Перейти к содержимому
Калькуляторы

ASR1002 + PPPoE + Radius Session creation failed due to Full Virtual-Access Interfaces not ...

Собственно есть:

 

Cisco IOS Software, IOS-XE Software (PPC_LINUX_IOSD-ADVENTERPRISEK9-M), Version 12.2(33)XNC, RELEASE SOFTWARE (fc2)

при попытке соединения юзверю выдает ошибку 691 - недопустимые имя пользователя и пароль. Хотя:

 

BRAS_1002_Left#test aaa group radius user password legacy

Attempting authentication test to server-group radius using radius

User was successfully authenticated.

 

А в логах вот что:

 

Apr 23 10:06:00.772: VT:Sending vaccess request, id 0xAA00070E

Apr 23 10:06:00.772: VT:Processing vaccess requests, 1 outstanding

Apr 23 10:06:00.772: VT:Create and clone interface, Vt1

Apr 23 10:06:00.787: %FMANRP_ESS-4-FULLVAI: Session creation failed due to Full Virtual-Access Interfaces not being supported. Check that all applied Virtual-Template and RADIUS features support Virtual-Access sub-interfaces. swidb= 0x2C2D529C, ifnum= 195

Apr 23 10:06:00.787: %FMANRP_ESS-4-SEGFAIL: ESS Bind Lterm Session: bind failed for Seghandle 0x3B793094 of Type 21

-Traceback= 1#27789faadda13038f9925c8f416f9549 :10000000+63D7E8 :10000000+63E09C :10000000+63BD44 :10000000+245CED4 :10000000+2011004 :10000000+1677A38 :10000000+2DC0C54 :10000000+2DC0CF0 :10000000+1678474 :10000000+16786CC :10000000+1671CB0 :10000000+1671FFC :10000000+16723D4 :10000000+167273C :10000000+16657E0 :10000000+166768C

Apr 23 10:06:00.801: VT:Clean up dirty vaccess queue, size 1

 

Конфиг, соответственно такой:

 

class-map match-all match_192

match access-group 192

!

policy-map asr128k_out

class match_192

police 120000 16000 32000 conform-action transmit exceed-action drop violate-action drop

!

!

bba-group pppoe global

virtual-template 1

sessions max limit 32000

sessions per-mac limit 5

sessions per-vlan limit 4000

 

Кстати, радиус (кроме стандартных параметров - IP, DNS...) передает следующее:

Cisco-AVPair += "ip:sub-qos-policy-out=asr128k_out"

 

И что с этим делать? Может кто сталкивался и объяснит, где эти детские грабли? Кстати, сама Cisco говорит, что вроде как на ASR пока можно регулировать только out но не in. Странно, может кто что скажет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Apr 23 10:06:00.787: %FMANRP_ESS-4-FULLVAI: Session creation failed due to Full Virtual-Access Interfaces not being supported. Check that all applied Virtual-Template and RADIUS features support Virtual-Access sub-interfaces. swidb= 0x2C2D529C, ifnum= 195

Собственно, такая же фигня с L2TP. Что делать, пока не понятно :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Конфиг interface virtual-template 1 где?

 

вроде как на ASR пока можно регулировать только out но не in. Странно, может кто что скажет?

CAR и на in и на out нормально на ASR работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Конфиг interface virtual-template 1 где?

 

вроде как на ASR пока можно регулировать только out но не in. Странно, может кто что скажет?

CAR и на in и на out нормально на ASR работает.

Вот!

interface Virtual-Template1

ip unnumbered Port-channel1.105

ip verify unicast reverse-path

no ip unreachables

no ip proxy-arp

ip flow ingress

ip flow egress

no logging event link-status

peer default ip address pool mypool

ppp authentication ms-chap-v2 chap eap ms-chap pap

end

 

Т.е. ничего примечательного. То же самое прелестно работает на Cisco 7201

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И покажите RADIUS профиль целиком, а еще лучше debug radius.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

interface Virtual-Template1

ip unnumbered Port-channel1.105

ip verify unicast reverse-path

no ip unreachables

no ip proxy-arp

ip flow ingress

ip flow egress

no logging event link-status

peer default ip address pool mypool

ppp authentication ms-chap-v2 chap eap ms-chap pap

end

 

Т.е. ничего примечательного. То же самое прелестно работает на Cisco 7201

А какие настройки на Port-channel1.105 ?

 

Команда "no virtual-template subinterface" в конфиге есть? Атрибуты RADIUS "lcp:interface-config" используются?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Т.е. ничего примечательного. То же самое прелестно работает на Cisco 7201
А какие настройки на Port-channel1.105 ?

