Minotaur 35 Опубликовано: 2012-01-31 11:22:24 Share Опубликовано: 2012-01-31 11:22:24 Приветствую! Вылезла странная проблема с Cisco ISG. Есть простенький policy-map: policy-map type control DHCP-Subscriber class type control Unauthorized event timed-policy-expiry 10 service disconnect ! class type control always event session-start 10 authorize aaa list DHCP-BRAS identifier remote-id plus circuit-id plus mac-address separator # 20 set-timer Unauth-Timer 2 30 service-policy type service name pms-Layer4Redirect ! class type control always event session-restart 10 authorize aaa list DHCP-BRAS identifier remote-id plus circuit-id plus mac-address separator # 20 set-timer Unauth-Timer 2 30 service-policy type service name pms-Layer4Redirect Прикручен к соответствующему интерфейсу: interface GigabitEthernet0/2.33 encapsulation dot1Q 33 ip dhcp relay information trusted ip address x.x.200.1 255.255.255.0 ip helper-address x.x.192.2 ip directed-broadcast arp timeout 60 service-policy type control DHCP-Subscriber ip subscriber l2-connected initiator dhcp Ситуация: пользователь уже получил по DHCP адрес, но его ISG сессия проэкспайрилась. При возникновении активности возникает событие session-restart и ISG упорно не хочет авторизировать пользователя: *Jan 31 10:25:21.688: SSS PM [2507FDA4]: Create context 2507FDA4 *Jan 31 10:25:21.688: SSS PM [2507FDA4]: Updated key list: *Jan 31 10:25:21.688: SSS PM [2507FDA4]: Mac-Address = 0007.e90a.75b2 *Jan 31 10:25:21.688: SSS PM [2507FDA4]: Input Interface = "GigabitEthernet0/2.33" *Jan 31 10:25:21.688: SSS PM [2507FDA4]: IP-Session-Handle = 318768611 (130005E3) *Jan 31 10:25:21.688: SSS PM [2507FDA4]: DHCP Policy invoke - Session-Restart *Jan 31 10:25:21.688: SSS PM [2507FDA4]: Added sign of life as DHCP *Jan 31 10:25:21.688: AAA/BIND(00002669): Bind i/f *Jan 31 10:25:21.688: AAA/BIND(00002669): Bind i/f GigabitEthernet0/2.33 *Jan 31 10:25:21.688: SSS PM [uid:412][2507FDA4]: Authen status update; is now "unauthen" *Jan 31 10:25:21.688: SSS PM [uid:412][2507FDA4]: Updated NAS port for AAA ID 9833 *Jan 31 10:25:21.688: SSS PM [uid:412][2507FDA4]: Updated key list: *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: SHDB-Handle = 0 (00000000) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: PM-Context-Handle = 687867269 (29000585) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: IP-Session-Handle = 318768611 (130005E3) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Mac-Address = 0007.e90a.75b2 *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Final = 1 (YES) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Access-Type = 15 (IP) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Protocol-Type = 4 (IP) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Media-Type = 2 (IP) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Input Interface = "GigabitEthernet0/2.33" *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Sign-Of-Life = 2 (00000002) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Authen-Status = 1 (Unauthenticated) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Nasport = PPPoEoVLAN: slot 0 adapter 0 port 2 sub-interface 33 IP 0.0.0.0 VLAN 33 *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Updated key list: *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: SHDB-Handle = 0 (00000000) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: PM-Context-Handle = 687867269 (29000585) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: IP-Session-Handle = 318768611 (130005E3) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Mac-Address = 0007.e90a.75b2 *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Final = 1 (YES) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Access-Type = 15 (IP) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Protocol-Type = 4 (IP) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Media-Type = 2 (IP) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Input Interface = "GigabitEthernet0/2.33" *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Sign-Of-Life = 2 (00000002) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Authen-Status = 1 (Unauthenticated) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Nasport = PPPoEoVLAN: slot 0 adapter 0 port 2 sub-interface 33 IP 0.0.0.0 VLAN 33 *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Session-Handle = 2717910405 (A2000585) *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: SM Policy invoke - Service Selection Request *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Access type IP *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Access type IP: final key [b]*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: RULE: Looking for a rule for event session-restart *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: RULE: Intf CloneSrc Gi0/2.33: service-rule any: DHCP-Subscriber *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: RULE: Evaluate "DHCP-Subscriber" for session-restart *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: RULE: Matched "DHCP-Subscriber/always event session-restart/10 authorize aaa list DHCP-BRAS identifier remote-id#c" *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: RULE[0]: Start *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: RULE[0]: DHCP-Subscriber/always event session-restart/10 authorize aaa list DHCP-BRAS identifier remote-id#circuit-ids *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: RULE[0]: Using author method AAA service[/b] *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: SIP [iP] can NOT provide more keys *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: RULE[0]: No more keys *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Handling Action Ignore for <session disconnect> [b]*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4] ERROR: Received Unexpected Service Request[/b] *Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Destroy context 2507FDA4 *Jan 31 10:25:21.692: SSS PM: destroy all user profile info from policy context *Jan 31 10:25:21.692: No policy context Видно, что совпадение в policy-map есть и должен начаться этап авторизации, но но упорно не начинается. AAA на Циске сконфигурировано: aaa authentication login DHCP-BRAS group ISG-RADIUS aaa authorization network DHCP-BRAS group ISG-RADIUS Radius отвечает. Что ему не нравится? Заранее спасибо! Ссылка на сообщение Поделиться на других сайтах
Regional 46 Опубліковано: 2012-01-31 12:29:33 Share Опубліковано: 2012-01-31 12:29:33 Коль RULE[0]: No more keys, вы может попробуйте ignore session-key И "20 set-timer Unauth-Timer 2" сделайте последним правилом, после "30 service-policy type service name pms-Layer4Redirect " Ссылка на сообщение Поделиться на других сайтах
Minotaur 35 Опубліковано: 2012-01-31 13:14:30 Автор Share Опубліковано: 2012-01-31 13:14:30 Коль RULE[0]: No more keys, вы может попробуйте ignore session-key И "20 set-timer Unauth-Timer 2" сделайте последним правилом, после "30 service-policy type service name pms-Layer4Redirect " ЕМНИП, то ignore session-key используется при CoA, в конфигурации aaa radius server dynamic-author, и у меня этого сейчас нет. А в порядке правил не вижу никакой разницы. Перестановку пробовал и убирать таймер пробовал - на ситуацию никак не влияет. Ссылка на сообщение Поделиться на других сайтах
Minotaur 35 Опубліковано: 2012-02-07 11:54:06 Автор Share Опубліковано: 2012-02-07 11:54:06 С этим разобрался. На этапе session-restart не доступны идентификаторы remote-id и circuit-id. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас