simpl3x Posted October 16, 2017 Posted October 16, 2017 Подскажите, как удержать subscriber'ов на ASR1K, если он теряет связь с Radius accounting, то все авторизованные и работающие subscriber'ы начинают отключаться по таймауту. aaa new-model ! ! aaa group server radius IPoE-radius-billing server name RASERV-3-IPOE ip vrf forwarding Mgmt-intf ip radius source-interface GigabitEthernet0 attribute nas-port format d ! radius server RASERV-3-IPOE address ipv4 IP auth-port 1817 acct-port 1818 timeout 10 retransmit 5 key 7 KEY ! в доках для asr5k нашел нечто: Цитата As a sidenote, there are configurables that allow for users to have access even if authentication and accounting fail due to timeouts to all servers, though a commercial deployment would not likely implement this: radius allow [accounting] authentication-down но не могу у себя найти аналог.так же нашел class control, но не уверен, что это для нужной мне задачи: class type control always event radius-timeout Вставить ник Quote
YuryD Posted October 16, 2017 Posted October 16, 2017 Отчего бы два радиуса не указать ? В древних кисках если основной радиус помер, всё идет на резервный. А так - правильный подход - нет радиуса, никто никуда ехать не должен. Вставить ник Quote
simpl3x Posted October 16, 2017 Author Posted October 16, 2017 (edited) до недавнего времени так и было, но в силу обстоятельств остался один сервер. Цитата А так - правильный подход - нет радиуса, никто никуда ехать не должен. ну если учесть, что "падение" радиуса явление экстраординарное и скорее всего управляемое администратором, то хотелось бы сделать его менее безболезненным для конечного пользователя, так как оно продлится не долго я готов смириться с теми, кто получит услугу "случайно". пока сделал так: policy-map type service IPoE-FORWARD-POLICY service local 10 class type traffic ACCEPT-CLASS police input 20480000 police output 20480000 ! policy-map type control IPoE-SUBSCRIBER-CONTROL ! class type control always event radius-timeout 10 set-timer IPoE-UNAUTH-TIMER 5 20 service-policy type service name IPoE-FORWARD-POLICY но пока не уверен, что будет работать. Edited October 16, 2017 by simpl3x Вставить ник Quote
YuryD Posted October 16, 2017 Posted October 16, 2017 5 минут назад, simpl3x сказал: до недавнего времени так и было, но в силу обстоятельств остался один сервер. но пока не уверен, что будет работать. Так вы себе лишнюю точку отказа делаете. У меня радиус от биллинга, соотв всегда есть и резервный биллинг со свои радиусом. Немного не актуальный - из вчерашнего бакапа, но для 99% случаев работает. У нас просто нет хитропопых тарифных планов, ан масс - месячная абонплата. Вставить ник Quote
zhenya` Posted October 16, 2017 Posted October 16, 2017 27 минут назад, YuryD сказал: Так вы себе лишнюю точку отказа делаете. У меня радиус от биллинга, соотв всегда есть и резервный биллинг со свои радиусом. Немного не актуальный - из вчерашнего бакапа, но для 99% случаев работает. У нас просто нет хитропопых тарифных планов, ан масс - месячная абонплата. Человеку пофиг на то как у тебя. Зачем флудить, если не знаешь ответа на вопрос? исходных данных мало. Такого поведения не должно быть. Вставить ник Quote
YuryD Posted October 16, 2017 Posted October 16, 2017 Такое поведение должно быть. И да - я не пишу что у всех так должно быть. У меня на брасе сообщение о радиус умер-ожил, бывает в основном при проблемах с биллингом. А иначе нафиг нужен радиус вообще . Поэтому у меня вот два радиуса. Сброс сессии при отсутствии аккаунта - это конечно не очень нормально, но видимо проблема конкретного иос. Моя 7206 не сбрасывает текущие сессии, просто новых не пускает. Вставить ник Quote
