Como os pacotes CoA de várias ações são processados no ASR9K para assinantes do BNG
Contents
Introduction
Este documento explica como a Alteração de Autorização (CoA) é processada na plataforma ASR9K para o Gateway de Rede de Banda Larga (BNG) e como você pode fazer Troubleshooting no ASR9K.
Prerequisites
Requirements
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Recursos do BNG no ASR9K
- Atributos Radius
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- ASR9001 executando a versão 533.
- Servidor de raio livre.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Informações de Apoio
A CoA (Change of Authorization, alteração de autorização) é uma extensão do padrão RADIUS que permite que mensagens assíncronas sejam enviadas de servidores RADIUS para um cliente RADIUS. A principal razão para o CoA é permitir que um servidor RADIUS altere um comportamento de autorização para um assinante que já foi autorizado. A extensão de CoA para RADIUS é definida no IETF RFC 3576.
O recurso Multi-Action CoA (MA-CoA) estende a funcionalidade BNG CoA atual para suportar comandos de ativação e desativação de serviço múltiplos em uma única solicitação de CoA:
A ideia por trás do Multi-Action CoA (MA-CoA) é que ele permitirá que os provedores de serviços de Internet ativem/desativem vários serviços de uma forma que seja atômica de sua perspectiva.
Caso de uso de MA-COA
Este é um exemplo de caso de uso para MA-CoA, de um nível de recursos muito alto.
- A sessão PTA surge com o tráfego da Web redirecionado para um portal de serviço (Redirecionamento HTTP).
- Por meio do portal de serviços, o cliente ativa o primeiro nível de serviço. Isso causa uma solicitação de CoA de várias ações com:
- Desativar redirecionamento
- Botão Ativar Turbo 1
- Ative o VoIP com 2 canais, por exemplo
- Por meio do portal de serviços, o cliente ativa o segundo nível de serviço. Isso causa uma solicitação de CoA de várias ações com:
- Desativar o botão Turbo 1
- Botão Ativar Turbo 2
- Desativar VoIP com 2 canais
- Ativar VoIP com 4 canais
Em MA-CoA, se qualquer serviço na solicitação de CoA falhar em ser ativado/desativado, qualquer serviço que tenha sido ativado/desativado como parte dessa solicitação de CoA deverá ser revertido. Essencialmente, a sessão deve ser restaurada para seu estado pré-MA-CoA quando houver falha na ativação/desativação. No entanto, pode haver algumas instâncias raras em que a reversão completa não será possível. Por exemplo, considere um caso em que os recursos (por exemplo, memória, entradas de TCAM, endereços IP, etc.) são abandonados como parte do processamento de CoA de várias ações. Se ocorrer uma falha de CoA subsequente, esses recursos podem não estar mais disponíveis, portanto, a reversão completa pode não ser possível. Se ocorrer uma falha de reversão, as seguintes ações serão executadas:
- Se a exceção de falha de reversão de coa for configurada na política de controle, a ação especificada para a classe de falha de reversão será executada. Por exemplo, você pode desconectar a sessão. No entanto, a ação padrão para uma falha de reversão de MA-CoA será preservar a sessão.
policy-map type control subscriber WDAAR_NOVA_POLICY event exception match-first class type control subscriber coa-rollback-failure do-all 10 disconnect ! ! end-policy-map
- Se a exceção de falha de reversão de coa não for configurada na política de controle, um erro de syslog será gerado no console.
O processamento de CoA é distribuído no sentido de que as solicitações podem ser processadas no RP (para sessões baseadas em pacotes) ou no LC (para sessões baseadas em LC).
Imagem 1. Mostra o fluxo de mensagens de CoA em um nível superior.
Imagem 1: Arquitetura do CoA no roteador BNG
Fluxo de chamadas MA-CoA
Um exemplo do fluxo de chamadas envolvido no processamento de uma solicitação MA-CoA, em um nível muito alto, é explicado aqui:
- O cliente CoA envia uma solicitação MA-CoA com os seguintes comandos:
- Desativar serviço de Internet
- Ativar serviço de áudio
- Ative o vídeo de serviço
- O Radiusd converte VSAs genéricos da Cisco recém-definidos em atributos AAA_AT padrão e passa para o plano de política.
- O manipulador do comando Plano de política inicia uma solicitação de desassociação para o serviço Service-Internet e uma solicitação de associação para os serviços Service-Audio e Service-Video para SubDB e, em seguida, inicia uma solicitação Produce-Done para SubDB.
