Jump to content
Калькуляторы

ASR1000 + ipoe +pppoe +radius

Reply to this topic

silencess   

silencess
Posted

Добрый день.

 

есть в работе схема asr + ipoe +ppoe + радиус

все крутиться на одной железке и одном сервере.

pppoe работает отлично.

ipoe периодически не выдает ip абонентам. (может проработать и месяц может и несколько секунд)

ios на asr - asr1000rp2-adventerprisek9.03.04.00.S.151-3.S.bin

 

перестает выдавать ip после краша одной из матплат, перезагрузка железки не помогает.

%CMANRP-6-CMHASTATUS: RP switchover, received fastpath becoming active event

%CMANRP-6-CMHASTATUS: RP switchover, received chassis event to become active

%REDUNDANCY-3-SWITCHOVER: RP switchover (PEER_NOT_PRESENT)

%ASR1000_RP_ALARM-6-INFO: ASSERT CRITICAL module R1 Cutover

%ASR1000_RP_ALARM-6-INFO: ASSERT MAJOR module R1 Secondary removed

%REDUNDANCY-3-SWITCHOVER: RP switchover (PEER_DOWN)

%REDUNDANCY-3-SWITCHOVER: RP switchover (PEER_REDUNDANCY_STATE_CHANGE)

 

настройки на брасе

 

aaa group server radius LAN

server 10.1.0.1 auth-port 1812 acct-port 1813

!

aaa group server radius radius_pppoe

server-private 10.1.0.1 auth-port 1814 acct-port 1815 key 7

ip radius source-interface TenGigabitEthernet0/1

!

aaa authentication login default local

aaa authentication login AUTH-LIST group AAA-RADIUS-SERVER

aaa authentication login ISG-AUTH-1 group LAN

aaa authentication enable default enable

aaa authentication ppp PPPoE group radius_pppoe local

aaa authorization exec default local

aaa authorization network ISG-AUTH-1 group LAN

aaa authorization network PPPoE group radius_pppoe local

aaa authorization subscriber-service default local group LAN

aaa accounting update periodic 2

aaa accounting network ISG-ACC-1 start-stop group LAN

aaa accounting network PPPoE start-stop group radius_pppoe

!

aaa server radius dynamic-author

client 10.1.0.1 server-key 7

ignore session-key

 

class-map type traffic match-any PORTAL

match access-group output name From-PORTAL

match access-group input name To-PORTAL

!

class-map type traffic match-any REDIRECT-TO-PORTAL

match access-group output 199

match access-group input 199

!

class-map type traffic match-any Internet

match access-group output name Inet-out

match access-group input name Inet-in

!

class-map type traffic match-any Local

match access-group output name Peer-out

match access-group input name Peer-in

!

class-map type control match-any DROP-UNAUT

available unauthenticated-username

!

class-map type control match-all IP-UNAUTH-ISG

match timer IP-UNAUTH-TIMER

match authen-status unauthenticated

!

policy-map type service SERVICE_L4R

class type traffic REDIRECT-TO-PORTAL

redirect to group PORTAL-1

!

!

policy-map type service Local

class type traffic Local

accounting aaa list PPPoE

!

class type traffic default in-out

drop

!

!

policy-map type service Internet

class type traffic Internet

accounting aaa list PPPoE

!

class type traffic default in-out

drop

!

!

policy-map type control ISG-CUSTOMERS

class type control IP-UNAUTH-ISG event timed-policy-expiry

1 service disconnect

!

class type control always event quota-depleted

1 set-param drop-traffic FALSE

!

class type control always event credit-exhausted

1 service-policy type service name SERVICE_L4R

!

class type control always event session-start

10 authorize aaa list ISG-AUTH-1 password ISG identifier remote-id plus circuit-id separator -

20 set-timer IP-UNAUTH-TIMER 1

30 service-policy type service name SERVICE_L4R

!

class type control always event session-restart

10 authorize aaa list ISG-AUTH-1 password ISG identifier remote-id plus circuit-id separator -

20 set-timer IP-UNAUTH-TIMER 5

30 service-policy type service name SERVICE_L4R

!

