RADIUS CoA および切断メッセージについての説明とトラブルシューティング
目次
概要
この資料は Radius不通 メッセージ(DM)を記述したものです。
RADIUS CoA メッセージの定義
許可(CoA)メッセージの変更は属性およびユーザセッションと関連付けられるデータ フィルターを変更するために使用されます。 サブスクライバ セッションと関連付けられるデータ フィルターを変更する認証、許可、アカウンティング(AAA) サーバからのシステム 支援 CoA メッセージ。
CoA REQUEST メッセージはユーザセッションを識別するために属性が含まれているはずです; 属性およびデータ フィルターはユーザセッションに加えられる必要があります。 フィルタid アトリビュート(アトリビュート ID は 11)フィルターの名前が含まれています。 ASR 5000 が CoA 要求をうまく実行する場合、CoA ACK は RADIUSサーバに送られ、新しい属性およびデータ フィルターはユーザセッションに加えられます。 さもなければ、CoA NAK はエラーコード アトリビュートとして適切な原因とユーザセッションへの変更を行なわないで送信 されます。
RADIUS DM
DM メッセージは RADIUSサーバから ASR 5000 のユーザセッションを切断するために使用されます。 DM REQUEST メッセージはユーザセッションを識別するために必要な属性が含まれているはずです。 システムが正常にユーザセッションを切断する場合、DM ACK は RADIUSサーバに送返されます。 さもなければ、DM-NAK は適切なエラーの理由と送信 されます。
NAS がどういうわけか Disconnect 要求または CoA 要求 メッセージに名誉を与えることができないことは以前に述べられるように、可能性のあるです。 エラー原因 アトリビュートは問題の原因でより多くの詳細を提供します。 それは接続解除 ACK、接続解除 NAK および CoA NAK メッセージの内で含まれます。
Value フィールドは 4 オクテットです、エラーの原因を規定 する 整数が含まれている。
- 値は 0-199 および 300-399 予約済みです。
- 値 200-299 はこれらの値が接続解除 ACK か CoA ACK メッセージの内で送信 されるだけかもしれないし、接続解除 NAK か CoA NAK の内で送信 されてはならないように、正常な完了を表します。
- 値 400-499 は CoA NAK か接続解除 NAK メッセージの内で送信 することができ、CoA ACK か接続解除 ACK メッセージの内で送信 されてはならないように RADIUSサーバによって発生する重大エラーを表します。
- 値 500-599 は CoA NAK および接続解除 NAK メッセージの内で送信 することができる生じ CoA ACK か接続解除 ACK メッセージの内で送信 されてはならないように NAS か RADIUSプロキシで重大エラーを表します。 エラー原因値は RADIUSサーバによって記録 する必要があります。
コード値は(小数点に表現される)下記のものを含んでいます:
# Value
--- -----
201 Residual Session Context Removed>
202 Invalid EAP Packet (Ignored)
401 Unsupported Attribute
402 Missing Attribute
403 NAS Identification Mismatch
404 Invalid Request
405 Unsupported Service
406 Unsupported Extension
501 Administratively Prohibited
502 Request Not Routable (Proxy)
503 Session Context Not Found
504 Session Context Not Removable
505 Other Proxy Processing Error
506 Resources Unavailable
507 Request Initiated
セッション 識別のための属性
ASR 5000 の識別の場合、これらのメソッドの 1 つは使用することができます:
- NAS-IP-Address: COA/DM 要求の NAS IP アドレスはもしあれば ASR 5000 NAS IP アドレスと一致する必要があります。
- NAS 識別子: このアトリビュートがある場合、値はユーザセッションのために生成される NAS 識別子に一致する必要があります。
これは ASR 5000 が NAS 識別子で設定される場合、セッション 識別のための必須属性です。
ユーザセッションの識別に関しては、どちらかはこれらのメソッドの 1 つ使用されます:
- Acct セッション ID: このアトリビュートがある場合、値はユーザセッションのための acct セッション ID に一致する必要があります。
- Framed-IP-Address: このアトリビュートがある場合、値はセッションのフレーム化された IP アドレスに一致する必要があります。
- ユーザ名: このアトリビュートがある場合、値はセッションのユーザ名に一致する必要があります。
- 呼出ステーション ID: これはユーザの IMSI (IMSI)です。
RADIUS DM の設定
