[simpl3x]

Подскажите, как удержать subscriber'ов на ASR1K, если он теряет связь с Radius accounting, то все авторизованные и работающие subscriber'ы начинают отключаться по таймауту.
 

 

 

aaa new-model
!
!
aaa group server radius IPoE-radius-billing
 server name RASERV-3-IPOE
 ip vrf forwarding Mgmt-intf
 ip radius source-interface GigabitEthernet0
 attribute nas-port format d
!
radius server RASERV-3-IPOE
 address ipv4 IP auth-port 1817 acct-port 1818
 timeout 10
 retransmit 5
 key 7 KEY
!

в доках для asr5k нашел нечто:

Цитата

As a sidenote, there are configurables that allow for users to have access even if authentication and accounting fail due to timeouts to all servers, though a commercial deployment would not likely implement this:
radius allow [accounting] authentication-down

 

но не могу у себя найти аналог.

так же нашел class control, но не уверен, что это для нужной мне задачи:

class type control always event radius-timeout

 

[YuryD]

 Отчего бы два радиуса не указать ? В древних кисках если основной радиус помер, всё идет на резервный.  А так - правильный подход - нет радиуса, никто никуда ехать не должен.

[simpl3x]

до недавнего времени так и было, но в силу обстоятельств остался один сервер.

 

Цитата

А так - правильный подход - нет радиуса, никто никуда ехать не должен.

ну если учесть, что "падение" радиуса явление экстраординарное и скорее всего управляемое администратором, то хотелось бы сделать его менее безболезненным для конечного пользователя, так как оно продлится не долго я готов смириться с теми, кто получит услугу "случайно".

 

пока сделал так:

policy-map type service IPoE-FORWARD-POLICY
 service local
 10 class type traffic ACCEPT-CLASS
  police input 20480000
  police output 20480000
!
policy-map type control IPoE-SUBSCRIBER-CONTROL
!
 class type control always event radius-timeout
  10 set-timer IPoE-UNAUTH-TIMER 5
  20 service-policy type service name IPoE-FORWARD-POLICY

но пока не уверен, что будет работать.

Изменено 16 октября, 2017 пользователем simpl3x

[YuryD]

5 минут назад, simpl3x сказал:

до недавнего времени так и было, но в силу обстоятельств остался один сервер.

 

 

но пока не уверен, что будет работать.

 Так вы себе лишнюю точку отказа делаете. У меня радиус от биллинга, соотв всегда есть и резервный биллинг со свои радиусом. Немного не актуальный - из вчерашнего бакапа, но для 99% случаев работает. У нас просто нет хитропопых тарифных планов, ан масс - месячная абонплата.

[zhenya`]

27 минут назад, YuryD сказал:

 Так вы себе лишнюю точку отказа делаете. У меня радиус от биллинга, соотв всегда есть и резервный биллинг со свои радиусом. Немного не актуальный - из вчерашнего бакапа, но для 99% случаев работает. У нас просто нет хитропопых тарифных планов, ан масс - месячная абонплата.

Человеку пофиг на то как у тебя. Зачем флудить, если не знаешь ответа на вопрос?

 

исходных данных мало. Такого поведения не должно быть.

[YuryD]

 Такое поведение должно быть. И да - я не пишу что у всех так должно быть. У меня на брасе сообщение о радиус умер-ожил, бывает в основном при проблемах с биллингом. А иначе нафиг нужен радиус вообще . Поэтому у меня вот два радиуса. Сброс сессии при отсутствии аккаунта - это конечно не очень нормально, но видимо проблема конкретного иос. Моя 7206 не сбрасывает текущие сессии, просто новых не пускает.

[simpl3x]

Cisco IOS XE Software, Version 03.17.03.S - Standard Support Release
Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.6(1)S3, RELEASE SOFTWARE (fc2)

zhenya` , я пробовал поймать что то в дебаг, но на живых subscriber'ах слишком много выливается в дебаг. вот как мне кажется что то похожее на отключение:

2194209: Oct 16 20:36:13.906: SSS MGR [uid:1276]: Got reply Disconnect from PM
2194210: Oct 16 20:36:13.906: SSS MGR [uid:1276]: Event policy-disconnect, state changed from connected to disconnecting-all
2194211: Oct 16 20:36:13.906: SSS MGR [uid:1276]: Handling Send Service Disconnect action
2194212: Oct 16 20:36:13.906: SSS MGR [uid:1276]: No accounting feature installed skipping attribute gathering
2194213: Oct 16 20:36:13.906: SSS MGR [uid:1276]: Delete flow segment context [2, 3]
2194214: Oct 16 20:36:13.907: IPSUB_DP: [uid:1276] Event deactivate-session, state changed from connected to established
2194215: Oct 16 20:36:13.907: SSS LTERM [uid:1276]: Switching session unprovisioned
2194216: Oct 16 20:36:13.907: SSS MGR [uid:1276]: Event feature-disconnect-success, state changed from disconnecting-all to end
2194217: Oct 16 20:36:13.907: SSS MGR [uid:1276]: Handling Disconnecting, All Clean action
2194218: Oct 16 20:36:13.907: SSS MGR [uid:1276]: Sending a Session End ID Mgr request
2194219: Oct 16 20:36:13.907: SSS MGR [uid:1276]: ID Mgr returned status: 'deleted' for Session End
2194220: Oct 16 20:36:13.907: SSS MGR [uid:1276]: Publish session done aaa 558794, uid 1276
2194221: Oct 16 20:36:13.908: IPSUB_DP: [uid:1276] Event disconnect-session, state changed from established to disconnecting

