buckethead Posted July 11, 2016 Всем привет! Есть проблемка с Cisco ISG, а именно с subcriber interface. Почему-то больше двух сессий на коробке завести не получается. В документации написано, что такой тип сессий стартует мгновенно и висит unauth. В моём случае так и было, но на третий раз после ip subscriber interface ничего не происходит, то есть сессии нет. Сам sub-интерфейс работает нормально, связь с ASR и сетью за ней сквозь него имеется, но на все деньги. Версия софта: #sh verCisco IOS XE Software, Version 03.10.02.S - Extended Support Release Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-ADVENTERPRISEK9-M), Version 15.3(3)S2, RELEASE SOFTWARE (fc3) Вопросы: 1. Есть ли какое-то явное ограничение таких сессий на коробке? 2. Если есть, то как тогда делать статику при l2connected/initiator dhcp? 3. Может ли быть проблема связана с версией IOS? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
furai Posted July 11, 2016 Да, так и есть - стартует мгновенно и висит unauth, пока не получит accept. С версией вполне может быть связано. Я бы начал с дебага. Покажите debug subscriber events (или как его там) в момент ввода subscriber interface. На всякий случай: будьте осторожны при включении дебагов, если это продакшен. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
buckethead Posted July 21, 2016 Спасибо за ответ! Вот вывод debug subscriber event, так как железо в продакшене, использовал debug condition. asr1k6#debug condition interface port-channel 1.3901002asr1k6#debug subscriber event SSS Manager events debugging is on asr1k6#conf t Enter configuration commands, one per line. End with CNTL/Z. asr1k6(config)#int port-channel 1.3901002 asr1k6(config-subif)# service-policy type control StaticCustomers asr1k6(config-subif)# ip subscriber interface SSS INFO: Element type is IP-Session-Handle = 1241514312 (4A000148) SSS INFO: Element type is AccIe-Hdl = 3103786165 (B90004B5) SSS INFO: Element type is SHDB-Handle = 50725368 (030601F8) SSS INFO: Element type is AAA-Id = 9345195 (008E98AB) SSS INFO: Element type is IP-Address = 100.64.124.1 (64407C01) SSS INFO: Element type is IP-Address-VRF = IP 100.64.124.1:0 SSS INFO: Element type is Final = 1 (YES) SSS INFO: Element type is Access-Type = 14 (IP-Interface) SSS INFO: Element type is Protocol-Type = 4 (IP Access Protocol) SSS INFO: Element type is Media-Type = 2 (IP) SSS INFO: Element type is Switch-Id = 4339635 (004237B3) SSS INFO: Element type is Segment-Hdl = 8107956 (007BB7B4) SSS MGR [uid:5233]: Sending a Session Assert ID Mgr request SSS MGR [uid:5233]: Updating ID Mgr with the following keys: aaa-unique-id 0 9345195 (0x8E98AB) domainip-vrf 0 64 40 7C 01 00 00 SSS MGR [uid:5233]: Updating ID Mgr with the following data- smgr hdl0x3D080455 : addr 0 100.64.124.1 SSS MGR [uid:5233]: ID Mgr returned status: 'fail' for Session Assert SSS MGR [uid:5233]: Failure to process sip service request - IDMGR error SSS MGR [uid:5233]: An internal error occurred with event client-service-request SSS MGR [uid:5233]: An internal error occurred with event internal-error-disconnect SSS MGR [uid:5233]: Handling Disconnecting, All Clean action SSS MGR [uid:5233]: Sending a Session End ID Mgr request SSS MGR [uid:5233]: ID Mgr returned status: 'no-record-found' for Session End SSS MGR [uid:5233]: Publish session done aaa 9345195, uid 5233 SSS INFO: Element type is IP-Session-Handle = 4194304329 (FA000149) SSS INFO: Element type is AccIe-Hdl = 117441552 (07000410) SSS INFO: Element type is SHDB-Handle = 2197815541 (830000F5) SSS INFO: Element type is AAA-Id = 9345203 (008E98B3) SSS INFO: Element type is IP-Address = 100.64.124.1 (64407C01) SSS INFO: Element type is IP-Address-VRF = IP 100.64.124.1:0 SSS INFO: Element type is Final = 1 (YES) SSS INFO: Element type is Access-Type = 14 (IP-Interface) SSS INFO: Element type is Protocol-Type = 4 (IP Access Protocol) SSS INFO: Element type is Media-Type = 2 (IP) SSS INFO: Element type is Switch-Id = 20740049 (013C77D1) SSS INFO: Element type is Segment-Hdl = 41486290 (027907D2) SSS MGR [uid:5550]: Sending a Session Assert ID Mgr request SSS MGR [uid:5550]: Updating ID Mgr with the following keys: aaa-unique-id 0 9345203 (0x8E98B3) domainip-vrf 0 64 40 7C 01 00 00 SSS MGR [uid:5550]: Updating ID Mgr with the following