[delphivcl]

Добрый день коллеги.

 

Пытаемся с нуля поднять сетку на IPoE с Cisco ASR1002 + ланнбиллинг Radius/DHCP

 

Имеем следующую конструкцию Dlink 3200 свитч доступа с настроенным релеем DHCP-OPT82

DHCP сервер поднят на ланбиллинге.

 

клиент цепляется идет запрос через радиус на ланбиллинг, ланбиллинг дает IP адрес из диапазона и далее тишина.

На циске в дебаге смотрим как все это пролетает на сам биллинг и как возвращается, но сессия не поднимается.

Куда копать уже ума не приложу. (со всем этим хозяйством знаком меньше месяца,а плотно занимаюсь наверно недели полторы)

Конфиг получился из чтения доки и некоторых примеров.

 

 

 

 

 

Основные моменты настройки Cisco ASR 1002 (ip изменены)

 

#sh ver

Cisco IOS Software, IOS-XE Software (PPC_LINUX_IOSD-ADVIPSERVICES-M), Version 15.2(1)S1, RELEASE SOFTWARE (fc2)

ROM: IOS-XE ROMMON

 

ISG_BRAS_1 uptime is 2 weeks, 6 days, 20 hours, 42 minutes

Uptime for this control processor is 2 weeks, 6 days, 20 hours, 45 minutes

System returned to ROM by reload at 22:55:12 UTC Wed Nov 7 2012

System restarted at 14:33:26 MSK Thu May 23 2013

System image file is "bootflash:/asr1000rp1-advipservices.03.05.01.S.152-1.S1.bin"

Last reload reason: PowerOn

 

cisco ASR1002 (2RU) processor with 1708794K/6147K bytes of memory.

4 Gigabit Ethernet interfaces

2 Ten Gigabit Ethernet interfaces

32768K bytes of non-volatile configuration memory.

4194304K bytes of physical memory.

7757823K bytes of eUSB flash at bootflash:.

 

aaa group server radius ISG-RADIUS
server-private 1.1.1.2 auth-port 1814 acct-port 1815 key 7 ...
ip radius source-interface TenGigabitEthernet0/1/0.311
!
aaa authentication login ISG-AUTHEN group ISG-RADIUS
aaa authorization network default group ISG-RADIUS
aaa authorization network ISG-AUTHOR group ISG-RADIUS
aaa authorization subscriber-service default local group ISG-RADIUS
aaa accounting delay-start all
aaa accounting update newinfo periodic 1
aaa accounting network default start-stop group ISG-RADIUS
aaa accounting network ISG-ACC start-stop group ISG-RADIUS

aaa server radius dynamic-author
client 1.1.1.2 server-key 7 ...
auth-type any

ip dhcp relay information option
ip dhcp relay information policy encapsulate
no ip dhcp relay information check
ip dhcp relay information trust-all

ip dhcp pool ISG-POOL
authorization method ISG-AUTHOR
class DHCP-CLASS-ISG-POOL

ip dhcp class default
!
ip dhcp class DHCP-CLASS-ISG-POOL

subscriber service multiple-accept
subscriber authorization enable

multilink bundle-name authenticated

policy-map type control ISG-TEST
class type control always event session-start
 10 service-policy type service name SERVICE-TEST
 20 authorize aaa list ISG-AUTHOR password cisco identifier circuit-id plus remote-id
 30 service-policy type service name SERVICE-TRUSTED
!
class type control always event session-restart
 10 service-policy type service name SERVICE-TEST
!
class type control always event account-logon
 10 authenticate aaa list ISG-AUTHEN
!
class type control always event account-logoff
 10 service disconnect delay 10
!
!

interface TenGigabitEthernet0/1/0.311
desc NAS-IP-Address
encapsulation dot1Q 311
ip address 1.1.1.5 255.255.255.240

interface TenGigabitEthernet0/1/0.324
description Active Equipment
encapsulation dot1Q 324
ip address 1.1.2.2 255.255.248.0
service-policy type control ISG-TEST
ip subscriber l2-connected
 initiator dhcp class-aware

#Порт куда подключены длинки 3200 (через кошку 3600 - таких будет много)
interface TenGigabitEthernet0/1/0.700
description Abonents 
encapsulation dot1Q 700

interface TenGigabitEthernet0/3/0
description Vneshniy INET
ip address х.х.х.8 255.255.240.0

radius-server attribute 44 include-in-access-req
radius-server attribute 44 extend-with-addr
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-access-req
radius-server attribute 32 include-in-accounting-req
radius-server attribute 55 include-in-acct-req
radius-server attribute 55 access-request include
radius-server attribute 25 access-request include
no radius-server attribute nas-port
radius-server attribute 61 extended
radius-server attribute 31 mac format unformatted
radius-server host 1.1.1.2 auth-port 1814 acct-port 1815 key 7 ...
radius-server vsa send cisco-nas-port
radius-server vsa send accounting
radius-server vsa send authentication

 

Юзер авторизуется в ланбиллинге нормально. DHCP лбиллинга шлет ответ с выделенными ip, но не доходит до клиента. сессии нет.

Помогите пожалуйста, кто уже подобное делал. По мануалам циско вроде все должно работать, но не работает. :)

может кто подскажет какие радиус-атрибуты слать надо при авторизации. Чую что циске что-то не хватает.

 

( на время не обращайте внимания )

 

Это приходит с ASR по радиусу (лог ЛанБиллинга)

11.06.2013 14:32:59 VERBOSE     0x2ad9df5c3940  [ParseBody:30]  Authenticator: 3afd7799cafb3953b640617694449172
11.06.2013 14:32:59 VERBOSE     0x2ad9df5c3940  [ParseBody:37]  Attribute 'User-Name', value: "000402bc0001:0006bcf685bacf40"
11.06.2013 14:32:59 VERBOSE     0x2ad9df5c3940  [ParseBody:37]  Attribute 'Password', value: "72d1d599bb67b194b26cf561eddc7485"
11.06.2013 14:32:59 VERBOSE     0x2ad9df5c3940  [ParseAttr:79]  User-Password = "cisco"
11.06.2013 14:32:59 VERBOSE     0x2ad9df5c3940  [ParseBody:37]  Attribute 'NAS-Port-Type', value: "33"
11.06.2013 14:32:59 VERBOSE     0x2ad9df5c3940  [ParseBody:37]  VSA 'NAS-Port-Name', vendor Cisco, value: "0/1/0/324"
11.06.2013 14:32:59 VERBOSE     0x2ad9df5c3940  [ParseBody:37]  Attribute 'NAS-Port', value: "16448"
11.06.2013 14:32:59 VERBOSE     0x2ad9df5c3940  [ParseBody:37]  Attribute 'NAS-Port-Id', value: "0/1/0/324"
11.06.2013 14:32:59 VERBOSE     0x2ad9df5c3940  [ParseBody:37]  VSA 'Cisco-AVPair       ', vendor Cisco, value: "circuit-id-tag=000402bc0001"
11.06.2013 14:32:59 VERBOSE     0x2ad9df5c3940  [ParseBody:37]  VSA 'Cisco-AVPair       ', vendor Cisco, value: "remote-id-tag=0006bcf685bacf40"
11.06.2013 14:32:59 VERBOSE     0x2ad9df5c3940  [ParseBody:37]  VSA 'Cisco-AVPair       ', vendor Cisco, value: "vendor-class-id-tag=udhcp 0.9.8"
11.06.2013 14:32:59 VERBOSE     0x2ad9df5c3940  [ParseBody:37]  Attribute 'Service-Type', value: "5"
11.06.2013 14:32:59 VERBOSE     0x2ad9df5c3940  [ParseBody:37]  Attribute 'NAS-IP-Address', value: "1.1.1.5"
11.06.2013 14:32:59 VERBOSE     0x2ad9df5c3940  [ParseBody:37]  Attribute 'Acct-Session-Id', value: "0/1/0/324_0A271F0500004040"
11.06.2013 14:32:59 VERBOSE     0x2ad9df5c3940  [ParseBody:37]  Attribute 'NAS-Identifier', value: "ISG_BRAS_1"
11.06.2013 14:32:59 VERBOSE     0x2ad9df5c3940  [ParseBody:37]  Attribute 'Event-Timestamp', value: "1370943160"

11.06.2013 14:32:59 DEBUG       0x2ad9df5c3940  [AuthenticateFromDB:518]        Auth ISG ok

