Cómo se Procesan los Paquetes CoA de Acción Múltiple en ASR9K para los Suscriptores BNG
Contenido
Introducción
Este documento explica cómo se procesa el cambio de autorización (CoA) en la plataforma ASR9K para la puerta de enlace de red de banda ancha (BNG) y cómo puede solucionar problemas en ASR9K.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Funciones de BNG en ASR9K
- Atributos RADIUS
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- ASR9001 con la versión 533.
- Servidor de radio libre.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
Antecedentes
Change of Authorization (CoA) es una extensión del estándar RADIUS que permite enviar mensajes asincrónicos desde servidores RADIUS a un cliente RADIUS. La razón principal de CoA es permitir que un servidor RADIUS cambie un comportamiento de autorización para un suscriptor que ya ha sido autorizado. La extensión CoA a RADIUS se define en IETF RFC 3576.
La función Multi-Action CoA (MA-CoA) amplía la funcionalidad actual de BNG CoA para soportar múltiples comandos service activate y service deactivate dentro de una sola solicitud CoA:
La idea detrás de la acción múltiple CoA (MA-CoA) es que permitirá a los proveedores de servicios de Internet una manera de activar / desactivar múltiples servicios de una manera que sea atómica desde su perspectiva.
Caso práctico de MA-COA
Este es un ejemplo de caso práctico de MA-CoA, desde un nivel de funciones muy alto.
- La sesión PTA incluye tráfico web redirigido a un portal de servicios (redirección HTTP).
- A través del portal de servicios, el cliente activa el primer nivel de servicio. Esto provoca una solicitud CoA de acción múltiple con:
- Desactivar redirección
- Activar el botón turbo 1
- Active VoIP con 2 canales, por ejemplo
- A través del portal de servicios, el cliente activa el segundo nivel de servicio. Esto provoca una solicitud de CoA de acción múltiple con:
- Desactivar el botón turbo 1
- Activar el botón Turbo 2
- Desactivar VoIP con 2 canales
- Active VoIP con 4 canales
En MA-CoA es que si algún servicio de la solicitud de CoA no se activa/desactiva, se debe revertir cualquier servicio que se haya activado/desactivado como parte de esa solicitud de CoA. Básicamente, la sesión debe restaurarse a su estado anterior a MA-CoA si no se activa/desactiva. Sin embargo, puede haber algunos casos raros en los que no sea posible realizar una reversión completa. Por ejemplo, piense en un caso en el que los recursos (por ejemplo, memoria, entradas TCAM, direcciones IP, etc.) se abandonan como parte del procesamiento de CoA de varias acciones. Si se produce un error de CoA posterior, es posible que esos recursos ya no estén disponibles, por lo que la reversión completa puede no ser posible. Si se produce un error de reversión, se llevarán a cabo las siguientes acciones:
- Si se configura la excepción coa-rollback-failure en la directiva de control, se llevará a cabo la acción especificada para la clase rollback-failure. Por ejemplo, puede desconectar la sesión. Sin embargo, la acción predeterminada para un error de reversión de MA-CoA será conservar la sesión.
policy-map type control subscriber WDAAR_NOVA_POLICY event exception match-first class type control subscriber coa-rollback-failure do-all 10 disconnect ! ! end-policy-map
- Si no se configura la excepción coa-rollback-failure en la directiva de control, se generará un error de syslog en la consola.
El procesamiento de CoA se distribuye en el sentido de que las solicitudes se pueden procesar en RP (para sesiones basadas en paquetes) o en LC (para sesiones basadas en LC).
Imagen 1. Muestra el flujo de mensajes de CoA a un nivel superior.
Imagen 1: Arquitectura CoA en router BNG
Flujo de llamadas de MA-CoA
Aquí se explica un ejemplo del flujo de llamadas involucrado en el procesamiento de una solicitud de MA-CoA, a un nivel muy alto:
- El cliente CoA envía la solicitud MA-CoA con los siguientes comandos:
- Desactivación del servicio de Internet
- Activar Service-Audio
- Activar Service-Video
- Radiusd convierte los VSA genéricos de Cisco recién definidos en atributos AAA_AT estándar y los pasa al plano de políticas.
- El controlador de comandos del plano de políticas inicia una solicitud de anulación de asociación para el servicio Service-Internet y una solicitud de asociación para los servicios Service-Audio y Service-Video a la base de datos secundaria y, a continuación, inicia una solicitud de finalización de producción a la base de datos secundaria.
