Jump to content
Калькуляторы

ISG interface session asr1k, ISG, interface session

Всем привет!

 

Есть проблемка с Cisco ISG, а именно с subcriber interface. Почему-то больше двух сессий на коробке завести не получается.

В документации написано, что такой тип сессий стартует мгновенно и висит unauth. В моём случае так и было, но на третий раз после ip subscriber interface ничего не происходит, то есть сессии нет.

Сам sub-интерфейс работает нормально, связь с ASR и сетью за ней сквозь него имеется, но на все деньги.

 

Версия софта:

#sh ver

Cisco IOS XE Software, Version 03.10.02.S - Extended Support Release

Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-ADVENTERPRISEK9-M), Version 15.3(3)S2, RELEASE SOFTWARE (fc3)

 

Вопросы:

1. Есть ли какое-то явное ограничение таких сессий на коробке?

2. Если есть, то как тогда делать статику при l2connected/initiator dhcp?

3. Может ли быть проблема связана с версией IOS?

Share this post


Link to post
Share on other sites

Да, так и есть - стартует мгновенно и висит unauth, пока не получит accept.

С версией вполне может быть связано.

Я бы начал с дебага. Покажите debug subscriber events (или как его там) в момент ввода subscriber interface. На всякий случай: будьте осторожны при включении дебагов, если это продакшен.

Share this post


Link to post
Share on other sites

Спасибо за ответ!

 

Вот вывод debug subscriber event, так как железо в продакшене, использовал debug condition.

asr1k6#debug condition interface port-channel 1.3901002

asr1k6#debug subscriber event

SSS Manager events debugging is on

asr1k6#conf t

Enter configuration commands, one per line. End with CNTL/Z.

asr1k6(config)#int port-channel 1.3901002

asr1k6(config-subif)# service-policy type control StaticCustomers

asr1k6(config-subif)# ip subscriber interface

SSS INFO: Element type is IP-Session-Handle = 1241514312 (4A000148)

SSS INFO: Element type is AccIe-Hdl = 3103786165 (B90004B5)

SSS INFO: Element type is SHDB-Handle = 50725368 (030601F8)

SSS INFO: Element type is AAA-Id = 9345195 (008E98AB)

SSS INFO: Element type is IP-Address = 100.64.124.1 (64407C01)

SSS INFO: Element type is IP-Address-VRF = IP 100.64.124.1:0

SSS INFO: Element type is Final = 1 (YES)

SSS INFO: Element type is Access-Type = 14 (IP-Interface)

SSS INFO: Element type is Protocol-Type = 4 (IP Access Protocol)

SSS INFO: Element type is Media-Type = 2 (IP)

SSS INFO: Element type is Switch-Id = 4339635 (004237B3)

SSS INFO: Element type is Segment-Hdl = 8107956 (007BB7B4)

SSS MGR [uid:5233]: Sending a Session Assert ID Mgr request

SSS MGR [uid:5233]: Updating ID Mgr with the following keys:

aaa-unique-id 0 9345195 (0x8E98AB)

domainip-vrf 0 64 40 7C 01 00 00

SSS MGR [uid:5233]: Updating ID Mgr with the following data- smgr hdl0x3D080455 :

addr 0 100.64.124.1

SSS MGR [uid:5233]: ID Mgr returned status: 'fail' for Session Assert

SSS MGR [uid:5233]: Failure to process sip service request - IDMGR error

SSS MGR [uid:5233]: An internal error occurred with event client-service-request

SSS MGR [uid:5233]: An internal error occurred with event internal-error-disconnect

SSS MGR [uid:5233]: Handling Disconnecting, All Clean action

SSS MGR [uid:5233]: Sending a Session End ID Mgr request

SSS MGR [uid:5233]: ID Mgr returned status: 'no-record-found' for Session End

SSS MGR [uid:5233]: Publish session done aaa 9345195, uid 5233

SSS INFO: Element type is IP-Session-Handle = 4194304329 (FA000149)

SSS INFO: Element type is AccIe-Hdl = 117441552 (07000410)

SSS INFO: Element type is SHDB-Handle = 2197815541 (830000F5)

SSS INFO: Element type is AAA-Id = 9345203 (008E98B3)

SSS INFO: Element type is IP-Address = 100.64.124.1 (64407C01)

SSS INFO: Element type is IP-Address-VRF = IP 100.64.124.1:0

SSS INFO: Element type is Final = 1 (YES)

SSS INFO: Element type is Access-Type = 14 (IP-Interface)

SSS INFO: Element type is Protocol-Type = 4 (IP Access Protocol)

SSS INFO: Element type is Media-Type = 2 (IP)

SSS INFO: Element type is Switch-Id = 20740049 (013C77D1)

SSS INFO: Element type is Segment-Hdl = 41486290 (027907D2)

