Verarbeitung von Multi-Action-CoA-Paketen auf ASR9K für BNG-Abonnenten
Inhalt
Einleitung
In diesem Dokument wird erläutert, wie die Autorisierungsänderung (Change of Authorization, CoA) auf der ASR9K-Plattform für Broadband Network Gateway (BNG) verarbeitet wird und wie Sie diese auf dem ASR9K beheben können.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- BNG-Funktionen auf ASR9K
- Radius-Attribute
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- ASR9001 mit Version 533
- Server mit freiem Radius.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Hintergrundinformationen
Die Autorisierungsänderung (Change of Authorization, CoA) ist eine Erweiterung des RADIUS-Standards, die das Senden asynchroner Nachrichten von RADIUS-Servern an einen RADIUS-Client ermöglicht. Der Hauptgrund für CoA besteht darin, dass ein RADIUS-Server ein Autorisierungsverhalten für einen Teilnehmer ändern kann, der bereits autorisiert wurde. Die CoA-Erweiterung zu RADIUS ist in IETF RFC 3576 definiert.
Die Funktion Multi-Action CoA (MA-CoA) erweitert die aktuelle BNG-CoA-Funktion, um mehrere Befehle zur Service-Aktivierung und Service-Deaktivierung innerhalb einer einzelnen CoA-Anforderung zu unterstützen:
Die Idee hinter Multi-Action-CoA (MA-CoA) ist, dass es Internet-Service-Providern ermöglicht, mehrere Services auf eine Art und Weise zu aktivieren/deaktivieren, die aus ihrer Sicht atomar ist.
Anwendungsfall von MA-COA
Dies ist ein Beispiel für MA-CoA, ausgehend von einem sehr hohen Funktionsumfang.
- In einer PTA-Sitzung wird der Web-Datenverkehr an ein Serviceportal (HTTP Redirect) weitergeleitet.
- Über das Serviceportal aktiviert der Kunde die erste Servicestufe. Dies führt zu einer Multi-Action-CoA-Anfrage bei:
- Umleitung deaktivieren
- Turbotaste 1 aktivieren
- Aktivieren Sie VoIP beispielsweise mit 2 Kanälen.
- Über das Serviceportal aktiviert der Kunde die zweite Servicestufe. Dies führt zu einer Multi-Action-CoA-Anforderung mit:
- Turbotaste 1 deaktivieren
- Turbotaste 2 aktivieren
- Deaktivieren von VoIP mit 2 Kanälen
- Aktivieren von VoIP mit 4 Kanälen
Wenn bei MA-CoA ein Service in der CoA-Anfrage nicht aktiviert/deaktiviert wird, müssen alle Services, die im Rahmen dieser CoA-Anfrage aktiviert/deaktiviert wurden, zurückgesetzt werden. Im Wesentlichen muss der Sitzungsstatus vor dem MA-CoA-Status wiederhergestellt werden, wenn die Aktivierung/Deaktivierung fehlschlägt. In seltenen Fällen ist jedoch ein vollständiges Rollback nicht möglich. Stellen Sie sich beispielsweise einen Fall vor, in dem Ressourcen (z. B. Arbeitsspeicher, TCAM-Einträge, IP-Adressen usw.) im Rahmen der Multi-Action-CoA-Verarbeitung freigegeben werden. Bei einem nachfolgenden CoA-Fehler sind diese Ressourcen möglicherweise nicht mehr verfügbar, sodass ein vollständiges Rollback möglicherweise nicht möglich ist. Wenn ein Rollback-Fehler auftritt, werden die folgenden Maßnahmen ergriffen:
- Wenn in der Kontrollrichtlinie eine Ausnahme für coa-rollback-failure konfiguriert ist, wird die für die Klasse "rollback-failure" angegebene Aktion ausgeführt. Beispielsweise können Sie die Sitzung trennen. Die Standardaktion für einen MA-CoA-Rollback-Fehler ist jedoch, die Sitzung beizubehalten.
policy-map type control subscriber WDAAR_NOVA_POLICY event exception match-first class type control subscriber coa-rollback-failure do-all 10 disconnect ! ! end-policy-map
- Wenn die Ausnahme coa-rollback-failure in der Kontrollrichtlinie nicht konfiguriert ist, wird ein Syslog-Fehler in der Konsole generiert.
Die CoA-Verarbeitung wird dadurch verteilt, dass die Anfragen entweder auf dem RP (für paketbasierte Sitzungen) oder auf dem LC (für LC-basierte Sitzungen) verarbeitet werden können.
Bild 1. Zeigt den CoA-Nachrichtenfluss auf hoher Ebene an.
Abbildung 1: CoA-Architektur auf BNG-Routern
MA-CoA-Anruffluss
Ein Beispiel für den Anruffluss bei der Bearbeitung einer MA-CoA-Anfrage auf sehr hohem Niveau wird hier erläutert:
- CoA-Client sendet MA-CoA-Anfrage mit den folgenden Befehlen:
- Service-Internet deaktivieren
- Service-Audio aktivieren
- Service-Video aktivieren
- Radiusd wandelt neu definierte generische Cisco VSAs in standardmäßige AAA_AT-Attribute um und übergibt diese an die Richtlinienebene.