- SubDB realiza la desasociación/asociación necesaria y se coordina con sus clientes BPI para aplicar la configuración necesaria al hardware. A continuación, SubDB envía el mensaje Finalizado (configuración aplicada) al plano de directivas.
- El controlador de comandos del plano de políticas envía el ACK de CoA a través de radiusd al cliente de CoA.
- Si se ha habilitado la contabilización de nivel de servicio para el servicio Service-Internet, el Coordinador de contabilización del plano de políticas envía una solicitud de detención de contabilización al servidor RADIUS. De manera similar, si se habilita la contabilización de nivel de servicio para el servicio Service-Audio o Service-Video, el Coordinador de contabilización del plano de políticas envía una solicitud de inicio de contabilización al servidor RADIUS para esos servicios.
Configurar
Utilice la información que se describe en esta sección para configurar las funciones que se describen en este documento.
Diagrama de la red
La siguiente topología se utiliza para probar MA-CoA.
Configuraciones
ASR9K
interface Bundle-Ether1.200 ipv4 point-to-point ipv4 unnumbered Loopback200 service-policy type control subscriber WDAAR_NOVA_POLICY encapsulation dot1q 200 ipsubscriber ipv4 l2-connected initiator dhcp initiator unclassified-source
La siguiente política de control se aplica para activar la sesión de IPoE.
policy-map type control subscriber WDAAR_NOVA_POLICY event session-start match-first class type control subscriber DHCP do-until-failure 10 activate dynamic-template DT_NOVA_DHCP 20 authorize aaa list WDAAR format WDAAR_USERNAME_NOVA password cisco ! class type control subscriber WDAAR_STATIC do-until-failure 10 activate dynamic-template DT_NOVA_STATIC 20 authorize aaa list WDAAR format WDAAR_IP_STATIC password cisco ! ! event authentication-no-response match-first class type control subscriber class-default do-all 10 activate dynamic-template WDAAR_NOVA_ACCT_START 20 activate dynamic-template WDAAR_NOVA_NET50 ! ! end-policy-map !
dynamic-template type ipsubscriber DT_NOVA_DHCP ipv4 unnumbered Loopback201 ! ! interface Loopback201 ipv4 address 199.195.148.1 255.255.255.0 ! dynamic-template type ipsubscriber WDAAR_NOVA_ACCT_START accounting aaa list WDAAR type session periodic-interval 5 ! ! dynamic-template type service WDAAR_NOVA_NET50 service-policy input WDAAR_10Mbps service-policy output WDAAR_Upload ! !
Para simular el comportamiento de MA-CoA, se configuran las dos políticas de QoS que limitan el tráfico tanto en la dirección entrante como en la saliente.
- WDAR_DAY_PACKAGE
- WDAR_NIGHT_PACKAGE
dynamic-template type service WDAAR_DAY_PACKAGE service-policy input WDAAR_Internet_Service_10Mbps_IN service-policy output WDAAR_Internet_Service_10Mbps_OUT accounting aaa list WDAAR type service periodic-interval 10 ! ! dynamic-template type service WDAAR_NIGHT_PACKAGE service-policy input WDAAR_Internet_Service_5Mbps_IN service-policy output WDAAR_Internet_Service_5Mbps_OUT accounting aaa list WDAAR type service periodic-interval 10 ! !
La política se configura para controlar el tráfico a 10Mpbs tanto en dirección entrante como de salida para el paquete DAY y para el paquete NIGHT se limita a 5Mpbs.
policy-map WDAAR_Internet_Service_5Mbps_IN class class-default police rate 5486 kbps ! ! policy-map WDAAR_Internet_Service_5Mbps_OUT class class-default police rate 5486 kbps ! ! policy-map WDAAR_Internet_Service_10Mbps_IN class class-default police rate 10486 kbps ! ! policy-map WDAAR_Internet_Service_10Mbps_OUT class class-default police rate 10486 kbps ! !
Verificación
Esta sección proporciona información que puede utilizar para verificar que MA-CoA funciona correctamente.
