ISR4451 Не удалось создать сеанс виртуального доступа

MHM Cisco World

Framed-Compression = Van-Jacobson-TCP-IP <<- этот ответ от Radius отличается от того, что использует ISR4K

katrin1701

Но что это значит для меня? Что мне нужно изменить? Я удалил сжатие по умолчанию из конфигурации radius DEFAULT Framed-Protocol == PPP#
Framed-Protocol = PPP,

Framed-Compression = Van-Jacobson-TCP-IP Сообщение в журнале исчезло, теперь используется интерфейс vi2.1 вместо vi3, но я по-прежнему не могу подключиться к 10.130.1.67

MHM Cisco World

журнал удален. <<- это решило
проблему есть два виртуальных шаблона? Vi2 и Vi3 ??

katrin1701

Мы заменяем C3900, и он имеет почти такую же конфигурацию. Я думал, что когда я запущу vi, все будет в порядке. Там каждый ppp получает свой собственный интерфейс vixxx, в итоге их будет довольно много. Radius назначает идентификатор фильтра, и этот список доступа получает запросы. Поэтому я ожидал, что vi3 будет назначен 10.130.1.67 (что и произошло), и тогда я смогу пинговать 10.130.1.67, или, по крайней мере, получу результат в списке доступа 130 (чего не произошло). Следующее соединение получило бы, например, vi4, адрес 10.130.1.68 и, возможно, список доступа 131.

katrin1701

Я также обнаружил следующее: Я могу получать данные с виртуального интерфейса, но ответы не возвращаются. То есть 10.130.1.67 может пинговать что-то, и ответы возвращаются в Cisco, но не выходят через виртуальный интерфейс.

MHM Cisco World

Я уже сталкивался с этой
проблемой. Вы настроили NAT?
Могу я посмотреть маршрутизацию IP?

katrin1701

Вот маршрут: #show ip route 10.130.1.67 Запись
маршрутизации для 10.130.1.67/32
Известно через «подключено», расстояние 0, метрика 0 (подключено, через интерфейс)
Перераспределение через bgp 65146
Объявлено bgp 65146 Блоки
дескриптора маршрутизации:

• напрямую подключено, через Virtual-Access2.1
  Метрика маршрута равна 0, количество долей трафика равно 1 Виртуальный шаблон имеет nat outside, но я удалил его в качестве теста, без изменений. И даже если бы этот nat что-то сделал, я все равно предположил бы, что access-list 130 получил бы хит. Расширенный список доступа IP 130
  10 разрешить icmp любой любой .... (нет попаданий) интерфейс Virtual-Template1
  mtu 1300
  ip unnumbered Loopback1
  ip nat outside
  no logging event link-status
  peer match aaa-pools
  no peer default ip address
  ppp mtu adaptive
  ppp authentication pap callin
  ppp authorization VPDN
  ip virtual-reassembly #show interfaces vi2.1
  Virtual-Access2.1 активен, протокол линии активен
  Оборудование является интерфейсом виртуального
  доступа Интерфейс не имеет номера. Используется адрес Loopback1 (10.130.0.4)
  MTU 1300 байт, BW 28301 Кбит/с, DLY 100000 мкс,
  надежность 255/255, txload 1/255, rxload 1/255
  Инкапсуляция PPP, LCP Open
  Open: IPCP
  PPPoVPDN vaccess, клонированный из Virtual-Template1
  Статус Vaccess 0x0
  Протокол l2tp, идентификатор туннеля 50748, идентификатор сеанса 14885
  Keepalive установлен (10 сек)
  393 входящих пакета, 15836 байт
  246 исходящих пакета, 3956 байт
  Последнее очищение счетчиков «show interface» никогда Согласно счетчикам, байты поступают и выходят...

MHM Cisco World

Да, я вижу, позвольте мне проверить записку, которая у меня есть.

