ISR4451 Не удалось создать сеанс виртуального доступа

Reply to ISR4451 Не удалось создать сеанс виртуального доступа on Sat, 14 Feb 2026 22:10:40 GMT

katrin1701 — Sat, 14 Feb 2026 22:10:40 GMT

| 509089 | irgendwas@alec.testd | Framed-IP-Address | := | 10.130.1.67 | | 509090 | irgendwas@alec.testd | Framed-MTU | := | 1492 | | 509091 | irgendwas@alec.testd | Тип-услуги | := | 2 | | 509092 | irgendwas@alec.testd | Протокол-кадра | := | 1 | | 509093 | irgendwas@alec.testd | Ответ-Message | := | Willkommen | | 509101 | irgendwas@alec.testd | Filter-ID | := | 130 Раньше по умолчанию запрашивалось сжатие VJ, но я уже удалил эту настройку. Интерфейс Пользовательский режим Простой Адрес партнера Vi2.1 xxxxxxxx PPPoVPDN - 10.130.1.67 Я вижу данные, поступающие с 10.130.1.67, и вижу ответ на Cisco на GE0/0/1, но я предполагаю, что он не выходит из Vi2.1. Он также не будет использовать список доступа 130. Раньше это был vi3, пока я не изменил настройку Virtual-Template на no logging event link-status. Не знаю, важно ли это, но с logging event link-status я не мог создать подинтерфейс. Это отладка radius: 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 41 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 35 «actual-data-rate-upstream=5824000» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 44 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 38 «actual-data-rate-downstream=29176000» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 41 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 35 «minimum-data-rate-upstream=768000» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 44 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 38 «minimum-data-rate-downstream=1152000» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 46 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 40 «attainable-data-rate-upstream=17017000» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 48 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 42 «attainable-data-rate-downstream=41271000» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 42 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 36 «maximum-data-rate-upstream=5824000» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 45 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 39 «maximum-data-rate-downstream=29184000» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 50 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 44 «minimum-data-rate-upstream-low-power=32000» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 52 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 46 «minimum-data-rate-downstream-low-power=32000» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 46 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 40 «maximum-interleaving-delay-upstream=12» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 48 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 42 «maximum-interleaving-delay-downstream=12» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 18 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 12 «dsl-type=5» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 37 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 31 «access-loop-encapsulation=120» 15 февраля 2023 г. 13:26:50: RADIUS: Framed-Protocol [7] 6 PPP [1] 15 февраля 2023 г. 13:26:50: RADIUS: Framed-IP-Address [8] 6 10.130.1.67 15 февраля 2023 г. 13:26:50: RADIUS: User-Name [1] 22 «xxxxxxxxxxxxxxxx» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 35 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 29 «connect-progress=LAN Ses Up» 15 февраля 2023 г. 13:26:50: RADIUS: Acct-Authentic [45] 6 RADIUS [1] 15 февраля 2023 г. 13:26:50: RADIUS: Acct-Status-Type [40] 6 Start [1] 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 52 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 46 «circuit-id-tag=x.x.x.x/0.0.0.0 eth 1/21» 15 февраля 2023 г. 13:26:50: RADIUS: Поставщик, Cisco [26] 36 15 февраля 2023 г. 13:26:50: RADIUS: Cisco AVpair [1] 30 «remote-id-tag=XXX.XXX.XXX» 15 февраля 2023 г. 13:26:50: RADIUS: Connect-Info [77] 18 «28301000/5649000» 15 февраля 2023 г. 13:26:50: RADIUS: NAS-Port-Type [61] 6 ISDN [2] 15 февраля 2023 г. 13:26:50: RADIUS: NAS-Port [5] 6 20037 15 февраля 2023 г. 13:26:50: RADIUS: NAS-Port-Id [87] 16 «Uniq-Sess-ID37» 15 февраля 2023 г. 13:26:50: RADIUS: Service-Type [6] 6 Framed [2] 15 февраля 2023 г. 13:26:50: RADIUS: NAS-IP-Address [4] 6 10.0.137.5 15 февраля 2023 г. 13:26:50: RADIUS: Acct-Delay-Time [41] 6 0#show interfaces vi2.1 Virtual-Access2.1 активен, протокол линии активен. Аппаратное обеспечение — интерфейс виртуального доступа. Интерфейс не имеет номера. Используется адрес Loopback1 (10.130.0.3) MTU 1300 байт, BW 28301 Кбит/с, DLY 100000 мкс, надежность 255/255, txload 1/255, rxload 1/255 Инкапсуляция PPP, LCP Open Open: IPCP PPPoVPDN vaccess, клонированный из Virtual-Template1 Статус Vaccess 0x0 Протокол l2tp, идентификатор туннеля 26053, идентификатор сеанса 26751 Keepalive установлен (10 сек) 65 пакетов входа, 2572 байт 44 пакета выхода, 724 байт Последнее очищение счетчиков «show interface» никогда# show ip interface vi2.1 Virtual-Access2.1 активен, протокол линии активен Интерфейс не пронумерован. Используется адрес Loopback1 (10.130.0.3) Адрес широковещательной рассылки 255.255.255.255 Адрес узла 10.130.1.67 MTU составляет 1300 байт Адрес помощника не установлен Прямая трансляционная пересылка отключена Исходящий общий список доступа не установлен Исходящий список доступа составляет 130 Входящий общий список доступа не установлен Входящий список доступа не установлен Прокси ARP включен Локальный прокси ARP отключен Уровень безопасности по умолчанию Разделенный горизонт включен Перенаправления ICMP всегда отправляются Недоступные ICMP всегда отправляются Ответы маски ICMP никогда не отправляются IP Быстрая коммутация включена. Коммутация IP Flow отключена. Коммутация IP CEF включена. Турбо-вектор IP CEF. Турбо-вектор IP Null . Связанные топологии одноадресной маршрутизации: Топология «базовая», рабочее состояние UP. Быстрая коммутация IP-мультикаста включена. Распределенная быстрая коммутация IP-мультикаста отключена. Флаги кэша маршрутов IP: Fast, обнаружение маршрутизатора CEF отключено Учет выходных пакетов IP отключен Учет нарушений доступа IP отключен Сжатие заголовков TCP/IP отключено Сжатие заголовков RTP/IP отключено Ответы с именем прокси-пробника отключены Маршрутизация по политикам отключена Перевод сетевых адресов включен, интерфейс в домене вне BGP Сопоставление политик отключено Входные функции: Виртуальная сборка фрагментов, NAT Outside, iEdge, проверка MCI Функции вывода: iEdge, NAT Outside после маршрутизации IPv4 WCCP Redirect outbound отключен IPv4 WCCP Redirect inbound отключен IPv4 WCCP Redirect exclude отключен