simpl3x Posted October 16, 2017 Author Posted October 16, 2017 Cisco IOS XE Software, Version 03.17.03.S - Standard Support Release Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.6(1)S3, RELEASE SOFTWARE (fc2) zhenya` , я пробовал поймать что то в дебаг, но на живых subscriber'ах слишком много выливается в дебаг. вот как мне кажется что то похожее на отключение: 2194209: Oct 16 20:36:13.906: SSS MGR [uid:1276]: Got reply Disconnect from PM 2194210: Oct 16 20:36:13.906: SSS MGR [uid:1276]: Event policy-disconnect, state changed from connected to disconnecting-all 2194211: Oct 16 20:36:13.906: SSS MGR [uid:1276]: Handling Send Service Disconnect action 2194212: Oct 16 20:36:13.906: SSS MGR [uid:1276]: No accounting feature installed skipping attribute gathering 2194213: Oct 16 20:36:13.906: SSS MGR [uid:1276]: Delete flow segment context [2, 3] 2194214: Oct 16 20:36:13.907: IPSUB_DP: [uid:1276] Event deactivate-session, state changed from connected to established 2194215: Oct 16 20:36:13.907: SSS LTERM [uid:1276]: Switching session unprovisioned 2194216: Oct 16 20:36:13.907: SSS MGR [uid:1276]: Event feature-disconnect-success, state changed from disconnecting-all to end 2194217: Oct 16 20:36:13.907: SSS MGR [uid:1276]: Handling Disconnecting, All Clean action 2194218: Oct 16 20:36:13.907: SSS MGR [uid:1276]: Sending a Session End ID Mgr request 2194219: Oct 16 20:36:13.907: SSS MGR [uid:1276]: ID Mgr returned status: 'deleted' for Session End 2194220: Oct 16 20:36:13.907: SSS MGR [uid:1276]: Publish session done aaa 558794, uid 1276 2194221: Oct 16 20:36:13.908: IPSUB_DP: [uid:1276] Event disconnect-session, state changed from established to disconnecting Вставить ник Quote
s.lobanov Posted October 16, 2017 Posted October 16, 2017 ну вообще сброс сессии когда нет ответа на аккаунтинг это придумали для того, когда по какой-то причине BRAS не получил PoD когда абонент расторг договор или просто не платит. В некоторых случаях даже не делают отправку PoD-ов, а просто дают абоненту работать с точностью до Acct-Interim-Interval Т.е. пример - bras не получил PoD или некорректно обработал его, радиус/биллинг у себя убил сессию и (если динамические IP выдаются биллингом/радиусом), то в следующий раз другому абоненту может выдастся такой же IP-адрес так что вы там поаккуратнее с несбросом сессии при неответе на аккаунтинг Вставить ник Quote
zhenya` Posted October 17, 2017 Posted October 17, 2017 Сессии то какие? Айпи или л2тп или пппое? Вставить ник Quote
simpl3x Posted October 17, 2017 Author Posted October 17, 2017 zhenya` ip. l2/l3 connected s.lobanov , ok. Т.е. увеличение Acct-Interim-Interval должно увеличить время таймаута до отключения? Это как вариант, хоть и не полностью решает проблему. Вставить ник Quote
zhenya` Posted October 17, 2017 Posted October 17, 2017 show run | i aaa покажите и ISP политику Вставить ник Quote
s.lobanov Posted October 17, 2017 Posted October 17, 2017 1 час назад, simpl3x сказал: s.lobanov , ok. Т.е. увеличение Acct-Interim-Interval должно увеличить время таймаута до отключения? Это как вариант, хоть и не полностью решает проблему. ну это снизит вероятность совпадения момент отправки аккаунтинга с моментом падения радиуса. Вставить ник Quote