SSS MGR [uid:5550]: Sending a Session Assert ID Mgr request

SSS MGR [uid:5550]: Updating ID Mgr with the following keys:

aaa-unique-id 0 9345203 (0x8E98B3)

domainip-vrf 0 64 40 7C 01 00 00

SSS MGR [uid:5550]: Updating ID Mgr with the following data- smgr hdl0x33010391 :

addr 0 100.64.124.1

SSS MGR [uid:5550]: ID Mgr returned status: 'fail' for Session Assert

SSS MGR [uid:5550]: Failure to process sip service request - IDMGR error

SSS MGR [uid:5550]: An internal error occurred with event client-service-request

SSS MGR [uid:5550]: An internal error occurred with event internal-error-disconnect

SSS MGR [uid:5550]: Handling Disconnecting, All Clean action

SSS MGR [uid:5550]: Sending a Session End ID Mgr request

SSS MGR [uid:5550]: ID Mgr returned status: 'no-record-found' for Session End

SSS MGR [uid:5550]: Publish session done aaa 9345203, uid 5550

SSS INFO: Element type is IP-Session-Handle = 4009754954 (EF00014A)

SSS INFO: Element type is AccIe-Hdl = 1610681024 (60010AC0)

SSS INFO: Element type is SHDB-Handle = 1980105659 (760603BB)

SSS INFO: Element type is AAA-Id = 9345206 (008E98B6)

SSS INFO: Element type is IP-Address = 100.64.124.1 (64407C01)

SSS INFO: Element type is IP-Address-VRF = IP 100.64.124.1:0

SSS INFO: Element type is Final = 1 (YES)

SSS INFO: Element type is Access-Type = 14 (IP-Interface)

SSS INFO: Element type is Protocol-Type = 4 (IP Access Protocol)

SSS INFO: Element type is Media-Type = 2 (IP)

SSS INFO: Element type is Switch-Id = 14874603 (00E2F7EB)

SSS INFO: Element type is Segment-Hdl = 29755372 (01C607EC)

SSS MGR [uid:3710]: Sending a Session Assert ID Mgr request

SSS MGR [uid:3710]: Updating ID Mgr with the following keys:

aaa-unique-id 0 9345206 (0x8E98B6)

domainip-vrf 0 64 40 7C 01 00 00

SSS MGR [uid:3710]: Updating ID Mgr with the following data- smgr hdl0x9F00043B :

addr 0 100.64.124.1

SSS MGR [uid:3710]: ID Mgr returned status: 'fail' for Session Assert

SSS MGR [uid:3710]: Failure to process sip service request - IDMGR error

SSS MGR [uid:3710]: An internal error occurred with event client-service-request

SSS MGR [uid:3710]: An internal error occurred with event internal-error-disconnect

SSS MGR [uid:3710]: Handling Disconnecting, All Clean action

SSS MGR [uid:3710]: Sending a Session End ID Mgr request

SSS MGR [uid:3710]: ID Mgr returned status: 'no-record-found' for Session End

SSS MGR [uid:3710]: Publish session done aaa 9345206, uid 3710

SSS INFO: Element type is IP-Session-Handle = 4110418251 (F500014B)

SSS INFO: Element type is AccIe-Hdl = 2986410737 (B20102F1)

SSS INFO: Element type is SHDB-Handle = 1929708411 (7305037B)

SSS INFO: Element type is AAA-Id = 9345215 (008E98BF)

SSS INFO: Element type is IP-Address = 100.64.124.1 (64407C01)

SSS INFO: Element type is IP-Address-VRF = IP 100.64.124.1:0

SSS INFO: Element type is Final = 1 (YES)

SSS INFO: Element type is Access-Type = 14 (IP-Interface)

SSS INFO: Element type is Protocol-Type = 4 (IP Access Protocol)

SSS INFO: Element type is Media-Type = 2 (IP)

SSS INFO: Element type is Switch-Id = 20752407 (013CA817)

SSS INFO: Element type is Segment-Hdl = 41510936 (02796818)

SSS MGR [uid:3342]: Sending a Session Assert ID Mgr request

SSS MGR [uid:3342]: Updating ID Mgr with the following keys:

aaa-unique-id 0 9345215 (0x8E98BF)

domainip-vrf 0 64 40 7C 01 00 00

SSS MGR [uid:3342]: Updating ID Mgr with the following data- smgr hdl0xA5040B79 :

addr 0 100.64.124.1

SSS MGR [uid:3342]: ID Mgr returned status: 'fail' for Session Assert

SSS MGR [uid:3342]: Failure to process sip service request - IDMGR error

SSS MGR [uid:3342]: An internal error occurred with event client-service-request

SSS MGR [uid:3342]: An internal error occurred with event internal-error-disconnect

SSS MGR [uid:3342]: Handling Disconnecting, All Clean action

SSS MGR [uid:3342]: Sending a Session End ID Mgr request

SSS MGR [uid:3342]: ID Mgr returned status: 'no-record-found' for Session End

SSS MGR [uid:3342]: Publish session done aaa 9345215, uid 3342

asr1k6#undebug all

Share this post


Link to post
Share on other sites

Обновился до asr1000rp2-advipservicesk9.03.13.04.S.154-3.S4-ext

Результат не изменился, неужели больше 2-3 interface session в рамках железки нельзя?

