Jump to content
Калькуляторы

Cisco ASR1001 ISG Проблемы c авторизацией

Вместо pppoe роутера может быть роутер с дублированным IP ?

ISG_ASR1#show radius statistics
                                 Auth.      Acct.       Both
        Maximum inQ length:         NA         NA         10
      Maximum waitQ length:         NA         NA       1041
      Maximum doneQ length:         NA         NA          4
      Total responses seen:       9952     999857    1009809
    Packets with responses:       9952     999857    1009809
 Packets without responses:         23       1489       1512
 Access Rejects           :       9150
Average response delay(ms):         71         55         55
Maximum response delay(ms):      61225      62091      62091
 Number of Radius timeouts:         83       6208       6291
      Duplicate ID detects:          0          0          0
Buffer Allocation Failures:          0          0          0
Maximum Buffer Size (bytes):        173        423        423
Malformed Responses        :          0          0          0
Bad Authenticators         :          0       2040       2040
Unknown Responses          :          0          0          0
Source Port Range: (2 ports only)
1645 - 1646
Last used Source Port/Identifier:
1645/85
1646/90

 Elapsed time since counters last cleared: 17h16m
Radius Latency Distribution:
<= 2ms :          0     558223
3-5ms  :          0     434598
5-10ms :          0       3266
10-20ms:         45       1756
20-50ms:       9433        406
50-100m:        430        113
>100ms :         44       1495

шас пороюсь в логе биллинг

Share this post


Link to post
Share on other sites

Вместо pppoe роутера может быть роутер с дублированным IP ?

 

Не, врядли. Просто билинг реджектит и все. Может там привязка к порту поменялась или еще ченить.

Share this post


Link to post
Share on other sites

Биллинг какой?

Lanbilling v 2.0.015

 

2 ShyLion

Привязка к порту используется. dhcp биллингом раздаеться

 

В его логе постоянно сыпятся dhcpdiscover ы - это нормально ?

log.PNG

Share this post


Link to post
Share on other sites

Биллинг какой?

Lanbilling v 2.0.015

 

Привязка к порту используется. dhcp биллингом раздаеться

Посмотрите в биллинге активные сессии (Отчеты - Статистика - Выбрать агент радиуса - и в нисподающем списке по кнопке "Показать" выбрать активные сессии) во время того, когда не подключается абонент. Так же покажите лог авторизации (Отчеты-Журнал авторизации) с биллинга.

Так же какой стоит таймаут зависшей сессии в настройках агента авторизации?

И обязательно сверти Порт RADIUS accounting с настройками ISG

Share this post


Link to post
Share on other sites

Биллинг какой?

Lanbilling v 2.0.015

 

Привязка к порту используется. dhcp биллингом раздаеться

Посмотрите в биллинге активные сессии (Отчеты - Статистика - Выбрать агент радиуса - и в нисподающем списке по кнопке "Показать" выбрать активные сессии) во время того, когда не подключается абонент. Так же покажите лог авторизации (Отчеты-Журнал авторизации) с биллинга.

Так же какой стоит таймаут зависшей сессии в настройках агента авторизации?

И обязательно сверти Порт RADIUS accounting с настройками ISG

 

Пока звонков не было, чтобы проверить есть ли сессия или нет.

 

Тайм аут 6 минут ( вроде совпадает со слов клиентов)

 

Порт

radius-server host 192.168.130.3 auth-port 1812 acct-port 1813 key 7

вроде совпадает

агент.PNG

авторизации.PNG

Share this post


Link to post
Share on other sites

Дубль темы в разделе работа)

 

Возможно что проблема с неправельно настроенным биллингом, а не аср, тк его версию сменили разом с аср.

 

пс поставил в агенте таймаут зависшей сесси 5 сек, посмотрим что будет, т.к. не особо представляю к чему это приведет.

Share this post


Link to post
Share on other sites

Сейчас ASR работает по правилу - БЕЗ БИЛЛИНГА

 

поидеи все идут в инет

 

смотрю сессии в тот момент когда нету интернет

 

ISG_ASR1#show sss session | include 62.76.140.140

1737 IPv4 unauthen Lterm 00:02:58 1 62.76.140.140 // интернет есть

ISG_ASR1#show sss session | include 81.4.215.52

ISG_ASR1#show sss session | include 81.4.215.52

ISG_ASR1#show sss session | include 81.4.215.52

ISG_ASR1#show sss session | include 62.76.140.140

318 IPv4 unauthen Attempting 00:00:36 0 62.76.140.140 // нету интернет

ISG_ASR1#show sss session | include 62.76.140.140

318 IPv4 unauthen Attempting 00:00:43 0 62.76.140.140 // нету интернет

ISG_ASR1#show sss session | include 62.76.140.140

318 IPv4 unauthen Attempting 00:01:21 0 62.76.140.140 // нету интернет

ISG_ASR1#show sss session | include 62.76.140.140

318 IPv4 unauthen Lterm 00:00:03 1 62.76.140.140 // интернет есть

ISG_ASR1#

 

Короче попытка не сразу удается

НО заметил что Attempting длиться РОВНО 1м 30 сек !

