ASR1002 + PPPoE + Radius

[eking]

Собственно есть:

 

Cisco IOS Software, IOS-XE Software (PPC_LINUX_IOSD-ADVENTERPRISEK9-M), Version 12.2(33)XNC, RELEASE SOFTWARE (fc2)

при попытке соединения юзверю выдает ошибку 691 - недопустимые имя пользователя и пароль. Хотя:

 

BRAS_1002_Left#test aaa group radius user password legacy

Attempting authentication test to server-group radius using radius

User was successfully authenticated.

 

А в логах вот что:

 

Apr 23 10:06:00.772: VT:Sending vaccess request, id 0xAA00070E

Apr 23 10:06:00.772: VT:Processing vaccess requests, 1 outstanding

Apr 23 10:06:00.772: VT:Create and clone interface, Vt1

Apr 23 10:06:00.787: %FMANRP_ESS-4-FULLVAI: Session creation failed due to Full Virtual-Access Interfaces not being supported. Check that all applied Virtual-Template and RADIUS features support Virtual-Access sub-interfaces. swidb= 0x2C2D529C, ifnum= 195

Apr 23 10:06:00.787: %FMANRP_ESS-4-SEGFAIL: ESS Bind Lterm Session: bind failed for Seghandle 0x3B793094 of Type 21

-Traceback= 1#27789faadda13038f9925c8f416f9549 :10000000+63D7E8 :10000000+63E09C :10000000+63BD44 :10000000+245CED4 :10000000+2011004 :10000000+1677A38 :10000000+2DC0C54 :10000000+2DC0CF0 :10000000+1678474 :10000000+16786CC :10000000+1671CB0 :10000000+1671FFC :10000000+16723D4 :10000000+167273C :10000000+16657E0 :10000000+166768C

Apr 23 10:06:00.801: VT:Clean up dirty vaccess queue, size 1

 

Конфиг, соответственно такой:

 

class-map match-all match_192

match access-group 192

!

policy-map asr128k_out

class match_192

police 120000 16000 32000 conform-action transmit exceed-action drop violate-action drop

!

!

bba-group pppoe global

virtual-template 1

sessions max limit 32000

sessions per-mac limit 5

sessions per-vlan limit 4000

 

Кстати, радиус (кроме стандартных параметров - IP, DNS...) передает следующее:

Cisco-AVPair += "ip:sub-qos-policy-out=asr128k_out"

 

И что с этим делать? Может кто сталкивался и объяснит, где эти детские грабли? Кстати, сама Cisco говорит, что вроде как на ASR пока можно регулировать только out но не in. Странно, может кто что скажет?

[Илфат]

Apr 23 10:06:00.787: %FMANRP_ESS-4-FULLVAI: Session creation failed due to Full Virtual-Access Interfaces not being supported. Check that all applied Virtual-Template and RADIUS features support Virtual-Access sub-interfaces. swidb= 0x2C2D529C, ifnum= 195

Собственно, такая же фигня с L2TP. Что делать, пока не понятно :(

[Bambuk]

Конфиг interface virtual-template 1 где?

 

вроде как на ASR пока можно регулировать только out но не in. Странно, может кто что скажет?

CAR и на in и на out нормально на ASR работает.

[Илфат]

Конфиг interface virtual-template 1 где?

 

вроде как на ASR пока можно регулировать только out но не in. Странно, может кто что скажет?

CAR и на in и на out нормально на ASR работает.

Вот!

interface Virtual-Template1

ip unnumbered Port-channel1.105

ip verify unicast reverse-path

no ip unreachables

no ip proxy-arp

ip flow ingress

ip flow egress

no logging event link-status

peer default ip address pool mypool

ppp authentication ms-chap-v2 chap eap ms-chap pap

end

 

Т.е. ничего примечательного. То же самое прелестно работает на Cisco 7201

[Bambuk]

test virtual-Template 1 subinterface что говорит?

[Bambuk]

И покажите RADIUS профиль целиком, а еще лучше debug radius.

[ilgizk]

interface Virtual-Template1

ip unnumbered Port-channel1.105

ip verify unicast reverse-path

no ip unreachables

no ip proxy-arp

ip flow ingress

ip flow egress

no logging event link-status

peer default ip address pool mypool

ppp authentication ms-chap-v2 chap eap ms-chap pap

end

 

Т.е. ничего примечательного. То же самое прелестно работает на Cisco 7201

А какие настройки на Port-channel1.105 ?

 

Команда "no virtual-template subinterface" в конфиге есть? Атрибуты RADIUS "lcp:interface-config" используются?

 

[Илфат]

Т.е. ничего примечательного. То же самое прелестно работает на Cisco 7201

А какие настройки на Port-channel1.105 ?