- Der Befehlshandler für die Richtlinienebene initiiert eine Anforderung zum Aufheben der Zuweisung für den Service Service-Internet und eine Anforderung zum Zuordnen der Services Service-Audio & Service-Video zu SubDB und initiiert dann eine Anforderung zum Produce-Done für SubDB.
- SubDB führt die erforderliche Aufhebung der Zuordnung/Zuordnung durch und stimmt sich mit seinen BPI-Clients ab, um die erforderliche Konfiguration auf die Hardware anzuwenden. Die SubDB sendet dann die Meldung Produce Done (Anwendung der Konfiguration) an die Richtlinienebene.
- Der Richtlinienebenen-Befehlshandler sendet CoA-ACK über Radiusd an den CoA-Client.
- Wenn die Dienstebenenkontoverwaltung für den Dienst "Service-Internet" aktiviert wurde, sendet der Richtlinienebenenkontokoordinator eine Anforderung zum Beenden der Kontoführung an den RADIUS-Server. Wenn die Dienstebenenabrechnung für Dienst-Audio oder Dienst-Video aktiviert ist, sendet der Richtlinienebenenabrechnungskoordinator eine Anforderung zum Abrechnungsstart für diese Dienste an den RADIUS-Server.
Konfigurieren
Verwenden Sie die in diesem Abschnitt beschriebenen Informationen, um die in diesem Dokument beschriebenen Funktionen zu konfigurieren.
Netzwerkdiagramm
Die folgende Topologie wird zum Testen von MA-CoA verwendet.
Konfigurationen
ASR9K
interface Bundle-Ether1.200 ipv4 point-to-point ipv4 unnumbered Loopback200 service-policy type control subscriber WDAAR_NOVA_POLICY encapsulation dot1q 200 ipsubscriber ipv4 l2-connected initiator dhcp initiator unclassified-source
Die folgende Steuerungsrichtlinie wird angewendet, um die IPoE-Sitzung zu starten.
policy-map type control subscriber WDAAR_NOVA_POLICY event session-start match-first class type control subscriber DHCP do-until-failure 10 activate dynamic-template DT_NOVA_DHCP 20 authorize aaa list WDAAR format WDAAR_USERNAME_NOVA password cisco ! class type control subscriber WDAAR_STATIC do-until-failure 10 activate dynamic-template DT_NOVA_STATIC 20 authorize aaa list WDAAR format WDAAR_IP_STATIC password cisco ! ! event authentication-no-response match-first class type control subscriber class-default do-all 10 activate dynamic-template WDAAR_NOVA_ACCT_START 20 activate dynamic-template WDAAR_NOVA_NET50 ! ! end-policy-map !
dynamic-template type ipsubscriber DT_NOVA_DHCP ipv4 unnumbered Loopback201 ! ! interface Loopback201 ipv4 address 199.195.148.1 255.255.255.0 ! dynamic-template type ipsubscriber WDAAR_NOVA_ACCT_START accounting aaa list WDAAR type session periodic-interval 5 ! ! dynamic-template type service WDAAR_NOVA_NET50 service-policy input WDAAR_10Mbps service-policy output WDAAR_Upload ! !
Um das MA-CoA-Verhalten zu simulieren, wird die QoS-Richtlinie konfiguriert, die den Datenverkehr in ein- und ausgehender Richtung begrenzt.
- WDAAR_DAY_PACKAGE
- WDAAR_NIGHT_PAKET
dynamic-template type service WDAAR_DAY_PACKAGE service-policy input WDAAR_Internet_Service_10Mbps_IN service-policy output WDAAR_Internet_Service_10Mbps_OUT accounting aaa list WDAAR type service periodic-interval 10 ! ! dynamic-template type service WDAAR_NIGHT_PACKAGE service-policy input WDAAR_Internet_Service_5Mbps_IN service-policy output WDAAR_Internet_Service_5Mbps_OUT accounting aaa list WDAAR type service periodic-interval 10 ! !
Die Richtlinie ist so konfiguriert, dass der Datenverkehr für das DAY-Paket in Eingangs- und Ausgangsrichtung auf 10 Mbit/s geregelt wird. Für das NIGHT-Paket ist er auf 5 Mbit/s beschränkt.
policy-map WDAAR_Internet_Service_5Mbps_IN class class-default police rate 5486 kbps ! ! policy-map WDAAR_Internet_Service_5Mbps_OUT class class-default police rate 5486 kbps ! ! policy-map WDAAR_Internet_Service_10Mbps_IN class class-default police rate 10486 kbps ! ! policy-map WDAAR_Internet_Service_10Mbps_OUT class class-default police rate 10486 kbps ! !
