この資料は Radius不通 メッセージ(DM)を記述したものです。
許可(CoA)メッセージの変更は属性およびユーザセッションと関連付けられるデータ フィルターを変更するために使用されます。 サブスクライバ セッションと関連付けられるデータ フィルターを変更する認証、許可、アカウンティング(AAA) サーバからのシステム 支援 CoA メッセージ。
CoA REQUEST メッセージはユーザセッションを識別するために属性が含まれているはずです; 属性およびデータ フィルターはユーザセッションに加えられる必要があります。 フィルタid アトリビュート(アトリビュート ID は 11)フィルターの名前が含まれています。 ASR 5000 が CoA 要求をうまく実行する場合、CoA ACK は RADIUSサーバに送られ、新しい属性およびデータ フィルターはユーザセッションに加えられます。 さもなければ、CoA NAK はエラーコード アトリビュートとして適切な原因とユーザセッションへの変更を行なわないで送信 されます。
DM メッセージは RADIUSサーバから ASR 5000 のユーザセッションを切断するために使用されます。 DM REQUEST メッセージはユーザセッションを識別するために必要な属性が含まれているはずです。 システムが正常にユーザセッションを切断する場合、DM ACK は RADIUSサーバに送返されます。 さもなければ、DM-NAK は適切なエラーの理由と送信 されます。
NAS がどういうわけか Disconnect 要求または CoA 要求 メッセージに名誉を与えることができないことは以前に述べられるように、可能性のあるです。 エラー原因 アトリビュートは問題の原因でより多くの詳細を提供します。 それは接続解除 ACK、接続解除 NAK および CoA NAK メッセージの内で含まれます。
Value フィールドは 4 オクテットです、エラーの原因を規定 する 整数が含まれている。
コード値は(小数点に表現される)下記のものを含んでいます:
# Value
--- -----
201 Residual Session Context Removed>
202 Invalid EAP Packet (Ignored)
401 Unsupported Attribute
402 Missing Attribute
403 NAS Identification Mismatch
404 Invalid Request
405 Unsupported Service
406 Unsupported Extension
501 Administratively Prohibited
502 Request Not Routable (Proxy)
503 Session Context Not Found
504 Session Context Not Removable
505 Other Proxy Processing Error
506 Resources Unavailable
507 Request Initiated
ASR 5000 の識別の場合、これらのメソッドの 1 つは使用することができます:
ユーザセッションの識別に関しては、どちらかはこれらのメソッドの 1 つ使用されます:
RADIUS DM の設定はかなり容易です。 すべての行は宛先 コンテキスト(RADIUSコンフィギュレーションとの 1)で設定される必要があります。
半径変更承認 NAS IP ip_address [暗号化される]キー値[ポート ポート]
[eventtimestamp ウィンドウ ウィンドウ] [非 NAS 識別チェック]
[非反転パス前方チェック] [MPLS ラベル 入力 in_label_value | 出力 out_label_value1
[out_label_value2]
radius change-authorize-nas-ip 192.168.88.40 encrypted key <key value>
no-reverse-path-forward-check
no-nas-identification-check
ソケットが UDP ポート 3799 の準備ができていないことは可能性のあるです。 (RFC 3756 に従って、RADIUS Disconnect 要求 パケットは UDP ポートに 3799) 送信 されます。
この動作は簡単であるできます。 プロセスはすべての CoA 要求を処理するアクティブ SMC/MIO カードの 1 の aaamgr 例 385 です。 この CLI コマンドは宛先 コンテキストで実行される必要があります。
#cli test-commands password <xx> #show radius info radius group all instance 385
そのような出力外観のような:
# show radius info radius group all instance 385 AAAMGR instance 385:
cb-list-en: 3 AAA Group: <>
---------------------------------------------
socket number: 19
socket state: ready
local ip address: 10.176.81.215
local udp port: 50954
flow id: 0
use med interface: no
VRF context ID: 66
この例では、ポート 3799 がないし、これは報告された動作のための原因です。 ケースで同じを見る場合、ソリューションは受信ソケットを作り直すために CoA 設定を取除き、再追加することです。 最初のソリューションが助けない場合さらに、aaamgr 例 385 を止めることを試みることができます。
記述されていた操作の後で、この出力を見るはずです:
# show radius info radius group all instance 385 AAAMGR instance 385:
cb-list-en: 3 AAA Group: <>
--------------------------------------------->
socket number: 19>
socket state: ready
local ip address: 10.176.81.215
local udp port: 50954
flow id: 0
use med interface: no
VRF context ID: 66
socket number: 21 <---------------------
socket state: ready
local ip address: 10.176.81.215
local udp port: 3799 <--------------------
flow id: 0
use med interface: no
そしてソケットは適切な context/VR のデバッグ シェルから目に見えるはずです:
bash-2.05b# netstat -lun | grep 3799
udp 0 0 10.176.81.215:3799 0.0.0.0:*
まだ DM メッセージを見ないどんなに、UDP ポート 3379 に準備ができたソケットがあります。 これは半径変更承認 NAS IP の誤ったコンフィギュレーションによっておそらく引き起こされます。 どちらか DM REQUEST メッセージ入って来た属性値は RADIUS の方の会計 要求で送信 された物を一致する。
Thursday August 06 2015
<<<<OUTBOUND
Code: 4 (Accounting-Request)
Attribute Type: 44 (Acct-Session-Id)
Length: 18
Value: 42 43 37 31 44 46 32 36 BC71DF26
30 36 30 33 41 32 42 46 0603A2BF
Attribute Type: 31 (Calling-Station-Id)
Length: 14
Value: 39 39 38 39 33 31 37 32 99893172
30 39 31 31 0911
Attribute Type: 4 (NAS-IP-Address)
Length: 6
Value: C0 A8 58 E1 ..X.