- O SubDB executa as associações/desassociações necessárias e se coordena com seus clientes BPI para aplicar a configuração necessária ao hardware. O SubDB envia a mensagem Produce Done (config applied) para o plano de política.
- O manipulador de comando do plano de política envia CoA ACK via radiusd para o cliente CoA.
- Se a contabilidade de nível de serviço tiver sido ativada para o serviço Service-Internet, o Policy Plane Accounting Coordinator enviará uma solicitação de Accounting Stop ao servidor RADIUS. Da mesma forma, se a contabilidade de nível de serviço estiver habilitada para o serviço Service-Audio ou Service-Video, o Policy Plane Accounting Coordinator enviará uma solicitação de Accounting Start ao servidor RADIUS para esses serviços.
Configurar
Use as informações descritas nesta seção para configurar os recursos descritos neste documento.
Diagrama de Rede
A topologia a seguir é usada para testar MA-CoA.
Configurações
ASR9K
interface Bundle-Ether1.200 ipv4 point-to-point ipv4 unnumbered Loopback200 service-policy type control subscriber WDAAR_NOVA_POLICY encapsulation dot1q 200 ipsubscriber ipv4 l2-connected initiator dhcp initiator unclassified-source
A política de controle a seguir é aplicada para ativar a sessão IPoE.
policy-map type control subscriber WDAAR_NOVA_POLICY event session-start match-first class type control subscriber DHCP do-until-failure 10 activate dynamic-template DT_NOVA_DHCP 20 authorize aaa list WDAAR format WDAAR_USERNAME_NOVA password cisco ! class type control subscriber WDAAR_STATIC do-until-failure 10 activate dynamic-template DT_NOVA_STATIC 20 authorize aaa list WDAAR format WDAAR_IP_STATIC password cisco ! ! event authentication-no-response match-first class type control subscriber class-default do-all 10 activate dynamic-template WDAAR_NOVA_ACCT_START 20 activate dynamic-template WDAAR_NOVA_NET50 ! ! end-policy-map !
dynamic-template type ipsubscriber DT_NOVA_DHCP ipv4 unnumbered Loopback201 ! ! interface Loopback201 ipv4 address 199.195.148.1 255.255.255.0 ! dynamic-template type ipsubscriber WDAAR_NOVA_ACCT_START accounting aaa list WDAAR type session periodic-interval 5 ! ! dynamic-template type service WDAAR_NOVA_NET50 service-policy input WDAAR_10Mbps service-policy output WDAAR_Upload ! !
Para simular o comportamento de MA-CoA, as duas políticas de QoS são configuradas, o que limita o tráfego na direção de entrada e de saída.
- WDAAR_DAY_PACKAGE
- WDAAR_NIGHT_PACKAGE
dynamic-template type service WDAAR_DAY_PACKAGE service-policy input WDAAR_Internet_Service_10Mbps_IN service-policy output WDAAR_Internet_Service_10Mbps_OUT accounting aaa list WDAAR type service periodic-interval 10 ! ! dynamic-template type service WDAAR_NIGHT_PACKAGE service-policy input WDAAR_Internet_Service_5Mbps_IN service-policy output WDAAR_Internet_Service_5Mbps_OUT accounting aaa list WDAAR type service periodic-interval 10 ! !
A política é configurada para policiar o tráfego para 10Mpbs tanto na direção de entrada quanto na de saída para o pacote DAY e para o pacote NIGHT é limite para 5Mpbs.
policy-map WDAAR_Internet_Service_5Mbps_IN class class-default police rate 5486 kbps ! ! policy-map WDAAR_Internet_Service_5Mbps_OUT class class-default police rate 5486 kbps ! ! policy-map WDAAR_Internet_Service_10Mbps_IN class class-default police rate 10486 kbps ! ! policy-map WDAAR_Internet_Service_10Mbps_OUT class class-default police rate 10486 kbps ! !
Verificação
Esta seção fornece informações que você pode usar para verificar se o MA-CoA funciona corretamente.
Sessão de assinante IPoE no ASR9K.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber session all detail
Mon Jul 27 11:24:46.467 UTC
Interface: Bundle-Ether1.200.ip18010
Circuit ID: Unknown
Remote ID: Unknown
Type: IP: DHCP-trigger
IPv4 State: Up, Mon Jul 27 11:23:10 2015
IPv4 Address: 172.188.243.147, VRF: default
Mac Address: 0000.6602.0102
Account-Session Id: 00004729
Nas-Port: Unknown
User name: 0000.6602.0102
Formatted User name: 0000.6602.0102
Client User name: unknown
Outer VLAN ID: 200
Subscriber Label: 0x00000048
Created: Mon Jul 27 11:23:08 2015
State: Activated
Authentication: unauthenticated
Authorization: authorized
Access-interface: Bundle-Ether1.200
Policy Executed:
policy-map type control subscriber WDAAR_NOVA_POLICY
event Session-Start match-first [at Mon Jul 27 11:23:08 2015]
class type control subscriber DHCP do-until-failure [Succeeded]
10 activate dynamic-template DT_NOVA_DHCP [Succeeded]
20 authorize aaa list WDAAR [Succeeded]
Session Accounting:
Acct-Session-Id: 00004729
Method-list: WDAAR
Accounting started: Mon Jul 27 11:23:10 2015
Interim accounting: On, interval 2 mins
Last successful update: Never
Next update in: 00:00:24 (dhms)
Service Accounting: WDAAR_DAY_PACKAGE
Acct-Session-Id: 0000472a
Method-list: WDAAR
Accounting started: Mon Jul 27 11:23:10 2015
Interim accounting: On, interval 10 mins
Last successful update: Never
Next update in: 00:08:24 (dhms)
Last COA request received: unavailable
Agora, se você verificar os detalhes da sessão com a palavra-chave oculta internal, você pode ver que AVP's você recebeu do raio. Se você habilitar as depurações no ASR9K, ao ativar a sessão, você também poderá ver isso. Na saída da sessão, você pode ver que, quando o assinante ficar on-line, você aplicou o WDAAR_DAY_PACKAGE e também ativou a contabilidade da sessão e também a contabilidade do serviço.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber session all detail internal
Mon Jul 27 11:27:10.554 UTC
Interface: Bundle-Ether1.200.ip18010
Circuit ID: Unknown
Remote ID: Unknown
Type: IP: DHCP-trigger
IPv4 State: Up, Mon Jul 27 11:23:10 2015
IPv4 Address: 172.188.243.147, VRF: default
IPv4 Up helpers: 0x00000040 {IPSUB}
IPv4 Up requestors: 0x00000040 {IPSUB}
Mac Address: 0000.6602.0102
Account-Session Id: 00004729 Nas-Port: Unknown
User name: 0000.6602.0102
Formatted User name: 0000.6602.0102
Client User name: unknown
Outer VLAN ID: 200
Subscriber Label: 0x00000048
Created: Mon Jul 27 11:23:08 2015
State: Activated
Authentication: unauthenticated
Authorization: authorized
Ifhandle: 0x000abc20 Session History ID: 1
Access-interface: Bundle-Ether1.200
SRG Flags: 0x00000000
Policy Executed:
event Session-Start match-first [at Mon Jul 27 11:23:08 2015]
class type control subscriber DHCP do-until-failure [Succeeded]
10 activate dynamic-template DT_NOVA_DHCP [cerr: No error][aaa: Success]
20 authorize aaa list WDAAR [cerr: No error][aaa: Success]
Session Accounting:
Acct-Session-Id: 00004729
Method-list: WDAAR
Accounting started: Mon Jul 27 11:23:10 2015
Interim accounting: On, interval 2 mins
Last successful update: Mon Jul 27 11:25:10 2015
Next update in: 00:02:00 (dhms)
Last update sent: Mon Jul 27 11:25:10 2015
Updates sent: 1
Updates accepted: 1
Updates rejected: 0
Update send failures: 0
Service Accounting: WDAAR_DAY_PACKAGE
Acct-Session-Id: 0000472a
Method-list: WDAAR
Accounting started: Mon Jul 27 11:23:10 2015
Interim accounting: On, interval 10 mins
Last successful update: Never
Next update in: 00:06:00 (dhms)
Last update sent: Never
Updates sent: 0
Updates accepted: 0
Updates rejected: 0
Update send failures: 0
Accouting stop state: Final stats available
Last COA request received: unavailable
User Profile received from AAA:
Attribute List: 0x50105e7c
1: acct-interval len= 4 value= 120(78) 2: accounting-list len= 5 value= WDAAR Pending Callbacks: InterimAcct>StatsD,
Services:
Name : DT_NOVA_DHCP
Service-ID : 0x4000016
Type : Template
Status : Applied
-------------------------
Name : WDAAR_DAY_PACKAGE
Service-ID : 0x400001a
Type : Multi Template
Status : Applied
-------------------------
[Event History]
Jul 27 11:23:08.672 IPv4 Start
Jul 27 11:23:10.080 SUBDB produce done
Jul 27 11:23:10.080 IPv4 Up
Você pode habilitar essas depurações se quiser ver os pacotes CoA e radius de uma sessão de assinante.