Verifizierung
In diesem Abschnitt finden Sie Informationen, mit denen Sie die ordnungsgemäße Funktionsweise der MA-CoA überprüfen können.
IPoE-Teilnehmersitzung auf ASR9K.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber session all detail
Mon Jul 27 11:24:46.467 UTC
Interface: Bundle-Ether1.200.ip18010
Circuit ID: Unknown
Remote ID: Unknown
Type: IP: DHCP-trigger
IPv4 State: Up, Mon Jul 27 11:23:10 2015
IPv4 Address: 172.188.243.147, VRF: default
Mac Address: 0000.6602.0102
Account-Session Id: 00004729
Nas-Port: Unknown
User name: 0000.6602.0102
Formatted User name: 0000.6602.0102
Client User name: unknown
Outer VLAN ID: 200
Subscriber Label: 0x00000048
Created: Mon Jul 27 11:23:08 2015
State: Activated
Authentication: unauthenticated
Authorization: authorized
Access-interface: Bundle-Ether1.200
Policy Executed:
policy-map type control subscriber WDAAR_NOVA_POLICY
event Session-Start match-first [at Mon Jul 27 11:23:08 2015]
class type control subscriber DHCP do-until-failure [Succeeded]
10 activate dynamic-template DT_NOVA_DHCP [Succeeded]
20 authorize aaa list WDAAR [Succeeded]
Session Accounting:
Acct-Session-Id: 00004729
Method-list: WDAAR
Accounting started: Mon Jul 27 11:23:10 2015
Interim accounting: On, interval 2 mins
Last successful update: Never
Next update in: 00:00:24 (dhms)
Service Accounting: WDAAR_DAY_PACKAGE
Acct-Session-Id: 0000472a
Method-list: WDAAR
Accounting started: Mon Jul 27 11:23:10 2015
Interim accounting: On, interval 10 mins
Last successful update: Never
Next update in: 00:08:24 (dhms)
Last COA request received: unavailable
Wenn Sie nun die Details der Sitzung mit ausgeblendeten Schlüsselwort intern überprüfen, können Sie sehen, dass, was AVP Sie aus dem Radius erhalten haben. Wenn Sie die Debugging-Funktion auf ASR9K aktivieren, während Sie die Sitzung aufrufen, wird Ihnen dies ebenfalls angezeigt. Aus der Sitzungsausgabe können Sie sehen, dass Sie, wenn der Abonnent online geht, WDAAR_DAY_PACKAGE angewendet haben und außerdem die Sitzungsabrechnung sowie die Dienstabrechnung aktivieren.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber session all detail internal
Mon Jul 27 11:27:10.554 UTC
Interface: Bundle-Ether1.200.ip18010
Circuit ID: Unknown
Remote ID: Unknown
Type: IP: DHCP-trigger
IPv4 State: Up, Mon Jul 27 11:23:10 2015
IPv4 Address: 172.188.243.147, VRF: default
IPv4 Up helpers: 0x00000040 {IPSUB}
IPv4 Up requestors: 0x00000040 {IPSUB}
Mac Address: 0000.6602.0102
Account-Session Id: 00004729 Nas-Port: Unknown
User name: 0000.6602.0102
Formatted User name: 0000.6602.0102
Client User name: unknown
Outer VLAN ID: 200
Subscriber Label: 0x00000048
Created: Mon Jul 27 11:23:08 2015
State: Activated
Authentication: unauthenticated
Authorization: authorized
Ifhandle: 0x000abc20 Session History ID: 1
Access-interface: Bundle-Ether1.200
SRG Flags: 0x00000000
Policy Executed:
event Session-Start match-first [at Mon Jul 27 11:23:08 2015]
class type control subscriber DHCP do-until-failure [Succeeded]
10 activate dynamic-template DT_NOVA_DHCP [cerr: No error][aaa: Success]
20 authorize aaa list WDAAR [cerr: No error][aaa: Success]
Session Accounting:
Acct-Session-Id: 00004729
Method-list: WDAAR
Accounting started: Mon Jul 27 11:23:10 2015
Interim accounting: On, interval 2 mins
Last successful update: Mon Jul 27 11:25:10 2015
Next update in: 00:02:00 (dhms)
Last update sent: Mon Jul 27 11:25:10 2015
Updates sent: 1
Updates accepted: 1
Updates rejected: 0
Update send failures: 0
Service Accounting: WDAAR_DAY_PACKAGE
Acct-Session-Id: 0000472a
Method-list: WDAAR
Accounting started: Mon Jul 27 11:23:10 2015
Interim accounting: On, interval 10 mins
Last successful update: Never
Next update in: 00:06:00 (dhms)
Last update sent: Never
Updates sent: 0
Updates accepted: 0
Updates rejected: 0
Update send failures: 0
Accouting stop state: Final stats available
Last COA request received: unavailable
User Profile received from AAA:
Attribute List: 0x50105e7c
1: acct-interval len= 4 value= 120(78) 2: accounting-list len= 5 value= WDAAR Pending Callbacks: InterimAcct>StatsD,
Services:
Name : DT_NOVA_DHCP
Service-ID : 0x4000016
Type : Template
Status : Applied
-------------------------
Name : WDAAR_DAY_PACKAGE
Service-ID : 0x400001a
Type : Multi Template
Status : Applied
-------------------------
[Event History]
Jul 27 11:23:08.672 IPv4 Start
Jul 27 11:23:10.080 SUBDB produce done
Jul 27 11:23:10.080 IPv4 Up
Sie können diese Debugging-Funktionen aktivieren, wenn Sie die CoA- und Radius-Pakete für eine Subscriber-Sitzung anzeigen möchten.