11.06.2013 14:32:59 VERBOSE     0x2ad9df5c3940  [GetIP:250]     Pool for NAS 1 returned 10.10.10.109, free: 4092, used: 1
11.06.2013 14:32:59 VERBOSE     0x2ad9df5c3940  [GetClientIPAddr:1500]  Client IP/Netmask: 10.10.10.109/255.255.255.255, ANI: ""
11.06.2013 14:32:59 INFO        0x2ad9df5c3940  [RunAuthRequest:495]    Access-Accept, <000402bc0001:0006bcf685bacf40> [1], Session-Id 0/1/0/324_0A271F0500004040
11.06.2013 14:32:59 VERBOSE     0x2ad9df5c3940  [RunAuthRequest:498]    =============== Output attributes dump: ===============
11.06.2013 14:32:59 VERBOSE     0x2ad9df5c3940  [RunAuthRequest:601]    Attribute 'Session-Timeout', value: "86400"
11.06.2013 14:32:59 VERBOSE     0x2ad9df5c3940  [RunAuthRequest:607]    Attribute 'Service-Type', value: "5"
11.06.2013 14:32:59 VERBOSE     0x2ad9df5c3940  [RunAuthRequest:622]    Attribute 'Framed-IP-Address', value: "10.10.10.109"
11.06.2013 14:32:59 VERBOSE     0x2ad9df5c3940  [RunAuthRequest:624]    Attribute 'Framed-IP-Netmask', value: "255.255.255.255"
11.06.2013 14:32:59 VERBOSE     0x2ad9df5c3940  [RunAuthRequest:630]    Attribute 'Class', value: "00000001"
11.06.2013 14:32:59 VERBOSE     0x2ad9df5c3940  [RunAuthRequest:683]    Attribute 'Acct-Interim-Interval', value: "60"
11.06.2013 14:32:59 VERBOSE     0x2ad9df5c3940  [AddAttrs:632]  VSA 'Cisco-AVPair       ', vendor Cisco, value: "accounting-list=ISG-RADIUS"
11.06.2013 14:32:59 VERBOSE     0x2ad9df5c3940  [AddAttrs:632]  Attribute 'Framed-Protocol', value: "1"
11.06.2013 14:32:59 VERBOSE     0x2ad9df5c3940  [AddAttrs:632]  VSA 'Cisco-AVPair       ', vendor Cisco, value: "session-duration=86400"

 

 

