URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 2687
[ Назад ]

Исходное сообщение
"ASR9001/XR:BNG Не узнает VSA атрибут"
Отправлено gardener , 05-Авг-23 22:01

Здравствуйте!
К уже работающей сети с ASR1004 пытаемся добавить ASR9001.
RADIUS пока тот-же и с теми же правилами. На сети у нас IPoE и авторизуем пользователей по первому L3 пакету.
Проблема в том, что полученные от RADIUS-а ответы ASR9001 не может правильно интерпретировать.
Получено:
EXITTING 'radius_decrypt'
Radius packet decryption complete with rc = 0
:::
 RADIUS:  Vendor,Cisco        [26]    23
 RADIUS:   ssg-account-info    [250]  17      ABiz_1024000000
 RADIUS:  Vendor,Cisco        [26]    14
 RADIUS:   ssg-account-info    [250]  8       ALocal
 RADIUS:  Vendor,Cisco        [26]    31
 RADIUS:   Cisco AVpair        [1]    25      accounting-list=default
А это работа парсера и итог:

ENTERING 'rad_nas_reply_to_client'
:::
Decoding the attribute: Vendor-Specific, aaa_type invalid attribute, flags 0x21
VSA type 250
Decoding the attribute: Vendor-Specific, aaa_type invalid attribute, flags 0x21
VSA type 250
Decoding the attribute: Vendor-Specific, aaa_type invalid attribute, flags 0x21
:::
Error while getting authentication type
:::
EXITTING 'rad_nas_reply_to_client' with error [AFDF8E00] 'AAA ATTR' detected the 'fatal' condition 'Invalid attribute found'
Версия ASR9001 asr9k-bng-6.9.2.
Инет перешерстил, решения пока не нашел. Может кто сталкивался и знает решение?

Содержание

ASR9001/XR:BNG Не узнает VSA атрибут,Tron is Whistling, 11:52 , 06-Авг-23
- ASR9001/XR:BNG Не узнает VSA атрибут,Tron is Whistling, 11:55 , 06-Авг-23
ASR9001/XR:BNG Не узнает VSA атрибут,Tron is Whistling, 12:01 , 06-Авг-23
- ASR9001/XR:BNG Не узнает VSA атрибут,Tron is Whistling, 12:02 , 06-Авг-23
  - ASR9001/XR:BNG Не узнает VSA атрибут,gardener, 16:27 , 06-Авг-23
- ASR9001/XR:BNG Не узнает VSA атрибут,gardener, 02:59 , 20-Окт-23

Сообщения в этом обсуждении

"ASR9001/XR:BNG Не узнает VSA атрибут"
Отправлено Tron is Whistling , 06-Авг-23 11:52

Вы используете старый вариант VSA SSG судя по всему.
Пробуйте для сервиса BNG'шный subscriber:sa=<service-name>
Честно скажу, у меня BNG нет, но этот VSA описан
https://www.cisco.com/c/en/us/td/docs/routers/asr9000/softwa...

"ASR9001/XR:BNG Не узнает VSA атрибут"
Отправлено Tron is Whistling , 06-Авг-23 11:55

В CoA тоже придётся использовать subscriber:sd (удалить) и subscriber:sa (добавить), если у вас динамическое изменение допускается.

"ASR9001/XR:BNG Не узнает VSA атрибут"
Отправлено Tron is Whistling , 06-Авг-23 12:01

Ещё я смотрю у вас там 26/250 и 26/1.
BNG почти везде хочет 26/9/1 (Cisco-AVPair)

"ASR9001/XR:BNG Не узнает VSA атрибут"
Отправлено Tron is Whistling , 06-Авг-23 12:02

(он же 26/1 в выводе лога, а у вас 26/9/250)

"ASR9001/XR:BNG Не узнает VSA атрибут"
Отправлено gardener , 06-Авг-23 16:27

> (он же 26/1 в выводе лога, а у вас 26/9/250)
Да, я тоже обратил на это внимание. И помнится, когда собирал информацию о вариантах настройки ASR9001, где-то на глаза попадалось что-то о смене формата задания атрибутов. Но тогда меня интересовали примеры создания конфигурации, и не сохранил ту статью. А сейчас не попадается. Но Ваше допущение меня утверждает в мысли, что нужно поднять тестовый радиус, и пробовать на нем.
Благодарю. О результатах сообщу.

"ASR9001/XR:BNG Не узнает VSA атрибут"
Отправлено gardener , 20-Окт-23 02:59

> Ещё я смотрю у вас там 26/250 и 26/1.
> BNG почти везде хочет 26/9/1 (Cisco-AVPair)
Приветствую!
Долго пришлось разбираться с поднятием сессии, и вот теперь могу сообщить какие атрибуты работают вместо изначальных:
        Cisco-AVPair += "ip:qos-policy-in=add-class(sub, (class-default),police(1048576))"
        Cisco-AVPair += "ip:qos-policy-out=add-class(sub, (class-default),police(1048576))"
        Cisco-AVPair += "subscriber:accounting-list=ISG-AUTH"
Благодарю за подсказку.