RADIUS DM の設定はかなり容易です。 すべての行は宛先 コンテキスト(RADIUSコンフィギュレーションとの 1)で設定される必要があります。
半径変更承認 NAS IP ip_address [暗号化される]キー値[ポート ポート]
[eventtimestamp ウィンドウ ウィンドウ] [非 NAS 識別チェック]
[非反転パス前方チェック] [MPLS ラベル 入力 in_label_value | 出力 out_label_value1
[out_label_value2]
設定例
radius change-authorize-nas-ip 192.168.88.40 encrypted key <key value>
no-reverse-path-forward-check
no-nas-identification-check
障害シナリオ例
ASR 5000 側面で受け取った DM メッセージ無し
ソケットが UDP ポート 3799 の準備ができていないことは可能性のあるです。 (RFC 3756 に従って、RADIUS Disconnect 要求 パケットは UDP ポートに 3799) 送信 されます。
この動作は簡単であるできます。 プロセスはすべての CoA 要求を処理するアクティブ SMC/MIO カードの 1 の aaamgr 例 385 です。 この CLI コマンドは宛先 コンテキストで実行される必要があります。
#cli test-commands password <xx> #show radius info radius group all instance 385
そのような出力外観のような:
# show radius info radius group all instance 385 AAAMGR instance 385:
cb-list-en: 3 AAA Group: <>
---------------------------------------------
socket number: 19
socket state: ready
local ip address: 10.176.81.215
local udp port: 50954
flow id: 0
use med interface: no
VRF context ID: 66
この例では、ポート 3799 がないし、これは報告された動作のための原因です。 ケースで同じを見る場合、ソリューションは受信ソケットを作り直すために CoA 設定を取除き、再追加することです。 最初のソリューションが助けない場合さらに、aaamgr 例 385 を止めることを試みることができます。
記述されていた操作の後で、この出力を見るはずです:
# show radius info radius group all instance 385 AAAMGR instance 385:
cb-list-en: 3 AAA Group: <>
--------------------------------------------->
socket number: 19>
socket state: ready
local ip address: 10.176.81.215
local udp port: 50954
flow id: 0
use med interface: no
VRF context ID: 66
socket number: 21 <---------------------
socket state: ready
local ip address: 10.176.81.215
local udp port: 3799 <--------------------
flow id: 0
use med interface: no
そしてソケットは適切な context/VR のデバッグ シェルから目に見えるはずです:
bash-2.05b# netstat -lun | grep 3799
udp 0 0 10.176.81.215:3799 0.0.0.0:*
UDP ポート 3379 に DM メッセージ無しで準備ができたソケットがあります
まだ DM メッセージを見ないどんなに、UDP ポート 3379 に準備ができたソケットがあります。 これは半径変更承認 NAS IP の誤ったコンフィギュレーションによっておそらく引き起こされます。 どちらか DM REQUEST メッセージ入って来た属性値は RADIUS の方の会計 要求で送信 された物を一致する。
説明要求
Thursday August 06 2015
<<<<OUTBOUND
Code: 4 (Accounting-Request)
Attribute Type: 44 (Acct-Session-Id)
Length: 18
Value: 42 43 37 31 44 46 32 36 BC71DF26
30 36 30 33 41 32 42 46 0603A2BF
Attribute Type: 31 (Calling-Station-Id)
Length: 14
Value: 39 39 38 39 33 31 37 32 99893172
30 39 31 31 0911
Attribute Type: 4 (NAS-IP-Address)
Length: 6
Value: C0 A8 58 E1 ..X.
(192.168.88.225)
Attribute Type: 8 (Framed-IP-Address)
Length: 6
Value: 0A 55 12 21 .U.!