 

[s.lobanov]

ну вообще сброс сессии когда нет ответа на аккаунтинг это придумали для того, когда по какой-то причине BRAS не получил PoD когда абонент расторг договор или просто не платит. В некоторых случаях даже не делают отправку PoD-ов, а просто дают абоненту работать с точностью до Acct-Interim-Interval

 

Т.е. пример - bras не получил PoD или некорректно обработал его, радиус/биллинг у себя убил сессию и (если динамические IP выдаются биллингом/радиусом), то в следующий раз другому абоненту может выдастся такой же IP-адрес

 

так что вы там поаккуратнее с несбросом сессии при неответе на аккаунтинг

[zhenya`]

Сессии то какие? Айпи или л2тп или пппое?

[simpl3x]

zhenya` ip. l2/l3 connected

 

s.lobanov , ok. Т.е. увеличение Acct-Interim-Interval должно увеличить время таймаута до отключения? Это как вариант, хоть и не полностью решает проблему.

[zhenya`]

show run | i aaa покажите и ISP политику

[s.lobanov]

1 час назад, simpl3x сказал:

 

s.lobanov , ok. Т.е. увеличение Acct-Interim-Interval должно увеличить время таймаута до отключения? Это как вариант, хоть и не полностью решает проблему.

ну это снизит вероятность совпадения момент отправки аккаунтинга с моментом падения радиуса. 

[simpl3x]

zhenya` 

 

aaa new-model
aaa group server radius IPoE-radius-billing
aaa group server radius ISG-radius-billing
aaa group server radius IPoE-routed-radius-billing
aaa authentication login IPoE-AAA group IPoE-radius-billing
aaa authentication login IPoE-routed-AAA group IPoE-routed-radius-billing
aaa authorization exec default local
aaa authorization commands 15 default local
aaa authorization network IPoE-AAA group IPoE-radius-billing
aaa authorization network IPoE-routed-AAA group IPoE-routed-radius-billing
aaa authorization subscriber-service default local group ISG-radius-billing
aaa accounting delay-start
aaa accounting jitter maximum 10
aaa accounting update periodic 10
aaa accounting network IPoE-AAA start-stop group IPoE-radius-billing
aaa accounting network IPoE-routed-AAA start-stop group IPoE-routed-radius-billing
aaa nas port extended
aaa server radius dynamic-author
aaa session-id common
  accounting aaa list IPoE-AAA
  10 authorize aaa list IPoE-AAA password KEY identifier source-ip-address
  10 authenticate aaa list default
  10 authorize aaa list IPoE-AAA password KEY identifier source-ip-address
  10 authorize aaa list IPoE-routed-AAA password KEY identifier source-ip-address
  10 authenticate aaa list default
  10 authorize aaa list IPoE-routed-AAA password KEY identifier source-ip-address

 