Share this post


Link to post
Share on other sites

а есть возможночть не на ПЧ попробовать поднять?

 

я вот это не совсем понимаю у циски..

 

Restrictions for IPoGEC

IP Sessions over Gigabit EtherChannel (IPoGEC) currently supports the 1:1 model, where only one member link is active while the second member link is passive and does not carry traffic.

Share this post


Link to post
Share on other sites

Лично я такие сообщения если я знал, то уже забыл (:

У вас в конфиге нет service timestamps debug localtime msec?

 

SSS MGR [uid:5233]: ID Mgr returned status: 'fail' for Session Assert

вот перед этим сообщением не приходит ли от радиуса какой-то ответ или, наоборот, может там таймаут ответа радиуса?

Можете прислать debug radius?

После апгрейда сообщения дебага не изменились, в смысле понятнее не стали?

У вас 1004 или 1006 шассик?

 

Про портченнел отличная идея.

Мне кажется 1:1 model это про то, в таком кейсе нет балансировки трафика, то есть нет active/active.

Share this post


Link to post
Share on other sites

С ПЧ сразу возможности проверить нет, только в следующее окно. Там сейчас один 10G линк в LAG, остальные SPA пустуют, но настроены под LAG. Уберу один порт из группы и попробую на нём сделать sub-интерфейсы с сессиями. Спасибо за идею.

 

Сообщения к сожалению не изменились, вывод один в один, как предыдущий. Шассик у нас 1006. При дебаге с условием по интерфейсу radius ничего не пишет. Просто debug radius опасаюсь включать без condition, только если дождусь окна. Однако я послушал radius сообщения на интерфейсе сервера, ничего нерегулярного там нет с обоих сторон.

Share this post


Link to post
Share on other sites

Спросил у коллег со старой работы про версию, работает на такой asr1000rp2-adventerprisek9.03.07.04.S.152-4.S4.bin

 

Это для asr1006 без ПЧ, ПЧ с интерфейсными сессиями не использовали за отсутствием необходимости.

Edited by furai

Share this post


Link to post
Share on other sites

Подняли отдельный физический интерфейс мимо существующего уже Port-channel, и попытались настроить interface-сессию, но результат тот же. Выводы debug один в один.

 

Потом пришла мысль в голову, а что если попробовать вместо unnumbered поставить конкретный IP-адрес? И сессия, разумеется, тут же поднялась. Видимо, unnumbered и interface-sessions не созданы друг для друга. Мне стало интересно, почему всё таки какие-то сессии с unnumbered до этого мне удалось поднять, причём с переменным количеством? На тот момент было две активные сессии. Но обе на разные loopback, ну и конечно же на ещё один, третий loopback сессия поднялась без проблем.

 

Это очень прискорбно.

Share this post


Link to post
Share on other sites

furai, не могли бы вы уточнить у коллег, как у них настраивается интерфейс, используется ли unnumbered?

Йа и сам в курсе, только версию забыл =)

 

interface х/х/х.х

ip address 1.1.1.1 255.255.255.252

ip verify unicast source reachable-via rx

ip subscriber interface

 

unnumbered с интерфейсными сессиями не используется, потому как по интерфейсу авторизуются только юрлица с выделенными подсетями, а физлица авторизуются по комбинации mac'a и порта доступа.

 

Печально, что ваша комбинация не работает, конечно. А свежий софт пробовали? Какой у вас кейс? в смысле может вам больше другой вариант авторизации подходит? =)

Share this post


Link to post
Share on other sites

Да, когда при подключении необходимо выделять кастомеру сеть, это очень удобный механизм, с этой точки зрения мы уже нашли применение interface session.

Но мы не очень большой оператор, и юрлица часто хотят один-два адреса, а не сеть. В таком юзкейсе было бы просто здорово выделять адреса из общего пула, назначенного loopback-интерфейсу, при помощи unnumbered. То есть получается, что включение как у физлиц.

Софт обновили с 3.10 на 3.13, 3.16-17 как-то страшно в продакшен пускать, они вроде ED.

Share this post


Link to post
Share on other sites

Мда, непонятно куда копать...

Я бы кейс в циску или интегратору открыл при наличии поддержки.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.