Jump to content
Калькуляторы

ASR1002 + PPPoE + Radius Session creation failed due to Full Virtual-Access Interfaces not ...

Собственно есть:

 

Cisco IOS Software, IOS-XE Software (PPC_LINUX_IOSD-ADVENTERPRISEK9-M), Version 12.2(33)XNC, RELEASE SOFTWARE (fc2)

при попытке соединения юзверю выдает ошибку 691 - недопустимые имя пользователя и пароль. Хотя:

 

BRAS_1002_Left#test aaa group radius user password legacy

Attempting authentication test to server-group radius using radius

User was successfully authenticated.

 

А в логах вот что:

 

Apr 23 10:06:00.772: VT:Sending vaccess request, id 0xAA00070E

Apr 23 10:06:00.772: VT:Processing vaccess requests, 1 outstanding

Apr 23 10:06:00.772: VT:Create and clone interface, Vt1

Apr 23 10:06:00.787: %FMANRP_ESS-4-FULLVAI: Session creation failed due to Full Virtual-Access Interfaces not being supported. Check that all applied Virtual-Template and RADIUS features support Virtual-Access sub-interfaces. swidb= 0x2C2D529C, ifnum= 195

Apr 23 10:06:00.787: %FMANRP_ESS-4-SEGFAIL: ESS Bind Lterm Session: bind failed for Seghandle 0x3B793094 of Type 21

-Traceback= 1#27789faadda13038f9925c8f416f9549 :10000000+63D7E8 :10000000+63E09C :10000000+63BD44 :10000000+245CED4 :10000000+2011004 :10000000+1677A38 :10000000+2DC0C54 :10000000+2DC0CF0 :10000000+1678474 :10000000+16786CC :10000000+1671CB0 :10000000+1671FFC :10000000+16723D4 :10000000+167273C :10000000+16657E0 :10000000+166768C

Apr 23 10:06:00.801: VT:Clean up dirty vaccess queue, size 1

 

Конфиг, соответственно такой:

 

class-map match-all match_192

match access-group 192

!

policy-map asr128k_out

class match_192

police 120000 16000 32000 conform-action transmit exceed-action drop violate-action drop

!

!

bba-group pppoe global

virtual-template 1

sessions max limit 32000

sessions per-mac limit 5

sessions per-vlan limit 4000

 

Кстати, радиус (кроме стандартных параметров - IP, DNS...) передает следующее:

Cisco-AVPair += "ip:sub-qos-policy-out=asr128k_out"

 

И что с этим делать? Может кто сталкивался и объяснит, где эти детские грабли? Кстати, сама Cisco говорит, что вроде как на ASR пока можно регулировать только out но не in. Странно, может кто что скажет?

Share this post


Link to post
Share on other sites

Apr 23 10:06:00.787: %FMANRP_ESS-4-FULLVAI: Session creation failed due to Full Virtual-Access Interfaces not being supported. Check that all applied Virtual-Template and RADIUS features support Virtual-Access sub-interfaces. swidb= 0x2C2D529C, ifnum= 195

Собственно, такая же фигня с L2TP. Что делать, пока не понятно :(

Share this post


Link to post
Share on other sites

Конфиг interface virtual-template 1 где?

 

вроде как на ASR пока можно регулировать только out но не in. Странно, может кто что скажет?

CAR и на in и на out нормально на ASR работает.

Share this post


Link to post
Share on other sites
Конфиг interface virtual-template 1 где?

 

вроде как на ASR пока можно регулировать только out но не in. Странно, может кто что скажет?

CAR и на in и на out нормально на ASR работает.

Вот!

interface Virtual-Template1

ip unnumbered Port-channel1.105

ip verify unicast reverse-path

no ip unreachables

no ip proxy-arp

ip flow ingress

ip flow egress

no logging event link-status

peer default ip address pool mypool

ppp authentication ms-chap-v2 chap eap ms-chap pap

end

 

Т.е. ничего примечательного. То же самое прелестно работает на Cisco 7201

Share this post


Link to post
Share on other sites

И покажите RADIUS профиль целиком, а еще лучше debug radius.

Share this post


Link to post
Share on other sites
interface Virtual-Template1

ip unnumbered Port-channel1.105

ip verify unicast reverse-path

no ip unreachables

no ip proxy-arp

ip flow ingress

ip flow egress

no logging event link-status

peer default ip address pool mypool

ppp authentication ms-chap-v2 chap eap ms-chap pap

end

 

Т.е. ничего примечательного. То же самое прелестно работает на Cisco 7201

А какие настройки на Port-channel1.105 ?

 

Команда "no virtual-template subinterface" в конфиге есть? Атрибуты RADIUS "lcp:interface-config" используются?

