Entender e solucionar problemas de RADIUS CoA e desconectar mensagens
Contents
Introduction
Este documento descreve as mensagens de desconexão (DMs) RADIUS.
Definição de mensagens de CoA RADIUS
Uma mensagem de alteração de autorização (CoA) é usada para alterar atributos e os filtros de dados associados a uma sessão de usuário. O sistema suporta mensagens de CoA do servidor de Autenticação, Autorização e Contabilidade (AAA) para alterar os filtros de dados associados a uma sessão de assinante.
A mensagem de solicitação de CoA deve conter atributos para identificar a sessão do usuário; os atributos e os filtros de dados precisam ser aplicados à sessão do usuário. O atributo filter-id (id de atributo 11) contém os nomes dos filtros. Se o ASR 5000 executar com êxito a solicitação de CoA, uma ACK de CoA será enviada de volta ao servidor RADIUS e os novos atributos e filtros de dados serão aplicados à sessão do usuário. Caso contrário, um NAK de CoA é enviado com o motivo correto como um atributo de código de erro sem fazer alterações na sessão do usuário.
RADIUS DM
A mensagem DM é usada para desconectar sessões de usuário no ASR 5000 de um servidor RADIUS. A mensagem de solicitação de DM deve conter os atributos necessários para identificar a sessão do usuário. Se o sistema desconectar com êxito a sessão do usuário, o DM ACK será enviado de volta ao servidor RADIUS. Caso contrário, o DM-NAK é enviado com motivos de erro adequados.
Como mencionado anteriormente, é possível que o NAS não possa honrar as mensagens Disconnect-Request ou CoA-Request por algum motivo. O atributo de causa de erro fornece mais detalhes sobre a causa do problema. Ele PODE ser incluído nas mensagens Disconnect-ACK, Disconnect-NAK e CoA-NAK.
O campo Valor é de quatro octetos, que contém um número inteiro que especifica a causa do erro.
- Os valores 0-199 e 300-399 são reservados.
- Os valores 200-299 representam conclusão bem-sucedida, de modo que esses valores só podem ser enviados na mensagem Disconnect-ACK ou CoA-ACK e NÃO DEVEM ser enviados em Disconnect-NAK ou CoA-NAK.
- Os valores 400-499 representam erros fatais cometidos pelo servidor RADIUS, para que possam ser enviados em mensagens CoA-NAK ou Disconnect-NAK e NÃO DEVEM ser enviados em mensagens CoA-ACK ou Disconnect-ACK.
- Os valores 500-599 representam erros fatais que ocorrem em um proxy NAS ou RADIUS, de modo que eles possam ser enviados em mensagens CoA-NAK e Disconnect-NAK e NÃO DEVEM ser enviados em mensagens CoA-ACK ou Disconnect-ACK. Os valores de causa de erro DEVEM ser registrados pelo servidor RADIUS.
Os valores do código de erro (expressos em decimal) incluem:
# Value
--- -----
201 Residual Session Context Removed>
202 Invalid EAP Packet (Ignored)
401 Unsupported Attribute
402 Missing Attribute
403 NAS Identification Mismatch
404 Invalid Request
405 Unsupported Service
406 Unsupported Extension
501 Administratively Prohibited
502 Request Not Routable (Proxy)
503 Session Context Not Found
504 Session Context Not Removable
505 Other Proxy Processing Error
506 Resources Unavailable
507 Request Initiated
Atributos para identificação de sessão
Para a identificação do ASR 5000, pode ser usado um destes métodos:
- NAS-IP-Address: O endereço IP do NAS, se estiver presente na solicitação de COA/DM, deve corresponder ao endereço IP do NAS ASR 5000.
- Identificador NAS: Se este atributo estiver presente, seu valor deve corresponder ao nas-identifier gerado para a sessão do usuário.
Esse é um atributo obrigatório para a identificação da sessão, se o ASR 5000 estiver configurado com o NAS-Identifier.
Para identificação da sessão do usuário, um destes métodos é usado:
- Acct-Session-ID: Se este atributo estiver presente, seu valor deve corresponder ao acct-session-id da sessão do usuário.