(10.85.18.33)
Disconnect 要求
Radius Protocol
Code: Disconnect-Request (40)
Packet identifier: 0x2 (2)
Length: 71
Authenticator: 4930a228f13da294550239f5187b08b9
Attribute Value Pairs
AVP: l=6 t=NAS-IP-Address(4): 192.168.88.225
NAS-IP-Address: 192.168.88.225 (192.168.88.225)
AVP: l=6 t=Framed-IP-Address(8): 10.85.18.33
Framed-IP-Address: 10.85.18.33 (10.85.18.33)
AVP: l=14 t=Calling-Station-Id(31): 998931720911
Calling-Station-Id: 998931720911
AVP: l=18 t=Acct-Session-Id(44): BC71DF260603A2BF
Acct-Session-Id: BC71DF260603A200
この例では、ASR 5000 に異なっている来る RADIUS およびこれの方に送信 されるものと Acct セッション ID の値は問題のための原因です。 この問題は RADIUS 側の適切な変更によって解決することができます。
アクティブセッションのための Acct セッション ID はコマンドで示しますサブスクライバに ggsn だけ AAA設定をアクティブな imsi <> 確認することができます。
[local]# show subscribers ggsn-only aaa-configuration active imsi 434051801170727
Username: 998931720911@mihc1 Status: Online/Active
Access Type: ggsn-pdp-type-ipv4 Network Type: IP
Access Tech: WCDMA UTRAN Access Network Peer ID: n/a
callid: 057638b8 imsi: 434051801170727
3GPP2 Carrier ID: n/a
3GPP2 ESN: n/a
RADIUS Auth Server: 192.168.88.40 RADIUS Acct Server: n/a
NAS IP Address: 192.168.88.225
Acct-session-id: BC71DF260603A2BF
すべての属性一致、しかし ASR 5000 はエラーメッセージとの DM NAK を送信 します: 401 -サポートされていないアトリビュート
この時点で問題が RADIUSサーバから来ることをこの種のエラーメッセージが意味することが知られています。 ただし、それはまだ間違っている何がクリアではないです。 ここでは、ASR 5000 に関する制限事項は Radius DM の呼出ステーション ID をサポートしません。 それ故に、そこに見られれば、それは強調表示されたエラーと答えます。
INBOUND>>>>>
RADIUS COA Rx PDU, from 192.168.1.254:38073 to 192.168.1.2:1800
Code: 40 (Disconnect-Request)
Id: 106
Length: 61
Authenticator: 8D F1 50 2E DD 79 49 39 79 A0 B5 FC 59 3E C4 51
Attribute Type: 32 (NAS-Identifier)
Length: 9
Value: 73 74 61 72 65 6E 74 starent
Attribute Type: 1 (User-Name)
Length: 10
Value: 74 65 73 74 75 73 65 72 testuser
Attribute Type: 30 (Called-Station-ID)
Length: 9
Value: 65 63 73 2D 61 70 6E ecs-apn
Attribute Type: 31 (Calling-Station-Id)
Length: 13
Value: 36 34 32 31 31 32 33 34 64211234
35 36 37 567
<<<<OUTBOUND 06:57:42:683 Eventid:70902(6)
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:38073
Code: 42 (Disconnect-Nak)
Id: 106
Length: 26
Authenticator: 34 2E DE B4 77 22 4A FE A5 16 93 91 0D B2 E6 3B
Attribute Type: 101 (Error-Cause)
Length: 6
Value: 00 00 01 91 ....
