无线 : 思科 GGSN 网关 GPRS 支持节点(US)

了解并且排除故障RADIUS CoA并且断开消息

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2016 年 4 月 21 日) | 反馈

简介

本文描述RADIUS断开消息(DMS)。

贡献用托马什Dudarski和Maciej Poszywak, Cisco TAC工程师。

RADIUS CoA消息的定义

授权(CoA)消息的崔凡吉莱用于为了更换属性和数据过滤器关联与用户会话。从更换数据过滤器的验证、授权和统计(AAA)服务器的系统支持CoA消息关联与用户会话。

注意:在应用程序的ASR 5000应该配置在过滤器ID属性的过滤器(若有在请求)对用户数据流。这是访问控制列表(ACL)表和配置在ASR 5000用IP访问控制列表命令。

Request信息的CoA应该包含属性识别用户会话;属性和数据过滤器需要应用对用户会话。过滤器ID属性(属性id 11)包含过滤器的名称。如果ASR 5000成功执行CoA请求, CoA ACK被退还的到RADIUS服务器,并且新的属性和数据过滤器应用给用户会话。否则, NAK用适当的原因传送作为没有错误代码属性的CoA进行对用户会话的任何更改。

RADIUS DM

DM信息用于为了从RADIUS服务器断开ASR的5000用户会话。Request信息的DM应该包含必要的属性为了识别用户会话。如果系统顺利地断开用户会话, DM ACK被退还的到RADIUS服务器。否则, DM-NAK用适当的错误原因传送。

如被提及以前,很可能,由于某种原因NAS不能尊敬断开请求或CoA请求消息。错误原因属性在问题的原因提供更多细节。它可以在断开ACK、断开NAK和CoA NAK消息内包括。

Value字段是四个八位位组,包含整数指定错误的原因。

  • 0-199300-399保留。
  • 200-299代表成功的完成,因此这些值也许在断开ACK或CoA ACK消息内只被发送,并且不能在断开NAK或CoA NAK内发送。
  • 400-499代表RADIUS服务器犯的致命错误,因此他们在CoA NAK或断开NAK消息内发送,并且不能在CoA ACK或断开ACK消息内发送。
  • 500-599代表在生成NAS或RADIUS代理的致命错误,因此他们可以在CoA NAK和断开NAK消息内发送,并且不能在CoA ACK或断开ACK消息内发送。应该由RADIUS服务器记录错误原因值。

代码值(表示用十进制)包括:

   #     Value
   ---  -----
   201   Residual Session Context Removed>
   202   Invalid EAP Packet (Ignored)
   401   Unsupported Attribute
   402   Missing Attribute
   403   NAS Identification Mismatch
   404   Invalid Request
   405   Unsupported Service
   406   Unsupported Extension
   501   Administratively Prohibited
   502   Request Not Routable (Proxy)
   503   Session Context Not Found
   504   Session Context Not Removable
   505   Other Proxy Processing Error
   506   Resources Unavailable
   507   Request Initiated

会话识别的属性

对于ASR 5000的识别,可以使用这些方法之一:

  • nas-ip-address :若有NAS IP地址在COA/DM请求应该配比用ASR 5000 NAS IP地址。
  • NAS标识符:如果此属性存在,其值应该配比到为用户会话生成的nas标识符。
    如果ASR 5000用NAS标识符,配置这是会话识别的一个必要属性。

对于用户会话的识别,这些方法之一使用二者之一:

  • Acct-Session-Id :如果此属性存在,其值应该配比到用户会话的账户会话id。
  • framed-ip-address :如果此属性存在,其值应该配比到会话的成帧的IP地址。
  • 用户名:如果此属性存在,其值应该配比到会话的用户名。
  • 呼叫站点Id :这是国际移动用户标识(IMSI)用户。

RADIUS DMS的配置

RADIUS DM的配置是相当容易。所有线路需要在目的地上下文(那个配置与RADIUS配置)。

radius崔凡吉莱授权nas IP ip_address [encrypted]关键值[port port]
[eventtimestamp-window window] [no-nas-identification-check]
[no-reverse-path-forward-check] [MPLS标签输入in_label_value|输出out_label_value1
[out_label_value2]

 

注意:“radius崔凡吉莱授权nas IP”应该是您的本地上下文的AAA接口地址。此CLI命令有时是混乱来源。

配置示例

radius change-authorize-nas-ip 192.168.88.40 encrypted key <key value>
no-reverse-path-forward-check
no-nas-identification-check

故障情景示例

在ASR接收的没有DM消息5000旁拉

很可能, socket没为UDP端口3799准备好。(符合RFC 3756, RADIUS请求信息包发送到UDP端口3799)。

此行为可以简化。处理所有CoA请求的进程是aaamgr实例385,是那个在激活SMC/MIO卡。此CLI命令需要在目的地上下文被执行。

#cli test-commands password <xx> #show radius info radius group all instance 385

 这样输出看似类似: 