Reply to ISR4451 Не удалось создать сеанс виртуального доступа on Sat, 14 Feb 2026 22:10:39 GMT

Georg Pauwen — Sat, 14 Feb 2026 22:10:39 GMT

Здравствуйте, Я не следил за всей веткой обсуждения, поэтому, возможно, что-то упустил, но не могли бы вы опубликовать полную конфигурацию RADIUS, включая параметры «Cisco AVPair»?

Reply to ISR4451 Не удалось создать сеанс виртуального доступа on Sat, 14 Feb 2026 22:10:38 GMT

Mark Elsen — Sat, 14 Feb 2026 22:10:38 GMT

К сведению:
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvh71668 М. -- Пусть все происходит с тобой
Красота и ужас
Просто продолжай идти
Ни одно чувство не является окончательным
Райнер Мария Рильке
(1899)

Reply to ISR4451 Не удалось создать сеанс виртуального доступа on Sat, 14 Feb 2026 22:10:37 GMT

katrin1701 — Sat, 14 Feb 2026 22:10:37 GMT

Было обнаружено следующее: #show platform packet-trace summary Pkt Input Output State Reason 0 INJ.2 Gi0/0/1 FWD 1 Gi0/0/1 EV14 DROP 109 (EssUnsupPktType) 2 INJ.2 Gi0/0/1 FWD 3 Gi0/0/1 EV14 DROP 109 (EssUnsupPktType) s01bg_71546p001#show platform packet-trace packet 3 Пакет: 3 CBUG ID: 30 Сводка Вход : GigabitEthernet0/0/1 Выход: EVSI14 Состояние: DROP 109 (EssUnsupPktType) Время начала: 3707267685575597 нс (21.02.2023 12:25:05.724501 UTC) Остановка: 3707267685582851 нс (21.02.2023 12:25:05.724508 UTC) Функция трассировки пути: IPV4(вход) Вход: GigabitEthernet0/0/1 Выход: Источник: 10.0.0.250 Пункт назначения: 10.130.1.67 Протокол: 1 (ICMP) отладка состояния платформы остановка нет отладки все Выход должен быть vi2.1 Данный пакет является обычным ответом ICMP.

Reply to ISR4451 Не удалось создать сеанс виртуального доступа on Sat, 14 Feb 2026 22:10:36 GMT

katrin1701 — Sat, 14 Feb 2026 22:10:36 GMT

Сделал это, но безрезультатно... по-прежнему нет ответа, когда я пытаюсь пинговать 10.130.1.67. Хотя указано, что исходящий список доступа для IP-интерфейса vi2.1 — 130, я не получаю никаких результатов в списке доступа 130, даже несмотря на то, что он заканчивается на deny any. Я где-то читал, что в IOS XE16 списки контроля доступа (ACL) для отдельных пользователей, применяемые через сервер RADIUS, не поддерживаются. Это ACL для каждого пользователя? Я не уверен, считается ли мой VI таким пользователем.

Reply to ISR4451 Не удалось создать сеанс виртуального доступа on Sat, 14 Feb 2026 22:10:35 GMT

MHM Cisco World — Sat, 14 Feb 2026 22:10:35 GMT

Здесь нужно выполнить два шага
: 1. Не пронумерованный Loopback1
ip nat outside
2. Удалить ip nat outisde из Virtual-template
Выполните эти два шага и проверьте снова.