Дебаг лог с ASR

.Jun 13 06:39:32.808: SG-DPM: : DHCP IPsess restart ET rc 2, flags 32, st 0
.Jun 13 06:39:32.808: SG-DPM: : No DPM context for ET write, 14
.Jun 13 06:39:34.994: SG-DPM: : getting the context for mac_address = fc75.161f.af65
.Jun 13 06:39:34.994: SG-DPM: : Could not find a dhcp_context for fc75.161f.af65:
.Jun 13 06:39:34.994: SG-DPM: : DHCP input i/f change ET flags 6
.Jun 13 06:39:34.994: SG-DPM: : No DPM context for ET write, 9
.Jun 13 06:39:34.994: DHCPD: Reload workspace interface TenGigabitEthernet0/1/0.324 tableid 0.
.Jun 13 06:39:34.994: DHCPD: tableid for 1.1.2.2 on TenGigabitEthernet0/1/0.324 is 0
.Jun 13 06:39:34.994: DHCPD: client's VPN is .
.Jun 13 06:39:34.994: DHCPD: using received relay info.
.Jun 13 06:39:34.994: DHCPD: Sending notification of DISCOVER:
.Jun 13 06:39:34.994:   DHCPD: htype 1 chaddr fc75.161f.af65
.Jun 13 06:39:34.994:   DHCPD: remote id 0006bcf685bacf40
.Jun 13 06:39:34.994:   DHCPD: circuit id 000402bc0001
.Jun 13 06:39:34.994:   DHCPD: giaddr = 1.1.2.102
.Jun 13 06:39:34.994:   DHCPD: interface = TenGigabitEthernet0/1/0.324
.Jun 13 06:39:34.994:   DHCPD: class id 756468637020302e392e38
.Jun 13 06:39:34.994: SG-DPM: : DHCP Discover notification from client, mac_address = fc75.161f.af65
.Jun 13 06:39:34.994: SG-DPM: : getting the context for mac_address = fc75.161f.af65
.Jun 13 06:39:34.994: SG-DPM: : Could not find a dhcp_context for fc75.161f.af65:
.Jun 13 06:39:34.995: SG-DPM: [3985C31C][fc75.161f.af65]: Sending an ID manager request with key as fc75.161f.af65
.Jun 13 06:39:34.995: SG-DPM: [3985C31C][fc75.161f.af65]: Received reply from Id manager
.Jun 13 06:39:34.995: SG-DPM: [3985C31C][fc75.161f.af65]: No session found in ID manager
.Jun 13 06:39:34.995: SSS PM [41636C64]: Create context 41636C64
.Jun 13 06:39:34.995: SSS PM [41636C64]: Username key not found in set domain key API
.Jun 13 06:39:34.995: SSS PM [41636C64]: Username key not found in set domain key API
.Jun 13 06:39:34.995: SSS PM ERROR: No AAA ID in Policy context
.Jun 13 06:39:34.995: SSS PM [41636C64]: Updated key list:
.Jun 13 06:39:34.995: SSS PM [41636C64]:   Mac-Address = fc75.161f.af65
.Jun 13 06:39:34.995: SSS PM [41636C64]:   Input Interface = "TenGigabitEthernet0/1/0.324"
.Jun 13 06:39:34.995: SSS PM [41636C64]:   Circuit-id = "000402bc0001"
.Jun 13 06:39:34.995: SSS PM [41636C64]:   Remote-id = "0006bcf685bacf40"
.Jun 13 06:39:34.995: SSS PM [41636C64]:   Vendor-Class-id = "udhcp 0.9.8"
.Jun 13 06:39:34.995: SG-DPM: [3985C31C][fc75.161f.af65]: Sending Session start to PM, mac_address = fc75.161f.af65
.Jun 13 06:39:34.995: SSS PM [41636C64]: DHCP Policy invoke - Session-Start
.Jun 13 06:39:34.995: SSS PM [41636C64]: Added sign of life as DHCP
.Jun 13 06:39:34.995: IPSUB: Create session keys from SSS key list
.Jun 13 06:39:34.995: IPSUB: Mac_addr = fc75.161f.af65, Recvd Macaddr = fc75.161f.af65
.Jun 13 06:39:34.995: IPSUB: Session input interface(0x410A6FDC) = TenGigabitEthernet0/1/0.324
.Jun 13 06:39:34.995: IPSUB: Circuit_id = 000402bc0001
.Jun 13 06:39:34.995: IPSUB: Remote_id = 0006bcf685bacf40
.Jun 13 06:39:34.995: IPSUB: Vendor_Class_id = udhcp 0.9.8
.Jun 13 06:39:34.995: SG-DPM: [3985C31C][fc75.161f.af65]: PM invoke ET rc 0, evt Session-Start
.Jun 13 06:39:34.995: SG-DPM: [3985C31C][fc75.161f.af65]: DHCP discover ET rc 0, flags 770
.Jun 13 06:39:34.995: DHCPD: DHCPDISCOVER received from client 01fc.7516.1faf.65 through relay 10.39.32.102.
.Jun 13 06:39:34.996: DHCPD: using received relay info.
.Jun 13 06:39:34.996: DHCPD: Sending notification of DISCOVER:
.Jun 13 06:39:34.996:   DHCPD: htype 1 chaddr fc75.161f.af65
.Jun 13 06:39:34.996:   DHCPD: remote id 0006bcf685bacf40
.Jun 13 06:39:34.996:   DHCPD: circuit id 000402bc0001
.Jun 13 06:39:34.996:   DHCPD: giaddr = 10.39.32.102
.Jun 13 06:39:34.996:   DHCPD: interface = TenGigabitEthernet0/1/0.324
.Jun 13 06:39:34.996:   DHCPD: class id 756468637020302e392e38
.Jun 13 06:39:34.996: SG-DPM: : DHCP Discover notification from client, mac_address = fc75.161f.af65
.Jun 13 06:39:34.996: SG-DPM: : getting the context for mac_address = fc75.161f.af65
.Jun 13 06:39:34.996: SG-DPM: [3985C31C][fc75.161f.af65]: DHCP context found in state 0, previous request in progress...
.Jun 13 06:39:34.996: SG-DPM: [3985C31C][fc75.161f.af65]: DHCP discover ET rc 0, flags 128
.Jun 13 06:39:34.996: SG-DPM: : Request for Classname from client,mac_address = fc75.161f.af65, workspace id = 0x98000585
.Jun 13 06:39:34.996: SG-DPM: : getting the context for mac_address = fc75.161f.af65
.Jun 13 06:39:34.996: SG-DPM: [3985C31C][fc75.161f.af65]: Sending an ID manager request with key as fc75.161f.af65
.Jun 13 06:39:34.996: SG-DPM: [3985C31C][fc75.161f.af65]: Received reply from Id manager
.Jun 13 06:39:34.996: SG-DPM: [3985C31C][fc75.161f.af65]: No session found in ID manager
.Jun 13 06:39:34.996: SG-DPM: [3985C31C][fc75.161f.af65]: DHCP getclass ET rc 9, flags 64
.Jun 13 06:39:34.996: DHCPD: Saving workspace (ID=0x98000585)
.Jun 13 06:39:34.996: DHCPD: New packet workspace 0x418351F0 (ID=0x6F000586)
.Jun 13 06:39:34.996: IPSUB: Try to create a new session
.Jun 13 06:39:34.996: IPSUB: [uid:0] Request to create a new session
.Jun 13 06:39:34.996: IPSUB: [uid:0] Session start event for session
.Jun 13 06:39:34.996: IPSUB: [uid:0] Event session start, state changed from idle to requesting
.Jun 13 06:39:34.996: IPSUB: HA[uid:537]: Session init-notification on Active
.Jun 13 06:39:34.996: IPSUB: HA[uid:537]: Invalid SHDB handle
.Jun 13 06:39:34.996: AAA/BIND(00000F5D): Bind i/f
.Jun 13 06:39:34.997: AAA/BIND(00000F5D): Bind i/f TenGigabitEthernet0/1/0.324
.Jun 13 06:39:34.997: IPSUB: [uid:537] AAA unique ID allocated
.Jun 13 06:39:34.997: IPSUB: [uid:537] Added session fc75.161f.af65 to L2 session table
.Jun 13 06:39:34.997: IPSUB: [uid:537] Added session to session table with access session keys
.Jun 13 06:39:34.997: IPSUB: [uid:537] IP session(0xB1000602) on L2 interface to be associated to Te0/1/0.324, mac fc75.161f.af65
.Jun 13 06:39:34.997: IPSUB: [uid:537] Inserted IP session(0xB1000602) to sessions-per-interface db with interface Te0/1/0.324
.Jun 13 06:39:34.997: SSS INFO: Element type is AccIe-Hdl = 536872450 (20000602)
.Jun 13 06:39:34.997: SSS INFO: Element type is AAA-Id = 3933 (00000F5D)
.Jun 13 06:39:34.997: SSS INFO: Element type is SHDB-Handle = 0 (00000000)
.Jun 13 06:39:34.997: SSS INFO: Element type is PM-Context-Handle = 3472885683 (CF0007B3)
.Jun 13 06:39:34.997: SSS INFO: Element type is IP-Session-Handle = 2969568770 (B1000602)
.Jun 13 06:39:34.997: SSS INFO: Element type is Mac-Address = fc75.161f.af65
.Jun 13 06:39:34.997: SSS INFO: Element type is Circuit-id = "000402bc0001"
.Jun 13 06:39:34.997: SSS INFO: Element type is Remote-id = "0006bcf685bacf40"
.Jun 13 06:39:34.997: SSS INFO: Element type is Vendor-Class-id = "udhcp 0.9.8"
.Jun 13 06:39:34.997: SSS INFO: Element type is Final = 1 (YES)
.Jun 13 06:39:34.997: SSS INFO: Element type is Access-Type = 15 (IP)
.Jun 13 06:39:34.997: SSS INFO: Element type is Protocol-Type = 4 (IP Access Protocol)
.Jun 13 06:39:34.997: SSS INFO: Element type is Media-Type = 2 (IP)
.Jun 13 06:39:34.997: SSS INFO: Element type is Switch-Id = 6044 (0000179C)
.Jun 13 06:39:34.997: SSS INFO: Element type is Segment-Hdl = 6045 (0000179D)
.Jun 13 06:39:34.997: SSS MGR [uid:537]: Sending a Session Assert ID Mgr request
.Jun 13 06:39:34.998: SSS MGR [uid:537]: Updating ID Mgr with the following keys:
 aaa-unique-id        0   3933 (0xF5D)
 clid-mac-addr        0   FC 75 16 1F AF 65
.Jun 13 06:39:34.998: SSS MGR [uid:537]: Updating ID Mgr with the following data:
 circuit-id-tag       0   "000402bc0001"
 remote-id-tag        0   "0006bcf685bacf40"
 vendor-class-id-tag  0   "udhcp 0.9.8"
.Jun 13 06:39:34.998: SSS MGR [uid:537]: ID Mgr returned status: 'success' for Session Assert
.Jun 13 06:39:34.998: SSS MGR [uid:537]: Handling Policy Service Authorize action (1 pending sessions)