- Framed-IP-Address: Se esse atributo estiver presente, seus valores devem corresponder ao endereço IP enquadrado da sessão.
- Nome de usuário: Se este atributo estiver presente, seus valores devem corresponder ao nome de usuário da sessão.
- ID da estação de chamada: Esta é a Identidade Internacional de Assinante Móvel (IMSI - International Mobile Subscriber Identity) do usuário.
Configuração de DMs RADIUS
A configuração de um RADIUS DM é muito fácil. Todas as linhas precisam ser configuradas no contexto de destino (aquela com a configuração RADIUS).
radius change-authorization-nas-ip ip_address [ criptografado ] chave valor [porta porta ]
[ eventtimestamp-window janela ] [ no-nas-identification-check ]
[ no-reverse-path-forward-check][ entrada mpls-label in_label_value | saída out_label_value1
[ out_label_value2 ]
Configuração de exemplo
radius change-authorize-nas-ip 192.168.88.40 encrypted key <key value>
no-reverse-path-forward-check
no-nas-identification-check
Exemplos de cenário de falha
Nenhuma mensagem de DM recebida no lado do ASR 5000
É possível que o soquete não esteja pronto para a porta UDP 3799. (De acordo com o RFC 3756, o pacote RADIUS Disconnect-Request é enviado para a porta UDP 3799).
Esse comportamento pode ser simplificado. O processo que lida com todas as solicitações de CoA é aaamgr instance 385, que é o da placa SMC/MIO ativa. Esse comando CLI precisa ser executado no contexto de destino.
#cli test-commands password <xx> #show radius info radius group all instance 385
Essa saída parece:
# show radius info radius group all instance 385 AAAMGR instance 385:
cb-list-en: 3 AAA Group: <>
---------------------------------------------
socket number: 19
socket state: ready
local ip address: 10.176.81.215
local udp port: 50954
flow id: 0
use med interface: no
VRF context ID: 66
Neste exemplo, não há porta 3799 e esse é o motivo do comportamento informado. Se você vir o mesmo em seu caso, a solução é remover e readicionar a configuração de CoA para recriar o soquete de escuta. Além disso, você pode tentar matar a instância 385 do aaamgr se a primeira solução não ajudar.
Depois das ações descritas, você deve ver esta saída:
# show radius info radius group all instance 385 AAAMGR instance 385:
cb-list-en: 3 AAA Group: <>
--------------------------------------------->
socket number: 19>
socket state: ready
local ip address: 10.176.81.215
local udp port: 50954
flow id: 0
use med interface: no
VRF context ID: 66
socket number: 21 <---------------------
socket state: ready
local ip address: 10.176.81.215
local udp port: 3799 <--------------------
flow id: 0
use med interface: no
e o soquete deve ser visível do shell de depuração no contexto/VR apropriado:
bash-2.05b# netstat -lun | grep 3799
udp 0 0 10.176.81.215:3799 0.0.0.0:*
A porta UDP 3379 tem soquete pronto sem mensagens DM
A porta UDP 3379 tem soquete pronto, mas você ainda não vê as mensagens de DM. Isso provavelmente é causado por uma configuração incorreta de radius change-authorization-nas-ip. Os valores de atributo que vieram na mensagem de solicitação de DM não correspondem aos que foram enviados em uma solicitação de Contabilidade para RADIUS.
Solicitação de Contabilidade
Thursday August 06 2015
<<<<OUTBOUND
Code: 4 (Accounting-Request)
Attribute Type: 44 (Acct-Session-Id)
Length: 18
Value: 42 43 37 31 44 46 32 36 BC71DF26
30 36 30 33 41 32 42 46 0603A2BF
Attribute Type: 31 (Calling-Station-Id)
Length: 14
Value: 39 39 38 39 33 31 37 32 99893172
30 39 31 31 0911
Attribute Type: 4 (NAS-IP-Address)
Length: 6
Value: C0 A8 58 E1 ..X.
