Modalità di elaborazione dei pacchetti CoA multiazione su ASR9K per gli abbonati BNG
Sommario
Introduzione
Questo documento spiega come la modifica dell'autorizzazione (CoA) viene elaborata sulla piattaforma ASR9K per Broadband Network Gateway (BNG) e come risolvere i problemi relativi a ASR9K.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Funzioni BNG su ASR9K
- Attributi del raggio
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- ASR 9001 con versione 533.
- Server a raggio libero.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
CoA (Change of Authorization) è un'estensione dello standard RADIUS che consente l'invio di messaggi asincroni dai server RADIUS a un client RADIUS. La funzione CoA viene principalmente utilizzata per consentire a un server RADIUS di modificare il comportamento di un'autorizzazione per un destinatario già autorizzato. L'estensione CoA a RADIUS è definita nella RFC 3576 dell'IETF.
La funzione Multi-Action CoA (MA-CoA) estende la funzionalità corrente di BNG CoA per supportare più comandi di attivazione e disattivazione del servizio all'interno di una singola richiesta CoA:
L'idea alla base di Multi-Action CoA (MA-CoA) è che permetterà ai provider di servizi Internet di attivare/disattivare più servizi in un modo atomico dal loro punto di vista.
Caso di utilizzo di MA-COA
Questo è un esempio di caso di utilizzo per MA-CoA, da un livello di funzionalità molto elevato.
- La sessione PTA viene avviata con il traffico Web reindirizzato a un portale di servizi (reindirizzamento HTTP).
- Tramite il portale dei servizi, il cliente attiva il primo livello di servizio. In questo modo viene generata una richiesta CoA con più azioni che include:
- Disattiva reindirizzamento
- Attiva Turbo Button 1
- Attivare VoIP con 2 canali, ad esempio
- Tramite il portale dei servizi, il cliente attiva un secondo livello di servizio. In questo modo viene generata una richiesta CoA con più azioni caratterizzata da:
- Disattiva Turbo Button 1
- Attiva Turbo Button 2
- Disattiva VoIP con 2 canali
- Attiva VoIP con 4 canali
In MA-CoA è che se un servizio nella richiesta CoA non viene attivato/disattivato, tutti i servizi che erano stati attivati/disattivati come parte di tale richiesta CoA devono essere ripristinati. Essenzialmente, la sessione deve essere ripristinata allo stato precedente alla MA-CoA in caso di mancata attivazione/disattivazione. In alcuni rari casi, tuttavia, potrebbe non essere possibile eseguire il rollback completo. Si consideri, ad esempio, un caso in cui le risorse (ad esempio memoria, voci TCAM, indirizzi IP, ecc.) vengono abbandonate nell'ambito dell'elaborazione CoA multi-azione. In caso di guasto successivo del CoA, le risorse potrebbero non essere più disponibili, pertanto potrebbe non essere possibile eseguire il rollback completo. Se si verifica un errore di rollback, verranno intraprese le azioni seguenti:
- Se nei criteri di controllo è configurata l'eccezione errore di rollback della copia, verrà eseguita l'azione specificata per la classe errore di rollback. Ad esempio, è possibile disconnettere la sessione. Tuttavia, l'azione predefinita per un errore di rollback MA-CoA consiste nel mantenere la sessione.
policy-map type control subscriber WDAAR_NOVA_POLICY event exception match-first class type control subscriber coa-rollback-failure do-all 10 disconnect ! ! end-policy-map
- Se l'eccezione coa-rollback-failure non è configurata nei criteri di controllo, verrà generato un errore syslog sulla console.
L'elaborazione CoA viene distribuita in modo che le richieste possano essere elaborate sia sull'RP (per le sessioni basate su bundle) che sull'LC (per le sessioni basate su LC).
Immagine 1. Mostra il flusso dei messaggi CoA ad alto livello.
Immagine 1: architettura CoA su router BNG
Flusso di chiamata MA-CoA
Di seguito è riportato un esempio del flusso di chiamate coinvolto nell'elaborazione di una richiesta MA-CoA ad un livello molto elevato:
- Il client CoA invia una richiesta MA-CoA con i seguenti comandi:
- Disattiva servizio-Internet
- Attiva Service-Audio
- Attiva Service-Video
- Radius converte le VSA generiche Cisco appena definite in attributi AAA_AT standard e le passa al piano della policy.
- Il gestore dei comandi di Policy Plane avvia una richiesta di annullamento dell'associazione per Service-Internet e una richiesta di associazione per i servizi Service-Audio & Service-Video a SubDB, quindi avvia una richiesta Produce-Done a SubDB.
