buckethead Posted July 11, 2016 · Report post Всем привет! Есть проблемка с Cisco ISG, а именно с subcriber interface. Почему-то больше двух сессий на коробке завести не получается. В документации написано, что такой тип сессий стартует мгновенно и висит unauth. В моём случае так и было, но на третий раз после ip subscriber interface ничего не происходит, то есть сессии нет. Сам sub-интерфейс работает нормально, связь с ASR и сетью за ней сквозь него имеется, но на все деньги. Версия софта: #sh verCisco IOS XE Software, Version 03.10.02.S - Extended Support Release Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-ADVENTERPRISEK9-M), Version 15.3(3)S2, RELEASE SOFTWARE (fc3) Вопросы: 1. Есть ли какое-то явное ограничение таких сессий на коробке? 2. Если есть, то как тогда делать статику при l2connected/initiator dhcp? 3. Может ли быть проблема связана с версией IOS? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
furai Posted July 11, 2016 · Report post Да, так и есть - стартует мгновенно и висит unauth, пока не получит accept. С версией вполне может быть связано. Я бы начал с дебага. Покажите debug subscriber events (или как его там) в момент ввода subscriber interface. На всякий случай: будьте осторожны при включении дебагов, если это продакшен. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
buckethead Posted July 21, 2016 · Report post Спасибо за ответ! Вот вывод debug subscriber event, так как железо в продакшене, использовал debug condition. asr1k6#debug condition interface port-channel 1.3901002asr1k6#debug subscriber event SSS Manager events debugging is on asr1k6#conf t Enter configuration commands, one per line. End with CNTL/Z. asr1k6(config)#int port-channel 1.3901002 asr1k6(config-subif)# service-policy type control StaticCustomers asr1k6(config-subif)# ip subscriber interface SSS INFO: Element type is IP-Session-Handle = 1241514312 (4A000148) SSS INFO: Element type is AccIe-Hdl = 3103786165 (B90004B5) SSS INFO: Element type is SHDB-Handle = 50725368 (030601F8) SSS INFO: Element type is AAA-Id = 9345195 (008E98AB) SSS INFO: Element type is IP-Address = 100.64.124.1 (64407C01) SSS INFO: Element type is IP-Address-VRF = IP 100.64.124.1:0 SSS INFO: Element type is Final = 1 (YES) SSS INFO: Element type is Access-Type = 14 (IP-Interface) SSS INFO: Element type is Protocol-Type = 4 (IP Access Protocol) SSS INFO: Element type is Media-Type = 2 (IP) SSS INFO: Element type is Switch-Id = 4339635 (004237B3) SSS INFO: Element type is Segment-Hdl = 8107956 (007BB7B4) SSS MGR [uid:5233]: Sending a Session Assert ID Mgr request SSS MGR [uid:5233]: Updating ID Mgr with the following keys: aaa-unique-id 0 9345195 (0x8E98AB) domainip-vrf 0 64 40 7C 01 00 00 SSS MGR [uid:5233]: Updating ID Mgr with the following data- smgr hdl0x3D080455 : addr 0 100.64.124.1 SSS MGR [uid:5233]: ID Mgr returned status: 'fail' for Session Assert SSS MGR [uid:5233]: Failure to process sip service request - IDMGR error SSS MGR [uid:5233]: An internal error occurred with event client-service-request SSS MGR [uid:5233]: An internal error occurred with event internal-error-disconnect SSS MGR [uid:5233]: Handling Disconnecting, All Clean action SSS MGR [uid:5233]: Sending a Session End ID Mgr request SSS MGR [uid:5233]: ID Mgr returned status: 'no-record-found' for Session End SSS MGR [uid:5233]: Publish session done aaa 9345195, uid 5233 SSS INFO: Element type is IP-Session-Handle = 4194304329 (FA000149) SSS INFO: Element type is AccIe-Hdl = 117441552 (07000410) SSS INFO: Element type is SHDB-Handle = 2197815541 (830000F5) SSS INFO: Element type is AAA-Id = 9345203 (008E98B3) SSS INFO: Element type is IP-Address = 100.64.124.1 (64407C01) SSS INFO: Element type is IP-Address-VRF = IP 100.64.124.1:0 SSS INFO: Element type is Final = 1 (YES) SSS INFO: Element type is Access-Type = 14 (IP-Interface) SSS INFO: Element type is Protocol-Type = 4 (IP Access Protocol) SSS INFO: Element type is Media-Type = 2 (IP) SSS INFO: Element type is Switch-Id = 20740049 (013C77D1) SSS INFO: Element type is Segment-Hdl = 41486290 (027907D2) SSS MGR [uid:5550]: Sending a Session Assert ID Mgr request SSS MGR [uid:5550]: Updating ID Mgr with the following keys: aaa-unique-id 0 9345203 (0x8E98B3) domainip-vrf 0 64 40 7C 01 00 00 SSS MGR [uid:5550]: Updating ID Mgr with the following data- smgr hdl0x33010391 : addr 0 100.64.124.1 SSS MGR [uid:5550]: ID Mgr returned status: 'fail' for Session Assert SSS MGR [uid:5550]: Failure to process sip service request - IDMGR error SSS MGR [uid:5550]: An internal error occurred with event client-service-request SSS MGR [uid:5550]: An internal error occurred with event internal-error-disconnect SSS MGR [uid:5550]: Handling Disconnecting, All Clean action SSS MGR [uid:5550]: Sending a Session End ID Mgr request SSS MGR [uid:5550]: ID Mgr returned status: 'no-record-found' for Session End SSS MGR [uid:5550]: Publish session done aaa 9345203, uid 5550 SSS INFO: Element type is IP-Session-Handle = 4009754954 (EF00014A) SSS INFO: Element type is AccIe-Hdl = 1610681024 (60010AC0) SSS INFO: Element type is SHDB-Handle = 1980105659 (760603BB) SSS INFO: Element type is AAA-Id = 9345206 (008E98B6) SSS INFO: Element type is IP-Address = 100.64.124.1 (64407C01) SSS INFO: Element type is IP-Address-VRF = IP 100.64.124.1:0 SSS INFO: Element type is Final = 1 (YES) SSS INFO: Element type is Access-Type = 14 (IP-Interface) SSS INFO: Element type is Protocol-Type = 4 (IP Access Protocol) SSS INFO: Element type is Media-Type = 2 (IP) SSS INFO: Element type is Switch-Id = 14874603 (00E2F7EB) SSS INFO: Element type is Segment-Hdl = 29755372 (01C607EC) SSS MGR [uid:3710]: Sending a Session Assert ID Mgr request SSS MGR [uid:3710]: Updating ID Mgr with the following keys: aaa-unique-id 0 9345206 (0x8E98B6) domainip-vrf 0 64 40 7C 01 00 00 SSS MGR [uid:3710]: Updating ID Mgr with the following data- smgr hdl0x9F00043B : addr 0 100.64.124.1 SSS MGR [uid:3710]: ID Mgr returned status: 'fail' for Session Assert SSS MGR [uid:3710]: Failure to process sip service request - IDMGR error SSS MGR [uid:3710]: An internal error occurred with event client-service-request SSS MGR [uid:3710]: An internal error occurred with event internal-error-disconnect SSS MGR [uid:3710]: Handling Disconnecting, All Clean action SSS MGR [uid:3710]: Sending a Session End ID Mgr request SSS MGR [uid:3710]: ID Mgr returned status: 'no-record-found' for Session End SSS MGR [uid:3710]: Publish session done aaa 9345206, uid 3710 SSS INFO: Element type is IP-Session-Handle = 4110418251 (F500014B) SSS INFO: Element type is AccIe-Hdl = 2986410737 (B20102F1) SSS INFO: Element type is SHDB-Handle = 1929708411 (7305037B) SSS INFO: Element type is AAA-Id = 9345215 (008E98BF) SSS INFO: Element type is IP-Address = 100.64.124.1 (64407C01) SSS INFO: Element type is IP-Address-VRF = IP 100.64.124.1:0 SSS INFO: Element type is Final = 1 (YES) SSS INFO: Element type is Access-Type = 14 (IP-Interface) SSS INFO: Element type is Protocol-Type = 4 (IP Access Protocol) SSS INFO: Element type is Media-Type = 2 (IP) SSS INFO: Element type is Switch-Id = 20752407 (013CA817) SSS INFO: Element type is Segment-Hdl = 41510936 (02796818) SSS MGR [uid:3342]: Sending a Session Assert ID Mgr request SSS MGR [uid:3342]: Updating ID Mgr with the following keys: aaa-unique-id 0 9345215 (0x8E98BF) domainip-vrf 0 64 40 7C 01 00 00 SSS MGR [uid:3342]: Updating ID Mgr with the following data- smgr hdl0xA5040B79 : addr 0 100.64.124.1 SSS MGR [uid:3342]: ID Mgr returned status: 'fail' for Session Assert SSS MGR [uid:3342]: Failure to process sip service request - IDMGR error SSS MGR [uid:3342]: An internal error occurred with event client-service-request SSS MGR [uid:3342]: An internal error occurred with event internal-error-disconnect SSS MGR [uid:3342]: Handling Disconnecting, All Clean action SSS MGR [uid:3342]: Sending a Session End ID Mgr request SSS MGR [uid:3342]: ID Mgr returned status: 'no-record-found' for Session End SSS MGR [uid:3342]: Publish session done aaa 9345215, uid 3342 asr1k6#undebug all Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
buckethead Posted July 26, 2016 · Report post Обновился до asr1000rp2-advipservicesk9.03.13.04.S.154-3.S4-ext Результат не изменился, неужели больше 2-3 interface session в рамках железки нельзя? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mikezzzz Posted July 26, 2016 · Report post а есть возможночть не на ПЧ попробовать поднять? я вот это не совсем понимаю у циски.. Restrictions for IPoGEC IP Sessions over Gigabit EtherChannel (IPoGEC) currently supports the 1:1 model, where only one member link is active while the second member link is passive and does not carry traffic. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