!

policy-map type control PPOE

class type control always event session-start

5 authorize aaa list PPPoE identifier authenticated-username

Share this post

Link to post
Share on other sites

silencess   

silencess
Posted

в общем мистика с железкой. перепрописал aaa authorization subscriber-service default local group LAN все заработало.

вопрос, какой рекомендовано использовать ios для такой связки?

Share this post

Link to post
Share on other sites

uxcr   

uxcr
Posted

Там к advip только плюс dec/ipx протоколы. Я например не люблю ненужные фичи, это как ставить win premium, не зная что оно отличается от basic наличием мультиязычного интерфейса и прочими малоиспользуемыми фичами.

Просто мог бы предложить asr1000rp2-advipservicesk9.03.13.04.S.154-3.S4-ext.bin из закромов родины.

Share this post

Link to post
Share on other sites

silencess   

silencess
Posted

DHCP внешний

interface TenGigabitEthernet0/2/0.5

description test client

encapsulation dot1Q 5

ip address X.X.X.X X.X.X.X

ip helper-address X.X.X.X

ip flow ingress

ip flow egress

service-policy type control ISG-CUSTOMERS

ip subscriber routed

initiator dhcp class-aware

Share this post

Link to post
Share on other sites

silencess   

silencess
Posted

в дополнение, есть вопрос.

pppoe сесии в даной конфигурации используют сервисы от ipoe (оно в принципе не смертельно, сервисы одинаковые) но не правильно, сильно грузит радиус.

может кто подскажет где искать, через что "утекают" сесии в не свой радиус?

Share this post

Link to post
Share on other sites

furai   

furai
Posted

Утекают через aaa authorization subscriber-service default local group LAN, потому как у рррое метод-лист дефолтный. Я бы сделал отдельный радиус для хранения политик (policy-сервер как его зовут буржуи).

Офтопик: а радиусы не резервированы штоле? ;)

Share this post

Link to post
Share on other sites

silencess   

silencess
Posted (edited)

угу, так и подозревал, что через - aaa authorization subscriber-service default local group LAN утекает, вариант указать aaa authorization subscriber-service default group LAN group radius_pppoe полагаю бесмысленый в даном случае. на второй радиус сервер перенести не могу, радиус завязан с билингом - lanbilling, там заведены два радиус агента. как бы pppoe метод лист сделать не дефолтным, указать ему жестко в какой радиус ему идти?

радиус не резервирован, руки пока не дошли.

Edited by silencess

Share this post

Link to post
Share on other sites

ShyLion   

ShyLion
Posted

в дополнение, есть вопрос.

pppoe сесии в даной конфигурации используют сервисы от ipoe (оно в принципе не смертельно, сервисы одинаковые) но не правильно, сильно грузит радиус.

может кто подскажет где искать, через что "утекают" сесии в не свой радиус?

 

Политик много чтоли?

Нам хватило их вручную прописать на самом роутере. С билинга только CoA с шейпом прилетает после поднятия сеанса. Тоже lan, будь он неладен, биллинг.

Share this post

Link to post
Share on other sites

Andrei   

Andrei
Posted

угу, так и подозревал, что через - aaa authorization subscriber-service default local group LAN утекает, вариант указать aaa authorization subscriber-service default group LAN group radius_pppoe полагаю бесмысленый в даном случае. на второй радиус сервер перенести не могу, радиус завязан с билингом - lanbilling, там заведены два радиус агента. как бы pppoe метод лист сделать не дефолтным, указать ему жестко в какой радиус ему идти?

