eking Опубликовано 23 апреля, 2009 · Жалоба Собственно есть: Cisco IOS Software, IOS-XE Software (PPC_LINUX_IOSD-ADVENTERPRISEK9-M), Version 12.2(33)XNC, RELEASE SOFTWARE (fc2) при попытке соединения юзверю выдает ошибку 691 - недопустимые имя пользователя и пароль. Хотя: BRAS_1002_Left#test aaa group radius user password legacy Attempting authentication test to server-group radius using radius User was successfully authenticated. А в логах вот что: Apr 23 10:06:00.772: VT:Sending vaccess request, id 0xAA00070E Apr 23 10:06:00.772: VT:Processing vaccess requests, 1 outstanding Apr 23 10:06:00.772: VT:Create and clone interface, Vt1 Apr 23 10:06:00.787: %FMANRP_ESS-4-FULLVAI: Session creation failed due to Full Virtual-Access Interfaces not being supported. Check that all applied Virtual-Template and RADIUS features support Virtual-Access sub-interfaces. swidb= 0x2C2D529C, ifnum= 195 Apr 23 10:06:00.787: %FMANRP_ESS-4-SEGFAIL: ESS Bind Lterm Session: bind failed for Seghandle 0x3B793094 of Type 21 -Traceback= 1#27789faadda13038f9925c8f416f9549 :10000000+63D7E8 :10000000+63E09C :10000000+63BD44 :10000000+245CED4 :10000000+2011004 :10000000+1677A38 :10000000+2DC0C54 :10000000+2DC0CF0 :10000000+1678474 :10000000+16786CC :10000000+1671CB0 :10000000+1671FFC :10000000+16723D4 :10000000+167273C :10000000+16657E0 :10000000+166768C Apr 23 10:06:00.801: VT:Clean up dirty vaccess queue, size 1 Конфиг, соответственно такой: class-map match-all match_192 match access-group 192 ! policy-map asr128k_out class match_192 police 120000 16000 32000 conform-action transmit exceed-action drop violate-action drop ! ! bba-group pppoe global virtual-template 1 sessions max limit 32000 sessions per-mac limit 5 sessions per-vlan limit 4000 Кстати, радиус (кроме стандартных параметров - IP, DNS...) передает следующее: Cisco-AVPair += "ip:sub-qos-policy-out=asr128k_out" И что с этим делать? Может кто сталкивался и объяснит, где эти детские грабли? Кстати, сама Cisco говорит, что вроде как на ASR пока можно регулировать только out но не in. Странно, может кто что скажет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Илфат Опубликовано 17 ноября, 2009 · Жалоба Apr 23 10:06:00.787: %FMANRP_ESS-4-FULLVAI: Session creation failed due to Full Virtual-Access Interfaces not being supported. Check that all applied Virtual-Template and RADIUS features support Virtual-Access sub-interfaces. swidb= 0x2C2D529C, ifnum= 195 Собственно, такая же фигня с L2TP. Что делать, пока не понятно :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 17 ноября, 2009 · Жалоба Конфиг interface virtual-template 1 где? вроде как на ASR пока можно регулировать только out но не in. Странно, может кто что скажет? CAR и на in и на out нормально на ASR работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Илфат Опубликовано 17 ноября, 2009 · Жалоба Конфиг interface virtual-template 1 где? вроде как на ASR пока можно регулировать только out но не in. Странно, может кто что скажет? CAR и на in и на out нормально на ASR работает. Вот!interface Virtual-Template1 ip unnumbered Port-channel1.105 ip verify unicast reverse-path no ip unreachables no ip proxy-arp ip flow ingress ip flow egress no logging event link-status peer default ip address pool mypool ppp authentication ms-chap-v2 chap eap ms-chap pap end Т.е. ничего примечательного. То же самое прелестно работает на Cisco 7201 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 17 ноября, 2009 · Жалоба test virtual-Template 1 subinterface что говорит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 17 ноября, 2009 · Жалоба И покажите RADIUS профиль целиком, а еще лучше debug radius. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilgizk Опубликовано 17 ноября, 2009 · Жалоба interface Virtual-Template1 ip unnumbered Port-channel1.105 ip verify unicast reverse-path no ip unreachables no ip proxy-arp ip flow ingress ip flow egress no logging event link-status peer default ip address pool mypool ppp authentication ms-chap-v2 chap eap ms-chap pap end Т.е. ничего примечательного. То же самое прелестно работает на Cisco 7201 А какие настройки на Port-channel1.105 ? Команда "no virtual-template subinterface" в конфиге есть? Атрибуты RADIUS "lcp:interface-config" используются? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Илфат Опубликовано 18 ноября, 2009 · Жалоба Т.