Cisco ASR1002 ISG Radius

[Kami]

Добрый день

 

ситуация: есть asr1002 с IOS asr1000rp1-advipservicesk9.03.03.02.S.151-2.S2.bin, свежеобновленным. конфиг достаточно старый и успешно работающий.

этот самый asr авторизирует и аккаунтит ISG сессии на радиусе. радиусов - 2 штуки, для большей надежности.

всё работает, всё замечательно более 6 тысяч сессий авторизурются и обсчитываются, но есть маленький неприятный нюанс - при переключении с одного радиус-сервера на другой, в логах ASR тишина. хотя раньше были записи, дескать радиус-сервер А умер, переключаюсь на радиус-сервер Б.

 

видимо, чего-то не хватает в настройках логгирования. текущая настройка логгирования такая:

 

 

 

logging buffered informational

logging reload debugging

logging console informational

no logging monitor

logging cns-events debugging

 

logging esm config

logging history debugging

logging trap debugging

logging facility local5

logging 10.77.0.25

logging 10.22.100.13

 

на соответствующих машинках 10.22.100.13 и 10.77.0.25 логгер стоит и успешно принимает и складывает в указанные места, прилетевшие записи. прилетает всё кроме записей о смене радиус-сервера.

 

вот, что касается радиус-сервера:

 

aaa group server radius ONYMA

server-private 10.22.100.72 auth-port 1812 acct-port 1813 key 7 ключключключ

server-private 10.22.100.71 auth-port 1812 acct-port 1813 key 7 ключключключ

 

aaa server radius dynamic-author

client 10.22.100.72 server-key 7 ключключключ

client 10.22.100.71 server-key 7 ключключключ

 

 

radius-server attribute 44 include-in-access-req

radius-server attribute 6 on-for-login-auth

radius-server attribute 8 include-in-access-req

radius-server attribute 32 include-in-access-req

radius-server attribute 32 include-in-accounting-req

radius-server attribute 55 include-in-acct-req

radius-server attribute 55 access-request include

radius-server attribute 25 access-request include

radius-server configure-nas

radius-server host 10.22.100.72 auth-port 1812 acct-port 1813 key 7 ключключключ

radius-server host 10.22.100.71 auth-port 1812 acct-port 1813 key 7 ключключключ

radius-server retry method reorder

radius-server transaction max-tries 6

radius-server retransmit 2

radius-server timeout 30

radius-server deadtime 1

radius-server unique-ident 113

radius-server key 7 ключключключ

radius-server vsa send accounting

radius-server vsa send authentication

 

внимательное чтение http://www.cisco.com/en/US/docs/ios/sec_user_services/configuration/guide/sec_rad_reorder_fail.html

просветление не принесло. можно, конечно, включить debug aaa sg-server selection, но хотелось бы именно в лог, а не в консоль.

 

подскажите, плз, в какую сторону начать копать ? чего не хватает для логгировния смены радиус-сервера ?

спасибо

 

ЗЫ на всякий случай отладку включил, посмотрим, поможет или нет

 

 

asr1002#sh debugging

General OS:

AAA server group server selection debugging is on

 

Radius protocol debugging is on

Radius packet protocol debugging is on

Radius server fail-over debugging is on

Edited September 2, 2011 by Kami