Jump to content
Калькуляторы

"Медленный" BRAS

Доброго времени суток, коллеги!

Добавил в сеть новый BRAS - Cisco 7206VXR (NPE-G1) processor (revision B) with 983040K/65536K bytes of memory, IOS: Cisco IOS Software, 7200 Software (C7200-A3JK91S-M), Version 12.2(31)SB16.

Все вроде бы нормально, но периодически на нем возникают отказы авторизации. Клиенты подключаются по PPPoE, последняя миля разная - WiFi, ADSL, FastEthernet.

На стороне клиента затык происходит на этапе авторизации(691 ошибка в винде), в биллинге видим, что клиент авторизован и тут же отключен. Ошибок в логах циски нет, Radius отвечает стабильно, задержек нет(уже даже на всякий случай увеличил таймуат на ожидание ответа от радиуса), debug pppoe / aaa тоже ничего не дал. Вообщем выглядит все как подземный стук... Может посоветуете на что еще посмотреть. Конфиг вот(не полностью):

version 12.2
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime show-timezone
service timestamps log datetime localtime show-timezone
service password-encryption
service compress-config
hostname c7206-g1-edge
!
boot-start-marker
boot system flash disk2:/c7200-a3jk91s-mz.122-31.SB16.bin
boot-end-marker
!
logging count
logging buffered 65535 debugging
logging rate-limit all 10 except debugging
logging console notifications
!
aaa new-model
aaa session-mib disconnect
!
!
aaa group server radius masterRAD
server-private 192.168.0.10 auth-port 1812 acct-port 1813 key 7 XXXXXXXXXXXXXXXXXXX
ip radius source-interface GigabitEthernet0/1
deadtime 3
!
aaa authentication login default local
aaa authentication ppp default group masterRAD
aaa authorization console
aaa authorization network default local group masterRAD
aaa accounting delay-start all
aaa accounting delay-start
aaa accounting update periodic 3
aaa accounting network default start-stop group masterRAD
!
aaa server radius dynamic-author
server-key 7 XXXXXXXXXXXXXXXXXXXXX
auth-type any
!
aaa session-id common
aaa traceback recording
aaa max-sessions 4096
clock timezone MSK 3
clock summer-time MSK recurring last Sun Mar 2:00 last Sun Oct 3:00
ip subnet-zero
no ip source-route
ip icmp rate-limit unreachable DF 1
ip address-pool dhcp-pool
!
!
no ip domain lookup
no ip dhcp use vrf connected
!
ip dhcp pool gray_pool
   vrf Inet
   network 172.31.4.0 255.255.252.0
   dns-server X.X.X.X Y.Y.Y.Y
!
ip vrf Inet
description ===Inet===
rd 65534:100
route-target export 65534:100
route-target import 65534:100
!
ip cef
vpdn enable
vpdn logging
vpdn logging local
!
no file verify auto
memory-size iomem 128
!
bba-group pppoe global
virtual-template 1
vendor-tag circuit-id service
vendor-tag strip
sessions max limit 1500 threshold 1400
!
!
interface Loopback1
description ==Unlimit-clients==
ip vrf forwarding Inet
ip address 172.31.5.254 255.255.255.255
!
interface GigabitEthernet0/1
description ===MGMT===
ip address 192.168.3.7 255.255.255.240
media-type rj45
speed auto
duplex auto
no negotiation auto
!
interface GigabitEthernet0/1.101
description ===NAT-Srv-192.168.3.240/30===
encapsulation dot1Q 101
ip vrf forwarding Inet
ip address 192.168.3.242 255.255.255.252
no ip proxy-arp
no cdp enable
!
! таких GE0/1.X около сотни
interface GigabitEthernet0/1.XXX
encapsulation dot1Q XXX
ip vrf forwarding Inet
ip flow ingress
pppoe enable group global
no cdp enable
!
interface Virtual-Template1
description ===Common-PPPoE-Template===
ip vrf forwarding Inet
ip unnumbered Loopback0
ip access-group BlockNetBIOS in
ip verify unicast source reachable-via rx
no ip redirects
no logging event link-status
peer default ip address pool PPPoE
no snmp trap link-status
ppp authentication chap pap
ppp ipcp dns X.X.X.X Y.Y.Y.Y
!
radius-server attribute 32 include-in-access-req format %i
radius-server attribute 32 include-in-accounting-req format %i
radius-server attribute 31 send nas-port-detail mac-only
radius-server attribute 87 circuit-id
radius-server dead-criteria time 30 tries 2
radius-server retransmit 5
radius-server timeout 30
radius-server vsa send cisco-nas-port
radius-server vsa send accounting
radius-server vsa send authentication