- SubDB esegue le necessarie associazioni/annullamenti e si coordina con i client BPI per applicare la configurazione necessaria all'hardware. SubDB invia quindi il messaggio Produce Done (config applicato) a Policy Plane.
- Il gestore dei comandi di Policy Plane invia un ACK CoA tramite radius al client CoA.
- Se l'accounting a livello di servizio è stato abilitato per Service-Internet, il coordinatore dell'accounting del piano dei criteri invia una richiesta di interruzione dell'accounting al server RADIUS. Analogamente, se l'accounting a livello di servizio è abilitato per Service-Audio o Service-Video, il coordinatore dell'accounting di Policy Plane invia una richiesta di avvio dell'accounting al server RADIUS per tali servizi.
Configurazione
Utilizzare le informazioni descritte in questa sezione per configurare le funzionalità descritte più avanti nel documento.
Esempio di rete
La seguente topologia è utilizzata per il test di MA-CoA.
Configurazioni
ASR9K
interface Bundle-Ether1.200 ipv4 point-to-point ipv4 unnumbered Loopback200 service-policy type control subscriber WDAAR_NOVA_POLICY encapsulation dot1q 200 ipsubscriber ipv4 l2-connected initiator dhcp initiator unclassified-source
I criteri di controllo seguenti vengono applicati per avviare la sessione IPoE.
policy-map type control subscriber WDAAR_NOVA_POLICY event session-start match-first class type control subscriber DHCP do-until-failure 10 activate dynamic-template DT_NOVA_DHCP 20 authorize aaa list WDAAR format WDAAR_USERNAME_NOVA password cisco ! class type control subscriber WDAAR_STATIC do-until-failure 10 activate dynamic-template DT_NOVA_STATIC 20 authorize aaa list WDAAR format WDAAR_IP_STATIC password cisco ! ! event authentication-no-response match-first class type control subscriber class-default do-all 10 activate dynamic-template WDAAR_NOVA_ACCT_START 20 activate dynamic-template WDAAR_NOVA_NET50 ! ! end-policy-map !
dynamic-template type ipsubscriber DT_NOVA_DHCP ipv4 unnumbered Loopback201 ! ! interface Loopback201 ipv4 address 199.195.148.1 255.255.255.0 ! dynamic-template type ipsubscriber WDAAR_NOVA_ACCT_START accounting aaa list WDAAR type session periodic-interval 5 ! ! dynamic-template type service WDAAR_NOVA_NET50 service-policy input WDAAR_10Mbps service-policy output WDAAR_Upload ! !
Per simulare il comportamento di MA-CoA, vengono configurati due criteri QoS che limitano il traffico in entrata e in uscita.
- MERCOLEDÌ_PACCHETTO
- WADAR_NIGHT_PACKAGE
dynamic-template type service WDAAR_DAY_PACKAGE service-policy input WDAAR_Internet_Service_10Mbps_IN service-policy output WDAAR_Internet_Service_10Mbps_OUT accounting aaa list WDAAR type service periodic-interval 10 ! ! dynamic-template type service WDAAR_NIGHT_PACKAGE service-policy input WDAAR_Internet_Service_5Mbps_IN service-policy output WDAAR_Internet_Service_5Mbps_OUT accounting aaa list WDAAR type service periodic-interval 10 ! !
Il criterio è configurato per controllare il traffico a 10Mpbs sia in entrata che in uscita per il pacchetto DAY e per il pacchetto NIGHT è limitato a 5Mpbs.
policy-map WDAAR_Internet_Service_5Mbps_IN class class-default police rate 5486 kbps ! ! policy-map WDAAR_Internet_Service_5Mbps_OUT class class-default police rate 5486 kbps ! ! policy-map WDAAR_Internet_Service_10Mbps_IN class class-default police rate 10486 kbps ! ! policy-map WDAAR_Internet_Service_10Mbps_OUT class class-default police rate 10486 kbps ! !
Verifica
In questa sezione vengono fornite informazioni che è possibile utilizzare per verificare il corretto funzionamento di MA-CoA.