policy-map type service IPoE-OPENGARDEN-POLICY
 10 class type traffic IPoE-OPENGARDEN-CLASS
  accounting aaa list IPoE-AAA
 !
 class type traffic default input
  drop
 !
policy-map type service IPoE-REDIRECT-POLICY
 10 class type traffic IPoE-REDIRECT-CLASS
 !
policy-map type service IPoE-FORWARD-POLICY
 service local
 10 class type traffic ACCEPT-CLASS
  police input 20480000
  police output 20480000
 !
policy-map type control IPoE-SUBSCRIBER-CONTROL
 class type control IPoE-UNAUTH-CLASS event timed-policy-expiry
  10 service disconnect
 !
 class type control always event session-start
  10 authorize aaa list IPoE-AAA password KEY identifier source-ip-address
  90 set-timer IPoE-UNAUTH-TIMER 10
  110 service-policy type service name IPoE-OPENGARDEN-POLICY
 !
 class type control always event account-logon
  10 authenticate aaa list default
 !
 class type control always event account-logoff
  10 service disconnect delay 5
 !
 class type control always event session-restart
  10 authorize aaa list IPoE-AAA password KEY identifier source-ip-address
  90 set-timer IPoE-UNAUTH-TIMER 10
  110 service-policy type service name IPoE-OPENGARDEN-POLICY
 !
 class type control always event radius-timeout
  10 set-timer IPoE-UNAUTH-TIMER 5
  20 service-policy type service name IPoE-FORWARD-POLICY
 !
policy-map type control IPoE-ROUTED-SUBSCRIBER-CONTROL
 class type control IPoE-UNAUTH-CLASS event timed-policy-expiry
  10 service disconnect
 !
 class type control always event session-start
  10 authorize aaa list IPoE-routed-AAA KEY identifier source-ip-address
  90 set-timer IPoE-UNAUTH-TIMER 10
  110 service-policy type service name IPoE-OPENGARDEN-POLICY
 !
 class type control always event account-logon
  10 authenticate aaa list default
 !
 class type control always event account-logoff
  10 service disconnect delay 5
 !
 class type control always event session-restart
  10 authorize aaa list IPoE-routed-AAA KEY identifier source-ip-address
  90 set-timer IPoE-UNAUTH-TIMER 10
  110 service-policy type service name IPoE-OPENGARDEN-POLICY
 !
 class type control always event radius-timeout
  10 set-timer IPoE-UNAUTH-TIMER 5
  20 service-policy type service name IPoE-FORWARD-POLICY
 !
 service-policy type control IPoE-ROUTED-SUBSCRIBER-CONTROL
 ip dhcp relay information policy-action replace
 service-policy type control IPoE-SUBSCRIBER-CONTROL
 ip dhcp relay information policy-action replace
 service-policy type control IPoE-SUBSCRIBER-CONTROL
 ip dhcp relay information policy-action replace
 service-policy type control IPoE-SUBSCRIBER-CONTROL
 ip dhcp relay information policy-action replace
 service-policy type control IPoE-SUBSCRIBER-CONTROL
 ip dhcp relay information policy-action replace
 service-policy type control IPoE-SUBSCRIBER-CONTROL
 ip dhcp relay information policy-action replace
 service-policy type control IPoE-SUBSCRIBER-CONTROL
 ip dhcp relay information policy-action replace
 service-policy type control IPoE-SUBSCRIBER-CONTROL
 ip dhcp relay information policy-action keep

 

[zhenya`]

У вас вайфай? или портал есть?

Если нет, то account-logon и logout лучше выкинуть.

 

л3 коннектед? или л2?

инициатор кто ? 

[simpl3x]

Цитата

У вас вайфай? или портал есть?
Если нет, то account-logon и logout лучше выкинуть.

нет, уберу.

 

 service-policy type control IPoE-SUBSCRIBER-CONTROL
 ip subscriber l2-connected
  initiator unclassified mac-address
  initiator dhcp

 service-policy type control IPoE-ROUTED-SUBSCRIBER-CONTROL
 ip subscriber routed
  initiator unclassified ip-address

 

[zhenya`]

Дохнут оба типа сессий?

 

у дхцп лизтайм сколько?

[simpl3x]

да, оба. но основная масса (99%) это l2

лизтайм - 1 час

[zhenya`]

имхо дело не в акаунтинге вовсе. 

 

чтобы уменьшить поток сознания и выводить дебаг только по 1 юзеру можно использовать debug condition. 

 

насколько я помню при продлении лизы запускается 

class type control always event session-restart

 

[YuryD]

 Как соотносится dhcp к умершему радиусу ? Брас видит - радиус помер, что ему делать ? Нормально всех укоцать, если нет резервного радиуса. Нет аккаунтинга - нет денюжек в биллинге, в доме, который построил биллинг, в доме которого живёт радиус, в доме которого живёт брас.

[zhenya`]

Легко. Инициатор dhcp. Это достаточно большие завязки дает на DHCP.

 

Т.е. хотите сказать, что у абонентов не должно быть связи при регламентных работах на билинге?

 

п.с. а можно пример радиус ответа?

[xcme]

Цитата

 class type control always event radius-timeout
  10 set-timer IPoE-UNAUTH-TIMER 5
  20 service-policy type service name IPoE-FORWARD-POLICY

Может в этом дело быть? Когда радиус не ответил то сессии вешается таймер, в котором прописан дисконнект...

[YuryD]

В 19.10.2017 в 10:03, zhenya` сказал:

Легко. Инициатор dhcp. Это достаточно большие завязки дает на DHCP.

 

Т.е. хотите сказать, что у абонентов не должно быть связи при регламентных работах на билинге?

 

п.с. а можно пример радиус ответа?

 Я не использую dhcp никогда. Это сильно облегчает мне жизнь в неких разборках. Биллингом всегда посредством радиуса выдаётся один и тот-же ИП, при авторизации. Регламент на биллинге - там у нас ничего не меняется, просто запасной радиус на запасном биллинге вдруг начинает работать.

[zhenya`]

46 минут назад, YuryD сказал:

 Я не использую dhcp никогда. Это сильно облегчает мне жизнь в неких разборках. Биллингом всегда посредством радиуса выдаётся один и тот-же ИП, при авторизации. Регламент на биллинге - там у нас ничего не меняется, просто запасной радиус на запасном биллинге вдруг начинает работать.

Как раз таки с ипое проще. Ваш пппое/л2тп не имеет отношения к теме.

[simpl3x]

в общем, при смене ios 

Cisco IOS XE Software, Version 03.16.07b.S - Extended Support Release
Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.5(3)S7b, RELEASE SOFTWARE (fc1)

проблема с отвалом subscriber's пропала.