 

Команда "no virtual-template subinterface" в конфиге есть? Атрибуты RADIUS "lcp:interface-config" используются?

interface Port-channel1.105

description External Vlan105

encapsulation dot1Q 105

ip address ....

ip accounting output-packets

ip policy route-map debtor

end

 

Такой команды нет

 

Конечно используется, к примеру:

Cisco-AVPair := "lcp:interface-config#1=rate-limit output 128000 16000 16000 conform-action transmit exceed-action drop"

Cisco-AVPair += "lcp:interface-config#2=rate-limit input 64000 8000 8000 conform-action transmit exceed-action drop"

MS-CHAP2-Success = 0x01533d323739454443323744343234314634303746383545464441393330343332433530324542

35303445

MS-MPPE-Recv-Key = 0x4679e9a4d5dffb56c69773dab63d4efe

MS-MPPE-Send-Key = 0x814eaac03ce06d0b0208a44165219cb7

MS-MPPE-Encryption-Policy = 0x00000001

MS-MPPE-Encryption-Types = 0x00000006

 

[Илфат]

test virtual-Template 1 subinterface что говорит?

r1002#test virtual-Template 1 subinterface

Subinterfaces may be created using Virtual-Template1

 

 

И покажите RADIUS профиль целиком, а еще лучше debug radius.

Nov 18 06:15:37.924: SSM SM ID LOCK: [L2TP mgmt daemon:id_lock:4150] locker <SIP>: count 0 --> 1

Nov 18 06:15:37.925: SSM SM ID LOCK: [L2TUN Application Manager:id_lock:4150] locker <SSS>: count 0 --> 1

Nov 18 06:15:37.925: SSM SM ID LOCK: [sSS Manager:id_lock:4150] locker <SSS>: count 1 --> 2

Nov 18 06:15:37.926: SSM SM ID LOCK: [sSS Manager:id_unlock:4150] locker <SSS>: count 2 --> 1

Nov 18 06:15:38.211: SSM SM ID LOCK: [sSS Manager:id_lock:4150] locker <SSF>: count 0 --> 1

Nov 18 06:15:38.224: SSM SM ID LOCK: [sSS Manager:id_lock:8247] locker <SIP>: count 0 --> 1

Nov 18 06:15:38.227: %FMANRP_ESS-4-FULLVAI: Session creation failed due to Full Virtual-Access Interfaces not being supported. Check that all applied Virtual-Template and RADIUS features support Virtual-Access sub-interfaces. swidb= 0x46464D0C, ifnum= 46

Nov 18 06:15:38.227: %FMANRP_ESS-4-SEGFAIL: ESS Bind Lterm Session: bind failed for Seghandle 0x4AF1C254 of Type 21

-Traceback= 1#1f2564750a9d6b27088662088336171d :10000000+630258 :10000000+62E470 :10000000+62E740 :10000000+242D264 :10000000+1F3F04C :10000000+1632C70 :10000000+2CEA58C :10000000+2CEA628 :10000000+16336AC :10000000+1633904 :10000000+162CF30 :10000000+162D27C :10000000+162D650 :10000000+162D9A0 :10000000+1620A64 :10000000+1622910

Nov 18 06:15:38.231: SSM SM ID LOCK: [sSM connection manager:id_unlock:8247] locker <SIP>: count 1 --> 0

Nov 18 06:15:38.231: %SW_MGR-3-CM_ERROR_CLASS: Connection Manager Error: Class ADJ: - bind all.

-Traceback= 1#1f2564750a9d6b27088662088336171d :10000000+630258 :10000000+62E470 :10000000+62E740 :10000000+162D6C8 :10000000+162D9A0 :10000000+1620A64 :10000000+1622910 :10000000+1622E68

Nov 18 06:15:38.237: SSM SM ID LOCK: [sSS Feature Manager:id_unlock:4150] locker <SSF>: count 1 --> 0

Nov 18 06:15:38.237: SSM SM ID LOCK: [sSS Manager:id_unlock:4150] locker <SSS>: count 1 --> 0

Nov 18 06:15:38.238: SSM SM ID LOCK: [L2TP mgmt daemon:id_unlock:4150] locker <SIP>: count 1 --> 0

 

[Илфат]

И покажите RADIUS профиль целиком, а еще лучше debug radius.

aaa group server radius pptp_access

server-private ... auth-port 1812 acct-port 1813 key 7 07012E4D4D0A1C1604

server ... auth-port 1812 acct-port 1813

ip radius source-interface Port-channel1.10

!

aaa authentication login default group local_access local

aaa authentication login CONSOLE none

aaa authentication ppp default group pptp_access

aaa authorization network default group pptp_access

aaa accounting update newinfo periodic 5

aaa accounting network default start-stop group pptp_access

 

aaa authentication ppp default group pptp_access

aaa authorization network default group pptp_access

aaa accounting update newinfo periodic 5

aaa accounting network default start-stop group pptp_access

 

virtual-profile if-needed

virtual-profile virtual-template 1

!

vpdn enable

vpdn tunnel authorization virtual-template 1

vpdn tunnel authorization network default

 

vpdn-group mygroup

! Default L2TP VPDN group

! Default PPTP VPDN group

accept-dialin

protocol any

virtual-template 1

no l2tp tunnel authentication

!