Sesión de suscriptor de IPoE en ASR9K.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber session all detail
Mon Jul 27 11:24:46.467 UTC
Interface: Bundle-Ether1.200.ip18010
Circuit ID: Unknown
Remote ID: Unknown
Type: IP: DHCP-trigger
IPv4 State: Up, Mon Jul 27 11:23:10 2015
IPv4 Address: 172.188.243.147, VRF: default
Mac Address: 0000.6602.0102
Account-Session Id: 00004729
Nas-Port: Unknown
User name: 0000.6602.0102
Formatted User name: 0000.6602.0102
Client User name: unknown
Outer VLAN ID: 200
Subscriber Label: 0x00000048
Created: Mon Jul 27 11:23:08 2015
State: Activated
Authentication: unauthenticated
Authorization: authorized
Access-interface: Bundle-Ether1.200
Policy Executed:
policy-map type control subscriber WDAAR_NOVA_POLICY
event Session-Start match-first [at Mon Jul 27 11:23:08 2015]
class type control subscriber DHCP do-until-failure [Succeeded]
10 activate dynamic-template DT_NOVA_DHCP [Succeeded]
20 authorize aaa list WDAAR [Succeeded]
Session Accounting:
Acct-Session-Id: 00004729
Method-list: WDAAR
Accounting started: Mon Jul 27 11:23:10 2015
Interim accounting: On, interval 2 mins
Last successful update: Never
Next update in: 00:00:24 (dhms)
Service Accounting: WDAAR_DAY_PACKAGE
Acct-Session-Id: 0000472a
Method-list: WDAAR
Accounting started: Mon Jul 27 11:23:10 2015
Interim accounting: On, interval 10 mins
Last successful update: Never
Next update in: 00:08:24 (dhms)
Last COA request received: unavailable
Ahora, si comprueba los detalles de la sesión con la palabra clave oculta internal, puede ver qué AVP ha recibido del radio. Si habilita las depuraciones en ASR9K, mientras que la sesión se activa, también puede ver eso. En el resultado de la sesión, puede ver que cuando el suscriptor se conecta, aplica WDAR_DAY_PACKAGE, y también habilita la contabilización de sesión y también la contabilización de servicio.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber session all detail internal
Mon Jul 27 11:27:10.554 UTC
Interface: Bundle-Ether1.200.ip18010
Circuit ID: Unknown
Remote ID: Unknown
Type: IP: DHCP-trigger
IPv4 State: Up, Mon Jul 27 11:23:10 2015
IPv4 Address: 172.188.243.147, VRF: default
IPv4 Up helpers: 0x00000040 {IPSUB}
IPv4 Up requestors: 0x00000040 {IPSUB}
Mac Address: 0000.6602.0102
Account-Session Id: 00004729 Nas-Port: Unknown
User name: 0000.6602.0102
Formatted User name: 0000.6602.0102
Client User name: unknown
Outer VLAN ID: 200
Subscriber Label: 0x00000048
Created: Mon Jul 27 11:23:08 2015
State: Activated
Authentication: unauthenticated
Authorization: authorized
Ifhandle: 0x000abc20 Session History ID: 1
Access-interface: Bundle-Ether1.200
SRG Flags: 0x00000000
Policy Executed:
event Session-Start match-first [at Mon Jul 27 11:23:08 2015]
class type control subscriber DHCP do-until-failure [Succeeded]
10 activate dynamic-template DT_NOVA_DHCP [cerr: No error][aaa: Success]
20 authorize aaa list WDAAR [cerr: No error][aaa: Success]
Session Accounting:
Acct-Session-Id: 00004729
Method-list: WDAAR
Accounting started: Mon Jul 27 11:23:10 2015
Interim accounting: On, interval 2 mins
Last successful update: Mon Jul 27 11:25:10 2015
Next update in: 00:02:00 (dhms)
Last update sent: Mon Jul 27 11:25:10 2015
Updates sent: 1
Updates accepted: 1
Updates rejected: 0
Update send failures: 0
Service Accounting: WDAAR_DAY_PACKAGE
Acct-Session-Id: 0000472a
Method-list: WDAAR
Accounting started: Mon Jul 27 11:23:10 2015
Interim accounting: On, interval 10 mins
Last successful update: Never
Next update in: 00:06:00 (dhms)
Last update sent: Never
Updates sent: 0
Updates accepted: 0
Updates rejected: 0
Update send failures: 0
Accouting stop state: Final stats available
Last COA request received: unavailable
User Profile received from AAA:
Attribute List: 0x50105e7c
1: acct-interval len= 4 value= 120(78) 2: accounting-list len= 5 value= WDAAR Pending Callbacks: InterimAcct>StatsD,
Services:
Name : DT_NOVA_DHCP
Service-ID : 0x4000016
Type : Template
Status : Applied
-------------------------
Name : WDAAR_DAY_PACKAGE
Service-ID : 0x400001a
Type : Multi Template
Status : Applied
-------------------------
[Event History]
Jul 27 11:23:08.672 IPv4 Start
Jul 27 11:23:10.080 SUBDB produce done
Jul 27 11:23:10.080 IPv4 Up
Puede habilitar estas depuraciones si desea ver los paquetes CoA y radius para una sesión de suscriptor.