- debug radius
- debug radius dynamic-author
RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Send Access-Request to 10.48.88.121:56777 id 229, len 218 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: authenticator D0 EF B5 50 DD 9A 1A 84 - FB 36 5C FB 5C DB 96 FE RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 41 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Cisco AVpair [1] 35 client-mac-address=0000.6602.0102 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Acct-Session-Id [44] 10 00004729 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: NAS-Port-Id [87] 11 0/0/1/200 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 17 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: cisco-nas-port [2] 11 0/0/1/200 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: User-Name [1] 16 0000.6602.0102 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Service-Type [6] 6 Outbound[0] RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: User-Password [2] 18 * RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: NAS-Port-Type [61] 6 VIRTUAL_IPOEOVLAN[0] RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Event-Timestamp [55] 6 1437996188 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 23 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Cisco AVpair [1] 17 dhcp-client-id= RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Nas-Identifier [32] 16 acdc-asr9000-4 RP/0/RSP0/CPU0:Jul 27 11:23:08.707 : radiusd[1133]: RADIUS: NAS-IP-Address [4] 6 10.48.88.54 RP/0/RSP0/CPU0:Jul 27 11:23:08.707 : radiusd[1133]: RADIUS: NAS-IPv6-Address [95] 22 1a 10 00 00 00 00 00 00 00 00 00 00 00 00 00 00 RP/0/RSP0/CPU0:Jul 27 11:23:08.707 : radiusd[1133]: RADIUS: 00 00 00 00 RP/0/RSP0/CPU0:Jul 27 11:23:08.707 : radiusd[1133]: Got global deadtime 0 RP/0/RSP0/CPU0:Jul 27 11:23:08.707 : radiusd[1133]: Using global deadtime = 0 sec RP/0/RSP0/CPU0:Jul 27 11:23:08.707 : radiusd[1133]: Start timer thread rad_ident 229 remote_port 56777 remote_addr 10.48.88.121, socket 1342510940 rctx 0x50258020 RP/0/RSP0/CPU0:Jul 27 11:23:08.707 : radiusd[1133]: Successfully sent packet and started timeout handler for rctx 0x50258020 RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: Radius packet decryption complete with rc = 0 RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: RADIUS: Received from id 229 10.48.88.121:56777, Access-Accept, len 105 RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: RADIUS: authenticator 9D 27 8C A5 28 C8 AE 2B - 58 56 08 DF C2 BA 06 28 RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: RADIUS: Acct-Interim-Interval[85] 6 120 RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 40 RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: RADIUS: Cisco AVpair [1] 34 subscriber:accounting-list=WDAAR RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 39 RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: RADIUS: Cisco AVpair [1] 33 subscriber:sa=WDAAR_DAY_PACKAGE RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: Freeing server group transaction_id (3D000000)
Os atributos de AAA da credencial e da identidade do assinante de diferentes componentes são armazenados no SADB (Subscriber Attribute Database). O SADB não salva a configuração do assinante. Você pode empregar o seguinte comando show para ver todos os atributos dessa sessão.
- show subscriber manager sadb
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber manager sadb Mon Jul 27 12:13:36.273 UTC Sublabel: 0x00000048 Node_ID: 00000001 Signature: 0xabcdef12 Version: 1 Rev: 21 Length: 297 Attribute list: 1343184692 1: protocol-type len= 4 dhcp 2: dhcp-client-id len= 15 3: port-type len= 4 Virtual IP over VLAN 4: outer-vlan-id len= 4 200(c8) 5: client-mac-address len= 14 0000.6602.0102 6: parent-if-handle len= 4 1568(620) 7: string-session-id len= 8 00004729 8: interface len= 9 0/0/1/200 9: formatted-username len= 14 0000.6602.0102 10: username len= 14 0000.6602.0102 11: author_status len= 1 true 12: addr len= 4 172.188.243.147 13: if-handle len= 4 703520(abc20) 14: vrf-id len= 4 1610612736(60000000) 15: ipv4-session-state len= 1 true 16: accounting-list len= 5 WDAAR 17: start_time len= 4 Mon Jul 27 11:23:10 2015
Há outro banco de dados chamado Subscriber Database(SubDB) para armazenar a configuração e a associação da configuração à sessão. SubDB (Subscriber Database) é projetado para gerenciar a configuração dinâmica para assinantes do BNG. Uma configuração de assinante é um conjunto de recursos predefinidos e seus valores específicos.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber database association Mon Jul 27 12:26:38.186 UTC Location 0/RSP0/CPU0 Bundle-Ether1.200.ip18010, subscriber label 0x48 Name Template Type -------- ------------- U00000048 User profile WDAAR_DAY_PACKAGE Service DT_NOVA_DHCP IP subscriber
Você também pode empregar o filtro subscriber-label para ver as informações de um assinante.