simpl3x Posted October 17, 2017 Author Posted October 17, 2017 zhenya` aaa new-model aaa group server radius IPoE-radius-billing aaa group server radius ISG-radius-billing aaa group server radius IPoE-routed-radius-billing aaa authentication login IPoE-AAA group IPoE-radius-billing aaa authentication login IPoE-routed-AAA group IPoE-routed-radius-billing aaa authorization exec default local aaa authorization commands 15 default local aaa authorization network IPoE-AAA group IPoE-radius-billing aaa authorization network IPoE-routed-AAA group IPoE-routed-radius-billing aaa authorization subscriber-service default local group ISG-radius-billing aaa accounting delay-start aaa accounting jitter maximum 10 aaa accounting update periodic 10 aaa accounting network IPoE-AAA start-stop group IPoE-radius-billing aaa accounting network IPoE-routed-AAA start-stop group IPoE-routed-radius-billing aaa nas port extended aaa server radius dynamic-author aaa session-id common accounting aaa list IPoE-AAA 10 authorize aaa list IPoE-AAA password KEY identifier source-ip-address 10 authenticate aaa list default 10 authorize aaa list IPoE-AAA password KEY identifier source-ip-address 10 authorize aaa list IPoE-routed-AAA password KEY identifier source-ip-address 10 authenticate aaa list default 10 authorize aaa list IPoE-routed-AAA password KEY identifier source-ip-address policy-map type service IPoE-OPENGARDEN-POLICY 10 class type traffic IPoE-OPENGARDEN-CLASS accounting aaa list IPoE-AAA ! class type traffic default input drop ! policy-map type service IPoE-REDIRECT-POLICY 10 class type traffic IPoE-REDIRECT-CLASS ! policy-map type service IPoE-FORWARD-POLICY service local 10 class type traffic ACCEPT-CLASS police input 20480000 police output 20480000 ! policy-map type control IPoE-SUBSCRIBER-CONTROL class type control IPoE-UNAUTH-CLASS event timed-policy-expiry 10 service disconnect ! class type control always event session-start 10 authorize aaa list IPoE-AAA password KEY identifier source-ip-address 90 set-timer IPoE-UNAUTH-TIMER 10 110 service-policy type service name IPoE-OPENGARDEN-POLICY ! class type control always event account-logon 10 authenticate aaa list default ! class type control always event account-logoff 10 service disconnect delay 5 ! class type control always event session-restart 10 authorize aaa list IPoE-AAA password KEY identifier source-ip-address 90 set-timer IPoE-UNAUTH-TIMER 10 110 service-policy type service name IPoE-OPENGARDEN-POLICY ! class type control always event radius-timeout 10 set-timer IPoE-UNAUTH-TIMER 5 20 service-policy type service name IPoE-FORWARD-POLICY ! policy-map type control IPoE-ROUTED-SUBSCRIBER-CONTROL class type control IPoE-UNAUTH-CLASS event timed-policy-expiry 10 service disconnect ! class type control always event session-start 10 authorize aaa list IPoE-routed-AAA KEY identifier source-ip-address 90 set-timer IPoE-UNAUTH-TIMER 10 110 service-policy type service name IPoE-OPENGARDEN-POLICY ! class type control always event account-logon 10 authenticate aaa list default ! class type control always event account-logoff 10 service disconnect delay 5 ! class type control always event session-restart 10 authorize aaa list IPoE-routed-AAA KEY identifier source-ip-address 90 set-timer IPoE-UNAUTH-TIMER 10 110 service-policy type service name IPoE-OPENGARDEN-POLICY ! class type control always event radius-timeout 10 set-timer IPoE-UNAUTH-TIMER 5 20 service-policy type service name IPoE-FORWARD-POLICY ! service-policy type control IPoE-ROUTED-SUBSCRIBER-CONTROL ip dhcp relay information policy-action replace service-policy type control IPoE-SUBSCRIBER-CONTROL ip dhcp relay information policy-action replace service-policy type control IPoE-SUBSCRIBER-CONTROL ip dhcp relay information policy-action replace service-policy type control IPoE-SUBSCRIBER-CONTROL ip dhcp relay information policy-action replace service-policy type control IPoE-SUBSCRIBER-CONTROL ip dhcp relay information policy-action replace service-policy type control IPoE-SUBSCRIBER-CONTROL ip dhcp relay information policy-action replace service-policy type control IPoE-SUBSCRIBER-CONTROL ip dhcp relay information policy-action replace service-policy type control IPoE-SUBSCRIBER-CONTROL ip dhcp relay information policy-action keep Вставить ник Quote
