Перейти к содержимому
Калькуляторы

ASR1K, ISG, dead radius fallback

Приветствую.

Во всех примерах полиси построен так, что если радиус не отвечает, то выдается некий временный сервис, а через минуту (ну или сколько настроишь) сеанс сбрасывается и начинается все сначала.

Тут проблема в том, что в промежутке после сброса сеанса и выдачи временного сервиса проходит достаточно времени (по умолчанию таймаут радиуса 20 секунд). Получается ерунда а не временный сервис. Кто нибудь смог сделать полиси так, чтобы пока радиус не очнулся, временный сервис не прерывался?

 

Вот что я пробовал, безуспешно:

policy-map type control testing
 class type control CM_C_IPOE_REJECT_REAUTH event timed-policy-expiry
  1 service disconnect
 !
 class type control CM_C_IPOE_RTIMEOUT_REAUTH event timed-policy-expiry
  10 authorize aaa list IPOE password ciscoo identifier source-ip-address 
 !
 class type control always event session-start
  10 authorize aaa list IPOE password ciscoo identifier source-ip-address 
 !
 class type control always event access-reject
  20 set-timer IPOE_REJECT_REAUTH 1
  30 service-policy type service name Redirect100
  40 service-policy type service name Redirect110
  50 service-policy type service name Redirect400
  60 service-policy type service name Redirect410
  70 service-policy type service name Redirect500
  80 service-policy type service name Redirect510
 !
 class type control always event radius-timeout
  10 set-timer IPOE_RTIMEOUT_REAUTH 1
  20 service-policy type service name Failover50m
 !
 class type control always event account-logon
  10 service-policy type service unapply name Failover50m
  20 service-policy type service aaa list IPOE identifier authenticated-username
 !
 class type control always event account-logoff
  1 service disconnect
 !

Это "работает" так, что при поднятии радиуса происходит авторизация, временный сервис Fallback50m остается на сеансе, а новые, выданые с радиуса в Cisco-Account-Info, игнорируются полностью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только костыль делать: убирать таймер и в момент оживания радиуса подчищать unauth сессии. Можно сделать через emm на событие radius alive

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И правда костыль :(

 

Есть еще проблемка с ISG, когда сеанс нормально авторизован, на одной ASR'ке у меня в акаунтинг прилетет перечень подписаных сервисов и активироанных в виде Cisco-Account-Info=Nсервис, и Cisco-Account-Info=Aсервис.

А на другой, такой-же, только ПО чуток поновее, хотя ровно из той-же ветки, не прилетает, как я не бился. Конфиги вроде идентичные, никаких различий особых не углядел. Кто нибудь сталкивался?

 

Хотел сделать красивый радиус фаллбэк, чтобы запасной радиус сразу видел какие сервисы активны и мог нормально поддерживать сеанс в случае чего и обломался.

 

Как назло смартнет прокис уже :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Посервисный аккаунтинг зло имхо)

сервисы из радиуса же? Там и надо сравнивать )

возможно с аккаунтиг листом что-то

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

так мне не посервисный аккаунтинг надо, а просто перечень сервисов в аккаунтинге сессии

с листом вроде все ок, 20 проверил уже :(

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 12/9/2017 at 11:25 AM, ShyLion said:

И правда костыль :(

 

Есть еще проблемка с ISG, когда сеанс нормально авторизован, на одной ASR'ке у меня в акаунтинг прилетет перечень подписаных сервисов и активироанных в виде Cisco-Account-Info=Nсервис, и Cisco-Account-Info=Aсервис.

А на другой, такой-же, только ПО чуток поновее, хотя ровно из той-же ветки, не прилетает, как я не бился. Конфиги вроде идентичные, никаких различий особых не углядел. Кто нибудь сталкивался?

 

Хотел сделать красивый радиус фаллбэк, чтобы запасной радиус сразу видел какие сервисы активны и мог нормально поддерживать сеанс в случае чего и обломался.

 

Как назло смартнет прокис уже :(

Если кому интересно, обошел эту проблему другим способом - сеансу можно через Access-Accept передавать какие угодно куки в виде Cisco-Accounting-Info="Vстрока куки".

Этих кук можно отдать несколько.

Кроме того, этот набор можно менять с помощью CoA, предыдущие куки при этом удаляются. Так что так даже интересней получается, можно передавать любую инфу. Это полезно когда радиусов несколько для отказоустойчивости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.