simpl3x Опубликовано 16 октября, 2017 · Жалоба Подскажите, как удержать subscriber'ов на ASR1K, если он теряет связь с Radius accounting, то все авторизованные и работающие subscriber'ы начинают отключаться по таймауту. aaa new-model ! ! aaa group server radius IPoE-radius-billing server name RASERV-3-IPOE ip vrf forwarding Mgmt-intf ip radius source-interface GigabitEthernet0 attribute nas-port format d ! radius server RASERV-3-IPOE address ipv4 IP auth-port 1817 acct-port 1818 timeout 10 retransmit 5 key 7 KEY ! в доках для asr5k нашел нечто: Цитата As a sidenote, there are configurables that allow for users to have access even if authentication and accounting fail due to timeouts to all servers, though a commercial deployment would not likely implement this: radius allow [accounting] authentication-down но не могу у себя найти аналог.так же нашел class control, но не уверен, что это для нужной мне задачи: class type control always event radius-timeout Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 16 октября, 2017 · Жалоба Отчего бы два радиуса не указать ? В древних кисках если основной радиус помер, всё идет на резервный. А так - правильный подход - нет радиуса, никто никуда ехать не должен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
simpl3x Опубликовано 16 октября, 2017 (изменено) · Жалоба до недавнего времени так и было, но в силу обстоятельств остался один сервер. Цитата А так - правильный подход - нет радиуса, никто никуда ехать не должен. ну если учесть, что "падение" радиуса явление экстраординарное и скорее всего управляемое администратором, то хотелось бы сделать его менее безболезненным для конечного пользователя, так как оно продлится не долго я готов смириться с теми, кто получит услугу "случайно". пока сделал так: policy-map type service IPoE-FORWARD-POLICY service local 10 class type traffic ACCEPT-CLASS police input 20480000 police output 20480000 ! policy-map type control IPoE-SUBSCRIBER-CONTROL ! class type control always event radius-timeout 10 set-timer IPoE-UNAUTH-TIMER 5 20 service-policy type service name IPoE-FORWARD-POLICY но пока не уверен, что будет работать. Изменено 16 октября, 2017 пользователем simpl3x Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 16 октября, 2017 · Жалоба 5 минут назад, simpl3x сказал: до недавнего времени так и было, но в силу обстоятельств остался один сервер. но пока не уверен, что будет работать. Так вы себе лишнюю точку отказа делаете. У меня радиус от биллинга, соотв всегда есть и резервный биллинг со свои радиусом. Немного не актуальный - из вчерашнего бакапа, но для 99% случаев работает. У нас просто нет хитропопых тарифных планов, ан масс - месячная абонплата. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 16 октября, 2017 · Жалоба 27 минут назад, YuryD сказал: Так вы себе лишнюю точку отказа делаете. У меня радиус от биллинга, соотв всегда есть и резервный биллинг со свои радиусом. Немного не актуальный - из вчерашнего бакапа, но для 99% случаев работает. У нас просто нет хитропопых тарифных планов, ан масс - месячная абонплата. Человеку пофиг на то как у тебя. Зачем флудить, если не знаешь ответа на вопрос? исходных данных мало. Такого поведения не должно быть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 16 октября, 2017 · Жалоба Такое поведение должно быть. И да - я не пишу что у всех так должно быть. У меня на брасе сообщение о радиус умер-ожил, бывает в основном при проблемах с биллингом. А иначе нафиг нужен радиус вообще . Поэтому у меня вот два радиуса. Сброс сессии при отсутствии аккаунта - это конечно не очень нормально, но видимо проблема конкретного иос. Моя 7206 не сбрасывает текущие сессии, просто новых не пускает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
simpl3x Опубликовано 16 октября, 2017 · Жалоба Cisco IOS XE Software, Version 03.17.03.S - Standard Support Release Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.6(1)S3, RELEASE SOFTWARE (fc2) zhenya` , я пробовал поймать что то в дебаг, но на живых subscriber'ах слишком много выливается в дебаг. вот как мне кажется что то похожее на отключение: 2194209: Oct 16 20:36:13.906: SSS MGR [uid:1276]: Got reply Disconnect from PM 2194210: Oct 16 20:36:13.906: SSS MGR [uid:1276]: Event policy-disconnect, state changed from connected to disconnecting-all 2194211: Oct 16 20:36:13.906: SSS MGR [uid:1276]: Handling Send Service Disconnect action 2194212: Oct 16 20:36:13.906: SSS MGR [uid:1276]: No accounting feature installed skipping attribute gathering 2194213: Oct 16 20:36:13.906: SSS MGR [uid:1276]: Delete flow segment context [2, 3] 2194214: Oct 16 20:36:13.907: IPSUB_DP: [uid:1276] Event deactivate-session, state changed from connected to established 2194215: Oct 16 20:36:13.907: SSS LTERM [uid:1276]: Switching session unprovisioned 2194216: Oct 16 20:36:13.907: SSS MGR [uid:1276]: Event feature-disconnect-success, state changed from disconnecting-all to end 2194217: Oct 16 20:36:13.907: SSS MGR [uid:1276]: Handling