е. ничего примечательного. То же самое прелестно работает на Cisco 7201 А какие настройки на Port-channel1.105 ? Команда "no virtual-template subinterface" в конфиге есть? Атрибуты RADIUS "lcp:interface-config" используются? interface Port-channel1.105 description External Vlan105 encapsulation dot1Q 105 ip address .... ip accounting output-packets ip policy route-map debtor end Такой команды нет Конечно используется, к примеру: Cisco-AVPair := "lcp:interface-config#1=rate-limit output 128000 16000 16000 conform-action transmit exceed-action drop" Cisco-AVPair += "lcp:interface-config#2=rate-limit input 64000 8000 8000 conform-action transmit exceed-action drop" MS-CHAP2-Success = 0x01533d323739454443323744343234314634303746383545464441393330343332433530324542 35303445 MS-MPPE-Recv-Key = 0x4679e9a4d5dffb56c69773dab63d4efe MS-MPPE-Send-Key = 0x814eaac03ce06d0b0208a44165219cb7 MS-MPPE-Encryption-Policy = 0x00000001 MS-MPPE-Encryption-Types = 0x00000006 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Илфат Опубликовано 18 ноября, 2009 · Жалоба test virtual-Template 1 subinterface что говорит?r1002#test virtual-Template 1 subinterfaceSubinterfaces may be created using Virtual-Template1 И покажите RADIUS профиль целиком, а еще лучше debug radius.Nov 18 06:15:37.924: SSM SM ID LOCK: [L2TP mgmt daemon:id_lock:4150] locker <SIP>: count 0 --> 1Nov 18 06:15:37.925: SSM SM ID LOCK: [L2TUN Application Manager:id_lock:4150] locker <SSS>: count 0 --> 1 Nov 18 06:15:37.925: SSM SM ID LOCK: [sSS Manager:id_lock:4150] locker <SSS>: count 1 --> 2 Nov 18 06:15:37.926: SSM SM ID LOCK: [sSS Manager:id_unlock:4150] locker <SSS>: count 2 --> 1 Nov 18 06:15:38.211: SSM SM ID LOCK: [sSS Manager:id_lock:4150] locker <SSF>: count 0 --> 1 Nov 18 06:15:38.224: SSM SM ID LOCK: [sSS Manager:id_lock:8247] locker <SIP>: count 0 --> 1 Nov 18 06:15:38.227: %FMANRP_ESS-4-FULLVAI: Session creation failed due to Full Virtual-Access Interfaces not being supported. Check that all applied Virtual-Template and RADIUS features support Virtual-Access sub-interfaces. swidb= 0x46464D0C, ifnum= 46 Nov 18 06:15:38.227: %FMANRP_ESS-4-SEGFAIL: ESS Bind Lterm Session: bind failed for Seghandle 0x4AF1C254 of Type 21 -Traceback= 1#1f2564750a9d6b27088662088336171d :10000000+630258 :10000000+62E470 :10000000+62E740 :10000000+242D264 :10000000+1F3F04C :10000000+1632C70 :10000000+2CEA58C :10000000+2CEA628 :10000000+16336AC :10000000+1633904 :10000000+162CF30 :10000000+162D27C :10000000+162D650 :10000000+162D9A0 :10000000+1620A64 :10000000+1622910 Nov 18 06:15:38.231: SSM SM ID LOCK: [sSM connection manager:id_unlock:8247] locker <SIP>: count 1 --> 0 Nov 18 06:15:38.231: %SW_MGR-3-CM_ERROR_CLASS: Connection Manager Error: Class ADJ: - bind all. -Traceback= 1#1f2564750a9d6b27088662088336171d :10000000+630258 :10000000+62E470 :10000000+62E740 :10000000+162D6C8 :10000000+162D9A0 :10000000+1620A64 :10000000+1622910 :10000000+1622E68 Nov 18 06:15:38.237: SSM SM ID LOCK: [sSS Feature Manager:id_unlock:4150] locker <SSF>: count 1 --> 0 Nov 18 06:15:38.237: SSM SM ID LOCK: [sSS Manager:id_unlock:4150] locker <SSS>: count 1 --> 0 Nov 18 06:15:38.238: SSM SM ID LOCK: [L2TP mgmt daemon:id_unlock:4150] locker <SIP>: count 1 --> 0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Илфат Опубликовано 18 ноября, 2009 · Жалоба И покажите RADIUS профиль целиком, а еще лучше debug radius.aaa group server radius pptp_access server-private ... auth-port 1812 acct-port 1813 key 7 07012E4D4D0A1C1604 server ... auth-port 1812 acct-port 1813 ip radius source-interface Port-channel1.10 ! aaa authentication login default group local_access local aaa authentication login CONSOLE none aaa authentication ppp default group pptp_access aaa authorization network default group pptp_access aaa accounting update newinfo periodic 5 aaa accounting network default start-stop group pptp_access aaa authentication ppp default group pptp_access aaa authorization network default group pptp_access aaa accounting update newinfo periodic 5 aaa accounting network default start-stop group pptp_access virtual-profile if-needed virtual-profile virtual-template 1 ! vpdn enable vpdn tunnel authorization virtual-template 1 vpdn tunnel authorization network default vpdn-group mygroup ! Default L2TP VPDN group ! Default PPTP VPDN group accept-dialin protocol any virtual-template 1 no l2tp tunnel authentication ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 18 ноября, 2009 · Жалоба Что-то не понятно. В первом сообщении написали что используется Cisco-AVPair += "ip:sub-qos-policy-out=asr128k_out" а тут пишете что