data- smgr hdl0x33010391 : addr 0 100.64.124.1 SSS MGR [uid:5550]: ID Mgr returned status: 'fail' for Session Assert SSS MGR [uid:5550]: Failure to process sip service request - IDMGR error SSS MGR [uid:5550]: An internal error occurred with event client-service-request SSS MGR [uid:5550]: An internal error occurred with event internal-error-disconnect SSS MGR [uid:5550]: Handling Disconnecting, All Clean action SSS MGR [uid:5550]: Sending a Session End ID Mgr request SSS MGR [uid:5550]: ID Mgr returned status: 'no-record-found' for Session End SSS MGR [uid:5550]: Publish session done aaa 9345203, uid 5550 SSS INFO: Element type is IP-Session-Handle = 4009754954 (EF00014A) SSS INFO: Element type is AccIe-Hdl = 1610681024 (60010AC0) SSS INFO: Element type is SHDB-Handle = 1980105659 (760603BB) SSS INFO: Element type is AAA-Id = 9345206 (008E98B6) SSS INFO: Element type is IP-Address = 100.64.124.1 (64407C01) SSS INFO: Element type is IP-Address-VRF = IP 100.64.124.1:0 SSS INFO: Element type is Final = 1 (YES) SSS INFO: Element type is Access-Type = 14 (IP-Interface) SSS INFO: Element type is Protocol-Type = 4 (IP Access Protocol) SSS INFO: Element type is Media-Type = 2 (IP) SSS INFO: Element type is Switch-Id = 14874603 (00E2F7EB) SSS INFO: Element type is Segment-Hdl = 29755372 (01C607EC) SSS MGR [uid:3710]: Sending a Session Assert ID Mgr request SSS MGR [uid:3710]: Updating ID Mgr with the following keys: aaa-unique-id 0 9345206 (0x8E98B6) domainip-vrf 0 64 40 7C 01 00 00 SSS MGR [uid:3710]: Updating ID Mgr with the following data- smgr hdl0x9F00043B : addr 0 100.64.124.1 SSS MGR [uid:3710]: ID Mgr returned status: 'fail' for Session Assert SSS MGR [uid:3710]: Failure to process sip service request - IDMGR error SSS MGR [uid:3710]: An internal error occurred with event client-service-request SSS MGR [uid:3710]: An internal error occurred with event internal-error-disconnect SSS MGR [uid:3710]: Handling Disconnecting, All Clean action SSS MGR [uid:3710]: Sending a Session End ID Mgr request SSS MGR [uid:3710]: ID Mgr returned status: 'no-record-found' for Session End SSS MGR [uid:3710]: Publish session done aaa 9345206, uid 3710 SSS INFO: Element type is IP-Session-Handle = 4110418251 (F500014B) SSS INFO: Element type is AccIe-Hdl = 2986410737 (B20102F1) SSS INFO: Element type is SHDB-Handle = 1929708411 (7305037B) SSS INFO: Element type is AAA-Id = 9345215 (008E98BF) SSS INFO: Element type is IP-Address = 100.64.124.1 (64407C01) SSS INFO: Element type is IP-Address-VRF = IP 100.64.124.1:0 SSS INFO: Element type is Final = 1 (YES) SSS INFO: Element type is Access-Type = 14 (IP-Interface) SSS INFO: Element type is Protocol-Type = 4 (IP Access Protocol) SSS INFO: Element type is Media-Type = 2 (IP) SSS INFO: Element type is Switch-Id = 20752407 (013CA817) SSS INFO: Element type is Segment-Hdl = 41510936 (02796818) SSS MGR [uid:3342]: Sending a Session Assert ID Mgr request SSS MGR [uid:3342]: Updating ID Mgr with the following keys: aaa-unique-id 0 9345215 (0x8E98BF) domainip-vrf 0 64 40 7C 01 00 00 SSS MGR [uid:3342]: Updating ID Mgr with the following data- smgr hdl0xA5040B79 : addr 0 100.64.124.1 SSS MGR [uid:3342]: ID Mgr returned status: 'fail' for Session Assert SSS MGR [uid:3342]: Failure to process sip service request - IDMGR error SSS MGR [uid:3342]: An internal error occurred with event client-service-request SSS MGR [uid:3342]: An internal error occurred with event internal-error-disconnect SSS MGR [uid:3342]: Handling Disconnecting, All Clean action SSS MGR [uid:3342]: Sending a Session End ID Mgr request SSS MGR [uid:3342]: ID Mgr returned status: 'no-record-found' for Session End SSS MGR [uid:3342]: Publish session done aaa 9345215, uid 3342 asr1k6#undebug all Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
buckethead Posted July 26, 2016 Обновился до asr1000rp2-advipservicesk9.03.13.04.S.154-3.S4-ext Результат не изменился, неужели больше 2-3 interface session в рамках железки нельзя? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mikezzzz Posted July 26, 2016 а есть возможночть не на ПЧ попробовать поднять? я вот это не совсем понимаю у циски.. Restrictions for IPoGEC IP Sessions over Gigabit EtherChannel (IPoGEC) currently supports the 1:1 model, where only one member link is active while the second member link is passive and does not carry traffic. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