(192.168.88.225)
Attribute Type: 8 (Framed-IP-Address)
Length: 6
Value: 0A 55 12 21 .U.!
(10.85.18.33)
Disconnect-Request
Radius Protocol
Code: Disconnect-Request (40)
Packet identifier: 0x2 (2)
Length: 71
Authenticator: 4930a228f13da294550239f5187b08b9
Attribute Value Pairs
AVP: l=6 t=NAS-IP-Address(4): 192.168.88.225
NAS-IP-Address: 192.168.88.225 (192.168.88.225)
AVP: l=6 t=Framed-IP-Address(8): 10.85.18.33
Framed-IP-Address: 10.85.18.33 (10.85.18.33)
AVP: l=14 t=Calling-Station-Id(31): 998931720911
Calling-Station-Id: 998931720911
AVP: l=18 t=Acct-Session-Id(44): BC71DF260603A2BF
Acct-Session-Id: BC71DF260603A200
Neste exemplo, o valor de Acct-Session-Id que chega ao ASR 5000 é diferente do enviado para RADIUS e esse é o motivo do problema. Esse problema pode ser corrigido por alterações adequadas no lado do RADIUS.
A Acct-Session-Id para a sessão ativa pode ser verificada com o comando show subscribers ggsn-only aaa-configuration ative imsi <>.
[local]# show subscribers ggsn-only aaa-configuration active imsi 434051801170727
Username: 998931720911@mihc1 Status: Online/Active
Access Type: ggsn-pdp-type-ipv4 Network Type: IP
Access Tech: WCDMA UTRAN Access Network Peer ID: n/a
callid: 057638b8 imsi: 434051801170727
3GPP2 Carrier ID: n/a
3GPP2 ESN: n/a
RADIUS Auth Server: 192.168.88.40 RADIUS Acct Server: n/a
NAS IP Address: 192.168.88.225
Acct-session-id: BC71DF260603A2BF
Todos os atributos correspondem, mas o ASR 5000 envia DM NAK com a mensagem de erro: 401 - Atributo sem suporte
Nesse ponto, sabe-se que esse tipo de mensagem de erro significa que o problema vem do servidor RADIUS. No entanto, ainda não está claro o que está errado. Aqui, a limitação do ASR 5000 não é compatível com Called-station-Id em Radius DM. Assim, se ele for visto lá, ele responderá com o erro realçado.
INBOUND>>>>>
RADIUS COA Rx PDU, from 192.168.1.254:38073 to 192.168.1.2:1800
Code: 40 (Disconnect-Request)
Id: 106
Length: 61
Authenticator: 8D F1 50 2E DD 79 49 39 79 A0 B5 FC 59 3E C4 51
Attribute Type: 32 (NAS-Identifier)
Length: 9
Value: 73 74 61 72 65 6E 74 starent
Attribute Type: 1 (User-Name)
Length: 10
Value: 74 65 73 74 75 73 65 72 testuser
Attribute Type: 30 (Called-Station-ID)
Length: 9
Value: 65 63 73 2D 61 70 6E ecs-apn
Attribute Type: 31 (Calling-Station-Id)
Length: 13
Value: 36 34 32 31 31 32 33 34 64211234
35 36 37 567
<<<<OUTBOUND 06:57:42:683 Eventid:70902(6)
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:38073
Code: 42 (Disconnect-Nak)
Id: 106
Length: 26
Authenticator: 34 2E DE B4 77 22 4A FE A5 16 93 91 0D B2 E6 3B
Attribute Type: 101 (Error-Cause)
Length: 6
Value: 00 00 01 91 ....