Cisco-AVPair := "lcp:interface-config#1=rate-limit output 128000 16000 16000 conform-action transmit exceed-action drop" Cisco-AVPair += "lcp:interface-config#2=rate-limit input 64000 8000 8000 conform-action transmit exceed-action drop" lcp:interface-config использовать не надо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilgizk Опубликовано 18 ноября, 2009 · Жалоба Команды lcp:interface-config не позволяют использовать субинтерфейсы VAI - только full VAI. Так что их надо убрать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Илфат Опубликовано 18 ноября, 2009 · Жалоба Что-то не понятно. В первом сообщении написали что используетсяCisco-AVPair += "ip:sub-qos-policy-out=asr128k_out" а тут пишете что Cisco-AVPair := "lcp:interface-config#1=rate-limit output 128000 16000 16000 conform-action transmit exceed-action drop" Cisco-AVPair += "lcp:interface-config#2=rate-limit input 64000 8000 8000 conform-action transmit exceed-action drop" lcp:interface-config использовать не надо! У меня lcp:.. , у коллеги ip:sub...А проблема одна и та же Команды lcp:interface-config не позволяют использовать субинтерфейсы VAI - только full VAI. Так что их надо убрать.Поясни плиз, чем заменить lcp: ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 18 ноября, 2009 · Жалоба https://www.cisco.com/en/US/docs/ios/ios_xe...de_Chapter.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Илфат Опубликовано 19 ноября, 2009 · Жалоба https://www.cisco.com/en/US/docs/ios/ios_xe...de_Chapter.html Хм.. Чё-то мне не очень нравится такой вариант. Хочется определять разную скорость на вход и выход. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilgizk Опубликовано 23 ноября, 2009 · Жалоба Вот эти настройки могут тоже мешать создавать subinterfaces VAI: ip accounting output-packets ip policy route-map debtor Надо бы попробовать так: убрать эти команды и lcp:interface-config и проверить как в этом случае будет устанавливаться соединение Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Илфат Опубликовано 24 ноября, 2009 · Жалоба Вот эти настройки могут тоже мешать создавать subinterfaces VAI:ip accounting output-packets ip policy route-map debtor Надо бы попробовать так: убрать эти команды и lcp:interface-config и проверить как в этом случае будет устанавливаться соединение Ну придётся. Щас нарисуем какой-нить временный тариф и будем потихоньку добавлять параметры Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Илфат Опубликовано 30 ноября, 2009 (изменено) · Жалоба Короче: ASR1002 не поддерживает параметры радиуса: Framed-Compression = Van-Jacobson-TCP-IP, ASR1002 не поддерживает команды rate-limit на любых интерфейсах :( Софт: asr1000rp1-adventerprisek9.02.04.02.122-33.XND2.bin Изменено 30 ноября, 2009 пользователем Илфат Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Илфат Опубликовано 30 ноября, 2009 · Жалоба Ах да. Пашет пока что только L2TP. По PPTP сессия затыкается на этапе согласования параметров сессии. аср-ка принимает соединение, но не посылает ответ клиенту Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 30 ноября, 2009 · Жалоба вышел новый релиз под asr 2.5.2 http://www.cisco.com/en/US/docs/ios/ios_xe....html#wp2215573 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 30 ноября, 2009 · Жалоба Короче:ASR1002 не поддерживает параметры радиуса: Framed-Compression = Van-Jacobson-TCP-IP, А оно надо? Рудиментарная вещь низкоскоростных каналов. ASR1002 не поддерживает команды rate-limit на любых интерфейсах :( Ну а зачем вам именно rate-limit? Через MQC CAR нормально работает и навешивается через RADIUS. У нас пока CAR на сервисах был поломан, разные классы трафика CAR'или на разные скорости с помощью MQC выдавая полиси через RADIUS. И вот еще почитайте: https://www.cisco.com/en/US/docs/ios/ios_xe...de_Chapter.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nerik Опубликовано 9 марта, 2010 · Жалоба Народ, кто нибудь смог прикрепить policy на Virtual-Template1 на циске asr1002. У меня раньше на 7301 работала такая конструкция interface Virtual-Template1 ...... ip policy route-map gate ..... route-map gate permit 10 match ip address gate set ip next-hop 172.16.0.1 P.S. Я смотрю стали следующие команды не доступны на этой циске (asr1002) ntp update-calendar pppoe-forwarding ip cef virtual-template 1 pre-clone 600 Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
evg_b Опубликовано 4 мая, 2010 · Жалоба Для сведения 2.6.1 вышел Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...