Перейти к содержимому
Калькуляторы

CISCO ASR 1002x - ограничение скорости на несколько сессий.

Ответить

burevestnik_1983   

burevestnik_1983
Опубликовано · Жалоба

Ещё вопрос, никто не сталкивался с таким? Пробую так же рулить ip subscriber interface сессиями через COA запросы. Через radclient.

 

ASR в принципе не шлёт мне ответы для radclient.

На уровне пакетов вижу, что не шлёт.

Шлёт, только если я ошибаюсь в server-key.

 

В остальных случаях по логам (debug aaa coa) вижу, что он выполняет COA запросы, например успешно навешивает редирект 3 уровня (reroute to). При этом в сторону radclient ответов нет, но ответы на coa запросы он пишет в лог, в том числе и негативные ответы типа No valid session или Unsupported service.

 

Клиент в разделе aaa dynamic-author указан правильный, server-key - правильный, но ASR упорно не шлёт ответа, а radclient думает, что ему не ответили, и пытается послать запрос ещё раз...

 

На разных IOS -  03.16.05.S.155-3.S5-ext,  03.11.00.S.154-1.S-std -  ситуация та же.

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

burevestnik_1983   

burevestnik_1983
Опубликовано · Жалоба
57 минут назад, ShyLion сказал:

 

iptables?

 

Не думаю. В принципе долетает ответ от ASR, к примеру, если я намеренно указываю неправильный server-key. Значит проблем со связностью, файрволом, занятостью порта нет.

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

ShyLion   

ShyLion
Опубликовано · Жалоба

А дебажить пробовал?

  

debug aaa coa

 

 

Ну и еще - какие атрибуты шлешь?

 

Минимум, который нужен: User-Name и Acct-Session-Id, плюс команда. Просто идентификатора сессии недостаточно, хоть он и не уникальный и по докам вроде как достаточен, но у меня не получалось без имени пользователя.

  

asr-1002x-621#
Nov 13 09:20:26: COA: 10.0.11.90 request queued
Nov 13 09:20:26: RADIUS:  authenticator 16 10 98 D4 62 A7 DA 05 - 7C B7 BB EB FA A4 2C 94
Nov 13 09:20:26: RADIUS:  User-Name           [1]   16  "2c59.8a61.edcb"
Nov 13 09:20:26: RADIUS:  Acct-Session-Id     [44]  10  "01E8E132"
Nov 13 09:20:26: RADIUS:  Vendor, Cisco       [26]  18  
Nov 13 09:20:26: RADIUS:   ssg-command-code   [252] 12  
Nov 13 09:20:26: RADIUS:   0C 43 61 70 74 69 76 65 31 30         [Service-Log-Off Captive10]
Nov 13 09:20:26: RADIUS:  Vendor, Cisco       [26]  18  
Nov 13 09:20:26: RADIUS:   ssg-command-code   [252] 12  
Nov 13 09:20:26: RADIUS:   0C 43 61 70 74 69 76 65 32 30         [Service-Log-Off Captive20]
Nov 13 09:20:26: RADIUS:  Vendor, Cisco       [26]  19  
Nov 13 09:20:26: RADIUS:   ssg-command-code   [252] 13  
Nov 13 09:20:26: RADIUS:   0C 43 61 70 74 69 76 65 34 30 30        [Service-Log-Off Captive400]
Nov 13 09:20:26: RADIUS:  Vendor, Cisco       [26]  19  
Nov 13 09:20:26: RADIUS:   ssg-command-code   [252] 13  
Nov 13 09:20:26: RADIUS:   0C 43 61 70 74 69 76 65 34 31 30        [Service-Log-Off Captive410]
Nov 13 09:20:26: RADIUS:  Vendor, Cisco       [26]  19  
Nov 13 09:20:26: RADIUS:   ssg-command-code   [252] 13  
Nov 13 09:20:26: RADIUS:   0C 43 61 70 74 69 76 65 35 30 30        [Service-Log-Off Captive500]
Nov 13 09:20:26: RADIUS:  Vendor, Cisco       [26]  19  
Nov 13 09:20:26: RADIUS:   ssg-command-code   [252] 13  
Nov 13 09:20:26: RADIUS:   0C 43 61 70 74 69 76 65 35 31 30        [Service-Log-Off Captive510]
Nov 13 09:20:26: RADIUS:  Vendor, Cisco       [26]  32  
Nov 13 09:20:26: RADIUS:   ssg-account-info   [250] 26  "QU;102400000;D;102400000"
Nov 13 09:20:26: COA: Message Authenticator missing or failed decode