MHM Cisco World

Здесь нужно выполнить два шага
: 1. Не пронумерованный Loopback1
ip nat outside
2. Удалить ip nat outisde из Virtual-template
Выполните эти два шага и проверьте снова.

katrin1701

Сделал это, но безрезультатно... по-прежнему нет ответа, когда я пытаюсь пинговать 10.130.1.67. Хотя указано, что исходящий список доступа для IP-интерфейса vi2.1 — 130, я не получаю никаких результатов в списке доступа 130, даже несмотря на то, что он заканчивается на deny any. Я где-то читал, что в IOS XE16 списки контроля доступа (ACL) для отдельных пользователей, применяемые через сервер RADIUS, не поддерживаются. Это ACL для каждого пользователя? Я не уверен, считается ли мой VI таким пользователем.

katrin1701

Было обнаружено следующее: #show platform packet-trace summary Pkt Input Output State Reason 0 INJ.2 Gi0/0/1 FWD 1 Gi0/0/1 EV14 DROP 109 (EssUnsupPktType) 2 INJ.2 Gi0/0/1 FWD 3 Gi0/0/1 EV14 DROP 109 (EssUnsupPktType) s01bg_71546p001#show platform packet-trace packet 3 Пакет: 3 CBUG ID: 30 Сводка Вход : GigabitEthernet0/0/1 Выход: EVSI14 Состояние: DROP 109 (EssUnsupPktType) Время начала: 3707267685575597 нс (21.02.2023 12:25:05.724501 UTC) Остановка: 3707267685582851 нс (21.02.2023 12:25:05.724508 UTC) Функция трассировки пути: IPV4(вход) Вход: GigabitEthernet0/0/1 Выход: Источник: 10.0.0.250 Пункт назначения: 10.130.1.67 Протокол: 1 (ICMP) отладка состояния платформы остановка нет отладки все Выход должен быть vi2.1 Данный пакет является обычным ответом ICMP.

Mark Elsen

• К сведению:
  https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvh71668 М. -- Пусть все происходит с тобой
  Красота и ужас
  Просто продолжай идти
  Ни одно чувство не является окончательным
  Райнер Мария Рильке
  (1899)

Georg Pauwen

Здравствуйте, Я не следил за всей веткой обсуждения, поэтому, возможно, что-то упустил, но не могли бы вы опубликовать полную конфигурацию RADIUS, включая параметры «Cisco AVPair»?