.Jun 13 06:39:34.998: SSS PM [uid:537][41636C64]: Username key not found in set domain key API
.Jun 13 06:39:34.998: SSS PM [uid:537][41636C64]: Username key not found in set domain key API
.Jun 13 06:39:34.998: SSS PM [uid:537][41636C64]: Authen status update; is now "unauthen"
.Jun 13 06:39:34.998: SSS PM [uid:537][41636C64]: IDMGR: assert authen status "unauthen"
.Jun 13 06:39:34.998: SSS PM [uid:537][41636C64]: IDMGR:  send event Session Update
.Jun 13 06:39:34.998: SSS PM [uid:537][41636C64]: Updated NAS port for AAA ID 3933
.Jun 13 06:39:34.998: SSS PM [uid:537][41636C64]: IDMGR:  send event Session Update
.Jun 13 06:39:34.998: SSS PM [uid:537][41636C64]: Client block is NULL in get client block with handle CF0007B3
.Jun 13 06:39:34.998: SSS PM [uid:537][41636C64]: Client block is NULL in get client block with handle CF0007B3
.Jun 13 06:39:34.998: SSS PM [uid:537][41636C64]: Updated key list:
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]:   SHDB-Handle = 0 (00000000)
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]:   PM-Context-Handle = 3472885683 (CF0007B3)
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]:   IP-Session-Handle = 2969568770 (B1000602)
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]:   Mac-Address = fc75.161f.af65
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]:   Circuit-id = "000402bc0001"
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]:   Remote-id = "0006bcf685bacf40"
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]:   Vendor-Class-id = "udhcp 0.9.8"
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]:   Final = 1 (YES)
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]:   Access-Type = 15 (IP)
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]:   Protocol-Type = 4 (IP Access Protocol)
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]:   Media-Type = 2 (IP)
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]:   Input Interface = "TenGigabitEthernet0/1/0.324"
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]:   Sign-Of-Life = 2 (00000002)
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]:   Authen-Status = 1 (Unauthenticated)
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]:   Nasport = PPPoEoVLAN: slot 0 adapter 1 port 0 sub-interface 324 IP 0.0.0.0 VPI 0 VCI 0 VLAN 324
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]: Username key not found in set domain key API
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]: Username key not found in set domain key API
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]: Client block is NULL in get client block with handle CF0007B3
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]: Client block is NULL in get client block with handle CF0007B3
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]: Updated key list:
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]:   SHDB-Handle = 0 (00000000)
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]:   PM-Context-Handle = 3472885683 (CF0007B3)
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]:   IP-Session-Handle = 2969568770 (B1000602)
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]:   Mac-Address = fc75.161f.af65
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]:   Circuit-id = "000402bc0001"
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]:   Remote-id = "0006bcf685bacf40"
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]:   Vendor-Class-id = "udhcp 0.9.8"
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]:   Final = 1 (YES)
.Jun 13 06:39:34.999: SSS PM [uid:537][41636C64]:   Access-Type = 15 (IP)
.Jun 13 06:39:35.000: SSS PM [uid:537][41636C64]:   Protocol-Type = 4 (IP Access Protocol)
.Jun 13 06:39:35.000: SSS PM [uid:537][41636C64]:   Media-Type = 2 (IP)
.Jun 13 06:39:35.000: SSS PM [uid:537][41636C64]:   Input Interface = "TenGigabitEthernet0/1/0.324"
.Jun 13 06:39:35.000: SSS PM [uid:537][41636C64]:   Sign-Of-Life = 2 (00000002)
.Jun 13 06:39:35.000: SSS PM [uid:537][41636C64]:   Authen-Status = 1 (Unauthenticated)
.Jun 13 06:39:35.000: SSS PM [uid:537][41636C64]:   Nasport = PPPoEoVLAN: slot 0 adapter 1 port 0 sub-interface 324 IP 0.0.0.0 VPI 0 VCI 0 VLAN 324
.Jun 13 06:39:35.000: SSS PM [uid:537][41636C64]:   Session-Handle = 4143975504 (F7000C50)
.Jun 13 06:39:35.000: SSS PM [uid:537][41636C64]: SM Policy invoke - Service Selection Request
.Jun 13 06:39:35.000: SSS PM [uid:537][41636C64]: Access type IP
.Jun 13 06:39:35.000: SSS PM [uid:537][41636C64]: Access type IP: final key
.Jun 13 06:39:35.000: SSS PM [uid:537][41636C64]: RULE: Looking for a rule for event session-start
.Jun 13 06:39:35.000: SSS PM [uid:537][41636C64]: RULE:  Intf CloneSrc Te0/1/0.324: service-rule any: ISG-TEST
.Jun 13 06:39:35.000: SSS PM [uid:537][41636C64]: RULE:   Evaluate "ISG-TEST" for session-start
.Jun 13 06:39:35.000: SSS PM [uid:537][41636C64]: RULE:    Matched "ISG-TEST/always event session-start"
.Jun 13 06:39:35.000: SSS PM [uid:537][41636C64]: RULE:    Matched "ISG-TEST/always event session-start/10 service-policy type service name SERVICE-TEST"
.Jun 13 06:39:35.000: SSS PM [uid:537][41636C64]: RULE[0]: Start
.Jun 13 06:39:35.000: SSS PM [uid:537][41636C64]: RULE[0]: ISG-TEST/always event session-start/10 service-policy type service name SERVICE-TEST
.Jun 13 06:39:35.000: SSS PM CCM:  Unable to retrieve SHDB handle
.Jun 13 06:39:35.000: SSS PM [41636A2C]: Create context 41636A2C
.Jun 13 06:39:35.000: SSS PM [41636A2C]: key lists to append are empty
.Jun 13 06:39:35.000: SSS PM [41636A2C]: Username key not found in set domain key API
.Jun 13 06:39:35.000: SSS PM [41636A2C]: Username key not found in set domain key API
.Jun 13 06:39:35.000: SSS PM [41636A2C]: Authen status update; is now "unauthen"
.Jun 13 06:39:35.000: SSS PM [41636A2C]: IDMGR: assert authen status "unauthen"
.Jun 13 06:39:35.000: SSS PM [41636A2C]: Authen status should not be updated from a child policy context
.Jun 13 06:39:35.000: SSS PM [41636A2C]: Did not update authen status to IDMGR
.Jun 13 06:39:35.000: SSS PM [41636A2C]: Updated NAS port for AAA ID 3933
.Jun 13 06:39:35.000: SSS PM [41636A2C]: IDMGR:  send event Session Update
.Jun 13 06:39:35.000: SSS PM [41636A2C]: Client block is NULL in get client block with handle F90007B5
.Jun 13 06:39:35.001: SSS PM [uid:537][41636C64]: Client block is NULL in get client block with handle CF0007B3
.Jun 13 06:39:35.001: SSS PM [41636A2C]: Updated key list:
.Jun 13 06:39:35.001: SSS PM [41636A2C]:   Authen-Status = 1 (Unauthenticated)
.Jun 13 06:39:35.001: SSS PM [41636A2C]:   Nasport = PPPoEoVLAN: slot 0 adapter 1 port 0 sub-interface 324 IP 0.0.0.0 VPI 0 VCI 0 VLAN 324
.Jun 13 06:39:35.001: SSS PM [41636A2C]:   Session-Handle = 4143975504 (F7000C50)
.Jun 13 06:39:35.001: SSS PM [uid:537][41636C64]: RULE[0]: This service SERVICE-TEST is marked as not cancelled
.Jun 13 06:39:35.001: SSS PM [uid:537][41636C64]: State: initial-req to check-auth-needed
.Jun 13 06:39:35.001: SSS PM [uid:537][41636C64]: Event <send auth>, State: check-auth-needed to authorizing
.Jun 13 06:39:35.001: SSS PM [uid:537][41636C64]: Handling AAA service Authorization
.Jun 13 06:39:35.001: SSS PM [uid:537][41636C64]: Sending AAA request for 'SERVICE-TEST'
.Jun 13 06:39:35.001: SVM [sERVICE-TEST]: needs downloading
.Jun 13 06:39:35.001: SSS PM [uid:537][41636C64]: service "SERVICE-TEST" not in cache; needs download
.Jun 13 06:39:35.001: SVM [CB0008B7/SERVICE-TEST]: allocated version 1
.Jun 13 06:39:35.001: SVM [CB0008B7/SERVICE-TEST]: [CF0007B3]: client queued
.Jun 13 06:39:35.001: SVM [CB0008B7/SERVICE-TEST]: [PM-Download:CF0007B3] locked 0->1
.Jun 13 06:39:35.001: SSS PM [uid:537][41636C64]: download required
.Jun 13 06:39:35.001: SVM [CB0008B7/SERVICE-TEST]: [AAA-Download:412E8A58] locked 0->1
.Jun 13 06:39:35.001: SSS AAA AUTHOR [uid:537]: Root SIP IP
.Jun 13 06:39:35.001: SSS AAA AUTHOR [uid:537]:  Enable IP parsing
.Jun 13 06:39:35.001: SSS PM [uid:537][41636C64]: ACTIVE HANDLE[0]: Snapshot captured in Active context
.Jun 13 06:39:35.001: SSS PM [uid:537][41636C64]: ACTIVE HANDLE[0]: Active context created
.Jun 13 06:39:35.001: SSS AAA AUTHOR [uid:537]: Event <make request>, state changed from idle to authorizing
.Jun 13 06:39:35.001: SSS AAA AUTHOR [uid:537]: Active key set to Apply-Service
.Jun 13 06:39:35.001: SSS AAA AUTHOR [uid:537]: Authorizing key SERVICE-TEST
.Jun 13 06:39:35.001: AAA/AUTHOR (0xF5D): Pick method list 'default'
.Jun 13 06:39:35.001: SSS AAA AUTHOR [uid:537]: Set authorization profile type to service
.Jun 13 06:39:35.002: SSS AAA AUTHOR [uid:537]: AAA request sent for key SERVICE-TEST
.Jun 13 06:39:35.002: SSS PM [uid:537][41636C64]: RULE[0]: Downloading service "SERVICE-TEST"
.Jun 13 06:39:35.002: SSS PM [uid:537][41636C64]: RULE[1]: Start
.Jun 13 06:39:35.016: %FMANFP-6-IPACCESSLOGP: F0: fman_fp_image:  list test-acl permitted udp 10.39.32.102(68) -> 10.39.32.2(67), 1 packet
.Jun 13 06:39:35.003: SSS AAA AUTHOR [uid:537]: Received an AAA pass
.Jun 13 06:39:35.003: SSS AAA AUTHOR [uid:537]: Could not parse AAA interim interval
.Jun 13 06:39:35.003: SSS PM: PARAMETERIZED-QoS: QOS parameters
.Jun 13 06:39:35.003: SSS PM [uid:537][41636C64]: RULE: VRF Parsing routine:
 password             0   <hidden>
 username             0   "SERVICE-TEST"
 clid-mac-addr        0   FC 75 16 1F AF 65
 classname            0   "DHCP-CLASS-ISG-POOL"
 traffic-class        0   "input access-group name ACL-TRUSTED priority 1"
 traffic-class        0   "output access-group name ACL-TRUSTED priority 1"
 traffic-class        0   "input default drop"
.Jun 13 06:39:35.003: SSS PM: VPDN is not enabled
.Jun 13 06:39:35.004: SVM [CB0008B7/SERVICE-TEST]: Set class ids: 3364.3365
.Jun 13 06:39:35.004: SSS AAA AUTHOR [uid:537]: SIP Root parser not installed
.Jun 13 06:39:35.004: IPSUB: [uid:537] IP session context 0x41656EBC available to authorize
.Jun 13 06:39:35.004: IPSUB-VRFSET: [uid:537] Entered allocate feature info
.Jun 13 06:39:35.004: IPSUB-VRFSET: [uid:537] Allocated sg vrfset info 0x41625E04
.Jun 13 06:39:35.004: IPSUB-VRFSET: [uid:537] Freeing the sg vrfset info 0x41625E04
.Jun 13 06:39:35.004: SSS AAA AUTHOR [uid:537]: SIP IP[12C4047C] parsed as Ignore
.Jun 13 06:39:35.004: SSS AAA AUTHOR [uid:537]: Event <service not found>, state changed from authorizing to complete
.Jun 13 06:39:35.004: SSS AAA AUTHOR [uid:537]: No service authorization info found
.Jun 13 06:39:35.004: SSS AAA AUTHOR [uid:537]: Active Handle present - F5000DAE
.Jun 13 06:39:35.004: SSS PM [uid:537][41636C64]: Attr list is NULL, apply config handle [0] not reset
.Jun 13 06:39:35.004: SSS PM [uid:537][41636C64]: ACTIVE HANDLE[0]: Snapshot reverted from Active context to policy context
.Jun 13 06:39:35.004: SSS AAA AUTHOR [uid:537]: Freeing Active Handle; SSS Policy Context Handle = CF0007B3
.Jun 13 06:39:35.004: SSS PM [uid:537][41636C64]: ACTIVE HANDLE[2829]: Released active handle
.Jun 13 06:39:35.005: SSS PM [416367F4]: Create context 416367F4
.Jun 13 06:39:35.005: SSS PM: PROFILE-DB: is profile "SERVICE-TEST" in DB
.Jun 13 06:39:35.005: SSS PM: PROFILE-DB:  Computed hash value = 3756078478
.Jun 13 06:39:35.005: SSS PM: PROFILE-DB:  No, add new list
.Jun 13 06:39:35.005: SSS PM: PROFILE-DB:   create "SERVICE-TEST"
.Jun 13 06:39:35.005: SSS PM: PROFILE-DB:    create "SERVICE-TEST"/4174A19C hdl 1D0014BE ref 1
.Jun 13 06:39:35.005: SVM [CB0008B7/SERVICE-TEST]: downloaded first version
.Jun 13 06:39:35.005: SSS AAA AUTHOR [uid:537]: SVM download for "SERVICE-TEST" ok
.Jun 13 06:39:35.005: SVM [CB0008B7/SERVICE-TEST]: [CF0007B3]: client download ok
.Jun 13 06:39:35.005: SVM [CB0008B7/SERVICE-TEST]: [sVM-to-client-msg:CF0007B3] locked 0->1
.Jun 13 06:39:35.005: SVM [CB0008B7/SERVICE-TEST]: [AAA-Download:412E8A58] unlocked 1->0
.Jun 13 06:39:35.005: SSS AAA AUTHOR [uid:537]: Event <free request>, state changed from complete to terminal
.Jun 13 06:39:35.005: SSS AAA AUTHOR [uid:537]: Cancel request
.Jun 13 06:39:35.005: SSS PM [416367F4]: Destroy context 416367F4
.Jun 13 06:39:35.005: SSS PM: [PARAMETERIZED-QoS]: In removed_from_rbpl_ctx_temp_hold for policy handle[AB0007B4
.Jun 13 06:39:35.005: SSS PM: [PARAMETERIZED-QoS]: No rabapol context created yet for handle [AB0007B4], nothing to return
.Jun 13 06:39:35.005: COA_CCM: [sESSION FREE] Policy ctx: 0x416367F4
.Jun 13 06:39:35.005: COA_CCM: Free session - Ignoring policy context 0x416367F4 (not our session)
.Jun 13 06:39:35.005: SSS PM CCM:  [sESSION FREE] policy ctx: 0x416367F4
.Jun 13 06:39:35.005: SSS PM CCM:  [ERR] Free session - Ignoring policy context 0x416367F4 (not our HA session)
.Jun 13 06:39:35.005: SSS PM [416367F4]: PROFILE: destroy all config
.Jun 13 06:39:35.005: SSS PM [416367F4]: SSS PM: destroy all user profile info from policy context
.Jun 13 06:39:35.005: SSS PM [uid:537][41636C64]: SVM service download success
.Jun 13 06:39:35.005: SSS PM [uid:537][41636C64]: download completed for "SERVICE-TEST" version 1
.Jun 13 06:39:35.005: SVM [CB0008B7/SERVICE-TEST]: alloc feature info
.Jun 13 06:39:35.005: SVM [CB0008B7/SERVICE-TEST]: [sVM-Feature-Info:410F9FB8] locked 0->1
.Jun 13 06:39:35.005: SVM [CB0008B7/SERVICE-TEST]: has Policy info
.Jun 13 06:39:35.006: SVM [CB0008B7/SERVICE-TEST]: [PM-Info:417458A0] locked 0->1
.Jun 13 06:39:35.006: SVM [CB0008B7/SERVICE-TEST]: has Policy info
.Jun 13 06:39:35.006: SSS PM [uid:537][41636C64]: PROFILE: store profile "SERVICE-TEST"
.Jun 13 06:39:35.006: SSS PM: PROFILE-DB:   incremented ref "SERVICE-TEST"/4174A19C hdl 1D0014BE ref 2
.Jun 13 06:39:35.006: SSS PM [uid:537][41636C64]: PROFILE:  create 4174C2C8, ref 1
.Jun 13 06:39:35.006: SVM [CB0008B7/SERVICE-TEST]: populated client
.Jun 13 06:39:35.006: SVM [CB0008B7/SERVICE-TEST]: [PM-Download:CF0007B3] unlocked 1->0
.Jun 13 06:39:35.006: SVM [CB0008B7/SERVICE-TEST]: [sVM-to-client-msg:CF0007B3] unlocked 1->0
.Jun 13 06:39:35.006: SSS PM [uid:537][41636C64]: RULE: VRF Check: session logging off or not VRF dependent
.Jun 13 06:39:35.006: SSS PM [uid:537][41636C64]: Handling Author Not Found Event
.Jun 13 06:39:35.006: SSS PM [uid:537][41636C64]: Feature info: 410F9FB8 Type: Service Config
.Jun 13 06:39:35.006: SSS PM [uid:537][41636C64]:             : Config level: Service Profile
.Jun 13 06:39:35.006: SSS PM [uid:537][41636C64]:             : IDB type: Sub-if or not required
.Jun 13 06:39:35.006: SSS PM [uid:537][41636C64]:             : 12 bytes:
SSS PM [uid:537][41636C64]:             : Data: 000000 00 00 CB 00 08 B7 00 00  ........
SSS PM [uid:537][41636C64]:             : Data: 000008 00 00 F9 00              ....
.Jun 13 06:39:35.006: SSS PM [uid:537][41636C64]: Copying class name DHCP-CLASS-ISG-POOL to Parent policy context=41636C64 from child policy context=41636C64.
.Jun 13 06:39:35.006: SSS PM [uid:537][41636C64]: Service starting
.Jun 13 06:39:35.006: SSS PM [uid:537][41636C64]: SERVICE [sERVICE-TEST]: Parent 41636C64 (same as session)
.Jun 13 06:39:35.006: SVM [CB0008B7/SERVICE-TEST]: [PM-Service:41750384] locked 0->1
.Jun 13 06:39:35.006: SG-DPM: [3985C31C][fc75.161f.af65]: pre-processing classname DHCP-CLASS-ISG-POOL and VRF info  during service logon
.Jun 13 06:39:35.006: SG-DPM: [3985C31C][fc75.161f.af65]: Set default classname DHCP-CLASS-ISG-POOL
.Jun 13 06:39:35.006: SG-DPM: [3985C31C][fc75.161f.af65]: Set default VRF ID NULL
.Jun 13 06:39:35.006: SG-DPM: [3985C31C][fc75.161f.af65]: PM callback ET rc 0, flags 525312, evt Pre Process Service Logon
.Jun 13 06:39:35.006: SSS PM [uid:537][41636C64]: SERVICE [sERVICE-TEST]: Start-pending request: Ok
.Jun 13 06:39:35.006: SSS PM [uid:537][41636C64]: Event <srvf not found>, State: authorizing to check-auth-needed
.Jun 13 06:39:35.006: SSS PM [uid:537][41636C64]: Handling Next Authorization Check
.Jun 13 06:39:35.006: SSS PM [uid:537][41636C64]: RULE[0]: Continue
.Jun 13 06:39:35.006: SSS PM [uid:537][41636C64]: RULE[0]: ISG-TEST/always event session-start/10 service-policy type service name SERVICE-TEST
