StSphinx Опубликовано 17 ноября, 2009 · Жалоба Доброго времени суток, коллеги! Добавил в сеть новый BRAS - Cisco 7206VXR (NPE-G1) processor (revision B) with 983040K/65536K bytes of memory, IOS: Cisco IOS Software, 7200 Software (C7200-A3JK91S-M), Version 12.2(31)SB16. Все вроде бы нормально, но периодически на нем возникают отказы авторизации. Клиенты подключаются по PPPoE, последняя миля разная - WiFi, ADSL, FastEthernet. На стороне клиента затык происходит на этапе авторизации(691 ошибка в винде), в биллинге видим, что клиент авторизован и тут же отключен. Ошибок в логах циски нет, Radius отвечает стабильно, задержек нет(уже даже на всякий случай увеличил таймуат на ожидание ответа от радиуса), debug pppoe / aaa тоже ничего не дал. Вообщем выглядит все как подземный стук... Может посоветуете на что еще посмотреть. Конфиг вот(не полностью): version 12.2 service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime localtime show-timezone service timestamps log datetime localtime show-timezone service password-encryption service compress-config hostname c7206-g1-edge ! boot-start-marker boot system flash disk2:/c7200-a3jk91s-mz.122-31.SB16.bin boot-end-marker ! logging count logging buffered 65535 debugging logging rate-limit all 10 except debugging logging console notifications ! aaa new-model aaa session-mib disconnect ! ! aaa group server radius masterRAD server-private 192.168.0.10 auth-port 1812 acct-port 1813 key 7 XXXXXXXXXXXXXXXXXXX ip radius source-interface GigabitEthernet0/1 deadtime 3 ! aaa authentication login default local aaa authentication ppp default group masterRAD aaa authorization console aaa authorization network default local group masterRAD aaa accounting delay-start all aaa accounting delay-start aaa accounting update periodic 3 aaa accounting network default start-stop group masterRAD ! aaa server radius dynamic-author server-key 7 XXXXXXXXXXXXXXXXXXXXX auth-type any ! aaa session-id common aaa traceback recording aaa max-sessions 4096 clock timezone MSK 3 clock summer-time MSK recurring last Sun Mar 2:00 last Sun Oct 3:00 ip subnet-zero no ip source-route ip icmp rate-limit unreachable DF 1 ip address-pool dhcp-pool ! ! no ip domain lookup no ip dhcp use vrf connected ! ip dhcp pool gray_pool vrf Inet network 172.31.4.0 255.255.252.0 dns-server X.X.X.X Y.Y.Y.Y ! ip vrf Inet description ===Inet=== rd 65534:100 route-target export 65534:100 route-target import 65534:100 ! ip cef vpdn enable vpdn logging vpdn logging local ! no file verify auto memory-size iomem 128 ! bba-group pppoe global virtual-template 1 vendor-tag circuit-id service vendor-tag strip sessions max limit 1500 threshold 1400 ! ! interface Loopback1 description ==Unlimit-clients== ip vrf forwarding Inet ip address 172.31.5.254 255.255.255.255 ! interface GigabitEthernet0/1 description ===MGMT=== ip address 192.168.3.7 255.255.255.240 media-type rj45 speed auto duplex auto no negotiation auto ! interface GigabitEthernet0/1.101 description ===NAT-Srv-192.168.3.240/30=== encapsulation dot1Q 101 ip vrf forwarding Inet ip address 192.168.3.242 255.255.255.252 no ip proxy-arp no cdp enable ! ! таких GE0/1.X около сотни interface GigabitEthernet0/1.XXX encapsulation dot1Q XXX ip vrf forwarding Inet ip flow ingress pppoe enable group global no cdp enable ! interface Virtual-Template1 description ===Common-PPPoE-Template=== ip vrf forwarding Inet ip unnumbered Loopback0 ip access-group BlockNetBIOS in ip verify unicast source reachable-via rx no ip redirects no logging event link-status peer default ip address pool PPPoE no snmp trap link-status ppp authentication chap pap ppp ipcp dns X.X.X.X Y.Y.Y.Y ! radius-server attribute 32 include-in-access-req format %i radius-server attribute 32 include-in-accounting-req format %i radius-server attribute 31 send nas-port-detail mac-only