 

Проблема возникает только на этом BRAS'е. Рядом стоят два послабее(NPE-400 и NPE-225), с тем же IOS'ом, но там проблемы нет.

 

Share this post


Link to post
Share on other sites

В Virtual-template есть ссылка на Loopback0. В приведенном конфиге его нет.

Share this post


Link to post
Share on other sites

Loop0 естественно есть, просто не весь конфиг привел..

 

interface Loopback0
ip vrf forwarding Inet
ip address X.X.X.X 255.255.255.255
!

 

Адресов в пуле валом...

 

Уже подумываю над танцами с бубном - сейчас весь трафик ходит через один физический интерфейс, есть мысль попробовать развести вх/исх по разным интерфейсам, хотя нагрузка там никакая и ошибок нет.

Edited by StSphinx

Share this post


Link to post
Share on other sites
Loop0 естественно есть, просто не весь конфиг привел..

interface Loopback0
ip vrf forwarding Inet
ip address X.X.X.X 255.255.255.255
!

Адресов в пуле валом...

Плохая мысль - маска /32. Ловил разнообразные глюки с такой маской.

Share this post


Link to post
Share on other sites
Loop0 естественно есть, просто не весь конфиг привел..

interface Loopback0
ip vrf forwarding Inet
ip address X.X.X.X 255.255.255.255
!

Адресов в пуле валом...

Плохая мысль - маска /32. Ловил разнообразные глюки с такой маской.

Ну можно попробовать поставить маску пошире, но таки мне кажется Loop0 тут не при чем, с радиусом общаемся с другого интерфейса.

Share this post


Link to post
Share on other sites

Попробуйте поставьте маску размером во всю выдаваемую сеть. Но к радиусу это скорее всего не имеет отношения.

Share this post


Link to post
Share on other sites

Описанная ситуация может возникть при неудачном клонировании Virtual-Access интерфейса. Возможно присылаемые в Access-Accept параметры авторизации конфиликтуют с настройками BRAS. Типовой Access-Accept приведите, пожалуйста.

Edited by ilgizk

Share this post


Link to post
Share on other sites

Биллинг (radius) причину разрыва показывает (nas-request, client-request и т.п.)?

Дебугом авторизации проблемные моменты удалось поймать? Что в этот момент циска клиенту ответила?

691 Access denied because username and/or password is invalid on the domain

Получается ответ клиенту пришел с отказом, это ваша циска его отправила или ложный рррое концентратор в сети? Попробуйте его поискать.

Как у Вас дела с установлением второй сессии тем же логином (это зависит от биллинга и железок), есть такая возможность или нет?

Share this post


Link to post
Share on other sites
Описанная ситуация может возникть при неудачном клонировании Virtual-Access интерфейса. Возможно присылаемые в Access-Accept параметры авторизации конфиликтуют с настройками BRAS. Типовой Access-Accept приведите, пожалуйста.