Sessione sottoscrittore IPoE su ASR9K.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber session all detail
Mon Jul 27 11:24:46.467 UTC
Interface: Bundle-Ether1.200.ip18010
Circuit ID: Unknown
Remote ID: Unknown
Type: IP: DHCP-trigger
IPv4 State: Up, Mon Jul 27 11:23:10 2015
IPv4 Address: 172.188.243.147, VRF: default
Mac Address: 0000.6602.0102
Account-Session Id: 00004729
Nas-Port: Unknown
User name: 0000.6602.0102
Formatted User name: 0000.6602.0102
Client User name: unknown
Outer VLAN ID: 200
Subscriber Label: 0x00000048
Created: Mon Jul 27 11:23:08 2015
State: Activated
Authentication: unauthenticated
Authorization: authorized
Access-interface: Bundle-Ether1.200
Policy Executed:
policy-map type control subscriber WDAAR_NOVA_POLICY
event Session-Start match-first [at Mon Jul 27 11:23:08 2015]
class type control subscriber DHCP do-until-failure [Succeeded]
10 activate dynamic-template DT_NOVA_DHCP [Succeeded]
20 authorize aaa list WDAAR [Succeeded]
Session Accounting:
Acct-Session-Id: 00004729
Method-list: WDAAR
Accounting started: Mon Jul 27 11:23:10 2015
Interim accounting: On, interval 2 mins
Last successful update: Never
Next update in: 00:00:24 (dhms)
Service Accounting: WDAAR_DAY_PACKAGE
Acct-Session-Id: 0000472a
Method-list: WDAAR
Accounting started: Mon Jul 27 11:23:10 2015
Interim accounting: On, interval 10 mins
Last successful update: Never
Next update in: 00:08:24 (dhms)
Last COA request received: unavailable
Se ora si controllano i dettagli della sessione con la parola chiave nascosta internal, è possibile verificare che l'AVP ricevuto dal raggio. Se si attivano i debug su ASR9K, quando si attiva la sessione, è possibile vedere anche questa. Dall'output della sessione, è possibile vedere che quando il sottoscrittore viene connesso, è stato applicato il WADAR_DAY_PACKAGE e sono stati inoltre abilitati l'accounting della sessione e l'accounting del servizio.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber session all detail internal
Mon Jul 27 11:27:10.554 UTC
Interface: Bundle-Ether1.200.ip18010
Circuit ID: Unknown
Remote ID: Unknown
Type: IP: DHCP-trigger
IPv4 State: Up, Mon Jul 27 11:23:10 2015
IPv4 Address: 172.188.243.147, VRF: default
IPv4 Up helpers: 0x00000040 {IPSUB}
IPv4 Up requestors: 0x00000040 {IPSUB}
Mac Address: 0000.6602.0102
Account-Session Id: 00004729 Nas-Port: Unknown
User name: 0000.6602.0102
Formatted User name: 0000.6602.0102
Client User name: unknown
Outer VLAN ID: 200
Subscriber Label: 0x00000048
Created: Mon Jul 27 11:23:08 2015
State: Activated
Authentication: unauthenticated
Authorization: authorized
Ifhandle: 0x000abc20 Session History ID: 1
Access-interface: Bundle-Ether1.200
SRG Flags: 0x00000000
Policy Executed:
event Session-Start match-first [at Mon Jul 27 11:23:08 2015]
class type control subscriber DHCP do-until-failure [Succeeded]
10 activate dynamic-template DT_NOVA_DHCP [cerr: No error][aaa: Success]
20 authorize aaa list WDAAR [cerr: No error][aaa: Success]
Session Accounting:
Acct-Session-Id: 00004729
Method-list: WDAAR
Accounting started: Mon Jul 27 11:23:10 2015
Interim accounting: On, interval 2 mins
Last successful update: Mon Jul 27 11:25:10 2015
Next update in: 00:02:00 (dhms)
Last update sent: Mon Jul 27 11:25:10 2015
Updates sent: 1
Updates accepted: 1
Updates rejected: 0
Update send failures: 0
Service Accounting: WDAAR_DAY_PACKAGE
Acct-Session-Id: 0000472a
Method-list: WDAAR
Accounting started: Mon Jul 27 11:23:10 2015
Interim accounting: On, interval 10 mins
Last successful update: Never
Next update in: 00:06:00 (dhms)
Last update sent: Never
Updates sent: 0
Updates accepted: 0
Updates rejected: 0
Update send failures: 0
Accouting stop state: Final stats available
Last COA request received: unavailable
User Profile received from AAA:
Attribute List: 0x50105e7c
1: acct-interval len= 4 value= 120(78) 2: accounting-list len= 5 value= WDAAR Pending Callbacks: InterimAcct>StatsD,
Services:
Name : DT_NOVA_DHCP
Service-ID : 0x4000016
Type : Template
Status : Applied
-------------------------
Name : WDAAR_DAY_PACKAGE
Service-ID : 0x400001a
Type : Multi Template
Status : Applied
-------------------------
[Event History]
Jul 27 11:23:08.672 IPv4 Start
Jul 27 11:23:10.080 SUBDB produce done
Jul 27 11:23:10.080 IPv4 Up
È possibile abilitare questi debug se si desidera visualizzare i pacchetti CoA e radius per una sessione del destinatario predefinito.