- Debug-Radius
- debug radius dynamic-author
RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Send Access-Request to 10.48.88.121:56777 id 229, len 218 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: authenticator D0 EF B5 50 DD 9A 1A 84 - FB 36 5C FB 5C DB 96 FE RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 41 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Cisco AVpair [1] 35 client-mac-address=0000.6602.0102 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Acct-Session-Id [44] 10 00004729 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: NAS-Port-Id [87] 11 0/0/1/200 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 17 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: cisco-nas-port [2] 11 0/0/1/200 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: User-Name [1] 16 0000.6602.0102 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Service-Type [6] 6 Outbound[0] RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: User-Password [2] 18 * RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: NAS-Port-Type [61] 6 VIRTUAL_IPOEOVLAN[0] RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Event-Timestamp [55] 6 1437996188 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 23 RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Cisco AVpair [1] 17 dhcp-client-id= RP/0/RSP0/CPU0:Jul 27 11:23:08.706 : radiusd[1133]: RADIUS: Nas-Identifier [32] 16 acdc-asr9000-4 RP/0/RSP0/CPU0:Jul 27 11:23:08.707 : radiusd[1133]: RADIUS: NAS-IP-Address [4] 6 10.48.88.54 RP/0/RSP0/CPU0:Jul 27 11:23:08.707 : radiusd[1133]: RADIUS: NAS-IPv6-Address [95] 22 1a 10 00 00 00 00 00 00 00 00 00 00 00 00 00 00 RP/0/RSP0/CPU0:Jul 27 11:23:08.707 : radiusd[1133]: RADIUS: 00 00 00 00 RP/0/RSP0/CPU0:Jul 27 11:23:08.707 : radiusd[1133]: Got global deadtime 0 RP/0/RSP0/CPU0:Jul 27 11:23:08.707 : radiusd[1133]: Using global deadtime = 0 sec RP/0/RSP0/CPU0:Jul 27 11:23:08.707 : radiusd[1133]: Start timer thread rad_ident 229 remote_port 56777 remote_addr 10.48.88.121, socket 1342510940 rctx 0x50258020 RP/0/RSP0/CPU0:Jul 27 11:23:08.707 : radiusd[1133]: Successfully sent packet and started timeout handler for rctx 0x50258020 RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: Radius packet decryption complete with rc = 0 RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: RADIUS: Received from id 229 10.48.88.121:56777, Access-Accept, len 105 RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: RADIUS: authenticator 9D 27 8C A5 28 C8 AE 2B - 58 56 08 DF C2 BA 06 28 RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: RADIUS: Acct-Interim-Interval[85] 6 120 RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 40 RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: RADIUS: Cisco AVpair [1] 34 subscriber:accounting-list=WDAAR RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 39 RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: RADIUS: Cisco AVpair [1] 33 subscriber:sa=WDAAR_DAY_PACKAGE RP/0/RSP0/CPU0:Jul 27 11:23:08.710 : radiusd[1133]: Freeing server group transaction_id (3D000000)
Subscriber Identity und AAA-Attribute verschiedener Komponenten werden in der SADB gespeichert (Subscriber Attribute Database). Die SADB speichert die Teilnehmerkonfiguration nicht. Sie können den folgenden Befehl show verwenden, um alle Attribute für diese Sitzung anzuzeigen.
- sadb anzeigen Abonnentenmanager
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber manager sadb Mon Jul 27 12:13:36.273 UTC Sublabel: 0x00000048 Node_ID: 00000001 Signature: 0xabcdef12 Version: 1 Rev: 21 Length: 297 Attribute list: 1343184692 1: protocol-type len= 4 dhcp 2: dhcp-client-id len= 15 3: port-type len= 4 Virtual IP over VLAN 4: outer-vlan-id len= 4 200(c8) 5: client-mac-address len= 14 0000.6602.0102 6: parent-if-handle len= 4 1568(620) 7: string-session-id len= 8 00004729 8: interface len= 9 0/0/1/200 9: formatted-username len= 14 0000.6602.0102 10: username len= 14 0000.6602.0102 11: author_status len= 1 true 12: addr len= 4 172.188.243.147 13: if-handle len= 4 703520(abc20) 14: vrf-id len= 4 1610612736(60000000) 15: ipv4-session-state len= 1 true 16: accounting-list len= 5 WDAAR 17: start_time len= 4 Mon Jul 27 11:23:10 2015
Es gibt eine weitere Datenbank mit dem Namen Subscriber Database(SubDB), in der die Konfiguration und die Zuordnung der Konfiguration zur Sitzung gespeichert werden. SubDB (Subscriber Database) dient zur Verwaltung der dynamischen Konfiguration von BNG-Abonnenten. Eine Teilnehmerkonfiguration besteht aus einer Reihe vordefinierter Funktionen und deren spezifischen Werten.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber database association Mon Jul 27 12:26:38.186 UTC Location 0/RSP0/CPU0 Bundle-Ether1.200.ip18010, subscriber label 0x48 Name Template Type -------- ------------- U00000048 User profile WDAAR_DAY_PACKAGE Service DT_NOVA_DHCP IP subscriber
Sie können auch das Filter-Abonnenten-Label verwenden, um die Informationen für einen Abonnenten anzuzeigen.