.Jun 13 06:39:35.007: SSS PM [uid:537][41636C64]: RULE[1]: Continue
.Jun 13 06:39:35.007: SSS PM [uid:537][41636C64]: RULE[1]: ISG-TEST/always event session-start/20 authorize aaa list ISG-AUTHOR identifier circuit-id:remote-id
.Jun 13 06:39:35.007: SSS PM [uid:537][41636C64]: RULE[1]: Using author method AAA service
.Jun 13 06:39:35.007: SSS PM [uid:537][41636C64]: State: check-auth-needed to initial-req
.Jun 13 06:39:35.007: SSS PM [uid:537][41636C64]: RULE[1]: Have key combo_keys
.Jun 13 06:39:35.007: SSS PM [uid:537][41636C64]: State: initial-req to check-auth-needed
.Jun 13 06:39:35.007: SSS PM [uid:537][41636C64]: RULE[1]: Using key combo_keys
.Jun 13 06:39:35.007: SSS PM CCM:  Unable to retrieve SHDB handle
.Jun 13 06:39:35.007: SSS PM [uid:537][41636C64]: RULE[2]: Continue
.Jun 13 06:39:35.007: SSS PM [uid:537][41636C64]: RULE[2]: ISG-TEST/always event session-start/20 authorize aaa list ISG-AUTHOR identifier circuit-id:remote-id
.Jun 13 06:39:35.007: SSS PM [uid:537][41636C64]: Event <send auth>, State: check-auth-needed to authorizing
.Jun 13 06:39:35.007: SSS PM [uid:537][41636C64]: Handling AAA service Authorization
.Jun 13 06:39:35.007: SSS PM [uid:537][41636C64]: Sending AAA request for '000402bc0001:0006bcf685bacf40'
.Jun 13 06:39:35.007: SSS PM [uid:537][41636C64]: SSS PM: Allocating per-user profile info
.Jun 13 06:39:35.007: SSS PM [uid:537][41636C64]: SSS PM: Add per-user profile info to policy context
.Jun 13 06:39:35.007: SSS AAA AUTHOR [uid:537]: using named author method list "ISG-AUTHOR"
.Jun 13 06:39:35.007: SSS AAA AUTHOR [uid:537]: using set aaa password "cisco"
.Jun 13 06:39:35.007: SSS AAA AUTHOR [uid:537]: Root SIP IP
.Jun 13 06:39:35.007: SSS AAA AUTHOR [uid:537]:  Enable IP parsing
.Jun 13 06:39:35.007: SSS PM [uid:537][41636C64]: ACTIVE HANDLE[0]: Snapshot captured in Active context
.Jun 13 06:39:35.007: SSS PM [uid:537][41636C64]: ACTIVE HANDLE[0]: Active context created
.Jun 13 06:39:35.007: SSS AAA AUTHOR [uid:537]: Event <make request>, state changed from idle to authorizing
.Jun 13 06:39:35.007: SSS AAA AUTHOR [uid:537]: Active key set to combo_keys
.Jun 13 06:39:35.007: SSS AAA AUTHOR [uid:537]: Authorizing key 000402bc0001:0006bcf685bacf40
.Jun 13 06:39:35.007: AAA/AUTHOR (0xF5D): Pick method list 'ISG-AUTHOR'
.Jun 13 06:39:35.007: SSS AAA AUTHOR [uid:537]: Set authorization profile type default -  user
.Jun 13 06:39:35.008: SSS AAA AUTHOR [uid:537]: AAA request sent for key 000402bc0001:0006bcf685bacf40
.Jun 13 06:39:35.008: RADIUS/ENCODE(00000F5D):Orig. component type = Iedge IP SIP
.Jun 13 06:39:35.008: RADIUS/ENCODE(00000F5D): Unsupported AAA attribute clid-mac-addr
.Jun 13 06:39:35.008: RADIUS/ENCODE: NAS PORT sending disabled
.Jun 13 06:39:35.008: RADIUS(00000F5D): Config NAS IP: 1.1.1.5
.Jun 13 06:39:35.008: RADIUS(00000F5D): Config NAS IPv6: ::
.Jun 13 06:39:35.008: RADIUS/ENCODE(00000F5D): acct_session_id: 16972
.Jun 13 06:39:35.008: RADIUS(00000F5D): Config NAS IP: 1.1.1.5
.Jun 13 06:39:35.008: RADIUS(00000F5D): sending
.Jun 13 06:39:35.008: RADIUS(00000F5D): Sending a IPv4 Radius Packet
.Jun 13 06:39:35.008: RADIUS(00000F5D): Send Access-Request to 1.1.1.2:1814 id 1645/191, len 263
.Jun 13 06:39:35.008: RADIUS:  authenticator 5C FE 24 4B D6 28 A6 12 - F6 D2 65 19 96 41 22 44
.Jun 13 06:39:35.008: RADIUS:  User-Name           [1]   31  "000402bc0001:0006bcf685bacf40"
.Jun 13 06:39:35.008: RADIUS:  User-Password       [2]   18  *
.Jun 13 06:39:35.008: RADIUS:  NAS-Port-Type       [61]  6   PPPoEoVLAN                [33]
.Jun 13 06:39:35.008: RADIUS:  Vendor, Cisco       [26]  17
.Jun 13 06:39:35.008: RADIUS:   cisco-nas-port     [2]   11  "0/1/0/324"
.Jun 13 06:39:35.009: RADIUS:  NAS-Port-Id         [87]  11  "0/1/0/324"
.Jun 13 06:39:35.009: RADIUS:  Vendor, Cisco       [26]  35
.Jun 13 06:39:35.009: RADIUS:   Cisco AVpair       [1]   29  "circuit-id-tag=000402bc0001"
.Jun 13 06:39:35.009: RADIUS:  Vendor, Cisco       [26]  38
.Jun 13 06:39:35.009: RADIUS:   Cisco AVpair       [1]   32  "remote-id-tag=0006bcf685bacf40"
.Jun 13 06:39:35.009: RADIUS:  Vendor, Cisco       [26]  39
.Jun 13 06:39:35.009: RADIUS:   Cisco AVpair       [1]   33  "vendor-class-id-tag=udhcp 0.9.8"
.Jun 13 06:39:35.009: RADIUS:  Service-Type        [6]   6   Outbound                  [5]
.Jun 13 06:39:35.009: RADIUS:  NAS-IP-Address      [4]   6   1.1.1.5
.Jun 13 06:39:35.009: RADIUS:  Acct-Session-Id     [44]  18  "0A271F050000424C"
.Jun 13 06:39:35.009: RADIUS:  Nas-Identifier      [32]  12  "ISG_BRAS_1"
.Jun 13 06:39:35.009: RADIUS:  Event-Timestamp     [55]  6   1371105575
.Jun 13 06:39:35.009: RADIUS(00000F5D): Started 5 sec timeout
.Jun 13 06:39:35.020: RADIUS: Received from id 1645/191 1.1.1.2:1814, Access-Accept, len 130
.Jun 13 06:39:35.020: RADIUS:  authenticator E2 FE EE EA 09 BC 3D 9A - E7 01 F4 E5 58 FD C6 63
.Jun 13 06:39:35.020: RADIUS:  Session-Timeout     [27]  6   86400
.Jun 13 06:39:35.020: RADIUS:  Service-Type        [6]   6   Outbound                  [5]
.Jun 13 06:39:35.020: RADIUS:  Framed-IP-Address   [8]   6   10.10.10.109
.Jun 13 06:39:35.020: RADIUS:  Framed-IP-Netmask   [9]   6   255.255.255.255
.Jun 13 06:39:35.020: RADIUS:  Class               [25]  10
.Jun 13 06:39:35.020: RADIUS:   30 30 30 30 30 30 30 31          [ 00000001]
.Jun 13 06:39:35.020: RADIUS:  Acct-Interim-Interva[85]  6   60
.Jun 13 06:39:35.020: RADIUS:  Vendor, Cisco       [26]  34
.Jun 13 06:39:35.020: RADIUS:   Cisco AVpair       [1]   28  "accounting-list=ISG-RADIUS"
.Jun 13 06:39:35.021: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
.Jun 13 06:39:35.021: RADIUS:  Vendor, Cisco       [26]  30
.Jun 13 06:39:35.021: RADIUS:   Cisco AVpair       [1]   24  "session-duration=86400"
.Jun 13 06:39:35.021: RADIUS(00000F5D): Received from id 1645/191
.Jun 13 06:39:35.021: SSS AAA AUTHOR [uid:537]: TAL authorisation keys added
.Jun 13 06:39:35.021: SSS AAA AUTHOR [uid:537]: Received an AAA pass
.Jun 13 06:39:35.021: SSS AAA AUTHOR [uid:537]: Parsed AAA interim interval = 60
.Jun 13 06:39:35.021: SSS PM: PARAMETERIZED-QoS: QOS parameters
.Jun 13 06:39:35.021: SSS PM [uid:537][41636C64]: RULE: VRF Parsing routine:
 timeout              0   86400 (0x15180)
 service-type         0   5 [Outbound]
 addr                 0   10.10.10.109
 netmask              0   255.255.255.255
 accounting-list      0   "ISG-RADIUS"
 Framed-Protocol      0   1 [PPP]
 session-duration     0   86400 (0x15180)
.Jun 13 06:39:35.021: SSS PM: VPDN is not enabled
.Jun 13 06:39:35.022: SSS AAA AUTHOR [uid:537]: SIP Root parser not installed
.Jun 13 06:39:35.022: IPSUB: [uid:537] IP session context 0x41656EBC available to authorize
.Jun 13 06:39:35.022: IPSUB-VRFSET: [uid:537] Entered allocate feature info
.Jun 13 06:39:35.022: IPSUB-VRFSET: [uid:537] Allocated sg vrfset info 0x41625E04
.Jun 13 06:39:35.022: IPSUB-VRFSET: [uid:537] Freeing the sg vrfset info 0x41625E04
.Jun 13 06:39:35.022: IPSUB: [uid:537] IPSIP Parsing HostIP: 10.10.10.109 SubnetMask= 255.255.255.255
.Jun 13 06:39:35.022: SSS AAA AUTHOR [uid:537]: SIP IP[12C4047C] parsed as Success
.Jun 13 06:39:35.022: SSS AAA AUTHOR [uid:537]: Event <service not found>, state changed from authorizing to complete
.Jun 13 06:39:35.022: SSS AAA AUTHOR [uid:537]: No service authorization info found
.Jun 13 06:39:35.022: SSS AAA AUTHOR [uid:537]: Active Handle present - 8F000DAF
.Jun 13 06:39:35.022: SSS PM [uid:537][41636C64]: Attr list is NULL, apply config handle [0] not reset
.Jun 13 06:39:35.032: IPSUB-ROUTE: [uid:537] SG SUBRTE context is not present
.Jun 13 06:39:35.032: IPSUB: [uid:537] Removed session from session table with access session keys
.Jun 13 06:39:35.032: IPSUB: [uid:537] Removed session from session table with service session keys
.Jun 13 06:39:35.032: IPSUB: [uid:537] Deleted session(0xB1000602) from sessions per interface db with intf: Te0/1/0.324
.Jun 13 06:39:35.033: SSS PM ERROR:
SSS PM: Policy Mgr handle [CF0007B3] destroyed already