- raggio di debug
- debug radius dynamic-author
RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Send Access-Request to 10.48.88.121:56777 id 229, len 218 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: authenticator D0 EF B5 50 DD 9A 1A 84 - FB 36 5C FB 5C DB 96 FE RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 41 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Cisco AVpair [1] 35 client-mac-address=0000.6602.0102 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Acct-Session-Id [44] 10 00004729 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: NAS-Port-Id [87] 11 0/0/1/200 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 17 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: cisco-nas-port [2] 11 0/0/1/200 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: User-Name [1] 16 0000.6602.0102 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Service-Type [6] 6 Outbound[0] RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: User-Password [2] 18 * RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: NAS-Port-Type [61] 6 VIRTUAL_IPOEOVLAN[0] RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Event-Timestamp [55] 6 1437996188 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 23 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Cisco AVpair [1] 17 dhcp-client-id= RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Nas-Identifier [32] 16 acdc-asr9000-4 RP/0/RSP0/CPU0:Jul 27 11:23:08.707 : radiusd[1133]: RADIUS: NAS-IP-Address [4] 6 10.48.88.54 RP/0/RSP0/CPU0:Jul 27 11:23:08.707 : radiusd[1133]: RADIUS: NAS-IPv6-Address [95] 22 1a 10 00 00 00 00 00 00 00 00 00 00 00 00 00 00 RP/0/RSP0/CPU0:Jul 27 11:23:08.707 : radiusd[1133]: RADIUS: 00 00 00 00 RP/0/RSP0/CPU0:Jul 27 11:23:08.707 : radiusd[1133]: Got global deadtime 0 RP/0/RSP0/CPU0:Jul 27 11:23:08.707 : radiusd[1133]: Using global deadtime = 0 sec RP/0/RSP0/CPU0:Jul 27 11:23:08.707 : radiusd[1133]: Start timer thread rad_ident 229 remote_port 56777 remote_addr 10.48.88.121, socket 1342510940 rctx 0x50258020 RP/0/RSP0/CPU0:Jul 27 11:23:08.707 : radiusd[1133]: Successfully sent packet and started timeout handler for rctx 0x50258020 RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: Radius packet decryption complete with rc = 0 RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: RADIUS: Received from id 229 10.48.88.121:56777, Access-Accept, len 105 RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: RADIUS: authenticator 9D 27 8C A5 28 C8 AE 2B - 58 56 08 DF C2 BA 06 28 RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: RADIUS: Acct-Interim-Interval[85] 6 120 RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 40 RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: RADIUS: Cisco AVpair [1] 34 subscriber:accounting-list=WDAAR RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 39 RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: RADIUS: Cisco AVpair [1] 33 subscriber:sa=WDAAR_DAY_PACKAGE RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: Freeing server group transaction_id (3D000000)
Gli attributi AAA dell'identità del sottoscrittore e delle credenziali di componenti diversi vengono memorizzati in SADB (Subscriber Attribute Database). SADB non salva la configurazione del sottoscrittore. È possibile utilizzare il comando show riportato di seguito per visualizzare tutti gli attributi della sessione.
- show subscriber manager sadb
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber manager sadb Mon Jul 27 12:13:36.273 UTC Sublabel: 0x00000048 Node_ID: 00000001 Signature: 0xabcdef12 Version: 1 Rev: 21 Length: 297 Attribute list: 1343184692 1: protocol-type len= 4 dhcp 2: dhcp-client-id len= 15 3: port-type len= 4 Virtual IP over VLAN 4: outer-vlan-id len= 4 200(c8) 5: client-mac-address len= 14 0000.6602.0102 6: parent-if-handle len= 4 1568(620) 7: string-session-id len= 8 00004729 8: interface len= 9 0/0/1/200 9: formatted-username len= 14 0000.6602.0102 10: username len= 14 0000.6602.0102 11: author_status len= 1 true 12: addr len= 4 172.188.243.147 13: if-handle len= 4 703520(abc20) 14: vrf-id len= 4 1610612736(60000000) 15: ipv4-session-state len= 1 true 16: accounting-list len= 5 WDAAR 17: start_time len= 4 Mon Jul 27 11:23:10 2015
È disponibile un altro database denominato Subscriber Database(SubDB) in cui memorizzare la configurazione e l'associazione della configurazione alla sessione. Il database secondario (database del sottoscrittore) è progettato per gestire la configurazione dinamica per i sottoscrittori di BNG. Una configurazione del sottoscrittore è un set di funzionalità predefinite e i relativi valori specifici.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber database association Mon Jul 27 12:26:38.186 UTC Location 0/RSP0/CPU0 Bundle-Ether1.200.ip18010, subscriber label 0x48 Name Template Type -------- ------------- U00000048 User profile WDAAR_DAY_PACKAGE Service DT_NOVA_DHCP IP subscriber
È inoltre possibile utilizzare il filtro subscriber-label per visualizzare le informazioni relative a un sottoscrittore.