(Unsupported-Attribute)
システムは「半径変更承認 NAS IP」行をの「非 NAS 識別チェック」、まだ返される「NAS 識別ミスマッチ」エラー設定しました
これはこの設定で起こります:
radius change-authorize-nas-ip 192.168.1.2 encrypted key
+A27wvxlgy06ia30pcqswmdajxd11ckg4ns88i6l92dghsqw7v77f1 port 1800
event-timestamp-window 0 no-reverse-path-forward-check no-nas-identification-check
aaa group default
radius attribute nas-ip-address address 192.168.1.2
radius server 192.168.1.128 encrypted key
+A3ec01d8zs92ed1gz2mytddjjrf11af3u0watpyr3gd0rs8mthlzc port 1812
radius accounting server 192.168.1.128 encrypted key
+A24x0pj4mjgnqh0sclbnen1lm6f1d6drn2nw3yf31tmfldk9fr38e port 1813
#exit
アクティブな PDPコンテキストに関しては、Disconnect 要求は露出しています:
INBOUND>>>>> 04:27:13:898 Eventid:70901(6)
RADIUS COA Rx PDU, from 192.168.1.254:42082 to 192.168.1.2:1800 (52) PDU-dict=starent-vsa1
Code: 40 (Disconnect-Request)
Id: 115
Length: 52
Authenticator: BF 95 05 0B 87 B4 42 59 5F C6 CC 78 D7 17 77 7F
Attribute Type: 32 (NAS-Identifier)
Length: 9
Value: 73 74 61 72 65 6E 74 starent
Attribute Type: 1 (User-Name)
Length: 10
Value: 74 65 73 74 75 73 65 72 testuser
Attribute Type: 31 (Calling-Station-Id)
  Value: 36 34 32 31 31 32 33 34 64211234; Length: 13
35 36 37 567
Monday October 19 2015
<<<<OUTBOUND 04:27:13:898 Eventid:70902(6)
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:42082 (26) PDU-dict=starent-vsa1
Code: 42 (Disconnect-Nak)
Id: 115
Length: 26
Authenticator: 75 D1 04 3E 31 19 9C 92 B2 2E 5D 5F 98 B9 34 99
Attribute Type: 101 (Error-Cause)
Length: 6
Value: 00 00 01 93 ....
(NAS-Identification-Mismatch)
ただし、この行がデフォルト AAA グループに含まれている時:
radius attribute nas-identifier starent
それははたらき始めます:
Monday October 19 2015
INBOUND>>>>> 05:19:01:798 Eventid:70901(6)
RADIUS COA Rx PDU, from 192.168.1.254:55426 to 192.168.1.2:1800 (52) PDU-dict=starent-vsa1
Code: 40 (Disconnect-Request)
Id: 171
Length: 52
Authenticator: 3A 67 43 25 DC 18 5C E3 23 08 04 C0 9C 31 68 68
NAS-Identifier = starent
User-Name = testuser
Calling-Station-Id = 64211234567
Monday October 19 2015
<<<<OUTBOUND 05:19:01:799 Eventid:70902(6)
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:55426 (26) PDU-dict=starent-vsa1
Code: 41 (Disconnect-Ack)
Id: 171
Length: 26
Authenticator: 45 07 79 C5 E0 92 53 28 8F AD A3 E3 C4 B4 52 10
Acct-Termination-Cause = Admin_Reset
またはそれはまた AAA グループの、Disconnect 要求から取除かれた NAS 識別子 AVP の NAS 識別子の設定なしではたらきます:
INBOUND>>>>> 05:14:41:374 Eventid:70901(6)
RADIUS COA Rx PDU, from 192.168.1.254:54757 to 192.168.1.2:1800 (43) PDU-dict=starent-vsa1
Code: 40 (Disconnect-Request)
Id: 78
Length: 43
Authenticator: 84 5D FE 5E 90 0D C8 16 84 7A 11 67 FF 82 40 DB
User-Name = testuser
Calling-Station-Id = 64211234567
Monday October 19 2015
<<<<OUTBOUND 05:14:41:375 Eventid:70902(6
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:54757 (26) PDU-dict=starent-vsa1
Code: 41 (Disconnect-Ack)
Id: 78
Length: 26
Authenticator: 34 84 5B 8E AF 02 1C F2 58 26 1B 0C 20 37 93 33
Acct-Termination-Cause = Admin_Reset
Cisco バグ ID CSCuw78786 は入りました。 これはリリース 17.2.0 およびリリース 15 でテストされました。
フィードバック