Nov 19 09:48:07 MSK: RADIUS: Received from id 1645/214 192.168.0.10:1812, Access-Accept, len 361
Nov 19 09:48:07 MSK: RADIUS:  authenticator 2E 6B 92 1D BB 5F 42 61 - B5 BA CE 2C 61 FA 40 82
Nov 19 09:48:07 MSK: RADIUS:  Vendor, Cisco       [26]  30
Nov 19 09:48:07 MSK: RADIUS:   Cisco AVpair       [1]   24  "ip:addr-pool=gray_pool"
Nov 19 09:48:07 MSK: RADIUS:  Vendor, Cisco       [26]  52
Nov 19 09:48:07 MSK: RADIUS:   Cisco AVpair       [1]   46  "lcp:interface-config=ip unnumbered loopback1"
Nov 19 09:48:07 MSK: RADIUS:  Vendor, Cisco       [26]  42
Nov 19 09:48:07 MSK: RADIUS:   Cisco AVpair       [1]   36  "lcp:interface-config=ip nat inside"
Nov 19 09:48:07 MSK: RADIUS:  Vendor, Cisco       [26]  108
Nov 19 09:48:07 MSK: RADIUS:   Cisco AVpair       [1]   102 "lcp:interface-config=rate-limit input 524288 98304 196608 conform-action transmit exceed-action drop"
Nov 19 09:48:07 MSK: RADIUS:  Vendor, Cisco       [26]  109
Nov 19 09:48:07 MSK: RADIUS:   Cisco AVpair       [1]   103 "lcp:interface-config=rate-limit output 524288 98304 196608 conform-action transmit exceed-action drop"

 

Меня вот сто смущает, периодически в дебаге попадается:

 

RADIUS: Response for non-existent request ident

 

 

Как у Вас дела с установлением второй сессии тем же логином (это зависит от биллинга и железок), есть такая возможность или нет?

Разрешена только одна сессия с одним логином, средствами биллинга, если была в этом проблема, видели бы в логе биллинге превышение максимального числа сессий.

Причины разрыва сессии "client-request". Что касательно ложного pppoe концентратора, в этом случае проблема была бы на всех трех BRAS'ах.

 

 

 

Share this post


Link to post
Share on other sites

gray_pool - это же dhcp pool. зачем на него ссылаться при pppoe авторизации?

 

И настройка nat при авторизации присылается. А в конфиге никаких следов настроек nat.

 

btw из-за того, что конфиг прислан неполный трудно траблшутить.

Share this post


Link to post
Share on other sites
gray_pool - это же dhcp pool. зачем на него ссылаться при pppoe авторизации?

 

И настройка nat при авторизации присылается. А в конфиге никаких следов настроек nat.

 

btw из-за того, что конфиг прислан неполный трудно траблшутить.

ip nat inside - это атавизм, ната нет на этой железке

gray_pool действительно dhcp pool, так исторически сложилось. dhcp на железке локальный.

Сразу хочу сказать, адресов в пуле хватает.

Share this post


Link to post
Share on other sites

В 7400ASR была проблемка с тем, что на интерфейсе по умолчанию максимум 100 клиентов

лечилось выставлением в bba-group pppoe global параметра sessions per-vlan limit ...

 

Может тут похожая беда?

Share this post


Link to post
Share on other sites
В 7400ASR была проблемка с тем, что на интерфейсе по умолчанию максимум 100 клиентов

лечилось выставлением в bba-group pppoe global параметра sessions per-vlan limit ...

 

Может тут похожая беда?

Попробую, спасибо!

Share this post


Link to post
Share on other sites
В 7400ASR была проблемка с тем, что на интерфейсе по умолчанию максимум 100 клиентов

лечилось выставлением в bba-group pppoe global параметра sessions per-vlan limit ...

 

Может тут похожая беда?

я думаю не поможет, при этом ограничении у клиента была бы ошибка 678. NAS просто перестает отдавать PADO.

 

В 7400ASR была проблемка с тем, что на интерфейсе по умолчанию максимум 100 клиентов

лечилось выставлением в bba-group pppoe global параметра sessions per-vlan limit ...

 

Может тут похожая беда?

я думаю не поможет, при этом ограничении у клиента была бы ошибка 678. NAS просто перестает отдавать PADO.

Что говорит Radius disc-cause-ext?

В какие промежутки времени такая проблема появляется, не в часы пик случайно?

Мне кажется у вас просто радиус не успевает обрабатывать запросы к нему, либо глюк в ios.

Share this post


Link to post
Share on other sites

Я тоже грешил на Radius. Выставил побольше таймуат ожидания ответа. Фишка в том, что при возникновении проблемы Radius успешно авторизовал клиентов. Сейчас проблема не проявляется, но тревожит тот факт, что не ясно в чем именно она была.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this