может как-то так:

aaa group server radius rad_lanbilling

server-private 172.21.36.233 auth-port 34009 acct-port 34008 key 7 хххххххххххххххх

 

и потом

aaa authentication ppp via_lb group rad_lanbilling

aaa authorization exec default local

aaa authorization network via_lb group rad_lanbilling

aaa accounting update periodic 1

aaa accounting network via_lb start-stop group rad_lanbilling

Share this post

Link to post
Share on other sites

silencess   

silencess
Posted (edited)

Политик много чтоли?

Нам хватило их вручную прописать на самом роутере. С билинга только CoA с шейпом прилетает после поднятия сеанса. Тоже lan, будь он неладен, биллинг.

на сессию около 12 штук. и тарифов пачка, вот такие у нас продажники затейники... постоянно колбасить локально брас - не вариант, пусть они в билинге сами развлекаются с тарифами.

 

может как-то так:

aaa group server radius rad_lanbilling

server-private 172.21.36.233 auth-port 34009 acct-port 34008 key 7 хххххххххххххххх

 

и потом

aaa authentication ppp via_lb group rad_lanbilling

aaa authorization exec default local

aaa authorization network via_lb group rad_lanbilling

aaa accounting update periodic 1

aaa accounting network via_lb start-stop group rad_lanbilling

так и есть в конфиге же

aaa group server radius radius_pppoe

server-private 10.1.0.1 auth-port 1814 acct-port 1815 key 7

ip radius source-interface TenGigabitEthernet0/1

!

aaa authentication ppp PPPoE group radius_pppoe local

aaa authorization network PPPoE group radius_pppoe local

aaa accounting update periodic 2

aaa accounting network PPPoE start-stop group radius_pppoe

Edited by silencess

Share this post

Link to post
Share on other sites

silencess   

silencess
Posted

а в дебаге и правда пишет что нет методлиста - No AAA accounting method list

 

Access IE handle allocated

AAA get retrieved attrs

AAA get nas port details

AAA get dynamic attrs

AAA unique ID 56160F allocated

No AAA accounting method list

Service request sent to SSS

Created, Service: None R:8843.e101.f920 L:e894.f653.f899 456 Te0/2/0.456

State NAS_PORT_POLICY_INQUIRY Event SSS MORE KEYS

data path set to PPP

Segment (SSS class): PROVISION

State PROVISION_PPP Event SSM PROVISIONED

O PADS R:e894.f653 L:8843.e101 Te0/2/0.4

AAA get dynamic attrs

AAA get dynamic attrs

State LCP_NEGOTIATION Event PPP DISCONNECT

O PADT R:e894.f653 L:8843.e101 Te0/2/0.4

Destroying R:e894.f653 L:8843.e101 4 Te0/2/0.4

AAA get dynamic attrs

AAA get dynamic attrs

AAA account stopped

Segment (SSS class): UNPROVISION

 

как же так?

Share this post

Link to post
Share on other sites

lumenok   

lumenok
Posted

Всем привет, немного не в тему, но про cisco isg.

Помогите с редиректом, никак не пойму что сделал не так.

С радиуса отдаю следующее:

echo "User-Name=\"10.90.0.33\",Cisco-Account-Info=\"S10.90.0.33\",Cisco-Account-Info=\"AFWPOL-NEGBAL-TRUST\",Cisco-Account-Info=\"AFWPOL-NEGBAL-REDIRECT\"" | radclient -x 172.31.31.31:3799 coa mypass

Вот мой конфиг:

redirect server-group RSG-NEGBAL-REDIRECT
server ip 10.0.143.1 port 8002

class-map type traffic match-any CLS-NEGBAL-TRUST
match access-group input name ACL-NEGBAL-TRUST
!
class-map type traffic match-any CLS-NEGBAL-REDIRECT
match access-group input name ACL-NEGBAL-REDIRECT
!