 

Share this post


Link to post
Share on other sites
Т.е. ничего примечательного. То же самое прелестно работает на Cisco 7201
А какие настройки на Port-channel1.105 ?

 

Команда "no virtual-template subinterface" в конфиге есть? Атрибуты RADIUS "lcp:interface-config" используются?

interface Port-channel1.105

description External Vlan105

encapsulation dot1Q 105

ip address ....

ip accounting output-packets

ip policy route-map debtor

end

 

Такой команды нет

 

Конечно используется, к примеру:

Cisco-AVPair := "lcp:interface-config#1=rate-limit output 128000 16000 16000 conform-action transmit exceed-action drop"

Cisco-AVPair += "lcp:interface-config#2=rate-limit input 64000 8000 8000 conform-action transmit exceed-action drop"

MS-CHAP2-Success = 0x01533d323739454443323744343234314634303746383545464441393330343332433530324542

35303445

MS-MPPE-Recv-Key = 0x4679e9a4d5dffb56c69773dab63d4efe

MS-MPPE-Send-Key = 0x814eaac03ce06d0b0208a44165219cb7

MS-MPPE-Encryption-Policy = 0x00000001

MS-MPPE-Encryption-Types = 0x00000006

 

Share this post


Link to post
Share on other sites
test virtual-Template 1 subinterface что говорит?
r1002#test virtual-Template 1 subinterface

Subinterfaces may be created using Virtual-Template1

 

 

И покажите RADIUS профиль целиком, а еще лучше debug radius.
Nov 18 06:15:37.924: SSM SM ID LOCK: [L2TP mgmt daemon:id_lock:4150] locker <SIP>: count 0 --> 1

Nov 18 06:15:37.925: SSM SM ID LOCK: [L2TUN Application Manager:id_lock:4150] locker <SSS>: count 0 --> 1

Nov 18 06:15:37.925: SSM SM ID LOCK: [sSS Manager:id_lock:4150] locker <SSS>: count 1 --> 2

Nov 18 06:15:37.926: SSM SM ID LOCK: [sSS Manager:id_unlock:4150] locker <SSS>: count 2 --> 1

Nov 18 06:15:38.211: SSM SM ID LOCK: [sSS Manager:id_lock:4150] locker <SSF>: count 0 --> 1

Nov 18 06:15:38.224: SSM SM ID LOCK: [sSS Manager:id_lock:8247] locker <SIP>: count 0 --> 1

Nov 18 06:15:38.227: %FMANRP_ESS-4-FULLVAI: Session creation failed due to Full Virtual-Access Interfaces not being supported. Check that all applied Virtual-Template and RADIUS features support Virtual-Access sub-interfaces. swidb= 0x46464D0C, ifnum= 46

Nov 18 06:15:38.227: %FMANRP_ESS-4-SEGFAIL: ESS Bind Lterm Session: bind failed for Seghandle 0x4AF1C254 of Type 21

-Traceback= 1#1f2564750a9d6b27088662088336171d :10000000+630258 :10000000+62E470 :10000000+62E740 :10000000+242D264 :10000000+1F3F04C :10000000+1632C70 :10000000+2CEA58C :10000000+2CEA628 :10000000+16336AC :10000000+1633904 :10000000+162CF30 :10000000+162D27C :10000000+162D650 :10000000+162D9A0 :10000000+1620A64 :10000000+1622910

Nov 18 06:15:38.231: SSM SM ID LOCK: [sSM connection manager:id_unlock:8247] locker <SIP>: count 1 --> 0

Nov 18 06:15:38.231: %SW_MGR-3-CM_ERROR_CLASS: Connection Manager Error: Class ADJ: - bind all.

-Traceback= 1#1f2564750a9d6b27088662088336171d :10000000+630258 :10000000+62E470 :10000000+62E740 :10000000+162D6C8 :10000000+162D9A0 :10000000+1620A64 :10000000+1622910 :10000000+1622E68

Nov 18 06:15:38.237: SSM SM ID LOCK: [sSS Feature Manager:id_unlock:4150] locker <SSF>: count 1 --> 0

Nov 18 06:15:38.237: SSM SM ID LOCK: [sSS Manager:id_unlock:4150] locker <SSS>: count 1 --> 0

Nov 18 06:15:38.238: SSM SM ID LOCK: [L2TP mgmt daemon:id_unlock:4150] locker <SIP>: count 1 --> 0

 

Share this post


Link to post
Share on other sites
И покажите RADIUS профиль целиком, а еще лучше debug radius.
aaa group server radius pptp_access

server-private ... auth-port 1812 acct-port 1813 key 7 07012E4D4D0A1C1604

server ... auth-port 1812 acct-port 1813

ip radius source-interface Port-channel1.10

!

aaa authentication login default group local_access local

aaa authentication login CONSOLE none

aaa authentication ppp default group pptp_access

aaa authorization network default group pptp_access

aaa accounting update newinfo periodic 5

aaa accounting network default start-stop group pptp_access

 

aaa authentication ppp default group pptp_access

aaa authorization network default group pptp_access

aaa accounting update newinfo periodic 5

aaa accounting network default start-stop group pptp_access

 

virtual-profile if-needed

virtual-profile virtual-template 1

!

vpdn enable

vpdn tunnel authorization virtual-template 1

vpdn tunnel authorization network default

 

vpdn-group mygroup

! Default L2TP VPDN group

! Default PPTP VPDN group

accept-dialin

protocol any

virtual-template 1

no l2tp tunnel authentication

!