furai Posted July 26, 2016 Лично я такие сообщения если я знал, то уже забыл (: У вас в конфиге нет service timestamps debug localtime msec? SSS MGR [uid:5233]: ID Mgr returned status: 'fail' for Session Assert вот перед этим сообщением не приходит ли от радиуса какой-то ответ или, наоборот, может там таймаут ответа радиуса? Можете прислать debug radius? После апгрейда сообщения дебага не изменились, в смысле понятнее не стали? У вас 1004 или 1006 шассик? Про портченнел отличная идея. Мне кажется 1:1 model это про то, в таком кейсе нет балансировки трафика, то есть нет active/active. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
buckethead Posted July 26, 2016 С ПЧ сразу возможности проверить нет, только в следующее окно. Там сейчас один 10G линк в LAG, остальные SPA пустуют, но настроены под LAG. Уберу один порт из группы и попробую на нём сделать sub-интерфейсы с сессиями. Спасибо за идею. Сообщения к сожалению не изменились, вывод один в один, как предыдущий. Шассик у нас 1006. При дебаге с условием по интерфейсу radius ничего не пишет. Просто debug radius опасаюсь включать без condition, только если дождусь окна. Однако я послушал radius сообщения на интерфейсе сервера, ничего нерегулярного там нет с обоих сторон. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
furai Posted July 27, 2016 (edited) Спросил у коллег со старой работы про версию, работает на такой asr1000rp2-adventerprisek9.03.07.04.S.152-4.S4.bin Это для asr1006 без ПЧ, ПЧ с интерфейсными сессиями не использовали за отсутствием необходимости. Edited July 27, 2016 by furai Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
buckethead Posted July 27, 2016 Спасибо за информацию, буду точно пробовать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
buckethead Posted August 11, 2016 Подняли отдельный физический интерфейс мимо существующего уже Port-channel, и попытались настроить interface-сессию, но результат тот же. Выводы debug один в один. Потом пришла мысль в голову, а что если попробовать вместо unnumbered поставить конкретный IP-адрес? И сессия, разумеется, тут же поднялась. Видимо, unnumbered и interface-sessions не созданы друг для друга. Мне стало интересно, почему всё таки какие-то сессии с unnumbered до этого мне удалось поднять, причём с переменным количеством? На тот момент было две активные сессии. Но обе на разные loopback, ну и конечно же на ещё один, третий loopback сессия поднялась без проблем. Это очень прискорбно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
buckethead Posted August 12, 2016 furai, не могли бы вы уточнить у коллег, как у них настраивается интерфейс, используется ли unnumbered? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
furai Posted August 14, 2016 furai, не могли бы вы уточнить у коллег, как у них настраивается интерфейс, используется ли unnumbered? Йа и сам в курсе, только версию забыл =) interface х/х/х.х ip address 1.1.1.1 255.255.255.252 ip verify unicast source reachable-via rx ip subscriber interface unnumbered с интерфейсными сессиями не используется, потому как по интерфейсу авторизуются только юрлица с выделенными подсетями, а физлица авторизуются по комбинации mac'a и порта доступа. Печально, что ваша комбинация не работает, конечно. А свежий софт пробовали? Какой у вас кейс? в смысле может вам больше другой вариант авторизации подходит? =) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
buckethead Posted August 15, 2016 Да, когда при подключении необходимо выделять кастомеру сеть, это очень удобный механизм, с этой точки зрения мы уже нашли применение interface session. Но мы не очень большой оператор, и юрлица часто хотят один-два адреса, а не сеть. В таком юзкейсе было бы просто здорово выделять адреса из общего пула, назначенного loopback-интерфейсу, при помощи unnumbered. То есть получается, что включение как у физлиц. Софт обновили с 3.10 на 3.13, 3.16-17 как-то страшно в продакшен пускать, они вроде ED. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
furai Posted August 23, 2016 Мда, непонятно куда копать... Я бы кейс в циску или интегратору открыл при наличии поддержки. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
