Foro en Español

Reply
Contributor II

CPPM Vs ACM: Problema Radius_CoA

Estoy implementando un servicio CoA entre una controladora y un CPPM en un cliente (lo he implementado identico a uno de pruebas que tengo en un laboratorioque funciona correctamente). él que estoy implementando en producción no me va bien.

 

Basicamente a veces funciona y a veces no. por los logs el CPPM parece que intenta enviar el CoA pero falla en el envío (adjunte una imagen).

 

quisiera saber si desde la controladora hay algun comando que me sirva para ver si llega la peticion de CoA desde el clearpass. para hacer pruebas en tiempo real. quiero probar esto porque estan separados por un firewall, no sea que haya problemas con el puerto 3799.

 

Si alguien tiene alguna otra idea de como hacer troubleshooting en estos casos?

 

 esto lo vi en los logs de una conexión en el CPPM:

Core.PETaskRadiusCoAEnfProfileBuilder - getApplicableProfiles: No radius_coa enforcement profiles applicable for this device

 

 Muchas Gracias

Re: CPPM Vs ACM: Problema Radius_CoA

Buenas;

 

 Referente al COA si existe un firewall en medio tienes que permitir dicho trafico en ambas direcciones ( CPPM <> Controller y viceversa), si no es asi te puede dar problemas de ese tipo o incluso que nunca se haga.

 

 Entiendo que te refieres a el mismo SSID siempre. Lo digo por si has verificado que en el AAA profile tengas asignado la parte del COA. 

 

 Si tiene varios CPPM o varias controladoras, verifica si es siempre contra el mismo.

 

Espero que sea de ayuda.

 

Un saludo

Angel De la Encarnacion

ACMP, ACCP, ACDX #544

Re: CPPM Vs ACM: Problema Radius_CoA

En relación al Accounting, ¿lo has configurado en el Controller?

Confirma que tienes configurada dentro del profile AAA la opción 3576 con la IP del ClearPass y la key.


Rafael del Cerro Flores
ACMP, ACCP, ACDX#324, ACCX#711
Contributor II

Re: CPPM Vs ACM: Problema Radius_CoA

Tengo una sola controladora y un solo clearpass, y me dice el tecnico del Firewall que estan abiertos los puertos (aunque no me fío). Tengo configurado el CoA tanto en el controlador como en el CPPM, adjunto imagenes.

 

me gustaría saber si puedo comprobar esto en tiempo real desde el controlador.

Sí tienen otra idea la escucho sugerencias.

 

Saludos

Re: CPPM Vs ACM: Problema Radius_CoA

Por consola en la controladora echa un vistazo a lo que devuelven estos comandos y ejecuta el troubleshooting para confirmar si se recibe el CoA y resto de parámetros RADIUS, pueden decirte porqué no lo interpreta el controlador.

show aaa authentication-server radius statistics 

#Activamos el Debug del AAA:
logging level debugging system process authmgr

#Mostrar logs del AAA (por ejemplo 30 últimas líneas)
show log system all 30

Ejecuta estos comandos una vez hayas enviado el CoA para ver si llegan. Si no es así, tiene pinta del Firewall.


Rafael del Cerro Flores
ACMP, ACCP, ACDX#324, ACCX#711
Moderator

Re: CPPM Vs ACM: Problema Radius_CoA

Hola

 

El CoA utiliza el puerto UDP 3799 con origen el RADIUS y destino el NAS (en este caso tu controller). Para verificar que el firewall no es el que te está bloqueando, haz una captura de tráfico en ClearPass (en Administration > Server Manager > Server Configuration) y al mismo tiempo saca un "show datapath session table <ip-clearpass>" en el controller. Con eso deberías ver si tienes UDP 3799 en ambos lados.

 

Saludos!

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Contributor II

Re: CPPM Vs ACM: Problema Radius_CoA

Gracias a todos

 

Ya esta solucionado. Como se suponía desde el principio el trafico en el Firewall, no estaba permitido en ambos sentidos aunque el cliente me lo aseguraba por activa y por pasiva. en cuanto se arreglo esto comenzon a funcionar. y gracias a los comandos de comprobación en la controladora pude hacer que el cliente lo revisara con mas detenimiento.

 

muchas gracias a todos.

 

 

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: