Jump to content
Калькуляторы

Не сбрасывается сессия по POD на ISG 7206

Добрый день.
Коллеги, несколько дней бьюсь над следующей проблемой, прошу помощи:

Исходные данные:

Есть связка биллинга нетап UTM с 7206VXR (NPE-G2).
Нетап: 5.3-004 [192.168.0.100]
Циска: c7200p-advipservicesk9-mz.122-33.SRE9.bin [192.168.0.101]

Проблема: не прибиваются сессии через POD

Отправляю с биллинга пакет POD для сброса сессии клиента с IP-адресом 10.9.1.1 в сторону циски (с двумя типами, 44 и 1):

Sep 17 13:45:47: POD: 192.168.0.100 request queued
Sep 17 13:45:47: ++++++ POD Attribute List ++++++
Sep 17 13:45:47: 074A5CEC 0 00000009 username(422) 8 10.9.1.1
Sep 17 13:45:47: 074A5848 0 00000001 session-id(385) 4 60321(EBA1)
Sep 17 13:45:47: 074A5858 0 00000001 addr(8) 4 10.9.1.1
Sep 17 13:45:47: POD: Received Acct-Session-Id of 0/0/1/203_0000EBA1
Sep 17 13:45:47: POD: Converted to internal Session-Id of 0000EBA1
Sep 17 13:45:47: POD: 192.168.0.100 user 10.9.1.1 10.9.1.1 sessid 0xEBA1 key 0x0 
Sep 17 13:45:47: POD: Line User IDB Session Id Key
Sep 17 13:45:47: POD: KILL GigabitE 10.9.1.1 10.9.1.1 0xEBA1 0x0
Sep 17 13:45:47: POD: Sending ACK from port 1700 to 192.168.0.100/34726

Судя по логу, POD отработал успешно, но по факту сессия не сбрасывается ни на ISG, ни на нетапе.

router#sh sss session brief | i 10.9.1.1 
2059 IP authen 2d 10.9.1.1


Клиент подключен к:

interface GigabitEthernet0/1.203
encapsulation dot1Q 203
ip address 10.9.1.200 255.255.255.0
no ip proxy-arp
service-policy type control NSD
ip subscriber routed
initiator unclassified ip-address
end


Настройки aaa в части POD:

aaa nas port extended
aaa server radius dynamic-author
client 192.168.0.100 server-key {pass}
server-key 7 {pass}
auth-type any
aaa session-id common

Настройки атрибутов:

radius-server attribute 44 include-in-access-req
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute nas-port format d
radius-server vsa send cisco-nas-port
radius-server vsa send accounting
radius-server vsa send authentication

Возможно, что циска всё-таки не находит нужную сессию, т.к. приходящий Acc-session-id от биллинга не совпадает с Acc-session-id на самой циске.

Вычитал, что аналогичная проблема ранее была вызвана багом в IOS'е 7206:
https://quickview.cloudapps.cisco.com/q ... CSCse42235

Но думаю, что в моём IOS'е такого бага нет.

Прошу помочь в решении вопроса.

Share this post


Link to post
Share on other sites

3 часа назад, adeep сказал:

О, та же фигня на ASR. Не совпадает session-id между циской и нетапом. Писал костыль с radclient

Не приведете пример? А то уж очень надо. Пусть хоть и костыль, если работает :)

Share this post


Link to post
Share on other sites

echo "User-Name=\"$LOGIN\",Cisco-Account-Info=\"S$IP\",cisco-avpair=\"subscriber:service-name=OPENSERVICES\",cisco-avpair=\"subscriber:command=deactivate-service\""  | radclient -x 10.100.200.1:3799 coa xxxxxxxxxx
echo "User-Name=\"$LOGIN\",Cisco-Account-Info=\"S$IP\",cisco-avpair=\"subscriber:service-name=RDR-SRV\",cisco-avpair=\"subscriber:command=activate-service\""  | radclient -x 10.100.200.1:3799 coa xxxxxxxxxx

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.