policy-map type service FWPOL-NEGBAL-TRUST
service local
40 class type traffic CLS-NEGBAL-TRUST
 police input 512000
 police output 512000
!
!
policy-map type service FWPOL-NEGBAL-REDIRECT
service local
70 class type traffic CLS-NEGBAL-REDIRECT
 redirect to group RSG-NEGBAL-REDIRECT
!
class type traffic default in-out
 drop
!
!

ip access-list extended ACL-NEGBAL-REDIRECT
permit tcp any any eq www
deny   ip any any
ip access-list extended ACL-NEGBAL-TRUST
permit ip any 194.54.14.0 0.0.0.255
permit ip any 194.186.207.0 0.0.0.255
permit ip 194.54.14.0 0.0.0.255 any
permit ip 194.186.207.0 0.0.0.255 any
permit ip any host 10.0.143.1
permit ip host 10.0.143.1 any

 

Сама сессия:

Router#sho subscriber session username 10.90.0.33 detailed 
Type: IPv4, UID: 42, State: authen, Identity: 10.90.0.33
IPv4 Address: 10.90.0.33 
Session Up-time: 00:02:00, Last Changed: 00:01:33
Switch-ID: 4261

Policy information:
 Context 7FDE69356C50: Handle 79000078
 AAA_id 00000042: Flow_handle 0
 Authentication status: authen
 Downloaded User profile, excluding services:
   ssg-account-info     0   "QU;20480000;2560000;3840000;D;20480000;2560000;3840000"
   accounting-list      0   "billing-auth"
   addr                 0   10.90.0.33
   username             0   "10.90.0.33"
   ssg-account-info     0   "AFWPOL-NEGBAL-TRUST"
   ssg-account-info     0   "AFWPOL-NEGBAL-REDIRECT"
 Downloaded User profile, including services:
   ssg-account-info     0   "QU;20480000;2560000;3840000;D;20480000;2560000;3840000"
   accounting-list      0   "billing-auth"
   addr                 0   10.90.0.33
   username             0   "10.90.0.33"
   ssg-account-info     0   "AFWPOL-NEGBAL-TRUST"
   ssg-account-info     0   "AFWPOL-NEGBAL-REDIRECT"
   l4redirect           0   "redirect to group RSG-NEGBAL-REDIRECT"
   sss-service          0   6 [local-termination]
   traffic-class        0   "input access-group name ACL-NEGBAL-TRUST priority 40"
   ssg-service-info     0   "QU;512000;D;512000"
 Config history for session (recent to oldest):
   Access-type: Web-service-logon Client: Push Command-Handler
    Policy event: Process Config (Service)
     Profile name: FWPOL-NEGBAL-TRUST, 3 references 
       password             0   <hidden>
       username             0   "FWPOL-NEGBAL-TRUST"
       sss-service          0   6 [local-termination]
       traffic-class        0   "input access-group name ACL-NEGBAL-TRUST priority 40"
       ssg-service-info     0   "QU;512000;D;512000"
   Access-type: Web-service-logon Client: Push Command-Handler
    Policy event: Process Config (Service)
     Profile name: FWPOL-NEGBAL-REDIRECT, 3 references 
       password             0   <hidden>
       username             0   "FWPOL-NEGBAL-REDIRECT"
       sss-service          0   6 [local-termination]
       traffic-class        0   "input access-group name ACL-NEGBAL-REDIRECT priority 70"
       l4redirect           0   "redirect to group RSG-NEGBAL-REDIRECT"
       traffic-class        0   "input default drop"
       traffic-class        0   "output default drop"
   Access-type: IP Client: Push Command-Handler
    Policy event: Process Config
     Profile name: 10.90.0.33, 2 references 
       username             0   "10.90.0.33"
       ssg-account-info     0   "AFWPOL-NEGBAL-TRUST"
       ssg-account-info     0   "AFWPOL-NEGBAL-REDIRECT"
   Access-type: IP Client: SM
    Policy event: Service Selection Request
     Profile name: 10.90.0.33, 2 references 
       ssg-account-info     0   "QU;20480000;2560000;3840000;D;20480000;2560000;3840000"
       accounting-list      0   "billing-auth"
       addr                 0   10.90.0.33
 Active services associated with session:
   name "FWPOL-NEGBAL-TRUST"
   name "FWPOL-NEGBAL-REDIRECT"
 Rules, actions and conditions executed:
   subscriber rule-map CTRL-IPOE
     condition always event session-start
       10 set-timer TIMER-AUTH 7200
       20 authorize aaa list billing-auth identifier source-ip-address 
   subscriber rule-map default-internal-rule
     condition always event service-start
       1 service-policy type service identifier service-name
   subscriber rule-map default-internal-rule
     condition always event service-start
       1 service-policy type service identifier service-name