- debug radius
- debug radius dynamic-author
RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Send Access-Request to 10.48.88.121:56777 id 229, len 218 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: authenticator D0 EF B5 50 DD 9A 1A 84 - FB 36 5C FB 5C DB 96 FE RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 41 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Cisco AVpair [1] 35 client-mac-address=0000.6602.0102 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Acct-Session-Id [44] 10 00004729 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: NAS-Port-Id [87] 11 0/0/1/200 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 17 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: cisco-nas-port [2] 11 0/0/1/200 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: User-Name [1] 16 0000.6602.0102 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Service-Type [6] 6 Outbound[0] RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: User-Password [2] 18 * RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: NAS-Port-Type [61] 6 VIRTUAL_IPOEOVLAN[0] RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Event-Timestamp [55] 6 1437996188 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 23 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Cisco AVpair [1] 17 dhcp-client-id= RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Nas-Identifier [32] 16 acdc-asr9000-4 RP/0/RSP0/CPU0:Jul 27 11:23:08.707 : radiusd[1133]: RADIUS: NAS-IP-Address [4] 6 10.48.88.54 RP/0/RSP0/CPU0:Jul 27 11:23:08.707 : radiusd[1133]: RADIUS: NAS-IPv6-Address [95] 22 1a 10 00 00 00 00 00 00 00 00 00 00 00 00 00 00 RP/0/RSP0/CPU0:Jul 27 11:23:08.707 : radiusd[1133]: RADIUS: 00 00 00 00 RP/0/RSP0/CPU0:Jul 27 11:23:08.707 : radiusd[1133]: Got global deadtime 0 RP/0/RSP0/CPU0:Jul 27 11:23:08.707 : radiusd[1133]: Using global deadtime = 0 sec RP/0/RSP0/CPU0:Jul 27 11:23:08.707 : radiusd[1133]: Start timer thread rad_ident 229 remote_port 56777 remote_addr 10.48.88.121, socket 1342510940 rctx 0x50258020 RP/0/RSP0/CPU0:Jul 27 11:23:08.707 : radiusd[1133]: Successfully sent packet and started timeout handler for rctx 0x50258020 RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: Radius packet decryption complete with rc = 0 RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: RADIUS: Received from id 229 10.48.88.121:56777, Access-Accept, len 105 RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: RADIUS: authenticator 9D 27 8C A5 28 C8 AE 2B - 58 56 08 DF C2 BA 06 28 RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: RADIUS: Acct-Interim-Interval[85] 6 120 RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 40 RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: RADIUS: Cisco AVpair [1] 34 subscriber:accounting-list=WDAAR RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 39 RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: RADIUS: Cisco AVpair [1] 33 subscriber:sa=WDAAR_DAY_PACKAGE RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: Freeing server group transaction_id (3D000000)
Los atributos AAA de credenciales e identidad de suscriptor de diferentes componentes se almacenan en SADB (Base de datos de atributos de suscriptor). SADB no guarda la configuración del suscriptor. Puede emplear el siguiente comando show para ver todos los atributos de esa sesión.
- show subscriber manager sadb
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber manager sadb Mon Jul 27 12:13:36.273 UTC Sublabel: 0x00000048 Node_ID: 00000001 Signature: 0xabcdef12 Version: 1 Rev: 21 Length: 297 Attribute list: 1343184692 1: protocol-type len= 4 dhcp 2: dhcp-client-id len= 15 3: port-type len= 4 Virtual IP over VLAN 4: outer-vlan-id len= 4 200(c8) 5: client-mac-address len= 14 0000.6602.0102 6: parent-if-handle len= 4 1568(620) 7: string-session-id len= 8 00004729 8: interface len= 9 0/0/1/200 9: formatted-username len= 14 0000.6602.0102 10: username len= 14 0000.6602.0102 11: author_status len= 1 true 12: addr len= 4 172.188.243.147 13: if-handle len= 4 703520(abc20) 14: vrf-id len= 4 1610612736(60000000) 15: ipv4-session-state len= 1 true 16: accounting-list len= 5 WDAAR 17: start_time len= 4 Mon Jul 27 11:23:10 2015
Hay otra base de datos denominada Subscriber Database (SubDB) para almacenar la configuración y la asociación de la configuración a la sesión. SubDB (Subscriber Database) está diseñado para administrar la configuración dinámica de los suscriptores de BNG. Una configuración de suscriptor es un conjunto de funciones predefinidas y sus valores específicos.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber database association Mon Jul 27 12:26:38.186 UTC Location 0/RSP0/CPU0 Bundle-Ether1.200.ip18010, subscriber label 0x48 Name Template Type -------- ------------- U00000048 User profile WDAAR_DAY_PACKAGE Service DT_NOVA_DHCP IP subscriber
También puede emplear el filtro subscriber-label para ver la información de un suscriptor.