furai Posted July 26, 2016 · Report post Лично я такие сообщения если я знал, то уже забыл (: У вас в конфиге нет service timestamps debug localtime msec? SSS MGR [uid:5233]: ID Mgr returned status: 'fail' for Session Assert вот перед этим сообщением не приходит ли от радиуса какой-то ответ или, наоборот, может там таймаут ответа радиуса? Можете прислать debug radius? После апгрейда сообщения дебага не изменились, в смысле понятнее не стали? У вас 1004 или 1006 шассик? Про портченнел отличная идея. Мне кажется 1:1 model это про то, в таком кейсе нет балансировки трафика, то есть нет active/active. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
buckethead Posted July 26, 2016 · Report post С ПЧ сразу возможности проверить нет, только в следующее окно. Там сейчас один 10G линк в LAG, остальные SPA пустуют, но настроены под LAG. Уберу один порт из группы и попробую на нём сделать sub-интерфейсы с сессиями. Спасибо за идею. Сообщения к сожалению не изменились, вывод один в один, как предыдущий. Шассик у нас 1006. При дебаге с условием по интерфейсу radius ничего не пишет. Просто debug radius опасаюсь включать без condition, только если дождусь окна. Однако я послушал radius сообщения на интерфейсе сервера, ничего нерегулярного там нет с обоих сторон. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
furai Posted July 27, 2016 (edited) · Report post Спросил у коллег со старой работы про версию, работает на такой asr1000rp2-adventerprisek9.03.07.04.S.152-4.S4.bin Это для asr1006 без ПЧ, ПЧ с интерфейсными сессиями не использовали за отсутствием необходимости. Edited July 27, 2016 by furai Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
buckethead Posted July 27, 2016 · Report post Спасибо за информацию, буду точно пробовать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
buckethead Posted August 11, 2016 · Report post Подняли отдельный физический интерфейс мимо существующего уже Port-channel, и попытались настроить interface-сессию, но результат тот же. Выводы debug один в один. Потом пришла мысль в голову, а что если попробовать вместо unnumbered поставить конкретный IP-адрес? И сессия, разумеется, тут же поднялась. Видимо, unnumbered и interface-sessions не созданы друг для друга. Мне стало интересно, почему всё таки какие-то сессии с unnumbered до этого мне удалось поднять, причём с переменным количеством? На тот момент было две активные сессии. Но обе на разные loopback, ну и конечно же на ещё один, третий loopback сессия поднялась без проблем. Это очень прискорбно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
buckethead Posted August 12, 2016 · Report post furai, не могли бы вы уточнить у коллег, как у них настраивается интерфейс, используется ли unnumbered? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
furai Posted August 14, 2016 · Report post furai, не могли бы вы уточнить у коллег, как у них настраивается интерфейс, используется ли unnumbered? Йа и сам в курсе, только версию забыл =) interface х/х/х.х ip address 1.1.1.1 255.255.255.252 ip verify unicast source reachable-via rx ip subscriber interface unnumbered с интерфейсными сессиями не используется, потому как по интерфейсу авторизуются только юрлица с выделенными подсетями, а физлица авторизуются по комбинации mac'a и порта доступа. Печально, что ваша комбинация не работает, конечно. А свежий софт пробовали? Какой у вас кейс? в смысле может вам больше другой вариант авторизации подходит? =) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
buckethead Posted August 15, 2016 · Report post Да, когда при подключении необходимо выделять кастомеру сеть, это очень удобный механизм, с этой точки зрения мы уже нашли применение interface session. Но мы не очень большой оператор, и юрлица часто хотят один-два адреса, а не сеть. В таком юзкейсе было бы просто здорово выделять адреса из общего пула, назначенного loopback-интерфейсу, при помощи unnumbered. То есть получается, что включение как у физлиц. Софт обновили с 3.10 на 3.13, 3.16-17 как-то страшно в продакшен пускать, они вроде ED. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
furai Posted August 23, 2016 · Report post Мда, непонятно куда копать... Я бы кейс в циску или интегратору открыл при наличии поддержки. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...