KOMSTAR Posted September 18, 2017 · Report post Добрый день.Коллеги, несколько дней бьюсь над следующей проблемой, прошу помощи:Исходные данные:Есть связка биллинга нетап UTM с 7206VXR (NPE-G2).Нетап: 5.3-004 [192.168.0.100]Циска: c7200p-advipservicesk9-mz.122-33.SRE9.bin [192.168.0.101]Проблема: не прибиваются сессии через PODОтправляю с биллинга пакет POD для сброса сессии клиента с IP-адресом 10.9.1.1 в сторону циски (с двумя типами, 44 и 1):Sep 17 13:45:47: POD: 192.168.0.100 request queuedSep 17 13:45:47: ++++++ POD Attribute List ++++++Sep 17 13:45:47: 074A5CEC 0 00000009 username(422) 8 10.9.1.1Sep 17 13:45:47: 074A5848 0 00000001 session-id(385) 4 60321(EBA1)Sep 17 13:45:47: 074A5858 0 00000001 addr(8) 4 10.9.1.1Sep 17 13:45:47: POD: Received Acct-Session-Id of 0/0/1/203_0000EBA1Sep 17 13:45:47: POD: Converted to internal Session-Id of 0000EBA1Sep 17 13:45:47: POD: 192.168.0.100 user 10.9.1.1 10.9.1.1 sessid 0xEBA1 key 0x0 Sep 17 13:45:47: POD: Line User IDB Session Id KeySep 17 13:45:47: POD: KILL GigabitE 10.9.1.1 10.9.1.1 0xEBA1 0x0Sep 17 13:45:47: POD: Sending ACK from port 1700 to 192.168.0.100/34726Судя по логу, POD отработал успешно, но по факту сессия не сбрасывается ни на ISG, ни на нетапе.router#sh sss session brief | i 10.9.1.1 2059 IP authen 2d 10.9.1.1Клиент подключен к:interface GigabitEthernet0/1.203encapsulation dot1Q 203ip address 10.9.1.200 255.255.255.0no ip proxy-arpservice-policy type control NSDip subscriber routedinitiator unclassified ip-addressendНастройки aaa в части POD:aaa nas port extendedaaa server radius dynamic-authorclient 192.168.0.100 server-key {pass}server-key 7 {pass}auth-type anyaaa session-id commonНастройки атрибутов:radius-server attribute 44 include-in-access-reqradius-server attribute 6 on-for-login-authradius-server attribute 8 include-in-access-reqradius-server attribute nas-port format dradius-server vsa send cisco-nas-portradius-server vsa send accountingradius-server vsa send authenticationВозможно, что циска всё-таки не находит нужную сессию, т.к. приходящий Acc-session-id от биллинга не совпадает с Acc-session-id на самой циске.Вычитал, что аналогичная проблема ранее была вызвана багом в IOS'е 7206:https://quickview.cloudapps.cisco.com/q ... CSCse42235Но думаю, что в моём IOS'е такого бага нет.Прошу помочь в решении вопроса. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
adeep Posted September 18, 2017 · Report post О, та же фигня на ASR. Не совпадает session-id между циской и нетапом. Писал костыль с radclient Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
KOMSTAR Posted September 18, 2017 · Report post 3 часа назад, adeep сказал: О, та же фигня на ASR. Не совпадает session-id между циской и нетапом. Писал костыль с radclient Не приведете пример? А то уж очень надо. Пусть хоть и костыль, если работает :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
adeep Posted October 4, 2017 · Report post echo "User-Name=\"$LOGIN\",Cisco-Account-Info=\"S$IP\",cisco-avpair=\"subscriber:service-name=OPENSERVICES\",cisco-avpair=\"subscriber:command=deactivate-service\"" | radclient -x 10.100.200.1:3799 coa xxxxxxxxxx echo "User-Name=\"$LOGIN\",Cisco-Account-Info=\"S$IP\",cisco-avpair=\"subscriber:service-name=RDR-SRV\",cisco-avpair=\"subscriber:command=activate-service\"" | radclient -x 10.100.200.1:3799 coa xxxxxxxxxx Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...