Disconnecting, All Clean action 2194218: Oct 16 20:36:13.907: SSS MGR [uid:1276]: Sending a Session End ID Mgr request 2194219: Oct 16 20:36:13.907: SSS MGR [uid:1276]: ID Mgr returned status: 'deleted' for Session End 2194220: Oct 16 20:36:13.907: SSS MGR [uid:1276]: Publish session done aaa 558794, uid 1276 2194221: Oct 16 20:36:13.908: IPSUB_DP: [uid:1276] Event disconnect-session, state changed from established to disconnecting Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 16 октября, 2017 · Жалоба ну вообще сброс сессии когда нет ответа на аккаунтинг это придумали для того, когда по какой-то причине BRAS не получил PoD когда абонент расторг договор или просто не платит. В некоторых случаях даже не делают отправку PoD-ов, а просто дают абоненту работать с точностью до Acct-Interim-Interval Т.е. пример - bras не получил PoD или некорректно обработал его, радиус/биллинг у себя убил сессию и (если динамические IP выдаются биллингом/радиусом), то в следующий раз другому абоненту может выдастся такой же IP-адрес так что вы там поаккуратнее с несбросом сессии при неответе на аккаунтинг Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 17 октября, 2017 · Жалоба Сессии то какие? Айпи или л2тп или пппое? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
simpl3x Опубликовано 17 октября, 2017 · Жалоба zhenya` ip. l2/l3 connected s.lobanov , ok. Т.е. увеличение Acct-Interim-Interval должно увеличить время таймаута до отключения? Это как вариант, хоть и не полностью решает проблему. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 17 октября, 2017 · Жалоба show run | i aaa покажите и ISP политику Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 17 октября, 2017 · Жалоба 1 час назад, simpl3x сказал: s.lobanov , ok. Т.е. увеличение Acct-Interim-Interval должно увеличить время таймаута до отключения? Это как вариант, хоть и не полностью решает проблему. ну это снизит вероятность совпадения момент отправки аккаунтинга с моментом падения радиуса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
simpl3x Опубликовано 17 октября, 2017 · Жалоба zhenya` aaa new-model aaa group server radius IPoE-radius-billing aaa group server radius ISG-radius-billing aaa group server radius IPoE-routed-radius-billing aaa authentication login IPoE-AAA group IPoE-radius-billing aaa authentication login IPoE-routed-AAA group IPoE-routed-radius-billing aaa authorization exec default local aaa authorization commands 15 default local aaa authorization network IPoE-AAA group IPoE-radius-billing aaa authorization network IPoE-routed-AAA group IPoE-routed-radius-billing aaa authorization subscriber-service default local group ISG-radius-billing aaa accounting delay-start aaa accounting jitter maximum 10 aaa accounting update periodic 10 aaa accounting network IPoE-AAA start-stop group IPoE-radius-billing aaa accounting network IPoE-routed-AAA start-stop group IPoE-routed-radius-billing aaa nas port extended aaa server radius dynamic-author aaa session-id common accounting aaa list IPoE-AAA 10 authorize aaa list IPoE-AAA password KEY identifier source-ip-address 10 authenticate aaa list default 10 authorize aaa list IPoE-AAA password KEY identifier source-ip-address 10 authorize aaa list IPoE-routed-AAA password KEY identifier source-ip-address 10 authenticate aaa list default 10 authorize aaa list IPoE-routed-AAA password KEY identifier source-ip-address policy-map type service IPoE-OPENGARDEN-POLICY 10 class type traffic IPoE-OPENGARDEN-CLASS accounting aaa list IPoE-AAA ! class type traffic default input drop ! policy-map type service IPoE-REDIRECT-POLICY 10 class type traffic IPoE-REDIRECT-CLASS ! policy-map type service IPoE-FORWARD-POLICY service local 10 class type traffic ACCEPT-CLASS police input 20480000 police output 20480000 ! policy-map type control IPoE-SUBSCRIBER-CONTROL class type control IPoE-UNAUTH-CLASS event timed-policy-expiry 10 service disconnect ! class type control always event session-start 10 authorize aaa list IPoE-AAA password KEY identifier source-ip-address 90 set-timer IPoE-UNAUTH-TIMER 10 110 service-policy type service name IPoE-OPENGARDEN-POLICY ! class type control always event account-logon 10 authenticate aaa list default ! class type control always event account-logoff 10 service disconnect delay 5 ! class type control always event session-restart 10 authorize aaa list IPoE-AAA password KEY identifier source-ip-address 90 set-timer IPoE-UNAUTH-TIMER 10 110 service-policy type service name IPoE-OPENGARDEN-POLICY ! class type control always event radius-timeout 10 set-timer IPoE-UNAUTH-TIMER 5 20 service-policy type service name IPoE-FORWARD-POLICY ! policy-map type control IPoE-ROUTED-SUBSCRIBER-CONTROL class type control IPoE-UNAUTH-CLASS event timed-policy-expiry 10 service disconnect ! class type control always event session-start 10 authorize aaa list IPoE-routed-AAA KEY identifier source-ip-address 90 set-timer IPoE-UNAUTH-TIMER 10 110 service-policy type service