 

[Bambuk]

Что-то не понятно. В первом сообщении написали что используется

Cisco-AVPair += "ip:sub-qos-policy-out=asr128k_out"

а тут пишете что

Cisco-AVPair := "lcp:interface-config#1=rate-limit output 128000 16000 16000 conform-action transmit exceed-action drop"

Cisco-AVPair += "lcp:interface-config#2=rate-limit input 64000 8000 8000 conform-action transmit exceed-action drop"

 

lcp:interface-config использовать не надо!

[ilgizk]

Команды lcp:interface-config не позволяют использовать субинтерфейсы VAI - только full VAI. Так что их надо убрать.

[Илфат]

Что-то не понятно. В первом сообщении написали что используется

Cisco-AVPair += "ip:sub-qos-policy-out=asr128k_out"

а тут пишете что

Cisco-AVPair := "lcp:interface-config#1=rate-limit output 128000 16000 16000 conform-action transmit exceed-action drop"

Cisco-AVPair += "lcp:interface-config#2=rate-limit input 64000 8000 8000 conform-action transmit exceed-action drop"

 

lcp:interface-config использовать не надо!

У меня lcp:.. , у коллеги ip:sub...

А проблема одна и та же

 

Команды lcp:interface-config не позволяют использовать субинтерфейсы VAI - только full VAI. Так что их надо убрать.

Поясни плиз, чем заменить lcp: ?

[Bambuk]

https://www.cisco.com/en/US/docs/ios/ios_xe...de_Chapter.html

[Илфат]

https://www.cisco.com/en/US/docs/ios/ios_xe...de_Chapter.html

Хм.. Чё-то мне не очень нравится такой вариант. Хочется определять разную скорость на вход и выход.

[ilgizk]

Вот эти настройки могут тоже мешать создавать subinterfaces VAI:

ip accounting output-packets

ip policy route-map debtor

 

Надо бы попробовать так: убрать эти команды и lcp:interface-config и проверить как в этом случае будет устанавливаться соединение

[Илфат]

Вот эти настройки могут тоже мешать создавать subinterfaces VAI:

ip accounting output-packets

ip policy route-map debtor

 

Надо бы попробовать так: убрать эти команды и lcp:interface-config и проверить как в этом случае будет устанавливаться соединение

Ну придётся. Щас нарисуем какой-нить временный тариф и будем потихоньку добавлять параметры

[Илфат]

Короче:

ASR1002 не поддерживает параметры радиуса: Framed-Compression = Van-Jacobson-TCP-IP,

ASR1002 не поддерживает команды rate-limit на любых интерфейсах :(

 

Софт: asr1000rp1-adventerprisek9.02.04.02.122-33.XND2.bin

Edited November 30, 2009 by Илфат

[Илфат]

Ах да. Пашет пока что только L2TP. По PPTP сессия затыкается на этапе согласования параметров сессии. аср-ка принимает соединение, но не посылает ответ клиенту

[alks]

вышел новый релиз под asr 2.5.2

http://www.cisco.com/en/US/docs/ios/ios_xe....html#wp2215573

[Bambuk]

Короче:

ASR1002 не поддерживает параметры радиуса: Framed-Compression = Van-Jacobson-TCP-IP,

А оно надо? Рудиментарная вещь низкоскоростных каналов.

 

ASR1002 не поддерживает команды rate-limit на любых интерфейсах :(

Ну а зачем вам именно rate-limit? Через MQC CAR нормально работает и навешивается через RADIUS.

У нас пока CAR на сервисах был поломан, разные классы трафика CAR'или на разные скорости с помощью MQC выдавая полиси через RADIUS.

И вот еще почитайте:

https://www.cisco.com/en/US/docs/ios/ios_xe...de_Chapter.html

 

[nerik]

Народ, кто нибудь смог прикрепить policy на Virtual-Template1 на циске asr1002. У меня раньше на 7301 работала такая конструкция

 

interface Virtual-Template1

......

ip policy route-map gate

.....

route-map gate permit 10

match ip address gate

set ip next-hop 172.16.0.1

 

 

P.S. Я смотрю стали следующие команды не доступны на этой циске (asr1002)

ntp update-calendar

pppoe-forwarding

ip cef

virtual-template 1 pre-clone 600

 

Спасибо.

[evg_b]

Для сведения 2.6.1 вышел