Перейти до

Cisco ISG и session-restart


Рекомендованные сообщения

Приветствую!

 

Вылезла странная проблема с Cisco ISG. Есть простенький policy-map:

policy-map type control DHCP-Subscriber
class type control Unauthorized event timed-policy-expiry
 10 service disconnect
!
class type control always event session-start
 10 authorize aaa list DHCP-BRAS identifier remote-id plus circuit-id plus mac-address separator #
 20 set-timer Unauth-Timer 2
 30 service-policy type service name pms-Layer4Redirect
!
class type control always event session-restart
 10 authorize aaa list DHCP-BRAS identifier remote-id plus circuit-id plus mac-address separator #
 20 set-timer Unauth-Timer 2
 30 service-policy type service name pms-Layer4Redirect

 

Прикручен к соответствующему интерфейсу:

interface GigabitEthernet0/2.33
encapsulation dot1Q 33
ip dhcp relay information trusted
ip address x.x.200.1 255.255.255.0
ip helper-address x.x.192.2
ip directed-broadcast
arp timeout 60
service-policy type control DHCP-Subscriber
ip subscriber l2-connected
 initiator dhcp

 

Ситуация: пользователь уже получил по DHCP адрес, но его ISG сессия проэкспайрилась. При возникновении активности возникает событие session-restart и ISG упорно не хочет авторизировать пользователя:

*Jan 31 10:25:21.688: SSS PM [2507FDA4]: Create context 2507FDA4
*Jan 31 10:25:21.688: SSS PM [2507FDA4]: Updated key list:
*Jan 31 10:25:21.688: SSS PM [2507FDA4]:   Mac-Address = 0007.e90a.75b2
*Jan 31 10:25:21.688: SSS PM [2507FDA4]:   Input Interface = "GigabitEthernet0/2.33"
*Jan 31 10:25:21.688: SSS PM [2507FDA4]:   IP-Session-Handle = 318768611 (130005E3)
*Jan 31 10:25:21.688: SSS PM [2507FDA4]: DHCP Policy invoke - Session-Restart
*Jan 31 10:25:21.688: SSS PM [2507FDA4]: Added sign of life as DHCP
*Jan 31 10:25:21.688: AAA/BIND(00002669): Bind i/f
*Jan 31 10:25:21.688: AAA/BIND(00002669): Bind i/f GigabitEthernet0/2.33
*Jan 31 10:25:21.688: SSS PM [uid:412][2507FDA4]: Authen status update; is now "unauthen"
*Jan 31 10:25:21.688: SSS PM [uid:412][2507FDA4]: Updated NAS port for AAA ID 9833
*Jan 31 10:25:21.688: SSS PM [uid:412][2507FDA4]: Updated key list:
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]:   SHDB-Handle = 0 (00000000)
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]:   PM-Context-Handle = 687867269 (29000585)
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]:   IP-Session-Handle = 318768611 (130005E3)
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]:   Mac-Address = 0007.e90a.75b2
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]:   Final = 1 (YES)
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]:   Access-Type = 15 (IP)
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]:   Protocol-Type = 4 (IP)
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]:   Media-Type = 2 (IP)
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]:   Input Interface = "GigabitEthernet0/2.33"
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]:   Sign-Of-Life = 2 (00000002)
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]:   Authen-Status = 1 (Unauthenticated)
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]:   Nasport = PPPoEoVLAN: slot 0 adapter 0 port 2 sub-interface 33 IP 0.0.0.0 VLAN 33
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Updated key list:
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]:   SHDB-Handle = 0 (00000000)
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]:   PM-Context-Handle = 687867269 (29000585)
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]:   IP-Session-Handle = 318768611 (130005E3)
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]:   Mac-Address = 0007.e90a.75b2
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]:   Final = 1 (YES)
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]:   Access-Type = 15 (IP)
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]:   Protocol-Type = 4 (IP)
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]:   Media-Type = 2 (IP)
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]:   Input Interface = "GigabitEthernet0/2.33"
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]:   Sign-Of-Life = 2 (00000002)
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]:   Authen-Status = 1 (Unauthenticated)
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]:   Nasport = PPPoEoVLAN: slot 0 adapter 0 port 2 sub-interface 33 IP 0.0.0.0 VLAN 33
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]:   Session-Handle = 2717910405 (A2000585)
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: SM Policy invoke - Service Selection Request
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Access type IP
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Access type IP: final key
[b]*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: RULE: Looking for a rule for event session-restart
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: RULE:  Intf CloneSrc Gi0/2.33: service-rule any: DHCP-Subscriber
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: RULE:   Evaluate "DHCP-Subscriber" for session-restart
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: RULE:	Matched "DHCP-Subscriber/always event session-restart/10 authorize aaa list DHCP-BRAS identifier remote-id#c"
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: RULE[0]: Start
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: RULE[0]: DHCP-Subscriber/always event session-restart/10 authorize aaa list DHCP-BRAS identifier remote-id#circuit-ids
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: RULE[0]: Using author method AAA service[/b]
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: SIP [iP] can NOT provide more keys
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: RULE[0]: No more keys
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Handling Action Ignore for <session disconnect>
[b]*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4] ERROR: Received Unexpected Service Request[/b]
*Jan 31 10:25:21.692: SSS PM [uid:412][2507FDA4]: Destroy context 2507FDA4
*Jan 31 10:25:21.692: SSS PM: destroy all user profile info from policy context
*Jan 31 10:25:21.692: No policy context

 

Видно, что совпадение в policy-map есть и должен начаться этап авторизации, но но упорно не начинается.

 

AAA на Циске сконфигурировано:

aaa authentication login DHCP-BRAS group ISG-RADIUS
aaa authorization network DHCP-BRAS group ISG-RADIUS

Radius отвечает.

 

Что ему не нравится? Заранее спасибо!

Ссылка на сообщение
Поделиться на других сайтах

Коль RULE[0]: No more keys, вы может попробуйте ignore session-key

И "20 set-timer Unauth-Timer 2" сделайте последним правилом, после "30 service-policy type service name pms-Layer4Redirect "

Ссылка на сообщение
Поделиться на других сайтах

Коль RULE[0]: No more keys, вы может попробуйте ignore session-key

И "20 set-timer Unauth-Timer 2" сделайте последним правилом, после "30 service-policy type service name pms-Layer4Redirect "

ЕМНИП, то ignore session-key используется при CoA, в конфигурации aaa radius server dynamic-author, и у меня этого сейчас нет.

А в порядке правил не вижу никакой разницы. Перестановку пробовал и убирать таймер пробовал - на ситуацию никак не влияет.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...