- show Subscriber Database Association Subscriber-Label <SUBSCRIBER-LABEL>
MA-CoA-Tests
Wie Sie bereits den Service angewendet haben WDAAR_DAY_PACKAGEin einer Sitzung, sodass Sie als Test zunächst nur den WDAAR_DAY_PACKAGE Dienst aus der Sitzung entfernen. Nun können Sie sehen, dass es keinen Dienst gibt WDAAR_DAY_PACKAGE in der Sitzung aktiv ist.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber session all detail internal
Mon Jul 27 13:47:55.881 UTC
Interface: Bundle-Ether1.200.ip18012
Circuit ID: Unknown
Remote ID: Unknown
Type: IP: DHCP-trigger
IPv4 State: Up, Mon Jul 27 13:33:22 2015
IPv4 Address: 172.188.243.147, VRF: default
IPv4 Up helpers: 0x00000040 {IPSUB}
IPv4 Up requestors: 0x00000040 {IPSUB}
Mac Address: 0000.6602.0102
Account-Session Id: 0000472d
Nas-Port: Unknown
User name: 0000.6602.0102
Formatted User name: 0000.6602.0102
Client User name: unknown
Outer VLAN ID: 200
Subscriber Label: 0x0000004a
Created: Mon Jul 27 13:33:21 2015
State: Activated
Authentication: unauthenticated
Authorization: authorized
Ifhandle: 0x000abca0
Session History ID: 1
Access-interface: Bundle-Ether1.200
SRG Flags: 0x00000000
Policy Executed:
event Session-Start match-first [at Mon Jul 27 13:33:21 2015]
class type control subscriber DHCP do-until-failure [Succeeded]
10 activate dynamic-template DT_NOVA_DHCP [cerr: No error][aaa: Success]
20 authorize aaa list WDAAR [cerr: No error][aaa: Success]
Session Accounting:
Acct-Session-Id: 0000472d
Method-list: WDAAR
Accounting started: Mon Jul 27 13:33:22 2015
Interim accounting: On, interval 2 mins
Last successful update: Mon Jul 27 13:47:24 2015
Next update in: 00:01:27 (dhms)
Last update sent: Mon Jul 27 13:47:24 2015
Updates sent: 7
Updates accepted: 7
Updates rejected: 0
Update send failures: 0
Accouting stop state: Final stats available
Last COA request: Mon Jul 27 13:47:50 2015
COA Request Attribute List: 0x50105f70
1: sd len= 17 value= WDAAR_DAY_PACKAGE 2: command len= 18 value= deactivate-service 3: service-info len= 17 value= WDAAR_DAY_PACKAGE 4: service-name len= 17 value= WDAAR_DAY_PACKAGE Last COA response: Result ACK
COA Response Attribute List: 0x50106180
1: sd len= 17 value= WDAAR_DAY_PACKAGE
User Profile received from AAA:
Attribute List: 0x50106390
1: acct-interval len= 4 value= 120(78)
2: accounting-list len= 5 value= WDAAR
Services:
Name : DT_NOVA_DHCP
Service-ID : 0x4000016
Type : Template
Status : Applied
-------------------------
[Event History]
Jul 27 13:33:21.152 IPv4 Start
Jul 27 13:33:22.560 IPv4 Up
Jul 27 13:47:50.528 CoA request
Jul 27 13:47:50.784 SUBDB produce done [many]
Wenn der Service nicht zugeordnet ist, wird der RADIUS-Prozess auf dem ASR9K den Accounting-Stopp an den Radius-Server senden. Und in den Debug-Meldungen wird dieses Verhalten auch bestätigt.
RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Send Accounting-Request to 10.48.88.121:56778 id 48, len 391 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: authenticator 6C E1 D2 2B 49 1A EE E4 - 6D 36 FD FA 7A 84 26 50 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Acct-Interim-Interval[85] 6 10 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Acct-Session-Time [46] 6 868 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Acct-Terminate-Cause[49] 6 admin-reset[0] RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Acct-Status-Type [40] 6 Stop[0] RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Event-Timestamp [55] 6 1438004870 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 23 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Cisco AVpair [1] 17 dhcp-client-id= RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: NAS-Port-Type [61] 6 VIRTUAL_IPOEOVLAN[0] RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 41 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Cisco AVpair [1] 35 client-mac-address=0000.6602.0102 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: NAS-Port-Id [87] 11 0/0/1/200 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 17 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: cisco-nas-port [2] 11 0/0/1/200 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: User-Name [1] 16 0000.6602.0102 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Framed-IP-Address [8] 6 172.188.243.147 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 22 RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Cisco AVpair [1] 16 vrf-id=default RP/0/RSP0/CPU0:Jul 27 13:47:50.687 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 29 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Cisco AVpair [1] 23 accounting-list=WDAAR RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: AAA Unsupported Attr: user-maxlinks [196] 6 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 32 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Cisco AVpair [1] 26 connect-progress=Call Up RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 34 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Cisco AVpair [1] 28 parent-session-id=0000472d RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 38 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Cisco AVpair [1] 32 service-name=WDAAR_DAY_PACKAGE RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Acct-Session-Id [44] 10 0000472e RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Nas-Identifier [32] 16 acdc-asr9000-4 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: NAS-IP-Address [4] 6 10.48.88.54 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: NAS-IPv6-Address [95] 22 1a 10 00 00 00 00 00 00 00 00 00 00 00 00 00 00 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: 00 00 00 00 RP/0/RSP0/CPU0:Jul 27 13:47:50.688 : radiusd[1133]: RADIUS: Acct-Delay-Time [41] 6 0
Dieser Befehl show zeigt auch die Statistiken für die erfolgreiche CoA an.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber manager statistics AAA COA
Mon Jul 27 13:53:49.627 UTC
[ CHANGE OF AUTHORIZATION STATISTICS ]
Location: 0/RSP0/CPU0
CoA Requests:
Type Received Acked NAKed
==== ======== ===== =====
Account Logon 0 0 0
Account Logoff 0 0 0
Account Update 0 0 0
Account-Query 0 0 0
Disconnect 0 0 0
Single Service Logon 0 0 0
Single Service Logoff 1 1 0 Single Service Modify 0 0 0
Multiple Service 0 0 0
Errors:
Responses to COA with unknown session identifier = 3
[ CHANGE OF AUTHORIZATION STATISTICS ]
Location: 0/0/CPU0
CoA Requests:
Type Received Acked NAKed
==== ======== ===== =====
Account Logon 0 0 0
Account Logoff 0 0 0
Account Update 0 0 0
Account-Query 0 0 0
Disconnect 0 0 0
Single Service Logon 0 0 0
Single Service Logoff 0 0 0
Single Service Modify 0 0 0
Multiple Service 0 0 0
Errors:
None
Nun haben Sie den Dienst WDAAR_NIGHT_PACKAGE auf eine Teilnehmersitzung angewendet und sehen die Statistiken erneut.
Last COA request: Mon Jul 27 13:57:48 2015 COA Request Attribute List: 0x501060c8 1: sa len= 19 value= WDAAR_NIGHT_PACKAGE 2: command len= 16 value= activate-service 3: service-info len= 19 value= WDAAR_NIGHT_PACKAGE 4: service-name len= 19 value= WDAAR_NIGHT_PACKAGE Last COA response: Result ACK COA Response Attribute List: 0x501062d8 1: sa len= 19 value= WDAAR_NIGHT_PACKAGE User Profile received from AAA: Attribute List: 0x501064e8 1: acct-interval len= 4 value= 120(78) 2: accounting-list len= 5 value= WDAAR Services: Name : DT_NOVA_DHCP Service-ID : 0x4000016 Type : Template Status : Applied ------------------------- Name : WDAAR_NIGHT_PACKAGE Service-ID : 0x4000019 Type : Multi Template Status : Applied ------------------------- [Event History] Jul 27 13:33:21.152 IPv4 Start Jul 27 13:33:22.560 IPv4 Up Jul 27 13:57:48.800 CoA request [many] Jul 27 13:57:48.928 SUBDB produce done [many]