- show subscriber database association subscriber-label <SUBSCRIBER-LABEL>
Teste MA-CoA
Como você já aplicou o serviço WDAAR_DAY_PACKAGEem uma sessão, então como um teste primeiro você apenas remove o serviço WDAAR_DAY_PACKAGE da sessão. Agora você pode ver que não há serviço WDAAR_DAY_PACKAGE ativo na sessão.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber session all detail internal
Mon Jul 27 13:47:55.881 UTC
Interface: Bundle-Ether1.200.ip18012
Circuit ID: Unknown
Remote ID: Unknown
Type: IP: DHCP-trigger
IPv4 State: Up, Mon Jul 27 13:33:22 2015
IPv4 Address: 172.188.243.147, VRF: default
IPv4 Up helpers: 0x00000040 {IPSUB}
IPv4 Up requestors: 0x00000040 {IPSUB}
Mac Address: 0000.6602.0102
Account-Session Id: 0000472d
Nas-Port: Unknown
User name: 0000.6602.0102
Formatted User name: 0000.6602.0102
Client User name: unknown
Outer VLAN ID: 200
Subscriber Label: 0x0000004a
Created: Mon Jul 27 13:33:21 2015
State: Activated
Authentication: unauthenticated
Authorization: authorized
Ifhandle: 0x000abca0
Session History ID: 1
Access-interface: Bundle-Ether1.200
SRG Flags: 0x00000000
Policy Executed:
event Session-Start match-first [at Mon Jul 27 13:33:21 2015]
class type control subscriber DHCP do-until-failure [Succeeded]
10 activate dynamic-template DT_NOVA_DHCP [cerr: No error][aaa: Success]
20 authorize aaa list WDAAR [cerr: No error][aaa: Success]
Session Accounting:
Acct-Session-Id: 0000472d
Method-list: WDAAR
Accounting started: Mon Jul 27 13:33:22 2015
Interim accounting: On, interval 2 mins
Last successful update: Mon Jul 27 13:47:24 2015
Next update in: 00:01:27 (dhms)
Last update sent: Mon Jul 27 13:47:24 2015
Updates sent: 7
Updates accepted: 7
Updates rejected: 0
Update send failures: 0
Accouting stop state: Final stats available
Last COA request: Mon Jul 27 13:47:50 2015
COA Request Attribute List: 0x50105f70
1: sd len= 17 value= WDAAR_DAY_PACKAGE 2: command len= 18 value= deactivate-service 3: service-info len= 17 value= WDAAR_DAY_PACKAGE 4: service-name len= 17 value= WDAAR_DAY_PACKAGE Last COA response: Result ACK
COA Response Attribute List: 0x50106180
1: sd len= 17 value= WDAAR_DAY_PACKAGE
User Profile received from AAA:
Attribute List: 0x50106390
1: acct-interval len= 4 value= 120(78)
2: accounting-list len= 5 value= WDAAR
Services:
Name : DT_NOVA_DHCP
Service-ID : 0x4000016
Type : Template
Status : Applied
-------------------------
[Event History]
Jul 27 13:33:21.152 IPv4 Start
Jul 27 13:33:22.560 IPv4 Up
Jul 27 13:47:50.528 CoA request
Jul 27 13:47:50.784 SUBDB produce done [many]
Conforme explicado, quando o serviço não está associado, o processo radiusd no ASR9K envia a parada de contabilização para o servidor radius. E nas depurações esse comportamento também é confirmado.
RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Send Accounting-Request to 10.48.88.121:56778 id 48, len 391 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: authenticator 6C E1 D2 2B 49 1A EE E4 - 6D 36 FD FA 7A 84 26 50 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Acct-Interim-Interval[85] 6 10 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Acct-Session-Time [46] 6 868 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Acct-Terminate-Cause[49] 6 admin-reset[0] RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Acct-Status-Type [40] 6 Stop[0] RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Event-Timestamp [55] 6 1438004870 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 23 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Cisco AVpair [1] 17 dhcp-client-id= RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: NAS-Port-Type [61] 6 VIRTUAL_IPOEOVLAN[0] RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 41 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Cisco AVpair [1] 35 client-mac-address=0000.6602.0102 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: NAS-Port-Id [87] 11 0/0/1/200 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 17 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: cisco-nas-port [2] 11 0/0/1/200 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: User-Name [1] 16 0000.6602.0102 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Framed-IP-Address [8] 6 172.188.243.147 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 22 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Cisco AVpair [1] 16 vrf-id=default RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 29 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Cisco AVpair [1] 23 accounting-list=WDAAR RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: AAA Unsupported Attr: user-maxlinks [196] 6 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 32 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Cisco AVpair [1] 26 connect-progress=Call Up RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 34 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Cisco AVpair [1] 28 parent-session-id=0000472d RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 38 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Cisco AVpair [1] 32 service-name=WDAAR_DAY_PACKAGE RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Acct-Session-Id [44] 10 0000472e RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Nas-Identifier [32] 16 acdc-asr9000-4 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: NAS-IP-Address [4] 6 10.48.88.54 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: NAS-IPv6-Address [95] 22 1a 10 00 00 00 00 00 00 00 00 00 00 00 00 00 00 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: 00 00 00 00 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Acct-Delay-Time [41] 6 0
Esse comando show também exibe as estatísticas para o CoA bem-sucedido.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber manager statistics AAA COA
Mon Jul 27 13:53:49.627 UTC
[ CHANGE OF AUTHORIZATION STATISTICS ]
Location: 0/RSP0/CPU0
CoA Requests:
Type Received Acked NAKed
==== ======== ===== =====
Account Logon 0 0 0
Account Logoff 0 0 0
Account Update 0 0 0
Account-Query 0 0 0
Disconnect 0 0 0
Single Service Logon 0 0 0
Single Service Logoff 1 1 0 Single Service Modify 0 0 0
Multiple Service 0 0 0
Errors:
Responses to COA with unknown session identifier = 3
[ CHANGE OF AUTHORIZATION STATISTICS ]
Location: 0/0/CPU0
CoA Requests:
Type Received Acked NAKed
==== ======== ===== =====
Account Logon 0 0 0
Account Logoff 0 0 0
Account Update 0 0 0
Account-Query 0 0 0
Disconnect 0 0 0
Single Service Logon 0 0 0
Single Service Logoff 0 0 0
Single Service Modify 0 0 0
Multiple Service 0 0 0
Errors:
None
Agora, você aplicou o serviço WDAAR_NIGHT_PACKAGE em uma sessão de assinante e verá as estatísticas novamente.