- show subscriber database association subscriber-label <SUBSCRIBER-LABEL>
Pruebas de MA-CoA
Como ya ha aplicado el servicio WDAR_DAY_PACKAGEen una sesión, de modo que primero como prueba, simplemente elimine el servicio WDAR_DAY_PACKAGE de la sesión. Ahora puede ver que no hay servicio WDAR_DAY_PACKAGE activo en la sesión.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber session all detail internal
Mon Jul 27 13:47:55.881 UTC
Interface: Bundle-Ether1.200.ip18012
Circuit ID: Unknown
Remote ID: Unknown
Type: IP: DHCP-trigger
IPv4 State: Up, Mon Jul 27 13:33:22 2015
IPv4 Address: 172.188.243.147, VRF: default
IPv4 Up helpers: 0x00000040 {IPSUB}
IPv4 Up requestors: 0x00000040 {IPSUB}
Mac Address: 0000.6602.0102
Account-Session Id: 0000472d
Nas-Port: Unknown
User name: 0000.6602.0102
Formatted User name: 0000.6602.0102
Client User name: unknown
Outer VLAN ID: 200
Subscriber Label: 0x0000004a
Created: Mon Jul 27 13:33:21 2015
State: Activated
Authentication: unauthenticated
Authorization: authorized
Ifhandle: 0x000abca0
Session History ID: 1
Access-interface: Bundle-Ether1.200
SRG Flags: 0x00000000
Policy Executed:
event Session-Start match-first [at Mon Jul 27 13:33:21 2015]
class type control subscriber DHCP do-until-failure [Succeeded]
10 activate dynamic-template DT_NOVA_DHCP [cerr: No error][aaa: Success]
20 authorize aaa list WDAAR [cerr: No error][aaa: Success]
Session Accounting:
Acct-Session-Id: 0000472d
Method-list: WDAAR
Accounting started: Mon Jul 27 13:33:22 2015
Interim accounting: On, interval 2 mins
Last successful update: Mon Jul 27 13:47:24 2015
Next update in: 00:01:27 (dhms)
Last update sent: Mon Jul 27 13:47:24 2015
Updates sent: 7
Updates accepted: 7
Updates rejected: 0
Update send failures: 0
Accouting stop state: Final stats available
Last COA request: Mon Jul 27 13:47:50 2015
COA Request Attribute List: 0x50105f70
1: sd len= 17 value= WDAAR_DAY_PACKAGE 2: command len= 18 value= deactivate-service 3: service-info len= 17 value= WDAAR_DAY_PACKAGE 4: service-name len= 17 value= WDAAR_DAY_PACKAGE Last COA response: Result ACK
COA Response Attribute List: 0x50106180
1: sd len= 17 value= WDAAR_DAY_PACKAGE
User Profile received from AAA:
Attribute List: 0x50106390
1: acct-interval len= 4 value= 120(78)
2: accounting-list len= 5 value= WDAAR
Services:
Name : DT_NOVA_DHCP
Service-ID : 0x4000016
Type : Template
Status : Applied
-------------------------
[Event History]
Jul 27 13:33:21.152 IPv4 Start
Jul 27 13:33:22.560 IPv4 Up
Jul 27 13:47:50.528 CoA request
Jul 27 13:47:50.784 SUBDB produce done [many]
Como se explicó, cuando el servicio no está asociado, entonces el proceso radiusd en ASR9K envía la detención de contabilización al servidor radius. Y en las depuraciones también se confirma este comportamiento.
RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Send Accounting-Request to 10.48.88.121:56778 id 48, len 391 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: authenticator 6C E1 D2 2B 49 1A EE E4 - 6D 36 FD FA 7A 84 26 50 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Acct-Interim-Interval[85] 6 10 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Acct-Session-Time [46] 6 868 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Acct-Terminate-Cause[49] 6 admin-reset[0] RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Acct-Status-Type [40] 6 Stop[0] RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Event-Timestamp [55] 6 1438004870 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 23 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Cisco AVpair [1] 17 dhcp-client-id= RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: NAS-Port-Type [61] 6 VIRTUAL_IPOEOVLAN[0] RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 41 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Cisco AVpair [1] 35 client-mac-address=0000.6602.0102 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: NAS-Port-Id [87] 11 0/0/1/200 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 17 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: cisco-nas-port [2] 11 0/0/1/200 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: User-Name [1] 16 0000.6602.0102 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Framed-IP-Address [8] 6 172.188.243.147 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 22 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Cisco AVpair [1] 16 vrf-id=default RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 29 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Cisco AVpair [1] 23 accounting-list=WDAAR RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: AAA Unsupported Attr: user-maxlinks [196] 6 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 32 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Cisco AVpair [1] 26 connect-progress=Call Up RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 34 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Cisco AVpair [1] 28 parent-session-id=0000472d RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 38 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Cisco AVpair [1] 32 service-name=WDAAR_DAY_PACKAGE RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Acct-Session-Id [44] 10 0000472e RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Nas-Identifier [32] 16 acdc-asr9000-4 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: NAS-IP-Address [4] 6 10.48.88.54 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: NAS-IPv6-Address [95] 22 1a 10 00 00 00 00 00 00 00 00 00 00 00 00 00 00 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: 00 00 00 00 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Acct-Delay-Time [41] 6 0
Este comando show también muestra las estadísticas para el CoA exitoso.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber manager statistics AAA COA
Mon Jul 27 13:53:49.627 UTC
[ CHANGE OF AUTHORIZATION STATISTICS ]
Location: 0/RSP0/CPU0
CoA Requests:
Type Received Acked NAKed
==== ======== ===== =====
Account Logon 0 0 0
Account Logoff 0 0 0
Account Update 0 0 0
Account-Query 0 0 0
Disconnect 0 0 0
Single Service Logon 0 0 0
Single Service Logoff 1 1 0 Single Service Modify 0 0 0
Multiple Service 0 0 0
Errors:
Responses to COA with unknown session identifier = 3
[ CHANGE OF AUTHORIZATION STATISTICS ]
Location: 0/0/CPU0
CoA Requests:
Type Received Acked NAKed
==== ======== ===== =====
Account Logon 0 0 0
Account Logoff 0 0 0
Account Update 0 0 0
Account-Query 0 0 0
Disconnect 0 0 0
Single Service Logon 0 0 0
Single Service Logoff 0 0 0
Single Service Modify 0 0 0
Multiple Service 0 0 0
Errors:
None
Ahora, aplicó el servicio WDAR_NIGHT_PACKAGE en una sesión de suscriptor y volvió a ver las estadísticas.