Nov 13 09:20:26:  ++++++ CoA Attribute List ++++++
Nov 13 09:20:26: 7F3D84C786C0 0 00000081 username(450) 14 2c59.8a61.edcb
Nov 13 09:20:26: 7F3D84C77EB0 0 00000001 session-id(408) 4 32039218(1E8E132)
Nov 13 09:20:26: 7F3D84C77EF0 0 00000081 ssg-command-code(490) 10 0C 43 61 70 74 69 76 65 31 30 
Nov 13 09:20:26: 7F3D84C77F30 0 00000081 ssg-command-code(490) 10 0C 43 61 70 74 69 76 65 32 30 
Nov 13 09:20:26: 7F3D84C77F70 0 00000081 ssg-command-code(490) 11 0C 43 61 70 74 69 76 65 34 30 30 
Nov 13 09:20:26: 7F3D84C77FB0 0 00000081 ssg-command-code(490) 11 0C 43 61 70 74 69 76 65 34 31 30 
Nov 13 09:20:26: 7F3D7D180F70 0 00000081 ssg-command-code(490) 11 0C 43 61 70 74 69 76 65 35 30 30 
Nov 13 09:20:26: 7F3D7D180FB0 0 00000081 ssg-command-code(490) 11 0C 43 61 70 74 69 76 65 35 31 30 
Nov 13 09:20:26: 7F3D7D180FF0 0 00000081 ssg-account-info(488) 24 QU;102400000;D;102400000
Nov 13 09:20:26: 
Nov 13 09:20:26:  ++++++ Received CoA response Attribute List ++++++
Nov 13 09:20:26: 7F3D84E9CBB0 0 00000081 ssg-command-code(490) 10 0C 43 61 70 74 69 76 65 31 30 
Nov 13 09:20:26: 7F3D84E9CBF0 0 00000081 ssg-command-code(490) 10 0C 43 61 70 74 69 76 65 32 30 
Nov 13 09:20:26: 7F3D84E9CC30 0 00000081 ssg-command-code(490) 11 0C 43 61 70 74 69 76 65 34 30 30 
Nov 13 09:20:26: 7F3D84E9CC70 0 00000081 ssg-command-code(490) 11 0C 43 61 70 74 69 76 65 34 31 30 
Nov 13 09:20:26: 7F3D84E9CCB0 0 00000081 ssg-command-code(490) 11 0C 43 61 70 74 69 76 65 35 30 30 
Nov 13 09:20:26: 
asr-1002x-621#7F3D84E9BE40 0 00000081 ssg-command-code(490) 11 0C 43 61 70 74 69 76 65 35 31 30 
Nov 13 09:20:26: 7F3D84E9BE80 0 00000001 session-id(408) 4 32039218(1E8E132)
Nov 13 09:20:26: 
asr-1002x-621#
aaa server radius dynamic-author
 client z.z.z.z vrf Mgmt-inband server-key 7 zzzz
 port 1645
 auth-type any
 ignore session-key
!

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

burevestnik_1983   

burevestnik_1983
Опубликовано (изменено) · Жалоба
В 13.11.2017 в 07:16, ShyLion сказал:

А дебажить пробовал?

  


debug aaa coa

Да, пробовал. Именно этой командой. Вижу, что он выполняет запрос и не ругается в логе, но он почему-то не шлёт ответ обратно в radclient.

Если я ошибаюсь в COA запросе, он пишет, то No valid session, но опять же в логе, а не отсылает ответ в radclient.

По факту вижу, что когда навешиваю политику редиректа 3 уровня, оно работает, хотя ответа  в radclient не посылает. Шейпы (если точнее policy cir) навешиваю - пишет, что успешно навешивает, но реально не ограничивают...

 

По поводу идентификаторов - это ведь интерфейсная сессия, поэтому она может быть активной, даже если через интефейс никто не работает. Там юзернейма, как такового и не надо.

Я сделал статический роут для фейкового IP в данный интерфейс,  и этот IP юзаю для COA запросов. 

Framed-Ip-Address="10.81.0.4" - вот таким образом указываю, и ASR понимает, о каком интерфейсе речь, и принимает COA запрос

Ещё можно юзать Cisco-Account-Info="S10.81.0.4" - работает, запрос проходит

Юзернейм сессии у меня - это Nas-port, но если его указывать, то тогда пишет No Valid Session

 

И  самое главное то, что даже если я ошибаюсь в атрибуте, то radclient должен даже и тогда получить ответ от ASR и написать его... А ASR в radclient этого ответа не шлёт даже в случае ошибки в запросе. Не шлёт на уровне пакетов (делал зеркало порта, куда подключен ASR).

Шлёт NAK только когда я ставлю неправильный server-key.

Вот это странно. Может там нужно флаг какой-то дёрнуть, чтобы он стал отвечать...

Изменено пользователем burevestnik_1983
не успел всё ввести

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Активное оборудование Ethernet, IP, MPLS, SDN/NFV...