Last COA request: Mon Jul 27 13:57:48 2015 COA Request Attribute List: 0x501060c8 1: sa len= 19 value= WDAAR_NIGHT_PACKAGE 2: command len= 16 value= activate-service 3: service-info len= 19 value= WDAAR_NIGHT_PACKAGE 4: service-name len= 19 value= WDAAR_NIGHT_PACKAGE Last COA response: Result ACK COA Response Attribute List: 0x501062d8 1: sa len= 19 value= WDAAR_NIGHT_PACKAGE User Profile received from AAA: Attribute List: 0x501064e8 1: acct-interval len= 4 value= 120(78) 2: accounting-list len= 5 value= WDAAR Services: Name : DT_NOVA_DHCP Service-ID : 0x4000016 Type : Template Status : Applied ------------------------- Name : WDAAR_NIGHT_PACKAGE Service-ID : 0x4000019 Type : Multi Template Status : Applied ------------------------- [Event History] Jul 27 13:33:21.152 IPv4 Start Jul 27 13:33:22.560 IPv4 Up Jul 27 13:57:48.800 CoA request [many] Jul 27 13:57:48.928 SUBDB produce done [many]
Aplique o serviço, para que você possa ver que o contador de Logon de Serviço é incrementado e na saída de assinante acima, você também pode ver que ele foi aplicado.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber manager statistics AAA COA
Mon Jul 27 13:58:00.410 UTC
[ CHANGE OF AUTHORIZATION STATISTICS ]
Location: 0/RSP0/CPU0
CoA Requests:
Type Received Acked NAKed
==== ======== ===== =====
Account Logon 0 0 0
Account Logoff 0 0 0
Account Update 0 0 0
Account-Query 0 0 0
Disconnect 0 0 0
Single Service Logon 1 1 0
Single Service Logoff 1 1 0
Single Service Modify 0 0 0
Multiple Service 0 0 0
Errors:
Responses to COA with unknown session identifier = 3
[ CHANGE OF AUTHORIZATION STATISTICS ]
Location: 0/0/CPU0
CoA Requests:
Type Received Acked NAKed
==== ======== ===== =====
Account Logon 0 0 0
Account Logoff 0 0 0
Account Update 0 0 0
Account-Query 0 0 0
Disconnect 0 0 0
Single Service Logon 0 0 0
Single Service Logoff 0 0 0
Single Service Modify 0 0 0
Multiple Service 0 0 0
Errors:
None
Até agora você está apenas aplicando um serviço de cada vez com um único pacote de CoA e removendo um serviço com um único pacote de CoA, agora você enviará um pacote de CoA que remove o serviço e aplica o serviço em um único pacote de CoA.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber session all detail internal
Mon Jul 27 14:03:40.255 UTC
Interface: Bundle-Ether1.200.ip18012
Circuit ID: Unknown
Remote ID: Unknown
Type: IP: DHCP-trigger
IPv4 State: Up, Mon Jul 27 13:33:22 2015
IPv4 Address: 172.188.243.147, VRF: default
IPv4 Up helpers: 0x00000040 {IPSUB}
IPv4 Up requestors: 0x00000040 {IPSUB}
Mac Address: 0000.6602.0102
Account-Session Id: 0000472d
Nas-Port: Unknown
User name: 0000.6602.0102
Formatted User name: 0000.6602.0102
Client User name: unknown
Outer VLAN ID: 200
Subscriber Label: 0x0000004a
Created: Mon Jul 27 13:33:21 2015
State: Activated
Authentication: unauthenticated
Authorization: authorized
Ifhandle: 0x000abca0
Session History ID: 1
Access-interface: Bundle-Ether1.200
SRG Flags: 0x00000000
Policy Executed:
event Session-Start match-first [at Mon Jul 27 13:33:21 2015]
class type control subscriber DHCP do-until-failure [Succeeded]
10 activate dynamic-template DT_NOVA_DHCP [cerr: No error][aaa: Success]
20 authorize aaa list WDAAR [cerr: No error][aaa: Success]
Session Accounting:
Acct-Session-Id: 0000472d
Method-list: WDAAR
Accounting started: Mon Jul 27 13:33:22 2015
Interim accounting: On, interval 2 mins
Last successful update: Mon Jul 27 14:03:24 2015
Next update in: 00:01:43 (dhms)
Last update sent: Mon Jul 27 14:03:24 2015
Updates sent: 15
Updates accepted: 15
Updates rejected: 0
Update send failures: 0
Accouting stop state: Final stats available
Service Accounting: WDAAR_DAY_PACKAGE
Acct-Session-Id: 00004730
Method-list: WDAAR
Accounting started: Mon Jul 27 14:03:35 2015
Interim accounting: On, interval 10 mins
Last successful update: Never
Next update in: 00:09:56 (dhms)
Last update sent: Never
Updates sent: 0
Updates accepted: 0
Updates rejected: 0
Update send failures: 0
Accouting stop state: Final stats available
Last COA request: Mon Jul 27 14:03:35 2015
COA Request Attribute List: 0x50106248
1: sd len= 19 value= WDAAR_NIGHT_PACKAGE 2: command len= 18 value= deactivate-service 3: service-info len= 19 value= WDAAR_NIGHT_PACKAGE 4: service-name len= 19 value= WDAAR_NIGHT_PACKAGE 5: sa len= 17 value= WDAAR_DAY_PACKAGE 6: command len= 16 value= activate-service 7: service-info len= 17 value= WDAAR_DAY_PACKAGE 8: service-name len= 17 value= WDAAR_DAY_PACKAGE Last COA response: Result ACK
COA Response Attribute List: 0x50106458
1: sd len= 19 value= WDAAR_NIGHT_PACKAGE
2: sa len= 17 value= WDAAR_DAY_PACKAGE
