StSphinx Posted November 17, 2009 Posted November 17, 2009 Доброго времени суток, коллеги! Добавил в сеть новый BRAS - Cisco 7206VXR (NPE-G1) processor (revision B) with 983040K/65536K bytes of memory, IOS: Cisco IOS Software, 7200 Software (C7200-A3JK91S-M), Version 12.2(31)SB16. Все вроде бы нормально, но периодически на нем возникают отказы авторизации. Клиенты подключаются по PPPoE, последняя миля разная - WiFi, ADSL, FastEthernet. На стороне клиента затык происходит на этапе авторизации(691 ошибка в винде), в биллинге видим, что клиент авторизован и тут же отключен. Ошибок в логах циски нет, Radius отвечает стабильно, задержек нет(уже даже на всякий случай увеличил таймуат на ожидание ответа от радиуса), debug pppoe / aaa тоже ничего не дал. Вообщем выглядит все как подземный стук... Может посоветуете на что еще посмотреть. Конфиг вот(не полностью): version 12.2 service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime localtime show-timezone service timestamps log datetime localtime show-timezone service password-encryption service compress-config hostname c7206-g1-edge ! boot-start-marker boot system flash disk2:/c7200-a3jk91s-mz.122-31.SB16.bin boot-end-marker ! logging count logging buffered 65535 debugging logging rate-limit all 10 except debugging logging console notifications ! aaa new-model aaa session-mib disconnect ! ! aaa group server radius masterRAD server-private 192.168.0.10 auth-port 1812 acct-port 1813 key 7 XXXXXXXXXXXXXXXXXXX ip radius source-interface GigabitEthernet0/1 deadtime 3 ! aaa authentication login default local aaa authentication ppp default group masterRAD aaa authorization console aaa authorization network default local group masterRAD aaa accounting delay-start all aaa accounting delay-start aaa accounting update periodic 3 aaa accounting network default start-stop group masterRAD ! aaa server radius dynamic-author server-key 7 XXXXXXXXXXXXXXXXXXXXX auth-type any ! aaa session-id common aaa traceback recording aaa max-sessions 4096 clock timezone MSK 3 clock summer-time MSK recurring last Sun Mar 2:00 last Sun Oct 3:00 ip subnet-zero no ip source-route ip icmp rate-limit unreachable DF 1 ip address-pool dhcp-pool ! ! no ip domain lookup no ip dhcp use vrf connected ! ip dhcp pool gray_pool vrf Inet network 172.31.4.0 255.255.252.0 dns-server X.X.X.X Y.Y.Y.Y ! ip vrf Inet description ===Inet=== rd 65534:100 route-target export 65534:100 route-target import 65534:100 ! ip cef vpdn enable vpdn logging vpdn logging local ! no file verify auto memory-size iomem 128 ! bba-group pppoe global virtual-template 1 vendor-tag circuit-id service vendor-tag strip sessions max limit 1500 threshold 1400 ! ! interface Loopback1 description ==Unlimit-clients== ip vrf forwarding Inet ip address 172.31.5.254 255.255.255.255 ! interface GigabitEthernet0/1 description ===MGMT=== ip address 192.168.3.7 255.255.255.240 media-type rj45 speed auto duplex auto no negotiation auto ! interface GigabitEthernet0/1.101 description ===NAT-Srv-192.168.3.240/30=== encapsulation dot1Q 101 ip vrf forwarding Inet ip address 192.168.3.242 255.255.255.252 no ip proxy-arp no cdp enable ! ! таких GE0/1.X около сотни interface GigabitEthernet0/1.XXX encapsulation dot1Q XXX ip vrf forwarding Inet ip flow ingress pppoe enable group global no cdp enable ! interface Virtual-Template1 description ===Common-PPPoE-Template=== ip vrf forwarding Inet ip unnumbered Loopback0 ip access-group BlockNetBIOS in ip verify unicast source reachable-via rx no ip redirects no logging event link-status peer default ip address pool PPPoE no snmp trap link-status ppp authentication chap pap ppp ipcp dns X.X.X.X Y.Y.Y.Y ! radius-server attribute 32 include-in-access-req format %i radius-server attribute 32 include-in-accounting-req format %i radius-server attribute 31 send nas-port-detail mac-only radius-server attribute 87 circuit-id radius-server dead-criteria time 30 tries 2 radius-server retransmit 5 radius-server timeout 30 radius-server vsa send cisco-nas-port radius-server vsa send accounting radius-server vsa send authentication Проблема возникает только на этом BRAS'е. Рядом стоят два послабее(NPE-400 и NPE-225), с тем же IOS'ом, но там проблемы нет. Вставить ник Quote
ilgizk Posted November 17, 2009 Posted November 17, 2009 В Virtual-template есть ссылка на Loopback0. В приведенном конфиге его нет. Вставить ник Quote
ingress Posted November 17, 2009 Posted November 17, 2009 адреса в пуле закончились? Вставить ник Quote
StSphinx Posted November 18, 2009 Author Posted November 18, 2009 (edited) Loop0 естественно есть, просто не весь конфиг привел.. interface Loopback0 ip vrf forwarding Inet ip address X.X.X.X 255.255.255.255 ! Адресов в пуле валом... Уже подумываю над танцами с бубном - сейчас весь трафик ходит через один физический интерфейс, есть мысль попробовать развести вх/исх по разным интерфейсам, хотя нагрузка там никакая и ошибок нет. Edited November 18, 2009 by StSphinx Вставить ник Quote
UglyAdmin Posted November 18, 2009 Posted November 18, 2009 Loop0 естественно есть, просто не весь конфиг привел.. interface Loopback0 ip vrf forwarding Inet ip address X.X.X.X 255.255.255.255 ! Адресов в пуле валом... Плохая мысль - маска /32. Ловил разнообразные глюки с такой маской. Вставить ник Quote
StSphinx Posted November 18, 2009 Author Posted November 18, 2009 Loop0 естественно есть, просто не весь конфиг привел.. interface Loopback0 ip vrf forwarding Inet ip address X.X.X.X 255.255.255.255 ! Адресов в пуле валом... Плохая мысль - маска /32. Ловил разнообразные глюки с такой маской. Ну можно попробовать поставить маску пошире, но таки мне кажется Loop0 тут не при чем, с радиусом общаемся с другого интерфейса. Вставить ник Quote
UglyAdmin Posted November 18, 2009 Posted November 18, 2009 Попробуйте поставьте маску размером во всю выдаваемую сеть. Но к радиусу это скорее всего не имеет отношения. Вставить ник Quote
ilgizk Posted November 18, 2009 Posted November 18, 2009 (edited) Описанная ситуация может возникть при неудачном клонировании Virtual-Access интерфейса. Возможно присылаемые в Access-Accept параметры авторизации конфиликтуют с настройками BRAS. Типовой Access-Accept приведите, пожалуйста. Edited November 18, 2009 by ilgizk Вставить ник Quote
lejek Posted November 18, 2009 Posted November 18, 2009 Биллинг (radius) причину разрыва показывает (nas-request, client-request и т.п.)? Дебугом авторизации проблемные моменты удалось поймать? Что в этот момент циска клиенту ответила? 691 Access denied because username and/or password is invalid on the domain Получается ответ клиенту пришел с отказом, это ваша циска его отправила или ложный рррое концентратор в сети? Попробуйте его поискать. Как у Вас дела с установлением второй сессии тем же логином (это зависит от биллинга и железок), есть такая возможность или нет? Вставить ник Quote
StSphinx Posted November 19, 2009 Author Posted November 19, 2009 Описанная ситуация может возникть при неудачном клонировании Virtual-Access интерфейса. Возможно присылаемые в Access-Accept параметры авторизации конфиликтуют с настройками BRAS. Типовой Access-Accept приведите, пожалуйста. Nov 19 09:48:07 MSK: RADIUS: Received from id 1645/214 192.168.0.10:1812, Access-Accept, len 361 Nov 19 09:48:07 MSK: RADIUS: authenticator 2E 6B 92 1D BB 5F 42 61 - B5 BA CE 2C 61 FA 40 82 Nov 19 09:48:07 MSK: RADIUS: Vendor, Cisco [26] 30 Nov 19 09:48:07 MSK: RADIUS: Cisco AVpair [1] 24 "ip:addr-pool=gray_pool" Nov 19 09:48:07 MSK: RADIUS: Vendor, Cisco [26] 52 Nov 19 09:48:07 MSK: RADIUS: Cisco AVpair [1] 46 "lcp:interface-config=ip unnumbered loopback1" Nov 19 09:48:07 MSK: RADIUS: Vendor, Cisco [26] 42 Nov 19 09:48:07 MSK: RADIUS: Cisco AVpair [1] 36 "lcp:interface-config=ip nat inside" Nov 19 09:48:07 MSK: RADIUS: Vendor, Cisco [26] 108 Nov 19 09:48:07 MSK: RADIUS: Cisco AVpair [1] 102 "lcp:interface-config=rate-limit input 524288 98304 196608 conform-action transmit exceed-action drop" Nov 19 09:48:07 MSK: RADIUS: Vendor, Cisco [26] 109 Nov 19 09:48:07 MSK: RADIUS: Cisco AVpair [1] 103 "lcp:interface-config=rate-limit output 524288 98304 196608 conform-action transmit exceed-action drop" Меня вот сто смущает, периодически в дебаге попадается: RADIUS: Response for non-existent request ident Как у Вас дела с установлением второй сессии тем же логином (это зависит от биллинга и железок), есть такая возможность или нет? Разрешена только одна сессия с одним логином, средствами биллинга, если была в этом проблема, видели бы в логе биллинге превышение максимального числа сессий. Причины разрыва сессии "client-request". Что касательно ложного pppoe концентратора, в этом случае проблема была бы на всех трех BRAS'ах. Вставить ник Quote
ilgizk Posted November 23, 2009 Posted November 23, 2009 gray_pool - это же dhcp pool. зачем на него ссылаться при pppoe авторизации? И настройка nat при авторизации присылается. А в конфиге никаких следов настроек nat. btw из-за того, что конфиг прислан неполный трудно траблшутить. Вставить ник Quote
StSphinx Posted November 23, 2009 Author Posted November 23, 2009 gray_pool - это же dhcp pool. зачем на него ссылаться при pppoe авторизации? И настройка nat при авторизации присылается. А в конфиге никаких следов настроек nat. btw из-за того, что конфиг прислан неполный трудно траблшутить. ip nat inside - это атавизм, ната нет на этой железке gray_pool действительно dhcp pool, так исторически сложилось. dhcp на железке локальный. Сразу хочу сказать, адресов в пуле хватает. Вставить ник Quote
LKr Posted November 23, 2009 Posted November 23, 2009 В 7400ASR была проблемка с тем, что на интерфейсе по умолчанию максимум 100 клиентов лечилось выставлением в bba-group pppoe global параметра sessions per-vlan limit ... Может тут похожая беда? Вставить ник Quote
StSphinx Posted November 25, 2009 Author Posted November 25, 2009 В 7400ASR была проблемка с тем, что на интерфейсе по умолчанию максимум 100 клиентовлечилось выставлением в bba-group pppoe global параметра sessions per-vlan limit ... Может тут похожая беда? Попробую, спасибо! Вставить ник Quote
pliskinsad Posted November 25, 2009 Posted November 25, 2009 В 7400ASR была проблемка с тем, что на интерфейсе по умолчанию максимум 100 клиентовлечилось выставлением в bba-group pppoe global параметра sessions per-vlan limit ... Может тут похожая беда? я думаю не поможет, при этом ограничении у клиента была бы ошибка 678. NAS просто перестает отдавать PADO. В 7400ASR была проблемка с тем, что на интерфейсе по умолчанию максимум 100 клиентовлечилось выставлением в bba-group pppoe global параметра sessions per-vlan limit ... Может тут похожая беда? я думаю не поможет, при этом ограничении у клиента была бы ошибка 678. NAS просто перестает отдавать PADO. Что говорит Radius disc-cause-ext? В какие промежутки времени такая проблема появляется, не в часы пик случайно? Мне кажется у вас просто радиус не успевает обрабатывать запросы к нему, либо глюк в ios. Вставить ник Quote
StSphinx Posted November 25, 2009 Author Posted November 25, 2009 Я тоже грешил на Radius. Выставил побольше таймуат ожидания ответа. Фишка в том, что при возникновении проблемы Radius успешно авторизовал клиентов. Сейчас проблема не проявляется, но тревожит тот факт, что не ясно в чем именно она была. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.