 

И так по кругу долбится клиент.

 

буду очень признателен за помощь.

[lumenok]

.Jun 13 06:39:35.022: SSS AAA AUTHOR [uid:537]: Event <service not found>, state changed from authorizing to complete
.Jun 13 06:39:35.022: SSS AAA AUTHOR [uid:537]: No service authorization info found

Смущает это сообщение про сервис, может не посылать его?

[delphivcl]

Вот нашел похожую тему http://forum.nag.ru/forum/index.php?showtopic=73030 но без ответа. похожая ситуация когда сессию рвет.

На счет сервиса убрал 10 service-policy type service name SERVICE-TEST, но все тоже самое или я не правильно понял что посылать.

[delphivcl]

Нашел один косяк на ASR, поправил:

 

Добавилось в дебаге вот это. но результат такой же, сессии нет идет повторный реконнект, а биллинг говорит что уже "уже подключен" и начинает реджектить повторные попытки:

.Jun 13 09:30:17.300: SSS PM [uid:671][41636C64]: RULE: VRF Parsing routine:
 timeout              0   86400 (0x15180)
 service-type         0   5 [Outbound]
 addr                 0   10.10.10.109
 netmask              0   255.255.255.255
 accounting-list      0   "ISG-RADIUS"
 Framed-Protocol      0   1 [PPP]
 session-duration     0   86400 (0x15180)
.Jun 13 09:30:17.300: SSS PM: VPDN is not enabled
.Jun 13 09:30:17.300: SSS AAA AUTHOR [uid:671]: SIP Root parser not installed
.Jun 13 09:30:17.300: IPSUB: [uid:671] IP session context 0x41656EBC available to authorize
.Jun 13 09:30:17.300: IPSUB-VRFSET: [uid:671] Entered allocate feature info
.Jun 13 09:30:17.300: IPSUB-VRFSET: [uid:671] Allocated sg vrfset info 0x41625E04
.Jun 13 09:30:17.300: IPSUB-VRFSET: [uid:671] Freeing the sg vrfset info 0x41625E04
.Jun 13 09:30:17.300: IPSUB: [uid:671] IPSIP Parsing HostIP: 10.10.10.109 SubnetMask= 255.255.255.255
.Jun 13 09:30:17.300: SSS AAA AUTHOR [uid:671]: SIP IP[12C4047C] parsed as Success
.Jun 13 09:30:17.300: SSS AAA AUTHOR [uid:671]: Event <service not found>, state changed from authorizing to complete
.Jun 13 09:30:17.300: SSS AAA AUTHOR [uid:671]: No service authorization info found
.Jun 13 09:30:17.301: SSS AAA AUTHOR [uid:671]: Active Handle present - 91000EC8
.Jun 13 09:30:17.301: SSS PM [uid:671][41636C64]: Attr list is NULL, apply config handle [0] not reset
.Jun 13 09:30:17.301: SSS PM [uid:671][41636C64]: ACTIVE HANDLE[0]: Snapshot reverted from Active context to policy context
.Jun 13 09:30:17.301: SSS AAA AUTHOR [uid:671]: Freeing Active Handle; SSS Policy Context Handle = 34000992
.Jun 13 09:30:17.301: SSS PM [uid:671][41636C64]: ACTIVE HANDLE[2829]: Released active handle
.Jun 13 09:30:17.301: SSS PM [uid:671][41636C64]: PROFILE: store profile "000402bc0001:0006bcf685bacf40"
.Jun 13 09:30:17.301: SSS PM: PROFILE-DB: is profile "000402bc0001:0006bcf685bacf40" in DB
.Jun 13 09:30:17.301: SSS PM: PROFILE-DB:  Computed hash value = 1694396053
.Jun 13 09:30:17.301: SSS PM: PROFILE-DB:  No, add new list
.Jun 13 09:30:17.301: SSS PM: PROFILE-DB:   create "000402bc0001:0006bcf685bacf40"
.Jun 13 09:30:17.301: SSS PM: PROFILE-DB:    create "000402bc0001:0006bcf685bacf40"/4174A1BC hdl 6D001B61 ref 1
.Jun 13 09:30:17.301: SSS PM [uid:671][41636C64]: PROFILE:  create 4174C2B0, ref 1
.Jun 13 09:30:17.301: SSS AAA AUTHOR [uid:671]: Event <free request>, state changed from complete to terminal
.Jun 13 09:30:17.301: SSS AAA AUTHOR [uid:671]: Cancel request
.Jun 13 09:30:17.311: IPSUB-ROUTE: [uid:671] SG SUBRTE context is not present
.Jun 13 09:30:17.311: IPSUB: [uid:671] Removed session from session table with access session keys
.Jun 13 09:30:17.311: IPSUB: [uid:671] Removed session from session table with service session keys
.Jun 13 09:30:17.311: IPSUB: [uid:671] Deleted session(0xF9000688) from sessions per interface db with intf: Te0/1/0.324
.Jun 13 09:30:17.311: SSS PM ERROR:
SSS PM: Policy Mgr handle [34000992] destroyed already
.Jun 13 09:30:17.311: SSS PM: Invalid Policy Handle pointed to by Policy Message

 

 

При IPoE Framed-Protocol = PPP ?

[lumenok]

я вот что вычитал

6

Service-Type

Indicates the type of service requested or the type of service to be provided.

•In a request:

Framed for known PPP or SLIP connection.
Administrative-user for enable command.

•In response:

Login—Make a connection.
Framed—Start SLIP or PPP.
Administrative User—Start an EXEC or enable ok.

Exec User—Start an EXEC session.

Service type is indicated by a particular numeric value as follows:

•1: Login

•2: Framed

•3: Callback-Login

•4: Callback-Framed

•5: Outbound

•6: Administrative

•7: NAS-Prompt

•8: Authenticate Only

•9: Callback-NAS-Prompt

 

Попробуйте не посылать атрибут service-type или шлите тогда еще Framed-Protocol = PPP

[NikAlexAn]

Вроде ж IPoE - зачем PPP то?

На сайте ланбиллинга есть примеры - посмотрите внимательно. Особенно те где нет PPP.

Пример для SE100 тоже посмотрите.

В версии 2.0 есть встроенный DHCP c поддержкой opt82 - гляньте примеры.

 

Ответ от DHCP сервера то клиенту идёт хоть какой то?

[delphivcl]

Сутки не мог ответить из-за ограничений форума.

 

Так именно все там и смотрели, пока не уперлись в непонятно что.

именно 2.0 версия ЛБ и стоит, DHCP с opt82 поднят. Про SE100 почитали и проверили все.

Приходит запрос, уходит ответ с выделенным адресом и тишина на цыске. В логе я привел что шлет ЛБ

 

 

.Jun 13 06:39:35.021: SSS PM [uid:537][41636C64]: RULE: VRF Parsing routine:
 timeout              0   86400 (0x15180)
 service-type         0   5 [Outbound]
[b]  addr                 0   10.10.10.109[/b]
 netmask              0   255.255.255.255
 accounting-list      0   "ISG-RADIUS"
 Framed-Protocol      0   1 [PPP]
 session-duration     0   86400 (0x15180)

 

Ответ от DHCP сервера к клиенту не доходит.

Изменено 14 июня, 2013 пользователем delphivcl

[delphivcl]

Коллеги, неужели никто еще не поднимал подобную связку? Какие радиус-атрибуты нужно слать с ланбиллинга циске?

[snark]

Тут смотрели?

[NikAlexAn]

Там старт по IP а у ТС по DHCP.

 

тут вот про DHCP старт - http://20.lanbilling.ru/node/54

В инете ещё как то встречал примеры похожие.

 

У нас старт по IP.

[delphivcl]

Да смотрели. не наш случай. он подходит под схему когда DHCP до браса http://20.lanbilling.ru/lb_cisco_isg

А у нас он уже встроен в биллинг. вот примерно так http://20.lanbilling.ru/sites/default/files/doc20/pic1.jpg

 

Вместо SmartEdge - Cisco ASR 1002

 

по второй схеме запрос от клиента DHCP Discover с опт82 доходит до браса проходит AReq на радиус, получаем AAcpt далее идет DHCP Discaver к DHCP

ланбиллинг отвечает DHCP Offer (IP) адрес выделен и затык на брасе. Сессия лежит. а поэтому клиент не получил IP адрес.

 

 

и еще изучая доку по BGBillig есть непонятки в условиях:

например вот тут

 

найдите policy-map type control IPoE-ISG и т.д.:

 

class type control always event session-start

10 authorize aaa list ipoe-isg-aaa password cisco identifier source-ip-address

20 set-timer UNAUTH-TIMER 1

30 service-policy type service name L4REDIRECT

40 service-policy type service name OPENGARDEN

 

Если BRAS получает ACCESS-REJECT, то он идет дальше по class type control always event session-start и привязывает к ISG сессии сервисы L4REDIRECT и OPENGARDEN (локально описанные в конфиге циски: policy-map type service OPENGARDEN и policy-map type service OPENGARDEN), в которых доступ ограничен только к локальным ресурсам, на скорости 1 Mbps, а весь http траффик редиректится на страничку, информирующую абонента об отсутствии денег на счету. Также стартует таймер UNAUTH-TIMER длительностью в одну минуту, по истечению которой BRAS заново пытается авторизовать ISG сессию в BGBilling'е.

 

Идем в доку по циске:

смотрим пример Control Policy for Restricting Access on the Basis of Interface and Access Media Example

 

If the conditions in the class map "MATCHING-USERS" evaluate to true, the first action to be executed is to authenticate the user. If authentication is successful, the service named "service1" will be downloaded and applied. Finally, a Layer 3 service is provided.

 

If "MATCHING-USERS" is not evaluated as true, the "always" class will apply, which results in barring anyone who does not match "MATCHING-USERS".

 

! Configure the control policy map.

policy-map type control my-pppoe-rule

class type control MATCHING-USERS event session-start

1 authenticate aaa list XYZ

2 service-policy type service service1

3 service local

!

 

Вот и не понятно если по бгбиллингу пишут, что если клиент НЕ АВТОРИЗОВАН то выполняются правила ниже.

у Cisco же если АВТОРИЗОВАН то выполняются правила ниже.

 

Кто прав?

[delphivcl]

Там старт по IP а у ТС по DHCP.

 

тут вот про DHCP старт - http://20.lanbilling.ru/node/54

В инете ещё как то встречал примеры похожие.

 

У нас старт по IP.

 

Да все это сделано. Я же говорю IP адрес выделяется и отправляется я его вижу в дебаге на брасе, но сессия дропается по непонятным причинам.

либо я что-то не досылаю (атрибуты какие-то) либо еще что-то.

[snark]

Я думаю есть смысл поспрашивать автора статьи (он на этом форуме, он на форуме БГБ), раз он все настроил и у него взлетело, то он все и объяснит.