Last COA request: Mon Jul 27 13:57:48 2015 COA Request Attribute List: 0x501060c8 1: sa len= 19 value= WDAAR_NIGHT_PACKAGE 2: command len= 16 value= activate-service 3: service-info len= 19 value= WDAAR_NIGHT_PACKAGE 4: service-name len= 19 value= WDAAR_NIGHT_PACKAGE Last COA response: Result ACK COA Response Attribute List: 0x501062d8 1: sa len= 19 value= WDAAR_NIGHT_PACKAGE User Profile received from AAA: Attribute List: 0x501064e8 1: acct-interval len= 4 value= 120(78) 2: accounting-list len= 5 value= WDAAR Services: Name : DT_NOVA_DHCP Service-ID : 0x4000016 Type : Template Status : Applied ------------------------- Name : WDAAR_NIGHT_PACKAGE Service-ID : 0x4000019 Type : Multi Template Status : Applied ------------------------- [Event History] Jul 27 13:33:21.152 IPv4 Start Jul 27 13:33:22.560 IPv4 Up Jul 27 13:57:48.800 CoA request [many] Jul 27 13:57:48.928 SUBDB produce done [many]
Aplique el servicio, de modo que pueda ver que el contador Inicio de sesión del servicio se incrementa y en la salida del suscriptor anterior también puede ver que se ha aplicado.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber manager statistics AAA COA
Mon Jul 27 13:58:00.410 UTC
[ CHANGE OF AUTHORIZATION STATISTICS ]
Location: 0/RSP0/CPU0
CoA Requests:
Type Received Acked NAKed
==== ======== ===== =====
Account Logon 0 0 0
Account Logoff 0 0 0
Account Update 0 0 0
Account-Query 0 0 0
Disconnect 0 0 0
Single Service Logon 1 1 0
Single Service Logoff 1 1 0
Single Service Modify 0 0 0
Multiple Service 0 0 0
Errors:
Responses to COA with unknown session identifier = 3
[ CHANGE OF AUTHORIZATION STATISTICS ]
Location: 0/0/CPU0
CoA Requests:
Type Received Acked NAKed
==== ======== ===== =====
Account Logon 0 0 0
Account Logoff 0 0 0
Account Update 0 0 0
Account-Query 0 0 0
Disconnect 0 0 0
Single Service Logon 0 0 0
Single Service Logoff 0 0 0
Single Service Modify 0 0 0
Multiple Service 0 0 0
Errors:
None
Hasta ahora solo está aplicando un servicio a la vez con un solo paquete CoA y elimina un servicio con un solo paquete CoA, ahora enviará un paquete CoA que elimina el servicio y aplica el servicio en un solo paquete CoA.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber session all detail internal
Mon Jul 27 14:03:40.255 UTC
Interface: Bundle-Ether1.200.ip18012
Circuit ID: Unknown
Remote ID: Unknown
Type: IP: DHCP-trigger
IPv4 State: Up, Mon Jul 27 13:33:22 2015
IPv4 Address: 172.188.243.147, VRF: default
IPv4 Up helpers: 0x00000040 {IPSUB}
IPv4 Up requestors: 0x00000040 {IPSUB}
Mac Address: 0000.6602.0102
Account-Session Id: 0000472d
Nas-Port: Unknown
User name: 0000.6602.0102
Formatted User name: 0000.6602.0102
Client User name: unknown
Outer VLAN ID: 200
Subscriber Label: 0x0000004a
Created: Mon Jul 27 13:33:21 2015
State: Activated
Authentication: unauthenticated
Authorization: authorized
Ifhandle: 0x000abca0
Session History ID: 1
Access-interface: Bundle-Ether1.200
SRG Flags: 0x00000000
Policy Executed:
event Session-Start match-first [at Mon Jul 27 13:33:21 2015]
class type control subscriber DHCP do-until-failure [Succeeded]
10 activate dynamic-template DT_NOVA_DHCP [cerr: No error][aaa: Success]
20 authorize aaa list WDAAR [cerr: No error][aaa: Success]
Session Accounting:
Acct-Session-Id: 0000472d
Method-list: WDAAR
Accounting started: Mon Jul 27 13:33:22 2015
Interim accounting: On, interval 2 mins
Last successful update: Mon Jul 27 14:03:24 2015
Next update in: 00:01:43 (dhms)
Last update sent: Mon Jul 27 14:03:24 2015
Updates sent: 15
Updates accepted: 15
Updates rejected: 0
Update send failures: 0
Accouting stop state: Final stats available
Service Accounting: WDAAR_DAY_PACKAGE
Acct-Session-Id: 00004730
Method-list: WDAAR
Accounting started: Mon Jul 27 14:03:35 2015
Interim accounting: On, interval 10 mins
Last successful update: Never
Next update in: 00:09:56 (dhms)
Last update sent: Never
Updates sent: 0
Updates accepted: 0
Updates rejected: 0
Update send failures: 0
Accouting stop state: Final stats available
Last COA request: Mon Jul 27 14:03:35 2015
COA Request Attribute List: 0x50106248
1: sd len= 19 value= WDAAR_NIGHT_PACKAGE 2: command len= 18 value= deactivate-service 3: service-info len= 19 value= WDAAR_NIGHT_PACKAGE 4: service-name len= 19 value= WDAAR_NIGHT_PACKAGE 5: sa len= 17 value= WDAAR_DAY_PACKAGE 6: command len= 16 value= activate-service 7: service-info len= 17 value= WDAAR_DAY_PACKAGE 8: service-name len= 17 value= WDAAR_DAY_PACKAGE Last COA response: Result ACK
COA Response Attribute List: 0x50106458
1: sd len= 19 value= WDAAR_NIGHT_PACKAGE
2: sa len= 17 value= WDAAR_DAY_PACKAGE
User Profile received from AAA:
Attribute List: 0x50106668