Reply to ISR4451 Не удалось создать сеанс виртуального доступа on Sat, 14 Feb 2026 22:10:34 GMT

MHM Cisco World — Sat, 14 Feb 2026 22:10:34 GMT

Да, я вижу, позвольте мне проверить записку, которая у меня есть.

Reply to ISR4451 Не удалось создать сеанс виртуального доступа on Sat, 14 Feb 2026 22:10:33 GMT

katrin1701 — Sat, 14 Feb 2026 22:10:33 GMT

Вот маршрут: #show ip route 10.130.1.67 Запись
маршрутизации для 10.130.1.67/32
Известно через «подключено», расстояние 0, метрика 0 (подключено, через интерфейс)
Перераспределение через bgp 65146
Объявлено bgp 65146 Блоки
дескриптора маршрутизации:

напрямую подключено, через Virtual-Access2.1
Метрика маршрута равна 0, количество долей трафика равно 1 Виртуальный шаблон имеет nat outside, но я удалил его в качестве теста, без изменений. И даже если бы этот nat что-то сделал, я все равно предположил бы, что access-list 130 получил бы хит. Расширенный список доступа IP 130
10 разрешить icmp любой любой .... (нет попаданий) интерфейс Virtual-Template1
mtu 1300
ip unnumbered Loopback1
ip nat outside
no logging event link-status
peer match aaa-pools
no peer default ip address
ppp mtu adaptive
ppp authentication pap callin
ppp authorization VPDN
ip virtual-reassembly #show interfaces vi2.1
Virtual-Access2.1 активен, протокол линии активен
Оборудование является интерфейсом виртуального
доступа Интерфейс не имеет номера. Используется адрес Loopback1 (10.130.0.4)
MTU 1300 байт, BW 28301 Кбит/с, DLY 100000 мкс,
надежность 255/255, txload 1/255, rxload 1/255
Инкапсуляция PPP, LCP Open
Open: IPCP
PPPoVPDN vaccess, клонированный из Virtual-Template1
Статус Vaccess 0x0
Протокол l2tp, идентификатор туннеля 50748, идентификатор сеанса 14885
Keepalive установлен (10 сек)
393 входящих пакета, 15836 байт
246 исходящих пакета, 3956 байт
Последнее очищение счетчиков «show interface» никогда Согласно счетчикам, байты поступают и выходят...

Reply to ISR4451 Не удалось создать сеанс виртуального доступа on Sat, 14 Feb 2026 22:10:32 GMT

MHM Cisco World — Sat, 14 Feb 2026 22:10:32 GMT

Я уже сталкивался с этой
проблемой. Вы настроили NAT?
Могу я посмотреть маршрутизацию IP?

Reply to ISR4451 Не удалось создать сеанс виртуального доступа on Sat, 14 Feb 2026 22:10:31 GMT

katrin1701 — Sat, 14 Feb 2026 22:10:31 GMT

Я также обнаружил следующее: Я могу получать данные с виртуального интерфейса, но ответы не возвращаются. То есть 10.130.1.67 может пинговать что-то, и ответы возвращаются в Cisco, но не выходят через виртуальный интерфейс.

Reply to ISR4451 Не удалось создать сеанс виртуального доступа on Sat, 14 Feb 2026 22:10:30 GMT

katrin1701 — Sat, 14 Feb 2026 22:10:30 GMT

Мы заменяем C3900, и он имеет почти такую же конфигурацию. Я думал, что когда я запущу vi, все будет в порядке. Там каждый ppp получает свой собственный интерфейс vixxx, в итоге их будет довольно много. Radius назначает идентификатор фильтра, и этот список доступа получает запросы. Поэтому я ожидал, что vi3 будет назначен 10.130.1.67 (что и произошло), и тогда я смогу пинговать 10.130.1.67, или, по крайней мере, получу результат в списке доступа 130 (чего не произошло). Следующее соединение получило бы, например, vi4, адрес 10.130.1.68 и, возможно, список доступа 131.

Reply to ISR4451 Не удалось создать сеанс виртуального доступа on Sat, 14 Feb 2026 22:10:29 GMT

MHM Cisco World — Sat, 14 Feb 2026 22:10:29 GMT

журнал удален. <<- это решило
проблему есть два виртуальных шаблона? Vi2 и Vi3 ??

Reply to ISR4451 Не удалось создать сеанс виртуального доступа on Sat, 14 Feb 2026 22:10:28 GMT

katrin1701 — Sat, 14 Feb 2026 22:10:28 GMT

Но что это значит для меня? Что мне нужно изменить? Я удалил сжатие по умолчанию из конфигурации radius DEFAULT Framed-Protocol == PPP#
Framed-Protocol = PPP,

Framed-Compression = Van-Jacobson-TCP-IP Сообщение в журнале исчезло, теперь используется интерфейс vi2.1 вместо vi3, но я по-прежнему не могу подключиться к 10.130.1.67

Reply to ISR4451 Не удалось создать сеанс виртуального доступа on Sat, 14 Feb 2026 22:10:27 GMT

MHM Cisco World — Sat, 14 Feb 2026 22:10:27 GMT

Framed-Compression = Van-Jacobson-TCP-IP <<- этот ответ от Radius отличается от того, что использует ISR4K