katrin1701

| 509089 | irgendwas@alec.testd | Framed-IP-Address | := | 10.130.1.67 | | 509090 | irgendwas@alec.testd | Framed-MTU | := | 1492 | | 509091 | irgendwas@alec.testd | Тип-услуги | := | 2 | | 509092 | irgendwas@alec.testd | Протокол-кадра | := | 1 | | 509093 | irgendwas@alec.testd | Ответ-Message | := | Willkommen | | 509101 | irgendwas@alec.testd | Filter-ID | := | 130 Раньше по умолчанию запрашивалось сжатие VJ, но я уже удалил эту настройку. Интерфейс Пользовательский режим Простой Адрес партнера Vi2.1 xxxxxxxx PPPoVPDN - 10.130.1.67 Я вижу данные, поступающие с 10.130.1.67, и вижу ответ на Cisco на GE0/0/1, но я предполагаю, что он не выходит из Vi2.1. Он также не будет использовать список доступа 130. Раньше это был vi3, пока я не изменил настройку Virtual-Template на no logging event link-status. Не знаю, важно ли это, но с logging event link-status я не мог создать подинтерфейс. Это отладка radius: 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 41 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 35 «actual-data-rate-upstream=5824000» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 44 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 38 «actual-data-rate-downstream=29176000» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 41 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 35 «minimum-data-rate-upstream=768000» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 44 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 38 «minimum-data-rate-downstream=1152000» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 46 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 40 «attainable-data-rate-upstream=17017000» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 48 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 42 «attainable-data-rate-downstream=41271000» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 42 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 36 «maximum-data-rate-upstream=5824000» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 45 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 39 «maximum-data-rate-downstream=29184000» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 50 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 44 «minimum-data-rate-upstream-low-power=32000» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 52 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 46 «minimum-data-rate-downstream-low-power=32000» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 46 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 40 «maximum-interleaving-delay-upstream=12» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 48 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 42 «maximum-interleaving-delay-downstream=12» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 18 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 12 «dsl-type=5» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 37 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 31 «access-loop-encapsulation=120» 15 февраля 2023 г. 13:26:50: RADIUS: Framed-Protocol [7] 6 PPP [1] 15 февраля 2023 г. 13:26:50: RADIUS: Framed-IP-Address [8] 6 10.130.1.67 15 февраля 2023 г. 13:26:50: RADIUS: User-Name [1] 22 «xxxxxxxxxxxxxxxx» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 35 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 29 «connect-progress=LAN Ses Up» 15 февраля 2023 г. 13:26:50: RADIUS: Acct-Authentic [45] 6 RADIUS [1] 15 февраля 2023 г. 13:26:50: RADIUS: Acct-Status-Type [40] 6 Start [1] 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 52 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 46 «circuit-id-tag=x.x.x.x/0.0.0.0 eth 1/21» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 36 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 30 «remote-id-tag=XXX.XXX.XXX» 15 февраля 2023 г. 13:26:50: RADIUS: Connect-Info [77] 18 «28301000/5649000» 15 февраля 2023 г. 13:26:50: RADIUS: NAS-Port-Type [61] 6 ISDN [2] 15 февраля 2023 г. 13:26:50: RADIUS: NAS-Port [5] 6 20037 15 февраля 2023 г. 13:26:50: RADIUS: NAS-Port-Id [87] 16 «Uniq-Sess-ID37» 15 февраля 2023 г. 13:26:50: RADIUS: Service-Type [6] 6 Framed [2] 15 февраля 2023 г. 13:26:50: RADIUS: NAS-IP-Address [4] 6 10.0.137.5 15 февраля 2023 г. 13:26:50: RADIUS: Acct-Delay-Time [41] 6 0#show interfaces vi2.1 Virtual-Access2.1 активен, протокол линии активен. Аппаратное обеспечение — интерфейс виртуального доступа. Интерфейс не имеет номера. Используется адрес Loopback1 (10.130.0.3) MTU 1300 байт, BW 28301 Кбит/с, DLY 100000 мкс, надежность 255/255, txload 1/255, rxload 1/255 Инкапсуляция PPP, LCP Open Open: IPCP PPPoVPDN vaccess, клонированный из Virtual-Template1 Статус Vaccess 0x0 Протокол l2tp, идентификатор туннеля 26053, идентификатор сеанса 26751 Keepalive установлен (10 сек) 65 пакетов входа, 2572 байт 44 пакета выхода, 724 байт Последнее очищение счетчиков «show interface» никогда# show ip interface vi2.1 Virtual-Access2.1 активен, протокол линии активен Интерфейс не пронумерован. Используется адрес Loopback1 (10.130.0.3) Адрес широковещательной рассылки 255.255.255.255 Адрес узла 10.130.1.67 MTU составляет 1300 байт Адрес помощника не установлен Прямая трансляционная пересылка отключена Исходящий общий список доступа не установлен Исходящий список доступа составляет 130 Входящий общий список доступа не установлен Входящий список доступа не установлен Прокси ARP включен Локальный прокси ARP отключен Уровень безопасности по умолчанию Разделенный горизонт включен Перенаправления ICMP всегда отправляются Недоступные ICMP всегда отправляются Ответы маски ICMP никогда не отправляются IP Быстрая коммутация включена. Коммутация IP Flow отключена. Коммутация IP CEF включена. Турбо-вектор IP CEF. Турбо-вектор IP Null . Связанные топологии одноадресной маршрутизации: Топология «базовая», рабочее состояние UP. Быстрая коммутация IP-мультикаста включена. Распределенная быстрая коммутация IP-мультикаста отключена. Флаги кэша маршрутов IP: Fast, обнаружение маршрутизатора CEF отключено Учет выходных пакетов IP отключен Учет нарушений доступа IP отключен Сжатие заголовков TCP/IP отключено Сжатие заголовков RTP/IP отключено Ответы с именем прокси-пробника отключены Маршрутизация по политикам отключена Перевод сетевых адресов включен, интерфейс в домене вне BGP Сопоставление политик отключено Входные функции: Виртуальная сборка фрагментов, NAT Outside, iEdge, проверка MCI Функции вывода: iEdge, NAT Outside после маршрутизации IPv4 WCCP Redirect outbound отключен IPv4 WCCP Redirect inbound отключен IPv4 WCCP Redirect exclude отключен