radius-server attribute 87 circuit-id radius-server dead-criteria time 30 tries 2 radius-server retransmit 5 radius-server timeout 30 radius-server vsa send cisco-nas-port radius-server vsa send accounting radius-server vsa send authentication Проблема возникает только на этом BRAS'е. Рядом стоят два послабее(NPE-400 и NPE-225), с тем же IOS'ом, но там проблемы нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilgizk Опубликовано 17 ноября, 2009 · Жалоба В Virtual-template есть ссылка на Loopback0. В приведенном конфиге его нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 17 ноября, 2009 · Жалоба адреса в пуле закончились? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StSphinx Опубликовано 18 ноября, 2009 (изменено) · Жалоба Loop0 естественно есть, просто не весь конфиг привел.. interface Loopback0 ip vrf forwarding Inet ip address X.X.X.X 255.255.255.255 ! Адресов в пуле валом... Уже подумываю над танцами с бубном - сейчас весь трафик ходит через один физический интерфейс, есть мысль попробовать развести вх/исх по разным интерфейсам, хотя нагрузка там никакая и ошибок нет. Изменено 18 ноября, 2009 пользователем StSphinx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 18 ноября, 2009 · Жалоба Loop0 естественно есть, просто не весь конфиг привел.. interface Loopback0 ip vrf forwarding Inet ip address X.X.X.X 255.255.255.255 ! Адресов в пуле валом... Плохая мысль - маска /32. Ловил разнообразные глюки с такой маской. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StSphinx Опубликовано 18 ноября, 2009 · Жалоба Loop0 естественно есть, просто не весь конфиг привел.. interface Loopback0 ip vrf forwarding Inet ip address X.X.X.X 255.255.255.255 ! Адресов в пуле валом... Плохая мысль - маска /32. Ловил разнообразные глюки с такой маской. Ну можно попробовать поставить маску пошире, но таки мне кажется Loop0 тут не при чем, с радиусом общаемся с другого интерфейса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 18 ноября, 2009 · Жалоба Попробуйте поставьте маску размером во всю выдаваемую сеть. Но к радиусу это скорее всего не имеет отношения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilgizk Опубликовано 18 ноября, 2009 (изменено) · Жалоба Описанная ситуация может возникть при неудачном клонировании Virtual-Access интерфейса. Возможно присылаемые в Access-Accept параметры авторизации конфиликтуют с настройками BRAS. Типовой Access-Accept приведите, пожалуйста. Изменено 18 ноября, 2009 пользователем ilgizk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lejek Опубликовано 18 ноября, 2009 · Жалоба Биллинг (radius) причину разрыва показывает (nas-request, client-request и т.п.)? Дебугом авторизации проблемные моменты удалось поймать? Что в этот момент циска клиенту ответила? 691 Access denied because username and/or password is invalid on the domain Получается ответ клиенту пришел с отказом, это ваша циска его отправила или ложный рррое концентратор в сети? Попробуйте его поискать. Как у Вас дела с установлением второй сессии тем же логином (это зависит от биллинга и железок), есть такая возможность или нет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StSphinx Опубликовано 19 ноября, 2009 · Жалоба Описанная ситуация может возникть при неудачном клонировании Virtual-Access интерфейса. Возможно присылаемые в Access-Accept параметры авторизации конфиликтуют с настройками BRAS. Типовой Access-Accept приведите, пожалуйста. Nov 19 09:48:07 MSK: RADIUS: Received from id 1645/214 192.168.0.10:1812, Access-Accept, len 361 Nov 19 09:48:07 MSK: RADIUS: authenticator 2E 6B 92 1D BB 5F 42 61 - B5 BA CE 2C 61 FA 40 82 Nov 19 09:48:07 MSK: RADIUS: Vendor, Cisco [26] 30 Nov 19 09:48:07 MSK: RADIUS: Cisco AVpair [1] 24 "ip:addr-pool=gray_pool" Nov 19 09:48:07 MSK: RADIUS: Vendor, Cisco [26] 52 Nov 19 09:48:07 MSK: RADIUS: Cisco AVpair [1] 46 "lcp:interface-config=ip unnumbered loopback1" Nov 19 09:48:07 MSK: RADIUS: Vendor, Cisco [26] 42 Nov 19 09:48:07 MSK: RADIUS: Cisco AVpair [1] 36 "lcp:interface-config=ip nat inside" Nov 19 09:48:07 MSK: RADIUS: Vendor, Cisco [26] 108 Nov 19 09:48:07 MSK: RADIUS: Cisco AVpair [1] 102 "lcp:interface-config=rate-limit input 524288 98304 196608 conform-action transmit exceed-action drop" Nov 19 09:48:07 MSK: RADIUS: Vendor, Cisco [26] 109 Nov 19 09:48:07 MSK: RADIUS: Cisco AVpair [1] 103 "lcp:interface-config=rate-limit output 524288 98304 196608 conform-action transmit exceed-action drop" Меня вот сто смущает, периодически в дебаге попадается: RADIUS: Response for non-existent request ident Как у Вас дела с установлением второй сессии тем же логином (это зависит от биллинга и железок), есть такая возможность или нет? Разрешена только одна сессия с одним логином, средствами биллинга, если была в этом проблема, видели бы в логе биллинге превышение максимального числа сессий. Причины разрыва сессии "client-request". Что касательно ложного pppoe концентратора, в этом случае проблема была бы на всех трех BRAS'ах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilgizk Опубликовано 23 ноября, 2009 · Жалоба gray_pool - это же dhcp pool. зачем на него ссылаться при pppoe авторизации? И настройка nat при авторизации присылается. А в конфиге никаких следов настроек nat. btw из-за того, что конфиг прислан неполный трудно траблшутить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StSphinx Опубликовано 23 ноября, 2009 · Жалоба gray_pool - это же dhcp pool. зачем на него ссылаться при pppoe авторизации? И настройка nat при авторизации присылается. А в конфиге никаких следов настроек nat. btw из-за того, что конфиг прислан неполный трудно траблшутить. ip nat inside - это атавизм, ната нет на этой железке gray_pool действительно dhcp pool, так исторически сложилось. dhcp на железке локальный. Сразу хочу сказать, адресов в пуле хватает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LKr Опубликовано 23 ноября, 2009 · Жалоба В 7400ASR была проблемка с тем, что на интерфейсе по умолчанию максимум 100 клиентов лечилось выставлением в bba-group pppoe global параметра sessions per-vlan limit ... Может тут похожая беда? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StSphinx Опубликовано 25 ноября, 2009 · Жалоба В 7400ASR была проблемка с тем, что на интерфейсе по умолчанию максимум 100 клиентовлечилось выставлением в bba-group pppoe global параметра sessions per-vlan limit ... Может тут похожая беда? Попробую, спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pliskinsad Опубликовано 25 ноября, 2009 · Жалоба В 7400ASR была проблемка с тем, что на интерфейсе по умолчанию максимум 100 клиентовлечилось выставлением в bba-group pppoe global параметра sessions per-vlan limit ... Может тут похожая беда? я думаю не поможет, при этом ограничении у клиента была бы ошибка 678. NAS просто перестает отдавать PADO. В 7400ASR была проблемка с тем, что на интерфейсе по умолчанию максимум 100 клиентовлечилось выставлением в bba-group pppoe global параметра sessions per-vlan limit ... Может тут похожая беда? я думаю не поможет, при этом ограничении у клиента была бы ошибка 678. NAS просто перестает отдавать PADO. Что говорит Radius disc-cause-ext? В какие промежутки времени такая проблема появляется, не в часы пик случайно? Мне кажется у вас просто радиус не успевает обрабатывать запросы к нему, либо глюк в ios. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StSphinx Опубликовано 25 ноября, 2009 · Жалоба Я тоже грешил на Radius. Выставил побольше таймуат ожидания ответа. Фишка в том, что при возникновении проблемы Radius успешно авторизовал клиентов. Сейчас проблема не проявляется, но тревожит тот факт, что не ясно в чем именно она была. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...