1: acct-interval len= 4 value= 120(78)
2: accounting-list len= 5 value= WDAAR
Services:
Name : DT_NOVA_DHCP
Service-ID : 0x4000016
Type : Template
Status : Applied
-------------------------
Name : WDAAR_DAY_PACKAGE
Service-ID : 0x400001a
Type : Multi Template
Status : Applied
-------------------------
[Event History]
Jul 27 13:33:21.152 IPv4 Start
Jul 27 13:33:22.560 IPv4 Up
Jul 27 14:03:35.296 CoA request [many]
Jul 27 14:03:35.680 SUBDB produce done [many]
Con el MA-CoA puede ver que el contador de servicios múltiples también aumenta.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber manager statistics AAA COA
Mon Jul 27 14:05:04.724 UTC
[ CHANGE OF AUTHORIZATION STATISTICS ]
Location: 0/RSP0/CPU0
CoA Requests:
Type Received Acked NAKed
==== ======== ===== =====
Account Logon 0 0 0
Account Logoff 0 0 0
Account Update 0 0 0
Account-Query 0 0 0
Disconnect 0 0 0
Single Service Logon 1 1 0
Single Service Logoff 1 1 0
Single Service Modify 0 0 0
Multiple Service 1 1 0
Errors:
Responses to COA with unknown session identifier = 3
[ CHANGE OF AUTHORIZATION STATISTICS ]
Location: 0/0/CPU0
CoA Requests:
Type Received Acked NAKed
==== ======== ===== =====
Account Logon 0 0 0
Account Logoff 0 0 0
Account Update 0 0 0
Account-Query 0 0 0
Disconnect 0 0 0
Single Service Logon 0 0 0
Single Service Logoff 0 0 0
Single Service Modify 0 0 0
Multiple Service 0 0 0
Errors:
None
Si ASR9K recibe un paquete CoA para realizar cualquier acción en una sesión de suscriptor pero el identificador que ASR9K recibe en un paquete CoA no pertenece a ninguna sesión de suscriptor activa, se mostrará el siguiente mensaje en los registros si habilita los debugs que se sugiere arriba.
RP/0/RSP0/CPU0:Jul 27 13:41:39.133 : radiusd[1133]: RADIUS: Received from id 159 , CoA Request, len 69 RP/0/RSP0/CPU0:Jul 27 13:41:39.133 : radiusd[1133]: RADIUS: authenticator 0D 52 11 54 B0 B7 37 07 - E1 9A 1D AF FA 1A 1A 09 RP/0/RSP0/CPU0:Jul 27 13:41:39.133 : radiusd[1133]: RADIUS: Acct-Session-Id [44] 10 00004723 RP/0/RSP0/CPU0:Jul 27 13:41:39.133 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 39 RP/0/RSP0/CPU0:Jul 27 13:41:39.133 : radiusd[1133]: RADIUS: Cisco AVpair [1] 33 subscriber:sd=WDAAR_DAY_PACKAGE RP/0/RSP0/CPU0:Jul 27 13:41:39.133 : radiusd[1133]: Processing Dynamic authorization request RP/0/RSP0/CPU0:Jul 27 13:41:39.133 : radiusd[1133]: COA: Service-Name attribute is present in service profile push RP/0/RSP0/CPU0:Jul 27 13:41:39.134 : radiusd[1133]: COA/POD:request processing underway. RP/0/RSP0/CPU0:Jul 27 13:41:39.135 : iedged[245]: [IEDGE:TP83:COMMAND-HANDLER:ERROR:0x0] 0 matching session found for CoA request, rc 0 LC/0/0/CPU0:Jul 27 13:41:39.137 : iedged[209]: [IEDGE:TP83:COMMAND-HANDLER:ERROR:0x0] 0 matching session found for CoA request, rc 0
Troubleshoot
Puede emplear estos comandos en ASR9K para verificar el procesamiento de paquetes CoA. Si el paquete CoA se procesó correctamente o estaba siendo NACK por ASR9K.
-
show radius dynamic-author
El resultado anterior muestra una breve descripción de cuántas CoA se han ACK y NACK por ASR9K.
- show subscriber manager statistics AAA COA
El resultado incluye una estadística del número total de singleton se activa el servicio (Inicio de sesión en el servicio) y singleton desactivaciones de servicio (cierre de sesión de servicio) que se han recibido, ACK y NACK, y que también incluyen Varios servicios contador para seguimiento.
- show subscriber manager statistics PRE event
El resultado muestra estadísticas de eventos de varios servicios que han sido procesados por el Policy Plane Policy Rule Engine (PRE).
- show subscriber manager statistics SVM events
Si configuró la excepción para la reversión de MA, el comando anterior muestra estadísticas para las reversiones correctas después de solicitudes de MA-CoA fallidas y las reversiones fallidas después de solicitudes de MA-CoA fallidas.
- show subscriber manager statistics perf non-zero
El comando anterior proporciona una breve descripción general de los tiempos de procesamiento de CoA en ASR9K e incluye los tiempos de transacción (promedio, desviación estándar, mínimo, máximo y recuento) para las transacciones de CoA.
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
20-Oct-2017 |
Versión inicial |
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)