E6 3B
     Attribute Type: 101 (Error-Cause)
               Length: 6
               Value: 00 00 01 91             ....
                       (Unsupported-Attribute)

「radius change-authorize-nas-ip」行で「no-nas-identification-check」が設定されている「NAS-Identification-Mismatch」エラーが返される

これは、次の設定で発生します。

radius change-authorize-nas-ip 192.168.1.2 encrypted key 
+A27wvxlgy06ia30pcqswmdajxd11ckg4ns88i6l92dghsqw7v77f1 port 1800
 event-timestamp-window 0 no-reverse-path-forward-check no-nas-identification-check
    aaa group default
    radius attribute nas-ip-address address 192.168.1.2
    radius server 192.168.1.128 encrypted key
 +A3ec01d8zs92ed1gz2mytddjjrf11af3u0watpyr3gd0rs8mthlzc port 1812
    radius accounting server 192.168.1.128 encrypted key
 +A24x0pj4mjgnqh0sclbnen1lm6f1d6drn2nw3yf31tmfldk9fr38e         port 1813
 #exit

アクティブなPDPコンテキストの場合、切断要求はNAKed:

INBOUND>>>>>  04:27:13:898 Eventid:70901(6)
RADIUS COA Rx PDU, from 192.168.1.254:42082 to 192.168.1.2:1800 (52) PDU-dict=starent-vsa1
 Code: 40 (Disconnect-Request)
 Id: 115
 Length: 52
 Authenticator: BF 95 05 0B 87 B4 42 59 5F C6 CC 78 D7 17 77 7F
      Attribute Type: 32 (NAS-Identifier)
                Length: 9
                Value: 73 74 61 72 65 6E 74    starent
      Attribute Type: 1 (User-Name)
                Length: 10
                Value: 74 65 73 74 75 73 65 72 testuser
      Attribute Type: 31 (Calling-Station-Id)
          &nbsp                Value: 36 34 32 31 31 32 33 34 64211234;     Length: 13

                       35 36 37                567

Monday October 19 2015
<<<<OUTBOUND  04:27:13:898 Eventid:70902(6)
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:42082 (26) PDU-dict=starent-vsa1
 Code: 42 (Disconnect-Nak)
 Id: 115
 Length: 26
 Authenticator: 75 D1 04 3E 31 19 9C 92 B2 2E 5D 5F 98 B9 34 99
      Attribute Type: 101 (Error-Cause)
                Length: 6
                Value: 00 00 01 93             ....
                       (NAS-Identification-Mismatch)

ただし、この行がデフォルトのAAAグループに含まれている場合：

    radius attribute nas-identifier starent

動作し始めます。

Monday October 19 2015
INBOUND>>>>>  05:19:01:798 Eventid:70901(6)
RADIUS COA Rx PDU, from 192.168.1.254:55426 to 192.168.1.2:1800 (52) PDU-dict=starent-vsa1
 Code: 40 (Disconnect-Request)
 Id: 171
 Length: 52
 Authenticator: 3A 67 43 25 DC 18 5C E3 23 08 04 C0 9C 31 68 68
      NAS-Identifier = starent
      User-Name = testuser
      Calling-Station-Id = 64211234567


Monday October 19 2015
<<<<OUTBOUND  05:19:01:799 Eventid:70902(6)
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:55426 (26) PDU-dict=starent-vsa1
 Code: 41 (Disconnect-Ack)
 Id: 171
 Length: 26
 Authenticator: 45 07 79 C5 E0 92 53 28 8F AD A3 E3 C4 B4 52 10
      Acct-Termination-Cause = Admin_Reset

または、AAAグループのnas-identifierを設定せずに、NAS-Identifier AVPをDisconnect-Requestから削除しても機能します。

INBOUND>>>>>  05:14:41:374 Eventid:70901(6)
RADIUS COA Rx PDU, from 192.168.1.254:54757 to 192.168.1.2:1800 (43) PDU-dict=starent-vsa1
 Code: 40 (Disconnect-Request)
 Id: 78
 Length: 43
 Authenticator: 84 5D FE 5E 90 0D C8 16 84 7A 11 67 FF 82 40 DB
      User-Name = testuser
      Calling-Station-Id = 64211234567

Monday October 19 2015
<<<<OUTBOUND  05:14:41:375 Eventid:70902(6
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:54757 (26) PDU-dict=starent-vsa1
 Code: 41 (Disconnect-Ack)
 Id: 78
 Length: 26
 Authenticator: 34 84 5B 8E AF 02 1C F2 58 26 1B 0C 20 37 93 33
      Acct-Termination-Cause = Admin_Reset

Cisco Bug ID CSCuw78786が送信されました。これは、リリース17.2.0とリリース15でテストされています。

更新履歴