- show subscriber database association subscriber-label <SUBSCRIBER-LABEL>
Test MA-CoA
Come già applicato al servizio MERCOLEDÌ_PACCHETTOin una sessione, in modo che come prima operazione di test sia sufficiente rimuovere il servizio WADAR_DAY_PACKAGE dalla sessione. Ora è possibile vedere che non c'è alcun servizio WADAR_DAY_PACKAGE attivo nella sessione.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber session all detail internal
Mon Jul 27 13:47:55.881 UTC
Interface: Bundle-Ether1.200.ip18012
Circuit ID: Unknown
Remote ID: Unknown
Type: IP: DHCP-trigger
IPv4 State: Up, Mon Jul 27 13:33:22 2015
IPv4 Address: 172.188.243.147, VRF: default
IPv4 Up helpers: 0x00000040 {IPSUB}
IPv4 Up requestors: 0x00000040 {IPSUB}
Mac Address: 0000.6602.0102
Account-Session Id: 0000472d
Nas-Port: Unknown
User name: 0000.6602.0102
Formatted User name: 0000.6602.0102
Client User name: unknown
Outer VLAN ID: 200
Subscriber Label: 0x0000004a
Created: Mon Jul 27 13:33:21 2015
State: Activated
Authentication: unauthenticated
Authorization: authorized
Ifhandle: 0x000abca0
Session History ID: 1
Access-interface: Bundle-Ether1.200
SRG Flags: 0x00000000
Policy Executed:
event Session-Start match-first [at Mon Jul 27 13:33:21 2015]
class type control subscriber DHCP do-until-failure [Succeeded]
10 activate dynamic-template DT_NOVA_DHCP [cerr: No error][aaa: Success]
20 authorize aaa list WDAAR [cerr: No error][aaa: Success]
Session Accounting:
Acct-Session-Id: 0000472d
Method-list: WDAAR
Accounting started: Mon Jul 27 13:33:22 2015
Interim accounting: On, interval 2 mins
Last successful update: Mon Jul 27 13:47:24 2015
Next update in: 00:01:27 (dhms)
Last update sent: Mon Jul 27 13:47:24 2015
Updates sent: 7
Updates accepted: 7
Updates rejected: 0
Update send failures: 0
Accouting stop state: Final stats available
Last COA request: Mon Jul 27 13:47:50 2015
COA Request Attribute List: 0x50105f70
1: sd len= 17 value= WDAAR_DAY_PACKAGE 2: command len= 18 value= deactivate-service 3: service-info len= 17 value= WDAAR_DAY_PACKAGE 4: service-name len= 17 value= WDAAR_DAY_PACKAGE Last COA response: Result ACK
COA Response Attribute List: 0x50106180
1: sd len= 17 value= WDAAR_DAY_PACKAGE
User Profile received from AAA:
Attribute List: 0x50106390
1: acct-interval len= 4 value= 120(78)
2: accounting-list len= 5 value= WDAAR
Services:
Name : DT_NOVA_DHCP
Service-ID : 0x4000016
Type : Template
Status : Applied
-------------------------
[Event History]
Jul 27 13:33:21.152 IPv4 Start
Jul 27 13:33:22.560 IPv4 Up
Jul 27 13:47:50.528 CoA request
Jul 27 13:47:50.784 SUBDB produce done [many]
Come spiegato, quando il servizio non è associato, il processo radius su ASR9K invia l'interruzione di accounting al server radius. E nei debug questo comportamento è confermato.
RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Send Accounting-Request to 10.48.88.121:56778 id 48, len 391 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: authenticator 6C E1 D2 2B 49 1A EE E4 - 6D 36 FD FA 7A 84 26 50 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Acct-Interim-Interval[85] 6 10 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Acct-Session-Time [46] 6 868 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Acct-Terminate-Cause[49] 6 admin-reset[0] RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Acct-Status-Type [40] 6 Stop[0] RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Event-Timestamp [55] 6 1438004870 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 23 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Cisco AVpair [1] 17 dhcp-client-id= RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: NAS-Port-Type [61] 6 VIRTUAL_IPOEOVLAN[0] RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 41 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Cisco AVpair [1] 35 client-mac-address=0000.6602.0102 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: NAS-Port-Id [87] 11 0/0/1/200 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 17 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: cisco-nas-port [2] 11 0/0/1/200 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: User-Name [1] 16 0000.6602.0102 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Framed-IP-Address [8] 6 172.188.243.147 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 22 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Cisco AVpair [1] 16 vrf-id=default RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 29 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Cisco AVpair [1] 23 accounting-list=WDAAR RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: AAA Unsupported Attr: user-maxlinks [196] 6 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 32 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Cisco AVpair [1] 26 connect-progress=Call Up RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 34 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Cisco AVpair [1] 28 parent-session-id=0000472d RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 38 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Cisco AVpair [1] 32 service-name=WDAAR_DAY_PACKAGE RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Acct-Session-Id [44] 10 0000472e RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Nas-Identifier [32] 16 acdc-asr9000-4 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: NAS-IP-Address [4] 6 10.48.88.54 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: NAS-IPv6-Address [95] 22 1a 10 00 00 00 00 00 00 00 00 00 00 00 00 00 00 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: 00 00 00 00 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Acct-Delay-Time [41] 6 0
Questo comando show mostra anche le statistiche per la CoA riuscita.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber manager statistics AAA COA
Mon Jul 27 13:53:49.627 UTC
[ CHANGE OF AUTHORIZATION STATISTICS ]
Location: 0/RSP0/CPU0
CoA Requests:
Type Received Acked NAKed
==== ======== ===== =====
Account Logon 0 0 0
Account Logoff 0 0 0
Account Update 0 0 0
Account-Query 0 0 0
Disconnect 0 0 0
Single Service Logon 0 0 0
Single Service Logoff 1 1 0 Single Service Modify 0 0 0
Multiple Service 0 0 0
Errors:
Responses to COA with unknown session identifier = 3
[ CHANGE OF AUTHORIZATION STATISTICS ]
Location: 0/0/CPU0
CoA Requests:
Type Received Acked NAKed
==== ======== ===== =====
Account Logon 0 0 0
Account Logoff 0 0 0
Account Update 0 0 0
Account-Query 0 0 0
Disconnect 0 0 0
Single Service Logon 0 0 0
Single Service Logoff 0 0 0
Single Service Modify 0 0 0
Multiple Service 0 0 0
Errors:
None
A questo punto, è stato applicato il servizio WADAR_NIGHT_PACKAGE in una sessione del destinatario predefinito e vengono nuovamente visualizzate le statistiche.
Last COA request: Mon Jul 27 13:57:48 2015 COA Request Attribute List: 0x501060c8 1: sa len= 19 value= WDAAR_NIGHT_PACKAGE 2: command len= 16 value= activate-service 3: service-info len= 19 value= WDAAR_NIGHT_PACKAGE 4: service-name len= 19 value= WDAAR_NIGHT_PACKAGE Last COA response: Result ACK COA Response Attribute List: 0x501062d8 1: sa len= 19 value= WDAAR_NIGHT_PACKAGE User Profile received from AAA: Attribute List: 0x501064e8 1: acct-interval len= 4 value= 120(78) 2: accounting-list len= 5 value= WDAAR Services: Name : DT_NOVA_DHCP Service-ID : 0x4000016 Type : Template Status : Applied ------------------------- Name : WDAAR_NIGHT_PACKAGE Service-ID : 0x4000019 Type : Multi Template Status : Applied ------------------------- [Event History] Jul 27 13:33:21.152 IPv4 Start Jul 27 13:33:22.560 IPv4 Up Jul 27 13:57:48.800 CoA request [many] Jul 27 13:57:48.928 SUBDB produce done [many]
Applicare il servizio, in modo da verificare che il contatore Accesso al servizio sia incrementato e che nell'output del sottoscrittore sopra riportato sia stato applicato.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber manager statistics AAA COA
Mon Jul 27 13:58:00.410 UTC