# show radius info radius group all instance 385 AAAMGR instance 385:
cb-list-en: 3 AAA Group: <>

---------------------------------------------
socket number: 19
socket state: ready
local ip address: 10.176.81.215
local udp port: 50954
flow id: 0
use med interface: no
VRF context ID: 66

在本例中,没有端口3799,并且这是报告的行为的原因。如果在您的情况看到同样,解决方案将删除和重新加写CoA配置为了再创侦听的socket。另外,如果第一解决方案不帮助,您能设法杀害aaamgr实例385。

在描述的操作以后,您应该看到此输出:

# show radius info radius group all instance 385 AAAMGR instance 385:
cb-list-en: 3 AAA Group: <>

--------------------------------------------->
socket number: 19>
socket state: ready
local ip address: 10.176.81.215
local udp port: 50954
flow id: 0
use med interface: no
VRF context ID: 66 
socket number: 21   <---------------------
socket state: ready
local ip address: 10.176.81.215
local udp port: 3799 <--------------------
flow id: 0
use med interface: no

并且socket应该是可视从在适当的context/VR的调试shell : 

bash-2.05b# netstat -lun | grep 3799
udp 0 0 10.176.81.215:3799 0.0.0.0:*

UDP波尔特3379有就绪Socket没有DM消息

UDP端口3379有就绪socket,然而您仍然看不到DM消息。这由radius崔凡吉莱授权nas IP不正确的配置很可能造成。任一进来Request信息的DM的属性值不匹配在往RADIUS的一核算请求发送的那个。

认为的请求

Thursday August 06 2015
<<<<OUTBOUND
Code: 4 (Accounting-Request)
      Attribute Type: 44 (Acct-Session-Id)
                Length: 18
                Value: 42 43 37 31 44 46 32 36 BC71DF26
                       30 36 30 33 41 32 42 46 0603A2BF
      Attribute Type: 31 (Calling-Station-Id)
                Length: 14
                Value: 39 39 38 39 33 31 37 32 99893172
                       30 39 31 31             0911
      Attribute Type: 4 (NAS-IP-Address)
                Length: 6
                Value: C0 A8 58 E1             ..X.
                       (192.168.88.225)
      Attribute Type: 8 (Framed-IP-Address)
                Length: 6
                Value: 0A 55 12 21             .U.!
                       (10.85.18.33)

断开请求

Radius Protocol
    Code: Disconnect-Request (40)
    Packet identifier: 0x2 (2)
    Length: 71
    Authenticator: 4930a228f13da294550239f5187b08b9

    Attribute Value Pairs
        AVP: l=6 t=NAS-IP-Address(4): 192.168.88.225
            NAS-IP-Address: 192.168.88.225 (192.168.88.225)

        AVP: l=6 t=Framed-IP-Address(8): 10.85.18.33
            Framed-IP-Address: 10.85.18.33 (10.85.18.33)

        AVP: l=14 t=Calling-Station-Id(31): 998931720911
            Calling-Station-Id: 998931720911

        AVP: l=18 t=Acct-Session-Id(44): BC71DF260603A2BF
            Acct-Session-Id: BC71DF260603A200

在本例中,跟那个来到ASR 5000不同的值Acct-Session-Id发送往RADIUS和此是问题的原因。此问题可以由在RADIUS侧的适当的更改修复。

激活的会话的Acct-Session-Id可以验证与show命令用户GGSN AAA配置活动imsi <>

[local]# show subscribers ggsn-only aaa-configuration active imsi 434051801170727

Username: 998931720911@mihc1             Status: Online/Active
  Access Type: ggsn-pdp-type-ipv4        Network Type: IP
  Access Tech: WCDMA UTRAN               Access Network Peer ID: n/a
  callid: 057638b8                       imsi: 434051801170727
  3GPP2 Carrier ID: n/a
  3GPP2 ESN: n/a
  RADIUS Auth Server: 192.168.88.40  RADIUS Acct Server: n/a
  NAS IP Address: 192.168.88.225
  Acct-session-id: BC71DF260603A2BF

所有属性配比,而是与错误消息的ASR 5000发送DM NAK :401 -不支持的属性

这时知道这一种错误消息意味着问题来自RADIUS服务器。然而,仍然不是确切什么是错误的。这里,限制关于ASR 5000不支持在Radius DM的呼叫站点Id。因此,如果被看到那里,它回答与选中项目错误。

INBOUND>>>>>
RADIUS COA Rx PDU, from 192.168.1.254:38073 to 192.168.1.2:1800
Code: 40 (Disconnect-Request)
Id: 106
Length: 61
Authenticator: 8D F1 50 2E DD 79 49 39 79 A0 B5 FC 59 3E C4 51
     Attribute Type: 32 (NAS-Identifier)
               Length: 9
               Value: 73 74 61 72 65 6E 74   starent
     Attribute Type: 1 (User-Name)
               Length: 10
               Value: 74 65 73 74 75 73 65 72 testuser
     Attribute Type: 30 (Called-Station-ID)
               Length: 9
               Value: 65 63 73 2D 61 70 6E   ecs-apn
     Attribute Type: 31 (Calling-Station-Id)
               Length: 13
               Value: 36 34 32 31 31 32 33 34 64211234
                      35 36 37               567