(192.168.88.225)
Attribute Type: 8 (Framed-IP-Address)
Length: 6
Value: 0A 55 12 21 .U.!
(10.85.18.33)
Radius Protocol
Code: Disconnect-Request (40)
Packet identifier: 0x2 (2)
Length: 71
Authenticator: 4930a228f13da294550239f5187b08b9
Attribute Value Pairs
AVP: l=6 t=NAS-IP-Address(4): 192.168.88.225
NAS-IP-Address: 192.168.88.225 (192.168.88.225)
AVP: l=6 t=Framed-IP-Address(8): 10.85.18.33
Framed-IP-Address: 10.85.18.33 (10.85.18.33)
AVP: l=14 t=Calling-Station-Id(31): 998931720911
Calling-Station-Id: 998931720911
AVP: l=18 t=Acct-Session-Id(44): BC71DF260603A2BF
Acct-Session-Id: BC71DF260603A200
この例では、ASR 5000 に異なっている来る RADIUS およびこれの方に送信 されるものと Acct セッション ID の値は問題のための原因です。 この問題は RADIUS 側の適切な変更によって解決することができます。
アクティブセッションのための Acct セッション ID はコマンドで示しますサブスクライバに ggsn だけ AAA設定をアクティブな imsi <> 確認することができます。
[local]# show subscribers ggsn-only aaa-configuration active imsi 434051801170727
Username: 998931720911@mihc1 Status: Online/Active
Access Type: ggsn-pdp-type-ipv4 Network Type: IP
Access Tech: WCDMA UTRAN Access Network Peer ID: n/a
callid: 057638b8 imsi: 434051801170727
3GPP2 Carrier ID: n/a
3GPP2 ESN: n/a
RADIUS Auth Server: 192.168.88.40 RADIUS Acct Server: n/a
NAS IP Address: 192.168.88.225
Acct-session-id: BC71DF260603A2BF
この時点で問題が RADIUSサーバから来ることをこの種のエラーメッセージが意味することが知られています。 ただし、それはまだ間違っている何がクリアではないです。 ここでは、ASR 5000 に関する制限事項は Radius DM の呼出ステーション ID をサポートしません。 それ故に、そこに見られれば、それは強調表示されたエラーと答えます。
INBOUND>>>>>
RADIUS COA Rx PDU, from 192.168.1.254:38073 to 192.168.1.2:1800
Code: 40 (Disconnect-Request)
Id: 106
Length: 61
Authenticator: 8D F1 50 2E DD 79 49 39 79 A0 B5 FC 59 3E C4 51
Attribute Type: 32 (NAS-Identifier)
Length: 9
Value: 73 74 61 72 65 6E 74 starent
Attribute Type: 1 (User-Name)
Length: 10
Value: 74 65 73 74 75 73 65 72 testuser
Attribute Type: 30 (Called-Station-ID)
Length: 9
Value: 65 63 73 2D 61 70 6E ecs-apn
Attribute Type: 31 (Calling-Station-Id)
Length: 13
Value: 36 34 32 31 31 32 33 34 64211234
35 36 37 567
<<<<OUTBOUND 06:57:42:683 Eventid:70902(6)
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:38073
Code: 42 (Disconnect-Nak)
Id: 106
Length: 26
Authenticator: 34 2E DE B4 77 22 4A FE A5 16 93 91 0D B2 E6 3B
Attribute Type: 101 (Error-Cause)
Length: 6
Value: 00 00 01 91 ....
(Unsupported-Attribute)
これはこの設定で起こります:
radius change-authorize-nas-ip 192.168.1.2 encrypted key
+A27wvxlgy06ia30pcqswmdajxd11ckg4ns88i6l92dghsqw7v77f1 port 1800
event-timestamp-window 0 no-reverse-path-forward-check no-nas-identification-check
aaa group default
radius attribute nas-ip-address address 192.168.1.2
radius server 192.168.1.128 encrypted key
+A3ec01d8zs92ed1gz2mytddjjrf11af3u0watpyr3gd0rs8mthlzc port 1812
radius accounting server 192.168.1.128 encrypted key
+A24x0pj4mjgnqh0sclbnen1lm6f1d6drn2nw3yf31tmfldk9fr38e port 1813
#exit
アクティブな PDPコンテキストに関しては、Disconnect 要求は露出しています:
INBOUND>>>>> 04:27:13:898 Eventid:70901(6)
RADIUS COA Rx PDU, from 192.168.1.254:42082 to 192.168.1.2:1800 (52) PDU-dict=starent-vsa1
Code: 40 (Disconnect-Request)
Id: 115
Length: 52
Authenticator: BF 95 05 0B 87 B4 42 59 5F C6 CC 78 D7 17 77 7F
Attribute Type: 32 (NAS-Identifier)
Length: 9
Value: 73 74 61 72 65 6E 74 starent
Attribute Type: 1 (User-Name)
Length: 10
Value: 74 65 73 74 75 73 65 72 testuser
Attribute Type: 31 (Calling-Station-Id)
  Value: 36 34 32 31 31 32 33 34 64211234; Length: 13
35 36 37 567
Monday October 19 2015
<<<<OUTBOUND 04:27:13:898 Eventid:70902(6)
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:42082 (26) PDU-dict=starent-vsa1
Code: 42 (Disconnect-Nak)
Id: 115
Length: 26
Authenticator: 75 D1 04 3E 31 19 9C 92 B2 2E 5D 5F 98 B9 34 99
Attribute Type: 101 (Error-Cause)
Length: 6
Value: 00 00 01 93 ....
(NAS-Identification-Mismatch)
ただし、この行がデフォルト AAA グループに含まれている時:
radius attribute nas-identifier starent
それははたらき始めます:
Monday October 19 2015
INBOUND>>>>> 05:19:01:798 Eventid:70901(6)
RADIUS COA Rx PDU, from 192.168.1.254:55426 to 192.168.1.2:1800 (52) PDU-dict=starent-vsa1
Code: 40 (Disconnect-Request)
Id: 171
Length: 52
Authenticator: 3A 67 43 25 DC 18 5C E3 23 08 04 C0 9C 31 68 68
NAS-Identifier = starent
User-Name = testuser
Calling-Station-Id = 64211234567
Monday October 19 2015
<<<<OUTBOUND 05:19:01:799 Eventid:70902(6)
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:55426 (26) PDU-dict=starent-vsa1
Code: 41 (Disconnect-Ack)
Id: 171
Length: 26
Authenticator: 45 07 79 C5 E0 92 53 28 8F AD A3 E3 C4 B4 52 10
Acct-Termination-Cause = Admin_Reset
またはそれはまた AAA グループの、Disconnect 要求から取除かれた NAS 識別子 AVP の NAS 識別子の設定なしではたらきます:
INBOUND>>>>> 05:14:41:374 Eventid:70901(6)
RADIUS COA Rx PDU, from 192.168.1.254:54757 to 192.168.1.2:1800 (43) PDU-dict=starent-vsa1
Code: 40 (Disconnect-Request)
Id: 78
Length: 43
Authenticator: 84 5D FE 5E 90 0D C8 16 84 7A 11 67 FF 82 40 DB
User-Name = testuser
Calling-Station-Id = 64211234567
Monday October 19 2015
<<<<OUTBOUND 05:14:41:375 Eventid:70902(6
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:54757 (26) PDU-dict=starent-vsa1
Code: 41 (Disconnect-Ack)
Id: 78
Length: 26
Authenticator: 34 84 5B 8E AF 02 1C F2 58 26 1B 0C 20 37 93 33
Acct-Termination-Cause = Admin_Reset
Cisco バグ ID CSCuw78786 は入りました。 これはリリース 17.2.0 およびリリース 15 でテストされました。