Compreenda e pesquise defeitos o CoA do RAIO e desligue mensagens
Índice
Introdução
Este documento descreve as mensagens da desconexão de RADIUS (DM).
Definição de mensagens CoA do RAIO
Uma mudança da mensagem da autorização (CoA) é usada a fim mudar atributos e os filtros dos dados associados com uma sessão do usuário. As mensagens CoA dos suportes de sistema do server do Authentication, Authorization, and Accounting (AAA) para mudar os filtros dos dados associados com uma sessão do subscritor.
O mensagem request CoA deve conter atributos para identificar a sessão do usuário; os atributos e os filtros dos dados precisam de ser aplicados à sessão do usuário. O atributo do ID de filtro (identificação 11 do atributo) contém os nomes dos filtros. Se o ASR 5000 executa com sucesso o pedido CoA, um CoA ACK está enviado para trás ao servidor Radius e os filtros novos dos atributos e dos dados são aplicados à sessão do usuário. Se não, um CoA NAK é enviado com razão apropriada como um atributo do código de erro sem fazer nenhumas mudanças à sessão do usuário.
RAIO DM
O mensagem DM é usado a fim desligar sessões do usuário no ASR 5000 de um servidor Radius. O mensagem request DM deve conter atributos necessários a fim identificar a sessão do usuário. Se o sistema desliga com sucesso a sessão do usuário, o DM ACK está enviado para trás ao servidor Radius. Se não, DM-NAK é enviado com motivos de erro apropriados.
Como mencionado previamente, é possível que o NAS não pode honrar mensagens da solicitação de desconexão ou do CoA-pedido por qualquer motivo. O atributo da causa de erro fornece mais detalhe na causa do problema. PODE ser incluído dentro das mensagens Disconexão-ACK, Disconexão-NAK, e CoA-NAK.
O campo de valor é quatro octetos, que contém um inteiro que especifique a causa do erro.
- Os valores 0-199 e 300-399 são reservados.
- O 200-299 dos valores representa a conclusão bem sucedida, de modo que estes valores possam somente ser enviados dentro da mensagem Disconexão-ACK ou CoA-ACK e NÃO DEVAM ser enviados dentro de um Disconexão-NAK ou de um CoA-NAK.
- O 400-499 dos valores representa os erros fatais comprometidos pelo servidor Radius, de modo que POSSAM ser enviados dentro das mensagens CoA-NAK ou Disconexão-NAK e NÃO DEVAM ser enviados dentro das mensagens CoA-ACK ou Disconexão-ACK.
- O 500-599 dos valores representa os erros fatais que ocorrem em um NAS ou em um proxy RADIUS, de modo que POSSAM ser enviados dentro das mensagens CoA-NAK e Disconexão-NAK, e NÃO DEVEM ser enviados dentro das mensagens CoA-ACK ou Disconexão-ACK. Os valores da causa de erro DEVEM ser registrados pelo servidor Radius.
As representações codificadas (expressadas no decimal) incluem:
# Value
--- -----
201 Residual Session Context Removed>
202 Invalid EAP Packet (Ignored)
401 Unsupported Attribute
402 Missing Attribute
403 NAS Identification Mismatch
404 Invalid Request
405 Unsupported Service
406 Unsupported Extension
501 Administratively Prohibited
502 Request Not Routable (Proxy)
503 Session Context Not Found
504 Session Context Not Removable
505 Other Proxy Processing Error
506 Resources Unavailable
507 Request Initiated
Atributos para a identificação da sessão
Para a identificação do ASR 5000, um destes métodos pode ser usado:
- Nas-ip-address: O endereço IP de Um ou Mais Servidores Cisco ICM NT NAS se atual no pedido COA/DM deve combinar com o endereço IP de Um ou Mais Servidores Cisco ICM NT ASR 5000 NAS.
- NAS-identificador: Se este atributo esta presente, seu valor deve combinar ao nas-identificador gerado para a sessão do usuário.
Este é um atributo imperativo para a identificação da sessão, se o ASR 5000 é configurado com NAS-identificador.