(Unsupported-Attribute)
O sistema configurou "no-nas-identification-check" na linha "radius change-authorization-nas-ip", o erro "NAS-Identification-Mismatch" ainda é retornado
Isso acontece nesta configuração:
radius change-authorize-nas-ip 192.168.1.2 encrypted key
+A27wvxlgy06ia30pcqswmdajxd11ckg4ns88i6l92dghsqw7v77f1 port 1800
event-timestamp-window 0 no-reverse-path-forward-check no-nas-identification-check
aaa group default
radius attribute nas-ip-address address 192.168.1.2
radius server 192.168.1.128 encrypted key
+A3ec01d8zs92ed1gz2mytddjjrf11af3u0watpyr3gd0rs8mthlzc port 1812
radius accounting server 192.168.1.128 encrypted key
+A24x0pj4mjgnqh0sclbnen1lm6f1d6drn2nw3yf31tmfldk9fr38e port 1813
#exit
Para um contexto PDP ativo, a Solicitação de Desconexão é NAKed:
INBOUND>>>>> 04:27:13:898 Eventid:70901(6)
RADIUS COA Rx PDU, from 192.168.1.254:42082 to 192.168.1.2:1800 (52) PDU-dict=starent-vsa1
Code: 40 (Disconnect-Request)
Id: 115
Length: 52
Authenticator: BF 95 05 0B 87 B4 42 59 5F C6 CC 78 D7 17 77 7F
Attribute Type: 32 (NAS-Identifier)
Length: 9
Value: 73 74 61 72 65 6E 74 starent
Attribute Type: 1 (User-Name)
Length: 10
Value: 74 65 73 74 75 73 65 72 testuser
Attribute Type: 31 (Calling-Station-Id)
  Value: 36 34 32 31 31 32 33 34 64211234; Length: 13
35 36 37 567
Monday October 19 2015
<<<<OUTBOUND 04:27:13:898 Eventid:70902(6)
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:42082 (26) PDU-dict=starent-vsa1
Code: 42 (Disconnect-Nak)
Id: 115
Length: 26
Authenticator: 75 D1 04 3E 31 19 9C 92 B2 2E 5D 5F 98 B9 34 99
Attribute Type: 101 (Error-Cause)
Length: 6
Value: 00 00 01 93 ....
(NAS-Identification-Mismatch)
No entanto, quando esta linha é incluída no grupo AAA padrão:
radius attribute nas-identifier starent
começa a funcionar:
Monday October 19 2015
INBOUND>>>>> 05:19:01:798 Eventid:70901(6)
RADIUS COA Rx PDU, from 192.168.1.254:55426 to 192.168.1.2:1800 (52) PDU-dict=starent-vsa1
Code: 40 (Disconnect-Request)
Id: 171
Length: 52
Authenticator: 3A 67 43 25 DC 18 5C E3 23 08 04 C0 9C 31 68 68
NAS-Identifier = starent
User-Name = testuser
Calling-Station-Id = 64211234567
Monday October 19 2015
<<<<OUTBOUND 05:19:01:799 Eventid:70902(6)
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:55426 (26) PDU-dict=starent-vsa1
Code: 41 (Disconnect-Ack)
Id: 171
Length: 26
Authenticator: 45 07 79 C5 E0 92 53 28 8F AD A3 E3 C4 B4 52 10
Acct-Termination-Cause = Admin_Reset
Ou também funcionará sem a configuração do nas-identifier no grupo AAA, mas com o NAS-Identifier AVP removido da Disconnect-Request:
INBOUND>>>>> 05:14:41:374 Eventid:70901(6)
RADIUS COA Rx PDU, from 192.168.1.254:54757 to 192.168.1.2:1800 (43) PDU-dict=starent-vsa1
Code: 40 (Disconnect-Request)
Id: 78
Length: 43
Authenticator: 84 5D FE 5E 90 0D C8 16 84 7A 11 67 FF 82 40 DB
User-Name = testuser
Calling-Station-Id = 64211234567
Monday October 19 2015
<<<<OUTBOUND 05:14:41:375 Eventid:70902(6
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:54757 (26) PDU-dict=starent-vsa1
Code: 41 (Disconnect-Ack)
Id: 78
Length: 26
Authenticator: 34 84 5B 8E AF 02 1C F2 58 26 1B 0C 20 37 93 33
Acct-Termination-Cause = Admin_Reset
A ID de bug da Cisco CSCuw78786 foi enviada. Isso foi testado nas versões 17.2.0 e 15.
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
17-Dec-2015 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)