<<<<OUTBOUND 06:57:42:683 Eventid:70902(6)
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:38073
Code: 42 (Disconnect-Nak)
Id: 106
Length: 26
Authenticator: 34 2E DE B4 77 22 4A FE A5 16 93 91 0D B2 E6 3B
     Attribute Type: 101 (Error-Cause)
               Length: 6
               Value: 00 00 01 91             ....
                       (Unsupported-Attribute)

系统配置“NO- nas识别检查”在“radius崔凡吉莱授权nas IP”线路, “仍然返回的Nas识别不匹配”错误

这在此配置方面发生:

radius change-authorize-nas-ip 192.168.1.2 encrypted key 
+A27wvxlgy06ia30pcqswmdajxd11ckg4ns88i6l92dghsqw7v77f1 port 1800
event-timestamp-window 0 no-reverse-path-forward-check no-nas-identification-check
    aaa group default
    radius attribute nas-ip-address address 192.168.1.2
    radius server 192.168.1.128 encrypted key
+A3ec01d8zs92ed1gz2mytddjjrf11af3u0watpyr3gd0rs8mthlzc port 1812
    radius accounting server 192.168.1.128 encrypted key
+A24x0pj4mjgnqh0sclbnen1lm6f1d6drn2nw3yf31tmfldk9fr38e         port 1813
#exit

对于活动PDP上下文,断开请求赤裸:

INBOUND>>>>>  04:27:13:898 Eventid:70901(6)
RADIUS COA Rx PDU, from 192.168.1.254:42082 to 192.168.1.2:1800 (52) PDU-dict=starent-vsa1
 Code: 40 (Disconnect-Request)
 Id: 115
 Length: 52
 Authenticator: BF 95 05 0B 87 B4 42 59 5F C6 CC 78 D7 17 77 7F
      Attribute Type: 32 (NAS-Identifier)
                Length: 9
                Value: 73 74 61 72 65 6E 74    starent
      Attribute Type: 1 (User-Name)
                Length: 10
                Value: 74 65 73 74 75 73 65 72 testuser
      Attribute Type: 31 (Calling-Station-Id)
          &nbsp                Value: 36 34 32 31 31 32 33 34 64211234;     Length: 13

                       35 36 37                567

Monday October 19 2015
<<<<OUTBOUND  04:27:13:898 Eventid:70902(6)
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:42082 (26) PDU-dict=starent-vsa1
 Code: 42 (Disconnect-Nak)
 Id: 115
 Length: 26
 Authenticator: 75 D1 04 3E 31 19 9C 92 B2 2E 5D 5F 98 B9 34 99
      Attribute Type: 101 (Error-Cause)
                Length: 6
                Value: 00 00 01 93             ....
                       (NAS-Identification-Mismatch)

然而,当此线路在默认AAA组中包括:

    radius attribute nas-identifier starent

它开始工作:

Monday October 19 2015
INBOUND>>>>>  05:19:01:798 Eventid:70901(6)
RADIUS COA Rx PDU, from 192.168.1.254:55426 to 192.168.1.2:1800 (52) PDU-dict=starent-vsa1
 Code: 40 (Disconnect-Request)
 Id: 171
 Length: 52
 Authenticator: 3A 67 43 25 DC 18 5C E3 23 08 04 C0 9C 31 68 68
      NAS-Identifier = starent
      User-Name = testuser
      Calling-Station-Id = 64211234567


Monday October 19 2015
<<<<OUTBOUND  05:19:01:799 Eventid:70902(6)
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:55426 (26) PDU-dict=starent-vsa1
 Code: 41 (Disconnect-Ack)
 Id: 171
 Length: 26
 Authenticator: 45 07 79 C5 E0 92 53 28 8F AD A3 E3 C4 B4 52 10
      Acct-Termination-Cause = Admin_Reset

或者它也,不用nas标识符的配置在AAA组,但是与从断开请求删除的NAS标识符AVP一起使用:

INBOUND>>>>>  05:14:41:374 Eventid:70901(6)
RADIUS COA Rx PDU, from 192.168.1.254:54757 to 192.168.1.2:1800 (43) PDU-dict=starent-vsa1
 Code: 40 (Disconnect-Request)
 Id: 78
 Length: 43
 Authenticator: 84 5D FE 5E 90 0D C8 16 84 7A 11 67 FF 82 40 DB
      User-Name = testuser
      Calling-Station-Id = 64211234567

Monday October 19 2015
<<<<OUTBOUND  05:14:41:375 Eventid:70902(6
RADIUS COA Tx PDU, from 192.168.1.2:1800 to 192.168.1.254:54757 (26) PDU-dict=starent-vsa1
 Code: 41 (Disconnect-Ack)
 Id: 78
 Length: 26
 Authenticator: 34 84 5B 8E AF 02 1C F2 58 26 1B 0C 20 37 93 33
      Acct-Termination-Cause = Admin_Reset

Cisco Bug ID CSCuw78786提交。这在版本17.2.0和版本15测试了。



Document ID: 119397