Classifiers:
Class-id    Dir   Packets    Bytes                  Pri.  Definition
0           In    1338       144996                 0    Match Any
1           Out   862        264791                 0    Match Any
54          In    116        10932                  70   Match ACL ACL-NEGBAL-REDIRECT
56          In    26         2136                   40   Match ACL ACL-NEGBAL-TRUST
4294967294  In    539        47819                  -    Drop

Template Id : 28

Features:

Accounting:
Class-id   Dir  Packets    Bytes                 Source
0          In   827        91212                 Peruser
1          Out  862        252723                Peruser

L4 Redirect:
Class-id   Rule cfg  Definition                               Source
54         #1   SVC  to group RSG-NEGBAL-REDIRECT             FWPOL-NEGBAL-REDIRECT

Policing:
Class-id   Dir  Avg. Rate   Normal Burst  Excess Burst Source
0          In   20480000    2560000       3840000      Peruser
1          Out  20480000    2560000       3840000      Peruser
56         In   512000      96000         192000       FWPOL-NEGBAL-TRUST

Configuration Sources:
Type  Active Time  AAA Service ID  Name
SVC   00:01:33     -               FWPOL-NEGBAL-REDIRECT
SVC   00:01:33     -               FWPOL-NEGBAL-TRUST
USR   00:02:00     -               Peruser
INT   00:02:00     -               TenGigabitEthernet0/0/0

Share this post

Link to post
Share on other sites

skinner   

skinner
Posted

Всем привет, немного не в тему, но про cisco isg.

Помогите с редиректом, никак не пойму что сделал не так.

С радиуса отдаю следующее:

echo "User-Name=\"10.90.0.33\",Cisco-Account-Info=\"S10.90.0.33\",Cisco-Account-Info=\"AFWPOL-NEGBAL-TRUST\",Cisco-Account-Info=\"AFWPOL-NEGBAL-REDIRECT\"" | radclient -x 172.31.31.31:3799 coa mypass

Вот мой конфиг:

redirect server-group RSG-NEGBAL-REDIRECT
server ip 10.0.143.1 port 8002

class-map type traffic match-any CLS-NEGBAL-TRUST
match access-group input name ACL-NEGBAL-TRUST
!
class-map type traffic match-any CLS-NEGBAL-REDIRECT
match access-group input name ACL-NEGBAL-REDIRECT
!

policy-map type service FWPOL-NEGBAL-TRUST
service local
40 class type traffic CLS-NEGBAL-TRUST
 police input 512000
 police output 512000
!
!
policy-map type service FWPOL-NEGBAL-REDIRECT
service local
70 class type traffic CLS-NEGBAL-REDIRECT
 redirect to group RSG-NEGBAL-REDIRECT
!
class type traffic default in-out
 drop
!
!

ip access-list extended ACL-NEGBAL-REDIRECT
permit tcp any any eq www
deny   ip any any
ip access-list extended ACL-NEGBAL-TRUST
permit ip any 194.54.14.0 0.0.0.255
permit ip any 194.186.207.0 0.0.0.255
permit ip 194.54.14.0 0.0.0.255 any
permit ip 194.186.207.0 0.0.0.255 any
permit ip any host 10.0.143.1
permit ip host 10.0.143.1 any

 

во первых в чём вопрос не понятно..