Share this post


Link to post
Share on other sites

Для конкретной сессии можно детально посмотреть FSM, то есть события, которые по порядку для нее выполнялись, даже если она unauthen/Attempting.

По-идее это show subscriber session username/uid/id detailed

 

В дебаге также видно, при детальном изучении, в какой момент времени какое выполняется событие в control policy, и какие были ошибки. Надо просто хорошо посмотреть.

Есть еще internal rules, которые могут выполняться, если не переопределены явно вашими правилами. Для всех событий есть счетчики executed - show policy-map control.

 

В общем богатый набор инструментов для траблшутинга, я вообще в первый раз с нуля на ASR не спеша за месяц настроил ISG.

 

Параллельно с этим советую вооружиться tcpdump'ом для 1812-1813 портов, картинка сложится.

Share this post


Link to post
Share on other sites

Обновили до Lanbilling v 2.0.016

...

Проблема не ушла, клиенты не авторизуются при всем необходимом. Ждем спецов Ланбилинг)

Share this post


Link to post
Share on other sites

бесполезно их ждать, ТП у них так себе

тп да... надо пинать, пинать, пинать, порой кажеться что общаешся со стеной, отмазываются до последнего, по любому поводу, инадо еще доказать что чтото не так.

но в итоге помогают, но как это долго!!!

Share this post


Link to post
Share on other sites

добрый

проблема не решена ?

на 1001 сейчас делаю исг

и удивился немного вашему конфигу

строка

radius-server host 192.168.130.3 auth-port 1812 acct-port 1813 ke

у меня ругается

asr1000-test(config)#$2.168.130.3 auth-port 1812 acct-port 1813 key 123

Warning: The CLI will be deprecated soon

'radius-server host 192.168.130.3 auth-port 1812 acct-port 1813 key 123'

Please move to 'radius server <name>' CLI.

asr1000-test(config)#

asr1000-test(config)#radius-server ho?

% Unrecognized command

при этом строка в конфиге остаётся. но к радиусу обращений нет.

Share this post


Link to post
Share on other sites

что поменяли я догадался

но как у автора работает ?

поменяли между версиями иос чтоль ?

какой у меня не скажу щас.

Share this post


Link to post
Share on other sites

Там варнинг же. Возможно вопросом специально не дописывает. Команды она жрет.

Share this post


Link to post
Share on other sites

а, если и жрёт и работает - то отлично.

а то как обычно на бегу попробовал - удивился

попробовал как она предложила - выругалось, мол такой радиус-сервер уже используется

через несколько дней доберусь до железки, надо добить.

Share this post


Link to post
Share on other sites

добил

нормально всё живёт, никаких проблем

автору - чюдеса.

Share this post


Link to post
Share on other sites

добил

нормально всё живёт, никаких проблем

автору - чюдеса.

 

Так проблема в настройках циски была лишь частично! ( 30 секунд "атемпинга" ненужного абсолютно при авторизации)

Самая большая проблема была в ЛАНБИЛЛИНГ !!!

Share this post


Link to post
Share on other sites

Так проблема в настройках циски была лишь частично! ( 30 секунд "атемпинга" ненужного абсолютно при авторизации)

Самая большая проблема была в ЛАНБИЛЛИНГ !!!

 

Похожие грабли.

Обновили LanBilling до 2.0.014 и появилась проблема с задержками авторизации сессий.

NPE-G1 старт по IP.

Что у Вас делали чтоб нормально заработало?

Share this post


Link to post
Share on other sites

Так проблема в настройках циски была лишь частично! ( 30 секунд "атемпинга" ненужного абсолютно при авторизации)

Самая большая проблема была в ЛАНБИЛЛИНГ !!!

 

Похожие грабли.

Обновили LanBilling до 2.0.014 и появилась проблема с задержками авторизации сессий.

NPE-G1 старт по IP.

Что у Вас делали чтоб нормально заработало?

 

Точно не помню, могу дать контакт в ЛС, но как минимум былло несколько пачей, и в последствии обновление на 015 и 016 версии.

Share this post


Link to post
Share on other sites

 

Точно не помню, могу дать контакт в ЛС, но как минимум былло несколько пачей, и в последствии обновление на 015 и 016 версии.

014 -LTS.

Нам посоветовали перейти на 014 мартовской сборки.

Вроде бы помогло. Для окончательного диагноза нужно дождаться смены скорости по расписанию - массово косяк в это время проявлялся.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this