[KOMSTAR]

Добрый день.
Коллеги, несколько дней бьюсь над следующей проблемой, прошу помощи:

Исходные данные:

Есть связка биллинга нетап UTM с 7206VXR (NPE-G2).
Нетап: 5.3-004 [192.168.0.100]
Циска: c7200p-advipservicesk9-mz.122-33.SRE9.bin [192.168.0.101]

Проблема: не прибиваются сессии через POD

Отправляю с биллинга пакет POD для сброса сессии клиента с IP-адресом 10.9.1.1 в сторону циски (с двумя типами, 44 и 1):

Sep 17 13:45:47: POD: 192.168.0.100 request queued
Sep 17 13:45:47: ++++++ POD Attribute List ++++++
Sep 17 13:45:47: 074A5CEC 0 00000009 username(422) 8 10.9.1.1
Sep 17 13:45:47: 074A5848 0 00000001 session-id(385) 4 60321(EBA1)
Sep 17 13:45:47: 074A5858 0 00000001 addr(8) 4 10.9.1.1
Sep 17 13:45:47: POD: Received Acct-Session-Id of 0/0/1/203_0000EBA1
Sep 17 13:45:47: POD: Converted to internal Session-Id of 0000EBA1
Sep 17 13:45:47: POD: 192.168.0.100 user 10.9.1.1 10.9.1.1 sessid 0xEBA1 key 0x0 
Sep 17 13:45:47: POD: Line User IDB Session Id Key
Sep 17 13:45:47: POD: KILL GigabitE 10.9.1.1 10.9.1.1 0xEBA1 0x0
Sep 17 13:45:47: POD: Sending ACK from port 1700 to 192.168.0.100/34726

Судя по логу, POD отработал успешно, но по факту сессия не сбрасывается ни на ISG, ни на нетапе.

router#sh sss session brief | i 10.9.1.1 
2059 IP authen 2d 10.9.1.1


Клиент подключен к:

interface GigabitEthernet0/1.203
encapsulation dot1Q 203
ip address 10.9.1.200 255.255.255.0
no ip proxy-arp
service-policy type control NSD
ip subscriber routed
initiator unclassified ip-address
end


Настройки aaa в части POD:

aaa nas port extended
aaa server radius dynamic-author
client 192.168.0.100 server-key {pass}
server-key 7 {pass}
auth-type any
aaa session-id common

Настройки атрибутов:

radius-server attribute 44 include-in-access-req
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute nas-port format d
radius-server vsa send cisco-nas-port
radius-server vsa send accounting
radius-server vsa send authentication

Возможно, что циска всё-таки не находит нужную сессию, т.к. приходящий Acc-session-id от биллинга не совпадает с Acc-session-id на самой циске.

Вычитал, что аналогичная проблема ранее была вызвана багом в IOS'е 7206:
https://quickview.cloudapps.cisco.com/q ... CSCse42235

Но думаю, что в моём IOS'е такого бага нет.

Прошу помочь в решении вопроса.

[adeep]

О, та же фигня на ASR. Не совпадает session-id между циской и нетапом. Писал костыль с radclient

[KOMSTAR]

3 часа назад, adeep сказал:

О, та же фигня на ASR. Не совпадает session-id между циской и нетапом. Писал костыль с radclient

Не приведете пример? А то уж очень надо. Пусть хоть и костыль, если работает :)

[adeep]

echo "User-Name=\"$LOGIN\",Cisco-Account-Info=\"S$IP\",cisco-avpair=\"subscriber:service-name=OPENSERVICES\",cisco-avpair=\"subscriber:command=deactivate-service\""  | radclient -x 10.100.200.1:3799 coa xxxxxxxxxx
echo "User-Name=\"$LOGIN\",Cisco-Account-Info=\"S$IP\",cisco-avpair=\"subscriber:service-name=RDR-SRV\",cisco-avpair=\"subscriber:command=activate-service\""  | radclient -x 10.100.200.1:3799 coa xxxxxxxxxx