User Profile received from AAA:
Attribute List: 0x50106668
1: acct-interval len= 4 value= 120(78)
2: accounting-list len= 5 value= WDAAR
Services:
Name : DT_NOVA_DHCP
Service-ID : 0x4000016
Type : Template
Status : Applied
-------------------------
Name : WDAAR_DAY_PACKAGE
Service-ID : 0x400001a
Type : Multi Template
Status : Applied
-------------------------
[Event History]
Jul 27 13:33:21.152 IPv4 Start
Jul 27 13:33:22.560 IPv4 Up
Jul 27 14:03:35.296 CoA request [many]
Jul 27 14:03:35.680 SUBDB produce done [many]
Com o MA-CoA, você pode ver que o contador de multisserviço também é aumentado.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber manager statistics AAA COA
Mon Jul 27 14:05:04.724 UTC
[ CHANGE OF AUTHORIZATION STATISTICS ]
Location: 0/RSP0/CPU0
CoA Requests:
Type Received Acked NAKed
==== ======== ===== =====
Account Logon 0 0 0
Account Logoff 0 0 0
Account Update 0 0 0
Account-Query 0 0 0
Disconnect 0 0 0
Single Service Logon 1 1 0
Single Service Logoff 1 1 0
Single Service Modify 0 0 0
Multiple Service 1 1 0
Errors:
Responses to COA with unknown session identifier = 3
[ CHANGE OF AUTHORIZATION STATISTICS ]
Location: 0/0/CPU0
CoA Requests:
Type Received Acked NAKed
==== ======== ===== =====
Account Logon 0 0 0
Account Logoff 0 0 0
Account Update 0 0 0
Account-Query 0 0 0
Disconnect 0 0 0
Single Service Logon 0 0 0
Single Service Logoff 0 0 0
Single Service Modify 0 0 0
Multiple Service 0 0 0
Errors:
None
Se o ASR9K receber um pacote CoA para executar qualquer ação em uma sessão de assinante, mas o identificador que o ASR9K receber no pacote CoA não pertencer a nenhuma sessão de assinante ativa, a seguinte mensagem será exibida nos logs se você ativar as depurações sugeridas acima.
RP/0/RSP0/CPU0:Jul 27 13:41:39.133 : radiusd[1133]: RADIUS: Received from id 159 , CoA Request, len 69 RP/0/RSP0/CPU0:Jul 27 13:41:39.133 : radiusd[1133]: RADIUS: authenticator 0D 52 11 54 B0 B7 37 07 - E1 9A 1D AF FA 1A 1A 09 RP/0/RSP0/CPU0:Jul 27 13:41:39.133 : radiusd[1133]: RADIUS: Acct-Session-Id [44] 10 00004723 RP/0/RSP0/CPU0:Jul 27 13:41:39.133 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 39 RP/0/RSP0/CPU0:Jul 27 13:41:39.133 : radiusd[1133]: RADIUS: Cisco AVpair [1] 33 subscriber:sd=WDAAR_DAY_PACKAGE RP/0/RSP0/CPU0:Jul 27 13:41:39.133 : radiusd[1133]: Processing Dynamic authorization request RP/0/RSP0/CPU0:Jul 27 13:41:39.133 : radiusd[1133]: COA: Service-Name attribute is present in service profile push RP/0/RSP0/CPU0:Jul 27 13:41:39.134 : radiusd[1133]: COA/POD:request processing underway. RP/0/RSP0/CPU0:Jul 27 13:41:39.135 : iedged[245]: [IEDGE:TP83:COMMAND-HANDLER:ERROR:0x0] 0 matching session found for CoA request, rc 0 LC/0/0/CPU0:Jul 27 13:41:39.137 : iedged[209]: [IEDGE:TP83:COMMAND-HANDLER:ERROR:0x0] 0 matching session found for CoA request, rc 0
Troubleshoot
Você pode empregar esses comandos no ASR9K para verificar o processamento de pacotes CoA. Se o pacote CoA foi processado com êxito ou estava sendo processado pelo ASR9K como NACK.
-
show radius dynamic-author
A saída acima exibe uma breve visão geral de quantos CoA são confirmados e confirmados pelo ASR9K.
- show subscriber manager statistics AAA COA
A saída inclui uma estatística do número total de singleton o serviço é ativado (Logon de Serviço) e singleton serviço desativa (Logoff de serviço) que foram recebidos, confirmados e confirmados e também incluem o Multi-serviço contador para rastreamento.
- show subscriber manager statistics PRE event
A saída exibe estatísticas para eventos de vários serviços que foram processados pelo Policy Plan Policy Rule Engine (PRE).
- show subscriber manager statistics eventos SVM
Se você configurou a exceção para reversão de COA, o comando acima mostrará estatísticas para reversões bem-sucedidas após solicitações de MA-CoA com falha e reversões com falha após solicitações de MA-CoA com falha.
- show subscriber manager statistics perf non-zero
O comando acima fornece uma breve visão geral sobre os tempos de processamento de CoA no ASR9K e inclui tempos de transação (média, desvio padrão, mínimo, máximo e contagem) para transações de CoA.
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
20-Oct-2017 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)