[ CHANGE OF AUTHORIZATION STATISTICS ]
Location: 0/RSP0/CPU0
CoA Requests:
Type Received Acked NAKed
==== ======== ===== =====
Account Logon 0 0 0
Account Logoff 0 0 0
Account Update 0 0 0
Account-Query 0 0 0
Disconnect 0 0 0
Single Service Logon 1 1 0
Single Service Logoff 1 1 0
Single Service Modify 0 0 0
Multiple Service 0 0 0
Errors:
Responses to COA with unknown session identifier = 3
[ CHANGE OF AUTHORIZATION STATISTICS ]
Location: 0/0/CPU0
CoA Requests:
Type Received Acked NAKed
==== ======== ===== =====
Account Logon 0 0 0
Account Logoff 0 0 0
Account Update 0 0 0
Account-Query 0 0 0
Disconnect 0 0 0
Single Service Logon 0 0 0
Single Service Logoff 0 0 0
Single Service Modify 0 0 0
Multiple Service 0 0 0
Errors:
None
Finora si applica un solo servizio alla volta con un singolo pacchetto CoA e si rimuove un servizio con un singolo pacchetto CoA, ora si invia un pacchetto CoA che rimuove il servizio e lo si applica in un singolo pacchetto CoA.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber session all detail internal
Mon Jul 27 14:03:40.255 UTC
Interface: Bundle-Ether1.200.ip18012
Circuit ID: Unknown
Remote ID: Unknown
Type: IP: DHCP-trigger
IPv4 State: Up, Mon Jul 27 13:33:22 2015
IPv4 Address: 172.188.243.147, VRF: default
IPv4 Up helpers: 0x00000040 {IPSUB}
IPv4 Up requestors: 0x00000040 {IPSUB}
Mac Address: 0000.6602.0102
Account-Session Id: 0000472d
Nas-Port: Unknown
User name: 0000.6602.0102
Formatted User name: 0000.6602.0102
Client User name: unknown
Outer VLAN ID: 200
Subscriber Label: 0x0000004a
Created: Mon Jul 27 13:33:21 2015
State: Activated
Authentication: unauthenticated
Authorization: authorized
Ifhandle: 0x000abca0
Session History ID: 1
Access-interface: Bundle-Ether1.200
SRG Flags: 0x00000000
Policy Executed:
event Session-Start match-first [at Mon Jul 27 13:33:21 2015]
class type control subscriber DHCP do-until-failure [Succeeded]
10 activate dynamic-template DT_NOVA_DHCP [cerr: No error][aaa: Success]
20 authorize aaa list WDAAR [cerr: No error][aaa: Success]
Session Accounting:
Acct-Session-Id: 0000472d
Method-list: WDAAR
Accounting started: Mon Jul 27 13:33:22 2015
Interim accounting: On, interval 2 mins
Last successful update: Mon Jul 27 14:03:24 2015
Next update in: 00:01:43 (dhms)
Last update sent: Mon Jul 27 14:03:24 2015
Updates sent: 15
Updates accepted: 15
Updates rejected: 0
Update send failures: 0
Accouting stop state: Final stats available
Service Accounting: WDAAR_DAY_PACKAGE
Acct-Session-Id: 00004730
Method-list: WDAAR
Accounting started: Mon Jul 27 14:03:35 2015
Interim accounting: On, interval 10 mins
Last successful update: Never
Next update in: 00:09:56 (dhms)
Last update sent: Never
Updates sent: 0
Updates accepted: 0
Updates rejected: 0
Update send failures: 0
Accouting stop state: Final stats available
Last COA request: Mon Jul 27 14:03:35 2015
COA Request Attribute List: 0x50106248
1: sd len= 19 value= WDAAR_NIGHT_PACKAGE 2: command len= 18 value= deactivate-service 3: service-info len= 19 value= WDAAR_NIGHT_PACKAGE 4: service-name len= 19 value= WDAAR_NIGHT_PACKAGE 5: sa len= 17 value= WDAAR_DAY_PACKAGE 6: command len= 16 value= activate-service 7: service-info len= 17 value= WDAAR_DAY_PACKAGE 8: service-name len= 17 value= WDAAR_DAY_PACKAGE Last COA response: Result ACK
COA Response Attribute List: 0x50106458
1: sd len= 19 value= WDAAR_NIGHT_PACKAGE
2: sa len= 17 value= WDAAR_DAY_PACKAGE
User Profile received from AAA:
Attribute List: 0x50106668
1: acct-interval len= 4 value= 120(78)
2: accounting-list len= 5 value= WDAAR
Services:
Name : DT_NOVA_DHCP
Service-ID : 0x4000016
Type : Template
Status : Applied
-------------------------
Name : WDAAR_DAY_PACKAGE
Service-ID : 0x400001a
Type : Multi Template
Status : Applied
-------------------------
[Event History]
Jul 27 13:33:21.152 IPv4 Start
Jul 27 13:33:22.560 IPv4 Up
Jul 27 14:03:35.296 CoA request [many]
Jul 27 14:03:35.680 SUBDB produce done [many]
Con la MA-CoA è possibile notare che anche il contatore Multi-Service è aumentato.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber manager statistics AAA COA
Mon Jul 27 14:05:04.724 UTC
[ CHANGE OF AUTHORIZATION STATISTICS ]
Location: 0/RSP0/CPU0
CoA Requests:
Type Received Acked NAKed
==== ======== ===== =====
Account Logon 0 0 0
Account Logoff 0 0 0
Account Update 0 0 0
Account-Query 0 0 0
Disconnect 0 0 0
Single Service Logon 1 1 0
Single Service Logoff 1 1 0
Single Service Modify 0 0 0
Multiple Service 1 1 0
Errors:
Responses to COA with unknown session identifier = 3
[ CHANGE OF AUTHORIZATION STATISTICS ]
Location: 0/0/CPU0
CoA Requests:
Type Received Acked NAKed
==== ======== ===== =====
Account Logon 0 0 0
Account Logoff 0 0 0
Account Update 0 0 0
Account-Query 0 0 0
Disconnect 0 0 0
Single Service Logon 0 0 0
Single Service Logoff 0 0 0
Single Service Modify 0 0 0
Multiple Service 0 0 0
Errors:
None
Se ASR9K riceve un pacchetto CoA per eseguire un'azione su una sessione del sottoscrittore ma l'identificatore ricevuto da ASR9K nel pacchetto CoA non appartiene ad alcuna sessione attiva del sottoscrittore, il seguente messaggio viene visualizzato nei log se si abilitano i debug suggeriti in precedenza.