[BanZaj]

я вот на ASR1001 заметил странность (может дело в конкретном софте - х.з) вроде по доке и в примерах сервис прописанный локально (те что 30 и 40)

class type control always event session-start
10 authorize aaa list ipoe-isg-aaa password cisco identifier source-ip-address
20 set-timer UNAUTH-TIMER 1
30 service-policy type service name L4REDIRECT
40 service-policy type service name OPENGARDEN

при авторизации по IP цепляеся к сессии, а при PPPoE - нет, т.е. тупо не авторизуется сессия. И приходится названия локально прописанных сервисов передавать RADIUSом - тогда всё работает.

Надеюсь не криво описал =)

 

Кстати используем БГБиллинг и ISG, StaticIP и РРРоЕ авторизацию. Тестили и DHCP opt82 но отказались от него из-за сложностей с этим в билинге и необходимости поддержки всех 3 схем авторизации во время миграции на БГбиллинг

[NikAlexAn]

Вот нашел похожую тему http://forum.nag.ru/forum/index.php?showtopic=73030 но без ответа. похожая ситуация когда сессию рвет.

На счет сервиса убрал 10 service-policy type service name SERVICE-TEST, но все тоже самое или я не правильно понял что посылать.

 

А у Вас asr-ка как DHCP relay для абонентов?

Что между asr и клиентами?

[delphivcl]

В общем при наличии локального DHCP пула ASR не поднимает сессию. стоило его убрать как все завелось.

Всем спасибо. с мертвой точки сдвинулись, с ланбиллингом тоже разобрались. не хватало радиус атрибутов. их нужно прописывать дополнительно чтобы сам ланбиллинг распарсил эту опцию 82.

на сайте ланбиллинга об этом ни слова. если кому нужно то обращайтесь, подскажу.

[romantix74]

В общем при наличии локального DHCP пула ASR не поднимает сессию. стоило его убрать как все завелось.

Всем спасибо. с мертвой точки сдвинулись, с ланбиллингом тоже разобрались. не хватало радиус атрибутов. их нужно прописывать дополнительно чтобы сам ланбиллинг распарсил эту опцию 82.

на сайте ланбиллинга об этом ни слова. если кому нужно то обращайтесь, подскажу.

Получается ваш конфиг в первом посте рабочий , если убрать пул? Напишите , пожалуйста, полностью таблицу аттрибутов радиуса для Ланбиллинга. Если не трудно, можно прямо в виде таблицы dictionary в SQL .

[delphivcl]

Ну он не совсем рабочий. там полиси левые и надо их еще стряпать. цель была разобраться как ужа с ежом скрестить.

 

В базу ланбилиннга таблицу `dictionary` нужно добавить следующие атрибуты на NAS

заведите их через интерфейс ланбилла у АГЕНТА радиуса. инсертом не делайте.

insert into `dictionary` (`record_id`, `nas_id`, `name`, `radius_type`, `vendor`, `value_type`, `replace_id`, `tagged`, `to_history`) values('227','тут NAS','circuit-id-tag','1','9','2',NULL,'0','0');
insert into `dictionary` (`record_id`, `nas_id`, `name`, `radius_type`, `vendor`, `value_type`, `replace_id`, `tagged`, `to_history`) values('229','тут NAS','remote-id-tag','1','9','2',NULL,'0','0');
insert into `dictionary` (`record_id`, `nas_id`, `name`, `radius_type`, `vendor`, `value_type`, `replace_id`, `tagged`, `to_history`) values('231','тут NAS','vendor-class-id-tag','1','9','2',NULL,'0','0');

 

VSA - 1

Вендор - 9

Тип - avpair

 

как добавил так сразу полегчало. ну и еще есть нюансы с тем что надо сам dhcp сервер от LB (LBINET) поднимать.

Изменено 26 июня, 2013 пользователем delphivcl

[Alex_JD]

delphivcl, добрый день.

Используем такую же связку, как и у вас: ЛБ и asr1002.

Вы не могли бы поделиться следующей инфой?

Какая версия ios используется на asr'ке?

А то мы тут обновились с версии asr1000rp1-adventerprise.03.04.03.S.151-3.S3.bin на asr1000rp1-adventerprise.03.09.01.S.153-2.S1.bin и получили целый ряд не адекватной реакции со стороны циски.

А старая ios (asr1000rp1-adventerprise.03.04.03.S.151-3.S3.bin) имеет особенность ронять процесс отвечающий за ISG и поднимать его заново в течении минут 5-8. Но перерыв сервиса имеет место быть.

спасибо.

[delphivcl]

Мы на 3 мес заморозили работы. Сорри что не отвечал. вот сейчас опять дошли руки продолжить. И теперь уже я интересуюсь кто на чем живет. на какой ios?

[gadrus42]

Добрый день!

 

 

Коллеги, помогите пожалуйста, вторую неделю не могу разобраться, что делаю не так. Перепробовал настройки с разных статей. Клиент по DHCP получает ip, но ASR не отправляется никаких запросов в Lanbilling

[gadrus42]

Добрый день!

 

 

Коллеги, помогите пожалуйста, вторую неделю не могу разобраться, что делаю не так. Перепробовал настройки с разных статей. Клиент по DHCP получает ip, но ASR не отправляется никаких запросов в Lanbilling.

Вот мой конфиг: 

 

aaa authentication login default local
aaa authentication login CONS none
aaa authentication login ISG-AUTH-1 group ISG-RADIUS
aaa authentication enable default enable
aaa authorization network default group ISG-RADIUS 
aaa authorization network ISG-AUTH-1 group ISG-RADIUS 
aaa authorization subscriber-service default local 
aaa authorization subscriber-service ISG-AUTH-1 group ISG-RADIUS 
aaa authorization console
aaa accounting network ISG-AUTH-1 start-stop group ISG-RADIUS
aaa accounting delay-start
aaa accounting jitter maximum 0
aaa accounting update periodic 1

!
!
!
aaa server radius dynamic-author
 client 91.109.224.23 server-key 
 client 91.109.224.25 server-key 
 port 1777
 auth-type any
 ignore session-key
 ignore server-key
!
!
radius-server attribute 44 extend-with-addr
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-access-req 
radius-server attribute nas-port format d
radius-server attribute 31 mac format ietf 
radius-server dead-criteria time 120 tries 3
radius-server host 91.109.224.23 auth-port 1852 acct-port 1853
radius-server retry method reorder
radius-server retransmit 5
radius-server deadtime 3
radius-server key 7 XXXXXXXXXXXXXXXXX
radius-server vsa send cisco-nas-port
!
aaa group server radius ISG-RADIUS
 server 91.109.224.23 auth-port 1852 acct-port 1853
 server 91.109.224.25 auth-port 1852 acct-port 1853
 ip radius source-interface Port-channel10.10

access-list 197 permit tcp any any eq www
access-list 197 permit tcp any eq www any
access-list 197 deny   ip any any
access-list 198 permit udp any any eq domain
access-list 198 permit udp any eq domain any
access-list 198 permit tcp any host 91.109.224.25 eq www
access-list 198 permit tcp any host 91.109.224.25 eq 443
access-list 198 permit tcp any host 91.109.224.7 eq www
access-list 198 permit tcp any host 91.109.224.7 eq 443
access-list 198 permit tcp any host 192.168.77.20 eq www
access-list 198 permit icmp any any
access-list 198 deny   ip any any

interface Port-channel10.97
 description IPoE_ISG_FIXA
 encapsulation dot1Q 97
 vrf forwarding ipoe
 ip address 10.97.1.1 255.255.255.252
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 service-policy type control ISG-CUSTOMERS-POLICY
 ip subscriber routed
  initiator unclassified ip-address

policy-map type control ISG-CUSTOMERS-POLICY
 class type control ISG-IP-UNAUTH event timed-policy-expiry
  1 service disconnect
 !
 class type control always event session-start
  10 authorize aaa list ISG-AUTH-1 identifier source-ip-address
  20 set-timer UNAUTH-TIMER 3
  30 service-policy type service name SERVICE-TRUSTED
  40 service-policy type service name LOCAL_L4R
 !
 class type control always event radius-timeout
  1 service-policy type service name SERVICE-TRUSTED
  2 service-policy type service name LOCAL_L4R
 !
 class type control always event session-restart
  10 authorize aaa list ISG-AUTH-1 identifier source-ip-address
  20 set-timer UNAUTH-TIMER 3
  30 service-policy type service name SERVICE-TRUSTED
  40 service-policy type service name LOCAL-L4R
 !
 class type control always event account-logoff
  1 service disconnect delay 5

 

 

 

Оборудование cisco ASR1001 Version 15.3(3)S4 + LAnBilling (он же Radius он же DHCP)

Изменено 14 февраля, 2020 пользователем gadrus42

[VolanD666]

А что вы ожидаете чтобы он отправлял? Дебаг то какой-то будет или мы должны разобраться с вашей сетью и ткнуть пальцем где у вас косяк?

[gadrus42]

В 14.02.2020 в 18:44, VolanD666 сказал:

А что вы ожидаете чтобы он отправлял? Дебаг то какой-то будет или мы должны разобраться с вашей сетью и ткнуть пальцем где у вас косяк?

Я ожидаю, что ASR ,будет реквесты слать  в биллинг. По этому прошу помощи у опытных взглянуть на конфиг, может чего то не хватает. Дебаг копирну, но там пусто((((

[VolanD666]

А как вы поняли что не летят запросы? Радиус точно доступен с этого интерфейса: Port-channel10.10 ?