а во вторых,

вот так надо

 

ip access-list extended ACL-NEGBAL-REDIRECT

deny ip any host 10.0.143.1

permit tcp any any eq www

 

иначе сам себя редиректить будет циклично

Share this post

Link to post
Share on other sites

mikezzzz   

mikezzzz
Posted

ip access-list extended ACL-NEGBAL-REDIRECT

deny ip any host 10.0.143.1

permit tcp any any eq www

 

иначе сам себя редиректить будет циклично

 

а где он зациклится? по сути это destination nat, даже если пойти на 10.0.143.1 по www, должна произойти смена одно dst ip на точно такой же, но src будет клиентский

 

 

Всем привет, немного не в тему, но про cisco isg.

Помогите с редиректом, никак не пойму что сделал не так.

С радиуса отдаю следующее:

 

действительно, в чем проблема?

я вижу следующие косяки

 

ip access-list extended ACL-NEGBAL-TRUST
permit ip any 194.54.14.0 0.0.0.255
permit ip any 194.186.207.0 0.0.0.255
permit ip 194.54.14.0 0.0.0.255 any
permit ip 194.186.207.0 0.0.0.255 any
permit ip any host 10.0.143.1
permit ip host 10.0.143.1 any

 

ACL используется для классификации трафика на INPUT (от абонента в сторону браса), зачем вы пишите зеркальные ACE, вряд ли у вас со стороны сабскрайберов живут ваши же сервера :)

 

ip access-list extended ACL-NEGBAL-REDIRECT
permit tcp any any eq www
deny   ip any any

 

не пишите явные deny ip any any там, где есть implicit deny ip any any, когда-нибудь упретесь в TCAM cap

 

Classifiers:
Class-id    Dir   Packets    Bytes                  Pri.  Definition
0           In    1338       144996                 0    Match Any
1           Out   862        264791                 0    Match Any
54          In    116        10932                  70   Match ACL ACL-NEGBAL-REDIRECT
56          In    26         2136                   40   Match ACL ACL-NEGBAL-TRUST
4294967294  In    539        47819                  -    Drop

 

видится мне, что исходя из приоритетов полисеров, если пойти на WWW куда-нибудь в сторону яндекса(к примеру), то трафик сперва попадет в редирект полисер FWPOL-NEGBAL-REDIRECT, изменится Dst ip/port на ваш сервер 10.0.143.1, после чего будет повторное срабатывание схемы классификации трафика и трафик попадет в полисер FWPOL-NEGBAL-TRUST, то есть скорость зарежется до 512000

Share this post

Link to post
Share on other sites

lumenok   

lumenok
Posted

Кстати заметил следующий баг.

Иногда сессия перестает управляться по COA

*Dec  7 04:16:36.121: Accounting: Begin iedge_acct_update_stats
*Dec  7 04:16:36.121: SSF: ACCURACY UPDATE: ISG_HW_STATS_TYPE_ACCT/SSF_TYPE_ACCOUNTING class id[1] on-Request[No]
*Dec  7 04:16:39.378: RADIUS: COA  received from id 72 172.1.1.2:49490, CoA Request, len 108
*Dec  7 04:16:39.378: COA: 172.1.1.2 request queued
*Dec  7 04:16:39.378: RADIUS:  authenticator 55 AE BF F6 44 75 CC EF - 85 C0 9C AF 14 4D AE 42
*Dec  7 04:16:39.378: RADIUS:  User-Name           [1]   12  "10.90.0.33"
*Dec  7 04:16:39.378: RADIUS:  Vendor, Cisco       [26]  19  
*Dec  7 04:16:39.378: RADIUS:   ssg-account-info   [250] 13  "S10.90.0.33"
*Dec  7 04:16:39.378: RADIUS:  Vendor, Cisco       [26]  27  
*Dec  7 04:16:39.378: RADIUS:   ssg-account-info   [250] 21  "AFWPOL-NEGBAL-TRUST"
*Dec  7 04:16:39.378: RADIUS:  Vendor, Cisco       [26]  30  
*Dec  7 04:16:39.378: RADIUS:   ssg-account-info   [250] 24  "AFWPOL-NEGBAL-REDIRECT"
*Dec  7 04:16:39.378: COA: Message Authenticator missing or failed decode