RP/0/RSP0/CPU0:Jul 27 13:41:39.133 : radiusd[1133]: RADIUS: Received from id 159 , CoA Request, len 69 RP/0/RSP0/CPU0:Jul 27 13:41:39.133 : radiusd[1133]: RADIUS: authenticator 0D 52 11 54 B0 B7 37 07 - E1 9A 1D AF FA 1A 1A 09 RP/0/RSP0/CPU0:Jul 27 13:41:39.133 : radiusd[1133]: RADIUS: Acct-Session-Id [44] 10 00004723 RP/0/RSP0/CPU0:Jul 27 13:41:39.133 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 39 RP/0/RSP0/CPU0:Jul 27 13:41:39.133 : radiusd[1133]: RADIUS: Cisco AVpair [1] 33 subscriber:sd=WDAAR_DAY_PACKAGE RP/0/RSP0/CPU0:Jul 27 13:41:39.133 : radiusd[1133]: Processing Dynamic authorization request RP/0/RSP0/CPU0:Jul 27 13:41:39.133 : radiusd[1133]: COA: Service-Name attribute is present in service profile push RP/0/RSP0/CPU0:Jul 27 13:41:39.134 : radiusd[1133]: COA/POD:request processing underway. RP/0/RSP0/CPU0:Jul 27 13:41:39.135 : iedged[245]: [IEDGE:TP83:COMMAND-HANDLER:ERROR:0x0] 0 matching session found for CoA request, rc 0 LC/0/0/CPU0:Jul 27 13:41:39.137 : iedged[209]: [IEDGE:TP83:COMMAND-HANDLER:ERROR:0x0] 0 matching session found for CoA request, rc 0
Risoluzione dei problemi
È possibile utilizzare questi comandi su ASR9K per verificare l'elaborazione dei pacchetti CoA. Se il pacchetto CoA è stato elaborato correttamente o se è stato sottoposto a NACK da ASR9K.
-
mostra autore dinamico raggio
L'output precedente mostra una breve panoramica di quante CoA sono state identificate come ACK'd e NACK'd da ASR9K.
- mostra le statistiche di Subscriber Manager AAA COA
L'output include una statistica per il numero totale di singleton il servizio viene attivato (accesso al servizio) e singleton (Service Logoff) che sono stati ricevuti, ACK’d e NACK’d e che comprendono anche il Multiservizio contatore per il rilevamento.
- show subscriber manager statistics PRE, evento
Nell'output vengono visualizzate le statistiche per gli eventi multiservizio elaborati dal motore delle regole dei criteri del piano dei criteri (PRE, Policy Plane Policy Rule Engine).
- mostra gli eventi SVM delle statistiche di Subscriber Manager
Se è stata configurata l'eccezione per il rollback del certificato di autenticità, il comando precedente mostra le statistiche per i rollback riusciti in seguito a richieste MA-CoA non riuscite e per i rollback non riusciti in seguito a richieste MA-CoA non riuscite.
- mostra statistiche di gestione sottoscrittori diverse da zero
Il comando precedente fornisce una breve panoramica dei tempi di elaborazione di CoA su ASR9K e include i tempi delle transazioni (media, deviazione standard, minimo, massimo e conteggio) per le transazioni CoA.
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
20-Oct-2017 |
Versione iniziale |
Feedback