name IPoE-OPENGARDEN-POLICY ! class type control always event account-logon 10 authenticate aaa list default ! class type control always event account-logoff 10 service disconnect delay 5 ! class type control always event session-restart 10 authorize aaa list IPoE-routed-AAA KEY identifier source-ip-address 90 set-timer IPoE-UNAUTH-TIMER 10 110 service-policy type service name IPoE-OPENGARDEN-POLICY ! class type control always event radius-timeout 10 set-timer IPoE-UNAUTH-TIMER 5 20 service-policy type service name IPoE-FORWARD-POLICY ! service-policy type control IPoE-ROUTED-SUBSCRIBER-CONTROL ip dhcp relay information policy-action replace service-policy type control IPoE-SUBSCRIBER-CONTROL ip dhcp relay information policy-action replace service-policy type control IPoE-SUBSCRIBER-CONTROL ip dhcp relay information policy-action replace service-policy type control IPoE-SUBSCRIBER-CONTROL ip dhcp relay information policy-action replace service-policy type control IPoE-SUBSCRIBER-CONTROL ip dhcp relay information policy-action replace service-policy type control IPoE-SUBSCRIBER-CONTROL ip dhcp relay information policy-action replace service-policy type control IPoE-SUBSCRIBER-CONTROL ip dhcp relay information policy-action replace service-policy type control IPoE-SUBSCRIBER-CONTROL ip dhcp relay information policy-action keep Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 17 октября, 2017 · Жалоба У вас вайфай? или портал есть? Если нет, то account-logon и logout лучше выкинуть. л3 коннектед? или л2? инициатор кто ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
simpl3x Опубликовано 17 октября, 2017 · Жалоба Цитата У вас вайфай? или портал есть? Если нет, то account-logon и logout лучше выкинуть. нет, уберу. service-policy type control IPoE-SUBSCRIBER-CONTROL ip subscriber l2-connected initiator unclassified mac-address initiator dhcp service-policy type control IPoE-ROUTED-SUBSCRIBER-CONTROL ip subscriber routed initiator unclassified ip-address Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 17 октября, 2017 · Жалоба Дохнут оба типа сессий? у дхцп лизтайм сколько? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
simpl3x Опубликовано 17 октября, 2017 · Жалоба да, оба. но основная масса (99%) это l2 лизтайм - 1 час Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 18 октября, 2017 · Жалоба имхо дело не в акаунтинге вовсе. чтобы уменьшить поток сознания и выводить дебаг только по 1 юзеру можно использовать debug condition. насколько я помню при продлении лизы запускается class type control always event session-restart Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 18 октября, 2017 · Жалоба Как соотносится dhcp к умершему радиусу ? Брас видит - радиус помер, что ему делать ? Нормально всех укоцать, если нет резервного радиуса. Нет аккаунтинга - нет денюжек в биллинге, в доме, который построил биллинг, в доме которого живёт радиус, в доме которого живёт брас. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 19 октября, 2017 · Жалоба Легко. Инициатор dhcp. Это достаточно большие завязки дает на DHCP. Т.е. хотите сказать, что у абонентов не должно быть связи при регламентных работах на билинге? п.с. а можно пример радиус ответа? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 23 октября, 2017 · Жалоба Цитата class type control always event radius-timeout 10 set-timer IPoE-UNAUTH-TIMER 5 20 service-policy type service name IPoE-FORWARD-POLICY Может в этом дело быть? Когда радиус не ответил то сессии вешается таймер, в котором прописан дисконнект... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 23 октября, 2017 · Жалоба В 19.10.2017 в 10:03, zhenya` сказал: Легко. Инициатор dhcp. Это достаточно большие завязки дает на DHCP. Т.е. хотите сказать, что у абонентов не должно быть связи при регламентных работах на билинге? п.с. а можно пример радиус ответа? Я не использую dhcp никогда. Это сильно облегчает мне жизнь в неких разборках. Биллингом всегда посредством радиуса выдаётся один и тот-же ИП, при авторизации. Регламент на биллинге - там у нас ничего не меняется, просто запасной радиус на запасном биллинге вдруг начинает работать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 23 октября, 2017 · Жалоба 46 минут назад, YuryD сказал: Я не использую dhcp никогда. Это сильно облегчает мне жизнь в неких разборках. Биллингом всегда посредством радиуса выдаётся один и тот-же ИП, при авторизации. Регламент на биллинге - там у нас ничего не меняется, просто запасной радиус на запасном биллинге вдруг начинает работать. Как раз таки с ипое проще. Ваш пппое/л2тп не имеет отношения к теме. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
simpl3x Опубликовано 26 сентября, 2018 · Жалоба в общем, при смене ios Cisco IOS XE Software, Version 03.16.07b.S - Extended Support Release Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.5(3)S7b, RELEASE SOFTWARE (fc1) проблема с отвалом subscriber's пропала. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...