 

Команда "no virtual-template subinterface" в конфиге есть? Атрибуты RADIUS "lcp:interface-config" используются?

interface Port-channel1.105

description External Vlan105

encapsulation dot1Q 105

ip address ....

ip accounting output-packets

ip policy route-map debtor

end

 

Такой команды нет

 

Конечно используется, к примеру:

Cisco-AVPair := "lcp:interface-config#1=rate-limit output 128000 16000 16000 conform-action transmit exceed-action drop"

Cisco-AVPair += "lcp:interface-config#2=rate-limit input 64000 8000 8000 conform-action transmit exceed-action drop"

MS-CHAP2-Success = 0x01533d323739454443323744343234314634303746383545464441393330343332433530324542

35303445

MS-MPPE-Recv-Key = 0x4679e9a4d5dffb56c69773dab63d4efe

MS-MPPE-Send-Key = 0x814eaac03ce06d0b0208a44165219cb7

MS-MPPE-Encryption-Policy = 0x00000001

MS-MPPE-Encryption-Types = 0x00000006

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

test virtual-Template 1 subinterface что говорит?
r1002#test virtual-Template 1 subinterface

Subinterfaces may be created using Virtual-Template1

 

 

И покажите RADIUS профиль целиком, а еще лучше debug radius.
Nov 18 06:15:37.924: SSM SM ID LOCK: [L2TP mgmt daemon:id_lock:4150] locker <SIP>: count 0 --> 1

Nov 18 06:15:37.925: SSM SM ID LOCK: [L2TUN Application Manager:id_lock:4150] locker <SSS>: count 0 --> 1

Nov 18 06:15:37.925: SSM SM ID LOCK: [sSS Manager:id_lock:4150] locker <SSS>: count 1 --> 2

Nov 18 06:15:37.926: SSM SM ID LOCK: [sSS Manager:id_unlock:4150] locker <SSS>: count 2 --> 1

Nov 18 06:15:38.211: SSM SM ID LOCK: [sSS Manager:id_lock:4150] locker <SSF>: count 0 --> 1

Nov 18 06:15:38.224: SSM SM ID LOCK: [sSS Manager:id_lock:8247] locker <SIP>: count 0 --> 1

Nov 18 06:15:38.227: %FMANRP_ESS-4-FULLVAI: Session creation failed due to Full Virtual-Access Interfaces not being supported. Check that all applied Virtual-Template and RADIUS features support Virtual-Access sub-interfaces. swidb= 0x46464D0C, ifnum= 46

Nov 18 06:15:38.227: %FMANRP_ESS-4-SEGFAIL: ESS Bind Lterm Session: bind failed for Seghandle 0x4AF1C254 of Type 21

-Traceback= 1#1f2564750a9d6b27088662088336171d :10000000+630258 :10000000+62E470 :10000000+62E740 :10000000+242D264 :10000000+1F3F04C :10000000+1632C70 :10000000+2CEA58C :10000000+2CEA628 :10000000+16336AC :10000000+1633904 :10000000+162CF30 :10000000+162D27C :10000000+162D650 :10000000+162D9A0 :10000000+1620A64 :10000000+1622910

Nov 18 06:15:38.231: SSM SM ID LOCK: [sSM connection manager:id_unlock:8247] locker <SIP>: count 1 --> 0

Nov 18 06:15:38.231: %SW_MGR-3-CM_ERROR_CLASS: Connection Manager Error: Class ADJ: - bind all.

-Traceback= 1#1f2564750a9d6b27088662088336171d :10000000+630258 :10000000+62E470 :10000000+62E740 :10000000+162D6C8 :10000000+162D9A0 :10000000+1620A64 :10000000+1622910 :10000000+1622E68

Nov 18 06:15:38.237: SSM SM ID LOCK: [sSS Feature Manager:id_unlock:4150] locker <SSF>: count 1 --> 0

Nov 18 06:15:38.237: SSM SM ID LOCK: [sSS Manager:id_unlock:4150] locker <SSS>: count 1 --> 0

Nov 18 06:15:38.238: SSM SM ID LOCK: [L2TP mgmt daemon:id_unlock:4150] locker <SIP>: count 1 --> 0

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И покажите RADIUS профиль целиком, а еще лучше debug radius.
aaa group server radius pptp_access

server-private ... auth-port 1812 acct-port 1813 key 7 07012E4D4D0A1C1604

server ... auth-port 1812 acct-port 1813

ip radius source-interface Port-channel1.10

!