*Dec  7 04:16:39.378:  ++++++ CoA Attribute List ++++++
*Dec  7 04:16:39.378: 7FDE5FDE75E8 0 00000081 username(450) 10 10.90.0.33
*Dec  7 04:16:39.378: 7FDE5FDE7088 0 00000081 ssg-account-info(488) 11 S10.90.0.33
*Dec  7 04:16:39.378: 7FDE5FDE70C8 0 00000081 ssg-account-info(488) 19 AFWPOL-NEGBAL-TRUST
*Dec  7 04:16:39.378: 7FDE5FDE7108 0 00000081 ssg-account-info(488) 22 AFWPOL-NEGBAL-REDIRECT
*Dec  7 04:16:39.378: 
*Dec  7 04:16:39.378: CH-IDMGR: Entered ch_get_id_mgr_record
*Dec  7 04:16:39.378: SSS PM: CH-IDMGR: (00000000):  "ssg-account-info" testing address 10.90.0.33
*Dec  7 04:16:39.378: SSS PM: CH-IDMGR: (00000000):  ssg-account-info SSG:10.90.0.33
*Dec  7 04:16:39.378: CH-IDMGR: req id 0: next hop for ip 10.254.253.17 is TenGigabitEthernet0/0/0
*Dec  7 04:16:39.378: CH-IDMGR: IDMGR query request
*Dec  7 04:16:39.378: CH-IDMGR: [7FDE5CD6BC88]10.90.0.33 :[uid:45][7FDE69356C50][AAA ID:73] Entered ch_get_id_mgr_record_from_sess
*Dec  7 04:16:39.378: CH-IDMGR: [7FDE5CD6BC88]10.90.0.33 :[uid:45][7FDE69356C50][AAA ID:73] Query for all available information request
*Dec  7 04:16:39.379: CH-MAIN: [7FDE5CD6BC88]10.90.0.33 :[uid:45][7FDE69356C50][AAA ID:73] processing a new CoA request
*Dec  7 04:16:39.379: CH-UTILS: [7FDE5CD6BC88]10.90.0.33 :[uid:45][7FDE69356C50][AAA ID:73] Entered ch_is_session_deactivating
*Dec  7 04:16:39.379: CH-MAIN: [7FDE5CD6BC88]10.90.0.33 :[uid:45][7FDE69356C50][AAA ID:73] Already processing CoA.Request queued for later processing
*Dec  7 04:16:42.377: RADIUS: COA  received from id 72 172.1.1.2:49490, CoA Request, len 108
*Dec  7 04:16:42.377: COA: 172.1.1.2 request queued
*Dec  7 04:16:42.377: COA: This packet is likely a retransmission using an existing ident = 72, client 172.1.1.2
*Dec  7 04:16:42.377: RADIUS:  authenticator 55 AE BF F6 44 75 CC EF - 85 C0 9C AF 14 4D AE 42
*Dec  7 04:16:42.377: RADIUS:  User-Name           [1]   12  "10.90.0.33"
*Dec  7 04:16:42.377: RADIUS:  Vendor, Cisco       [26]  19  
*Dec  7 04:16:42.377: RADIUS:   ssg-account-info   [250] 13  "S10.90.0.33"
*Dec  7 04:16:42.377: RADIUS:  Vendor, Cisco       [26]  27  
*Dec  7 04:16:42.377: RADIUS:   ssg-account-info   [250] 21  "AFWPOL-NEGBAL-TRUST"
*Dec  7 04:16:42.377: RADIUS:  Vendor, Cisco       [26]  30  
*Dec  7 04:16:42.377: RADIUS:   ssg-account-info   [250] 24  "AFWPOL-NEGBAL-REDIRECT"
*Dec  7 04:16:42.377: COA: Message Authenticator missing or failed decode