Para a identificação da sessão do usuário, qualquer um um destes métodos é usado:
- Acct-Sessão-ID: Se este atributo esta presente, seu valor deve combinar à acct-sessão-identificação para a sessão do usuário.
- Framed-IP-endereço: Se este atributo esta presente, seus valores devem combinar ao endereço IP de Um ou Mais Servidores Cisco ICM NT moldado da sessão.
- Nome de usuário: Se este atributo esta presente, seus valores devem combinar ao username da sessão.
- Chamar-Estação-ID: Esta é a identidade internacional do assinante de celular (IMSI) do usuário.
Configuração do RAIO DM
A configuração de um RAIO DM é bastante fácil. Todas as linhas precisam de ser configuradas no contexto do destino (esse com a configuração RADIUS).
[port port] do valor chave do [encrypted] dos ip_address mudança-autorizar-nas-IP do raio
[no-nas-identification-check] do [eventtimestamp-window window]
[no-reverse-path-forward-check] [in_label_value da entrada da mpls-etiqueta | saída out_label_value1
[out_label_value2]
Configuração de exemplo
radius change-authorize-nas-ip 192.168.88.40 encrypted key <key value>
no-reverse-path-forward-check
no-nas-identification-check
Exemplos do cenário de falha
Nenhum mensagem DM recebeu no lado ASR 5000
É possível que o soquete não está pronto para a porta 3799 UDP. (De acordo com o RFC 3756, o pacote de solicitação de desconexão do RAIO é enviado à porta 3799 UDP).
Este comportamento pode ser simplificado. O processo que segura todos os pedidos CoA é o exemplo 385 do aaamgr, que é esse no cartão ativo SMC/MIO. Este comando CLI precisa de ser executado no contexto do destino.
#cli test-commands password <xx> #show radius info radius group all instance 385
Tal saída olha como:
# show radius info radius group all instance 385 AAAMGR instance 385:
cb-list-en: 3 AAA Group: <>
---------------------------------------------
socket number: 19
socket state: ready
local ip address: 10.176.81.215
local udp port: 50954
flow id: 0
use med interface: no
VRF context ID: 66
Neste exemplo, não há nenhuma porta 3799 e esta é a razão para o comportamento relatado. Se você vê o mesmos em seu caso, a solução é remover e adicionar novamente a configuração CoA a fim recrear o soquete de escuta. Adicionalmente, você pode tentar matar o exemplo 385 do aaamgr se a primeira solução não ajuda.
Após as ações descritas, você deve ver esta saída:
# show radius info radius group all instance 385 AAAMGR instance 385:
cb-list-en: 3 AAA Group: <>
--------------------------------------------->
socket number: 19>
socket state: ready
local ip address: 10.176.81.215
local udp port: 50954
flow id: 0
use med interface: no
VRF context ID: 66
socket number: 21 <---------------------
socket state: ready
local ip address: 10.176.81.215
local udp port: 3799 <--------------------
flow id: 0
use med interface: no
e o soquete deve ser visível do shell debugar no context/VR apropriado:
bash-2.05b# netstat -lun | grep 3799
udp 0 0 10.176.81.215:3799 0.0.0.0:*
A porta 3379 UDP tem o soquete pronto sem mensagens DM
A porta 3379 UDP tem o soquete pronto, porém você ainda não vê os mensagens DM. Isto é causado provavelmente por uma configuração incorreta do mudança-autorizar-nas-IP do raio. Um ou outro os valores de atributo que vieram no mensagem request DM não combinam esses que foram enviadas em um pedido da contabilidade para o RAIO.
Pedido explicando
Thursday August 06 2015
<<<<OUTBOUND
Code: 4 (Accounting-Request)
Attribute Type: 44 (Acct-Session-Id)
Length: 18
Value: 42 43 37 31 44 46 32 36 BC71DF26
30 36 30 33 41 32 42 46 0603A2BF
Attribute Type: 31 (Calling-Station-Id)
Length: 14
Value: 39 39 38 39 33 31 37 32 99893172
30 39 31 31 0911
Attribute Type: 4 (NAS-IP-Address)
Length: 6
Value: C0 A8 58 E1 ..X.
(192.168.88.225)
Attribute Type: 8 (Framed-IP-Address)
Length: 6
Value: 0A 55 12 21 .U.!
(10.85.18.33)
Solicitação de desconexão
Radius Protocol
Code: Disconnect-Request (40)
Packet identifier: 0x2 (2)
Length: 71
Authenticator: 4930a228f13da294550239f5187b08b9
Attribute Value Pairs
AVP: l=6 t=NAS-IP-Address(4): 192.168.88.225
NAS-IP-Address: 192.168.88.225 (192.168.88.225)
AVP: l=6 t=Framed-IP-Address(8): 10.85.18.33
Framed-IP-Address: 10.85.18.33 (10.85.18.33)
AVP: l=14 t=Calling-Station-Id(31): 998931720911
Calling-Station-Id: 998931720911
AVP: l=18 t=Acct-Session-Id(44): BC71DF260603A2BF
Acct-Session-Id: BC71DF260603A200
Neste exemplo, o valor da Acct-Sessão-identificação que vem ao ASR 5000 é diferente do que esse enviado para o RAIO e o este é a razão para a edição. Este problema pode ser fixado por mudanças apropriadas no lado do RAIO.
A Acct-Sessão-identificação para a sessão ativa pode ser verificada com o <> ativo do imsi da AAA-configuração dos assinantes GGSN-somente do comando show.
[local]# show subscribers ggsn-only aaa-configuration active imsi 434051801170727
Username: 998931720911@mihc1 Status: Online/Active
Access Type: ggsn-pdp-type-ipv4 Network Type: IP
Access Tech: WCDMA UTRAN Access Network Peer ID: n/a
callid: 057638b8 imsi: 434051801170727
3GPP2 Carrier ID: n/a
3GPP2 ESN: n/a
RADIUS Auth Server: 192.168.88.40 RADIUS Acct Server: n/a
NAS IP Address: 192.168.88.225
Acct-session-id: BC71DF260603A2BF
Todos os atributos combinam, mas o ASR 5000 envia DM NAK com o Mensagem de Erro: 401 - Atributo Unsupported
Neste momento sabe-se que esta mensagem do tipo de erro significa que a edição vem do servidor Radius. Contudo, não é ainda claro o que é errado. Aqui, a limitação do ASR 5000 não apoia a Chamar-estação-identificação no raio DM. Daqui, se se vê lá, responde com o erro destacado.
INBOUND>>>>>
RADIUS COA Rx PDU, from 192.168.1.254:38073 to 192.168.1.2:1800
Code: 40 (Disconnect-Request)
Id: 106
Length: 61
Authenticator: 8D F1 50 2E DD 79 49 39 79 A0 B5 FC 59 3E C4 51
Attribute Type: 32 (NAS-Identifier)
Length: 9
Value: 73 74 61 72 65 6E 74 starent
Attribute Type: 1 (User-Name)
Length: 10
Value: 74 65 73 74 75 73 65 72 testuser
Attribute Type: 30 (Called-Station-ID)
Length: 9
Value: 65 63 73 2D 61 70 6E ecs-apn
Attribute Type: 31 (Calling-Station-Id)
Length: 13
Value: 36 34 32 31 31 32 33 34 64211234
35 36 37 567
<<<<OUTBOUND 06:57:42:683 Eventid:70902(6)
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:38073
Code: 42 (Disconnect-Nak)
Id: 106
Length: 26
Authenticator: 34 2E DE B4 77 22 4A FE A5 16 93 91 0D B2 E6 3B
Attribute Type: 101 (Error-Cause)
Length: 6
Value: 00 00 01 91 ....
(Unsupported-Attribute)
O sistema configurou “nenhum-nas-identificação-verificação” do “na linha mudança-autorizar-nas-IP raio”, erro da “NAS-Identificação-má combinação” ainda retornado
Isto acontece nesta configuração:
radius change-authorize-nas-ip 192.168.1.2 encrypted key
+A27wvxlgy06ia30pcqswmdajxd11ckg4ns88i6l92dghsqw7v77f1 port 1800
event-timestamp-window 0 no-reverse-path-forward-check no-nas-identification-check
aaa group default
radius attribute nas-ip-address address 192.168.1.2
radius server 192.168.1.128 encrypted key
+A3ec01d8zs92ed1gz2mytddjjrf11af3u0watpyr3gd0rs8mthlzc port 1812
radius accounting server 192.168.1.128 encrypted key
+A24x0pj4mjgnqh0sclbnen1lm6f1d6drn2nw3yf31tmfldk9fr38e port 1813
#exit
Para um contexto ativo PDP, a solicitação de desconexão é despida:
INBOUND>>>>> 04:27:13:898 Eventid:70901(6)
RADIUS COA Rx PDU, from 192.168.1.254:42082 to 192.168.1.2:1800 (52) PDU-dict=starent-vsa1
Code: 40 (Disconnect-Request)
Id: 115
Length: 52
Authenticator: BF 95 05 0B 87 B4 42 59 5F C6 CC 78 D7 17 77 7F
Attribute Type: 32 (NAS-Identifier)
Length: 9
Value: 73 74 61 72 65 6E 74 starent
Attribute Type: 1 (User-Name)
Length: 10
Value: 74 65 73 74 75 73 65 72 testuser
Attribute Type: 31 (Calling-Station-Id)
  Value: 36 34 32 31 31 32 33 34 64211234; Length: 13
35 36 37 567
Monday October 19 2015
<<<<OUTBOUND 04:27:13:898 Eventid:70902(6)
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:42082 (26) PDU-dict=starent-vsa1
Code: 42 (Disconnect-Nak)
Id: 115
Length: 26
Authenticator: 75 D1 04 3E 31 19 9C 92 B2 2E 5D 5F 98 B9 34 99
Attribute Type: 101 (Error-Cause)
Length: 6
Value: 00 00 01 93 ....
(NAS-Identification-Mismatch)
Contudo, quando esta linha for incluída no grupo do padrão AAA:
radius attribute nas-identifier starent
começa trabalhar:
Monday October 19 2015
INBOUND>>>>> 05:19:01:798 Eventid:70901(6)
RADIUS COA Rx PDU, from 192.168.1.254:55426 to 192.168.1.2:1800 (52) PDU-dict=starent-vsa1
Code: 40 (Disconnect-Request)
Id: 171
Length: 52
Authenticator: 3A 67 43 25 DC 18 5C E3 23 08 04 C0 9C 31 68 68
NAS-Identifier = starent
User-Name = testuser
Calling-Station-Id = 64211234567
Monday October 19 2015
<<<<OUTBOUND 05:19:01:799 Eventid:70902(6)
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:55426 (26) PDU-dict=starent-vsa1
Code: 41 (Disconnect-Ack)
Id: 171
Length: 26
Authenticator: 45 07 79 C5 E0 92 53 28 8F AD A3 E3 C4 B4 52 10
Acct-Termination-Cause = Admin_Reset
Ou igualmente trabalhará sem configuração do nas-identificador no grupo AAA, mas com NAS-identificador AVP removido da solicitação de desconexão:
INBOUND>>>>> 05:14:41:374 Eventid:70901(6)
RADIUS COA Rx PDU, from 192.168.1.254:54757 to 192.168.1.2:1800 (43) PDU-dict=starent-vsa1
Code: 40 (Disconnect-Request)
Id: 78
Length: 43
Authenticator: 84 5D FE 5E 90 0D C8 16 84 7A 11 67 FF 82 40 DB
User-Name = testuser
Calling-Station-Id = 64211234567
Monday October 19 2015
<<<<OUTBOUND 05:14:41:375 Eventid:70902(6
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:54757 (26) PDU-dict=starent-vsa1
Code: 41 (Disconnect-Ack)
Id: 78
Length: 26
Authenticator: 34 84 5B 8E AF 02 1C F2 58 26 1B 0C 20 37 93 33
Acct-Termination-Cause = Admin_Reset
A identificação de bug Cisco CSCuw78786 foi submetida. Isto foi testado na liberação 17.2.0 e na liberação 15.
OpiniãoPrecisa de ajuda
- Open a Support Case
- (Requires a Cisco Service Contract)