aaa authentication login default group local_access local

aaa authentication login CONSOLE none

aaa authentication ppp default group pptp_access

aaa authorization network default group pptp_access

aaa accounting update newinfo periodic 5

aaa accounting network default start-stop group pptp_access

 

aaa authentication ppp default group pptp_access

aaa authorization network default group pptp_access

aaa accounting update newinfo periodic 5

aaa accounting network default start-stop group pptp_access

 

virtual-profile if-needed

virtual-profile virtual-template 1

!

vpdn enable

vpdn tunnel authorization virtual-template 1

vpdn tunnel authorization network default

 

vpdn-group mygroup

! Default L2TP VPDN group

! Default PPTP VPDN group

accept-dialin

protocol any

virtual-template 1

no l2tp tunnel authentication

!

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что-то не понятно. В первом сообщении написали что используется

Cisco-AVPair += "ip:sub-qos-policy-out=asr128k_out"

а тут пишете что

Cisco-AVPair := "lcp:interface-config#1=rate-limit output 128000 16000 16000 conform-action transmit exceed-action drop"

Cisco-AVPair += "lcp:interface-config#2=rate-limit input 64000 8000 8000 conform-action transmit exceed-action drop"

 

lcp:interface-config использовать не надо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Команды lcp:interface-config не позволяют использовать субинтерфейсы VAI - только full VAI. Так что их надо убрать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что-то не понятно. В первом сообщении написали что используется

Cisco-AVPair += "ip:sub-qos-policy-out=asr128k_out"

а тут пишете что

Cisco-AVPair := "lcp:interface-config#1=rate-limit output 128000 16000 16000 conform-action transmit exceed-action drop"

Cisco-AVPair += "lcp:interface-config#2=rate-limit input 64000 8000 8000 conform-action transmit exceed-action drop"

 

lcp:interface-config использовать не надо!

У меня lcp:.. , у коллеги ip:sub...

А проблема одна и та же

 

Команды lcp:interface-config не позволяют использовать субинтерфейсы VAI - только full VAI. Так что их надо убрать.
Поясни плиз, чем заменить lcp: ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хм.. Чё-то мне не очень нравится такой вариант. Хочется определять разную скорость на вход и выход.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот эти настройки могут тоже мешать создавать subinterfaces VAI:

ip accounting output-packets

ip policy route-map debtor

 

Надо бы попробовать так: убрать эти команды и lcp:interface-config и проверить как в этом случае будет устанавливаться соединение

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот эти настройки могут тоже мешать создавать subinterfaces VAI:

ip accounting output-packets

ip policy route-map debtor

 

Надо бы попробовать так: убрать эти команды и lcp:interface-config и проверить как в этом случае будет устанавливаться соединение

Ну придётся. Щас нарисуем какой-нить временный тариф и будем потихоньку добавлять параметры

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Короче:

ASR1002 не поддерживает параметры радиуса: Framed-Compression = Van-Jacobson-TCP-IP,

ASR1002 не поддерживает команды rate-limit на любых интерфейсах :(

 

Софт: asr1000rp1-adventerprisek9.02.04.02.122-33.XND2.bin

Изменено пользователем Илфат

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ах да. Пашет пока что только L2TP. По PPTP сессия затыкается на этапе согласования параметров сессии. аср-ка принимает соединение, но не посылает ответ клиенту

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вышел новый релиз под asr 2.5.2

http://www.cisco.com/en/US/docs/ios/ios_xe....html#wp2215573

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Короче:

ASR1002 не поддерживает параметры радиуса: Framed-Compression = Van-Jacobson-TCP-IP,

А оно надо? Рудиментарная вещь низкоскоростных каналов.

 

ASR1002 не поддерживает команды rate-limit на любых интерфейсах :(

Ну а зачем вам именно rate-limit? Через MQC CAR нормально работает и навешивается через RADIUS.

У нас пока CAR на сервисах был поломан, разные классы трафика CAR'или на разные скорости с помощью MQC выдавая полиси через RADIUS.

И вот еще почитайте:

https://www.cisco.com/en/US/docs/ios/ios_xe...de_Chapter.html

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Народ, кто нибудь смог прикрепить policy на Virtual-Template1 на циске asr1002. У меня раньше на 7301 работала такая конструкция

 

interface Virtual-Template1

......

ip policy route-map gate

.....

route-map gate permit 10

match ip address gate

set ip next-hop 172.16.0.1

 

 

P.S. Я смотрю стали следующие команды не доступны на этой циске (asr1002)

ntp update-calendar

pppoe-forwarding

ip cef

virtual-template 1 pre-clone 600

 

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.