*Dec  7 04:16:42.377:  ++++++ CoA Attribute List ++++++
*Dec  7 04:16:42.377: 7FDE5FDE7898 0 00000081 username(450) 10 10.90.0.33
*Dec  7 04:16:42.377: 7FDE5FDE6470 0 00000081 ssg-account-info(488) 11 S10.90.0.33
*Dec  7 04:16:42.377: 7FDE5FDE64B0 0 00000081 ssg-account-info(488) 19 AFWPOL-NEGBAL-TRUST
*Dec  7 04:16:42.377: 7FDE5FDE64F0 0 00000081 ssg-account-info(488) 22 AFWPOL-NEGBAL-REDIRECT
*Dec  7 04:16:42.377: 
*Dec  7 04:16:42.377: CH-IDMGR: Entered ch_get_id_mgr_record
*Dec  7 04:16:42.377: SSS PM: CH-IDMGR: (00000000):  "ssg-account-info" testing address 10.90.0.33
*Dec  7 04:16:42.377: SSS PM: CH-IDMGR: (00000000):  ssg-account-info SSG:10.90.0.33
*Dec  7 04:16:42.377: CH-IDMGR: req id 0: next hop for ip 10.254.253.17 is TenGigabitEthernet0/0/0
*Dec  7 04:16:42.377: CH-IDMGR: IDMGR query request
*Dec  7 04:16:42.377: CH-IDMGR: [7FDE5CD6BC88]10.90.0.33 :[uid:45][7FDE69356C50][AAA ID:73] Entered ch_get_id_mgr_record_from_sess
*Dec  7 04:16:42.377: CH-IDMGR: [7FDE5CD6BC88]10.90.0.33 :[uid:45][7FDE69356C50][AAA ID:73] Query for all available information request
*Dec  7 04:16:42.377: CH-MAIN: [7FDE5CD6BC88]10.90.0.33 :[uid:45][7FDE69356C50][AAA ID:73] processing a new CoA request
*Dec  7 04:16:42.377: CH-UTILS: [7FDE5CD6BC88]10.90.0.33 :[uid:45][7FDE69356C50][AAA ID:73] Entered ch_is_session_deactivating
*Dec  7 04:16:42.377: CH-MAIN: [7FDE5CD6BC88]10.90.0.33 :[uid:45][7FDE69356C50][AAA ID:73] Already processing CoA.Request queued for later processing
*Dec  7 04:16:46.121: Accounting: Begin iedge_acct_update_stats
*Dec  7 04:16:46.121: SSF: ACCURACY UPDATE: ISG_HW_STATS_TYPE_ACCT/SSF_TYPE_ACCOUNTING class id[1] on-Request[No]
*Dec  7 04:16:56.121: Accounting: Begin iedge_acct_update_stats
*Dec  7 04:16:56.121: SSF: ACCURACY UPDATE: ISG_HW_STATS_TYPE_ACCT/SSF_TYPE_ACCOUNTING class id[1] on-Request[No]

 

 

Причем другая сессия управляется без проблем.

Никто не подскажет с чем может быть связано такое поведение и как его забороть.

 

Отвечу сам себе, вычитав на одном форуме, смог прибить сессию отправив coa используя в качестве атрибутов acсе-session-id, позже если зависнет попробую снять и навесить сервис.

echo "User-Name=\"10.90.0.33\",\"Acct-Session-Id=0000003F\",ssg-account-info=\"S10.90.0.33\"" | radclient -x 172.31.31.31:3799 disconnect MyPass

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...