zhenya` Posted October 17, 2017 Posted October 17, 2017 У вас вайфай? или портал есть? Если нет, то account-logon и logout лучше выкинуть. л3 коннектед? или л2? инициатор кто ? Вставить ник Quote
simpl3x Posted October 17, 2017 Author Posted October 17, 2017 Цитата У вас вайфай? или портал есть? Если нет, то account-logon и logout лучше выкинуть. нет, уберу. service-policy type control IPoE-SUBSCRIBER-CONTROL ip subscriber l2-connected initiator unclassified mac-address initiator dhcp service-policy type control IPoE-ROUTED-SUBSCRIBER-CONTROL ip subscriber routed initiator unclassified ip-address Вставить ник Quote
zhenya` Posted October 17, 2017 Posted October 17, 2017 Дохнут оба типа сессий? у дхцп лизтайм сколько? Вставить ник Quote
simpl3x Posted October 17, 2017 Author Posted October 17, 2017 да, оба. но основная масса (99%) это l2 лизтайм - 1 час Вставить ник Quote
zhenya` Posted October 18, 2017 Posted October 18, 2017 имхо дело не в акаунтинге вовсе. чтобы уменьшить поток сознания и выводить дебаг только по 1 юзеру можно использовать debug condition. насколько я помню при продлении лизы запускается class type control always event session-restart Вставить ник Quote
YuryD Posted October 18, 2017 Posted October 18, 2017 Как соотносится dhcp к умершему радиусу ? Брас видит - радиус помер, что ему делать ? Нормально всех укоцать, если нет резервного радиуса. Нет аккаунтинга - нет денюжек в биллинге, в доме, который построил биллинг, в доме которого живёт радиус, в доме которого живёт брас. Вставить ник Quote
zhenya` Posted October 19, 2017 Posted October 19, 2017 Легко. Инициатор dhcp. Это достаточно большие завязки дает на DHCP. Т.е. хотите сказать, что у абонентов не должно быть связи при регламентных работах на билинге? п.с. а можно пример радиус ответа? Вставить ник Quote
xcme Posted October 23, 2017 Posted October 23, 2017 Цитата class type control always event radius-timeout 10 set-timer IPoE-UNAUTH-TIMER 5 20 service-policy type service name IPoE-FORWARD-POLICY Может в этом дело быть? Когда радиус не ответил то сессии вешается таймер, в котором прописан дисконнект... Вставить ник Quote
YuryD Posted October 23, 2017 Posted October 23, 2017 В 19.10.2017 в 10:03, zhenya` сказал: Легко. Инициатор dhcp. Это достаточно большие завязки дает на DHCP. Т.е. хотите сказать, что у абонентов не должно быть связи при регламентных работах на билинге? п.с. а можно пример радиус ответа? Я не использую dhcp никогда. Это сильно облегчает мне жизнь в неких разборках. Биллингом всегда посредством радиуса выдаётся один и тот-же ИП, при авторизации. Регламент на биллинге - там у нас ничего не меняется, просто запасной радиус на запасном биллинге вдруг начинает работать. Вставить ник Quote
zhenya` Posted October 23, 2017 Posted October 23, 2017 46 минут назад, YuryD сказал: Я не использую dhcp никогда. Это сильно облегчает мне жизнь в неких разборках. Биллингом всегда посредством радиуса выдаётся один и тот-же ИП, при авторизации. Регламент на биллинге - там у нас ничего не меняется, просто запасной радиус на запасном биллинге вдруг начинает работать. Как раз таки с ипое проще. Ваш пппое/л2тп не имеет отношения к теме. Вставить ник Quote
simpl3x Posted September 26, 2018 Author Posted September 26, 2018 в общем, при смене ios Cisco IOS XE Software, Version 03.16.07b.S - Extended Support Release Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.5(3)S7b, RELEASE SOFTWARE (fc1) проблема с отвалом subscriber's пропала. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.