Wenden Sie den Dienst an, damit Sie sehen können, dass der Zähler für die Dienstanmeldung erhöht wird, und Sie sehen, dass der Zähler über der Abonnentenausgabe auch angewendet wurde.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber manager statistics AAA COA
Mon Jul 27 13:58:00.410 UTC
[ CHANGE OF AUTHORIZATION STATISTICS ]
Location: 0/RSP0/CPU0
CoA Requests:
Type Received Acked NAKed
==== ======== ===== =====
Account Logon 0 0 0
Account Logoff 0 0 0
Account Update 0 0 0
Account-Query 0 0 0
Disconnect 0 0 0
Single Service Logon 1 1 0
Single Service Logoff 1 1 0
Single Service Modify 0 0 0
Multiple Service 0 0 0
Errors:
Responses to COA with unknown session identifier = 3
[ CHANGE OF AUTHORIZATION STATISTICS ]
Location: 0/0/CPU0
CoA Requests:
Type Received Acked NAKed
==== ======== ===== =====
Account Logon 0 0 0
Account Logoff 0 0 0
Account Update 0 0 0
Account-Query 0 0 0
Disconnect 0 0 0
Single Service Logon 0 0 0
Single Service Logoff 0 0 0
Single Service Modify 0 0 0
Multiple Service 0 0 0
Errors:
None
Bis Sie jetzt nur einen Service gleichzeitig mit einem einzelnen CoA-Paket anwenden und einen Service mit einem einzelnen CoA-Paket entfernen, senden Sie jetzt ein CoA-Paket, das den Service entfernt und den Service in einem einzigen CoA-Paket anwendet.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber session all detail internal
Mon Jul 27 14:03:40.255 UTC
Interface: Bundle-Ether1.200.ip18012
Circuit ID: Unknown
Remote ID: Unknown
Type: IP: DHCP-trigger
IPv4 State: Up, Mon Jul 27 13:33:22 2015
IPv4 Address: 172.188.243.147, VRF: default
IPv4 Up helpers: 0x00000040 {IPSUB}
IPv4 Up requestors: 0x00000040 {IPSUB}
Mac Address: 0000.6602.0102
Account-Session Id: 0000472d
Nas-Port: Unknown
User name: 0000.6602.0102
Formatted User name: 0000.6602.0102
Client User name: unknown
Outer VLAN ID: 200
Subscriber Label: 0x0000004a
Created: Mon Jul 27 13:33:21 2015
State: Activated
Authentication: unauthenticated
Authorization: authorized
Ifhandle: 0x000abca0
Session History ID: 1
Access-interface: Bundle-Ether1.200
SRG Flags: 0x00000000
Policy Executed:
event Session-Start match-first [at Mon Jul 27 13:33:21 2015]
class type control subscriber DHCP do-until-failure [Succeeded]
10 activate dynamic-template DT_NOVA_DHCP [cerr: No error][aaa: Success]
20 authorize aaa list WDAAR [cerr: No error][aaa: Success]
Session Accounting:
Acct-Session-Id: 0000472d
Method-list: WDAAR
Accounting started: Mon Jul 27 13:33:22 2015
Interim accounting: On, interval 2 mins
Last successful update: Mon Jul 27 14:03:24 2015
Next update in: 00:01:43 (dhms)
Last update sent: Mon Jul 27 14:03:24 2015
Updates sent: 15
Updates accepted: 15
Updates rejected: 0
Update send failures: 0
Accouting stop state: Final stats available
Service Accounting: WDAAR_DAY_PACKAGE
Acct-Session-Id: 00004730
Method-list: WDAAR
Accounting started: Mon Jul 27 14:03:35 2015
Interim accounting: On, interval 10 mins
Last successful update: Never
Next update in: 00:09:56 (dhms)
Last update sent: Never
Updates sent: 0
Updates accepted: 0
Updates rejected: 0
Update send failures: 0
Accouting stop state: Final stats available
Last COA request: Mon Jul 27 14:03:35 2015
COA Request Attribute List: 0x50106248
1: sd len= 19 value= WDAAR_NIGHT_PACKAGE 2: command len= 18 value= deactivate-service 3: service-info len= 19 value= WDAAR_NIGHT_PACKAGE 4: service-name len= 19 value= WDAAR_NIGHT_PACKAGE 5: sa len= 17 value= WDAAR_DAY_PACKAGE 6: command len= 16 value= activate-service 7: service-info len= 17 value= WDAAR_DAY_PACKAGE 8: service-name len= 17 value= WDAAR_DAY_PACKAGE Last COA response: Result ACK
COA Response Attribute List: 0x50106458
1: sd len= 19 value= WDAAR_NIGHT_PACKAGE
2: sa len= 17 value= WDAAR_DAY_PACKAGE
User Profile received from AAA:
Attribute List: 0x50106668
1: acct-interval len= 4 value= 120(78)
2: accounting-list len= 5 value= WDAAR
Services:
Name : DT_NOVA_DHCP
Service-ID : 0x4000016
Type : Template
Status : Applied
-------------------------
Name : WDAAR_DAY_PACKAGE
Service-ID : 0x400001a
Type : Multi Template
Status : Applied
-------------------------
[Event History]
Jul 27 13:33:21.152 IPv4 Start
Jul 27 13:33:22.560 IPv4 Up
Jul 27 14:03:35.296 CoA request [many]
Jul 27 14:03:35.680 SUBDB produce done [many]
Mit der MA-CoA sehen Sie, dass auch der Multi-Service-Zähler erhöht wird.