 

Share this post


Link to post
Share on other sites

Что-то не понятно. В первом сообщении написали что используется

Cisco-AVPair += "ip:sub-qos-policy-out=asr128k_out"

а тут пишете что

Cisco-AVPair := "lcp:interface-config#1=rate-limit output 128000 16000 16000 conform-action transmit exceed-action drop"

Cisco-AVPair += "lcp:interface-config#2=rate-limit input 64000 8000 8000 conform-action transmit exceed-action drop"

 

lcp:interface-config использовать не надо!

Share this post


Link to post
Share on other sites

Команды lcp:interface-config не позволяют использовать субинтерфейсы VAI - только full VAI. Так что их надо убрать.

Share this post


Link to post
Share on other sites
Что-то не понятно. В первом сообщении написали что используется

Cisco-AVPair += "ip:sub-qos-policy-out=asr128k_out"

а тут пишете что

Cisco-AVPair := "lcp:interface-config#1=rate-limit output 128000 16000 16000 conform-action transmit exceed-action drop"

Cisco-AVPair += "lcp:interface-config#2=rate-limit input 64000 8000 8000 conform-action transmit exceed-action drop"

 

lcp:interface-config использовать не надо!

У меня lcp:.. , у коллеги ip:sub...

А проблема одна и та же

 

Команды lcp:interface-config не позволяют использовать субинтерфейсы VAI - только full VAI. Так что их надо убрать.
Поясни плиз, чем заменить lcp: ?

Share this post


Link to post
Share on other sites

Вот эти настройки могут тоже мешать создавать subinterfaces VAI:

ip accounting output-packets

ip policy route-map debtor

 

Надо бы попробовать так: убрать эти команды и lcp:interface-config и проверить как в этом случае будет устанавливаться соединение

Share this post


Link to post
Share on other sites
Вот эти настройки могут тоже мешать создавать subinterfaces VAI:

ip accounting output-packets

ip policy route-map debtor

 

Надо бы попробовать так: убрать эти команды и lcp:interface-config и проверить как в этом случае будет устанавливаться соединение

Ну придётся. Щас нарисуем какой-нить временный тариф и будем потихоньку добавлять параметры

Share this post


Link to post
Share on other sites

Короче:

ASR1002 не поддерживает параметры радиуса: Framed-Compression = Van-Jacobson-TCP-IP,

ASR1002 не поддерживает команды rate-limit на любых интерфейсах :(

 

Софт: asr1000rp1-adventerprisek9.02.04.02.122-33.XND2.bin

Edited by Илфат

Share this post


Link to post
Share on other sites

Ах да. Пашет пока что только L2TP. По PPTP сессия затыкается на этапе согласования параметров сессии. аср-ка принимает соединение, но не посылает ответ клиенту

Share this post


Link to post
Share on other sites
Короче:

ASR1002 не поддерживает параметры радиуса: Framed-Compression = Van-Jacobson-TCP-IP,

А оно надо? Рудиментарная вещь низкоскоростных каналов.

 

ASR1002 не поддерживает команды rate-limit на любых интерфейсах :(

Ну а зачем вам именно rate-limit? Через MQC CAR нормально работает и навешивается через RADIUS.

У нас пока CAR на сервисах был поломан, разные классы трафика CAR'или на разные скорости с помощью MQC выдавая полиси через RADIUS.

И вот еще почитайте:

https://www.cisco.com/en/US/docs/ios/ios_xe...de_Chapter.html

 

Share this post


Link to post
Share on other sites

Народ, кто нибудь смог прикрепить policy на Virtual-Template1 на циске asr1002. У меня раньше на 7301 работала такая конструкция

 

interface Virtual-Template1

......

ip policy route-map gate

.....

route-map gate permit 10

match ip address gate

set ip next-hop 172.16.0.1

 

 

P.S. Я смотрю стали следующие команды не доступны на этой циске (asr1002)

ntp update-calendar

pppoe-forwarding

ip cef

virtual-template 1 pre-clone 600

 

Спасибо.

Share this post


Link to post
Share on other sites

Для сведения 2.6.1 вышел

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this