RP/0/RSP0/CPU0:acdc-asr9000-4#show subscriber manager statistics AAA COA
Mon Jul 27 14:05:04.724 UTC
[ CHANGE OF AUTHORIZATION STATISTICS ]
Location: 0/RSP0/CPU0
CoA Requests:
Type Received Acked NAKed
==== ======== ===== =====
Account Logon 0 0 0
Account Logoff 0 0 0
Account Update 0 0 0
Account-Query 0 0 0
Disconnect 0 0 0
Single Service Logon 1 1 0
Single Service Logoff 1 1 0
Single Service Modify 0 0 0
Multiple Service 1 1 0
Errors:
Responses to COA with unknown session identifier = 3
[ CHANGE OF AUTHORIZATION STATISTICS ]
Location: 0/0/CPU0
CoA Requests:
Type Received Acked NAKed
==== ======== ===== =====
Account Logon 0 0 0
Account Logoff 0 0 0
Account Update 0 0 0
Account-Query 0 0 0
Disconnect 0 0 0
Single Service Logon 0 0 0
Single Service Logoff 0 0 0
Single Service Modify 0 0 0
Multiple Service 0 0 0
Errors:
None
Wenn ASR9K ein CoA-Paket erhält, um eine Aktion für eine Teilnehmersitzung auszuführen, die Kennung, die ASR9K im CoA-Paket empfängt, jedoch keiner aktiven Teilnehmersitzung angehört, wird die folgende Meldung in den Protokollen angezeigt, wenn Sie die oben vorgeschlagenen Debug-Meldungen aktivieren.
RP/0/RSP0/CPU0:Jul 27 13:41:39.133 : radiusd[1133]: RADIUS: Received from id 159 , CoA Request, len 69 RP/0/RSP0/CPU0:Jul 27 13:41:39.133 : radiusd[1133]: RADIUS: authenticator 0D 52 11 54 B0 B7 37 07 - E1 9A 1D AF FA 1A 1A 09 RP/0/RSP0/CPU0:Jul 27 13:41:39.133 : radiusd[1133]: RADIUS: Acct-Session-Id [44] 10 00004723 RP/0/RSP0/CPU0:Jul 27 13:41:39.133 : radiusd[1133]: RADIUS: Vendor,Cisco [26] 39 RP/0/RSP0/CPU0:Jul 27 13:41:39.133 : radiusd[1133]: RADIUS: Cisco AVpair [1] 33 subscriber:sd=WDAAR_DAY_PACKAGE RP/0/RSP0/CPU0:Jul 27 13:41:39.133 : radiusd[1133]: Processing Dynamic authorization request RP/0/RSP0/CPU0:Jul 27 13:41:39.133 : radiusd[1133]: COA: Service-Name attribute is present in service profile push RP/0/RSP0/CPU0:Jul 27 13:41:39.134 : radiusd[1133]: COA/POD:request processing underway. RP/0/RSP0/CPU0:Jul 27 13:41:39.135 : iedged[245]: [IEDGE:TP83:COMMAND-HANDLER:ERROR:0x0] 0 matching session found for CoA request, rc 0 LC/0/0/CPU0:Jul 27 13:41:39.137 : iedged[209]: [IEDGE:TP83:COMMAND-HANDLER:ERROR:0x0] 0 matching session found for CoA request, rc 0
Fehlerbehebung
Sie können diesen Befehl auf ASR9K verwenden, um die Verarbeitung der CoA-Pakete zu überprüfen. Wenn das CoA-Paket erfolgreich verarbeitet wurde oder von ASR9K NACKed verwendet wurde.
-
Zeige Radius dynamisch-Autor
Die obige Ausgabe zeigt einen kurzen Überblick darüber, wie viele CoA von ASR9K ACK'd und NACK'd sind.
- Abonnenten-Manager-Statistik anzeigen AAA COA
Die Ausgabe enthält eine Statistik für die Gesamtzahl der Singleton Service aktiviert (Service Logon) und Singleton Service deaktiviert (Service-Abmeldung), die empfangen wurden, ACKd und NACKd, und enthält außerdem die Mehrere Services Zähler für die Nachverfolgung.
- zeigt Teilnehmerverwaltungs-Statistik PRE-Ereignis
Die Ausgabe zeigt Statistiken für Ereignisse mit mehreren Diensten an, die von der Policy Plane Policy Rule Engine (PRE) verarbeitet wurden.
- Anzeigen von Subscriber Manager-Statistiken SVM-Ereignisse
Wenn Sie die Ausnahme für Coa-Rollback konfiguriert haben, zeigt der obige Befehl Statistiken für erfolgreiche Rollbacks nach fehlgeschlagenen MA-CoA-Anfragen und fehlgeschlagene Rollbacks nach fehlgeschlagenen MA-CoA-Anfragen an.
- Abonnenten-Manager-Statistik anzeigen perf ungleich null
Mit dem obigen Befehl erhalten Sie einen kurzen Überblick über die Verarbeitungszeiten von CoA auf dem ASR9K. Außerdem werden die Transaktionszeiten (Durchschnitt, Standardabweichung, Minimum, Maximum und Anzahl) für CoA-Transaktionen berücksichtigt.
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
20-Oct-2017 |
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)