Scorsese712 Posted February 11, 2020 Posted February 11, 2020 доброго дня всем, Коллеги подскажите может кто сталкивался, имеется ASR1002 с настроенным функционалом ISG. Авторизация идет по айпи адресу. Так вот при физическом отключении устройства сессия остается вечно авторизованной и продолжает слаться акаунтинг на биллинг и там соответственно сессия тоже активная. Idle timeout таймер крутится циклически, хотя установлен на 5 минут. Как побороть эту гадость куски конфига прилагаю. aaa new-model ! ! aaa group server radius ISG-RADIUS server name ISG-RADIUS ip radius source-interface GigabitEthernet0/0/1.55 ! aaa group server radius LI-DELTA server name LI-DELTA ! aaa authentication login ISG-AUTH-1 group ISG-RADIUS aaa authorization network ISG-AUTH-1 group ISG-RADIUS aaa authorization subscriber-service default local group ISG-RADIUS aaa accounting update newinfo periodic 1 aaa accounting network ISG-RADIUS start-stop broadcast group ISG-RADIUS group LI-DELTA aaa accounting network ISG-AUTH-1 action-type start-stop group ISG-RADIUS ! ! ! aaa session-id common aaa policy interface-config allow-subinterface ! subscriber templating subscriber authorization enable ! ! ip tftp source-interface GigabitEthernet0 class-map type traffic match-any REDIRECT-CLASS match access-group input name REDIRECT-ACL match access-group output name REDIRECT-ACL ! class-map type traffic match-any OPENGRD-CLASS match access-group input name OPENGARDEN-ACL match access-group output name OPENGARDEN-ACL ! class-map type control match-all ISG-IP-UNAUTH match authen-status unauthenticated match timer UNAUTH-TIMER ! policy-map type service REDIRECT 1 class type traffic REDIRECT-CLASS redirect to group TEC-REDIRECT ! class type traffic default input drop ! ! policy-map type service OPENGRD 1 class type traffic OPENGRD-CLASS ! class type traffic default input drop ! ! policy-map type control ISG-CUSTOMERS-POLICY class type control ISG-IP-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event session-start 10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address 20 set-timer UNAUTH-TIMER 3 30 service-policy type service name OPENGRD 40 service-policy type service name REDIRECT ! class type control always event radius-timeout 1 service-policy type service name OPENGRD 2 service-policy type service name REDIRECT 4 set-timer IP_UNAUTH_TIMER 3 ! class type control always event access-reject 10 service-policy type service name OPENGRD 20 service-policy type service name REDIRECT 40 set-timer UNAUTH_TIMER 3 ! ! interface GigabitEthernet0/0/1.412 description Test encapsulation dot1Q 412 ip address x.x.x.x 255.255.255.252 service-policy type control ISG-CUSTOMERS-POLICY ip subscriber routed initiator unclassified ip-address radius-server attribute 44 include-in-access-req default-vrf radius-server attribute 44 extend-with-addr radius-server attribute 8 include-in-access-req radius-server attribute 32 include-in-accounting-req radius-server attribute 55 include-in-acct-req radius-server attribute 31 mac format unformatted radius-server dead-criteria time 10 tries 1 radius-server timeout 30 radius-server deadtime 1 radius-server vsa send cisco-nas-port ! radius server ISG-RADIUS address ipv4 100.64.55.10 auth-port 1814 acct-port 1815 key cisco ! Вставить ник Quote
Scorsese712 Posted February 11, 2020 Author Posted February 11, 2020 4 минуты назад, VolanD666 сказал: А прошивка какая? ASR1002-ISG#sh ver Cisco IOS XE Software, Version 03.13.02.S - Extended Support Release Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S2, RELEASE SOFTWARE (fc3) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2015 by Cisco Systems, Inc. Compiled Fri 30-Jan-15 14:23 by mcpre Cisco IOS-XE software, Copyright (c) 2005-2015 by cisco Systems, Inc. All rights reserved. Certain components of Cisco IOS-XE software are licensed under the GNU General Public License ("GPL") Version 2.0. The software code licensed under GPL Version 2.0 is free software that comes with ABSOLUTELY NO WARRANTY. You can redistribute and/or modify such GPL code under the terms of GPL Version 2.0. For more details, see the documentation or "License Notice" file accompanying the IOS-XE software, or the applicable URL provided on the flyer accompanying the IOS-XE software. ROM: IOS-XE ROMMON ASR1002-ISG uptime is 1 week, 4 days, 19 hours, 42 minutes Uptime for this control processor is 1 week, 4 days, 19 hours, 43 minutes System returned to ROM by reload at 16:18:04 BAKU Thu Jan 30 2020 System restarted at 16:20:41 BAKU Thu Jan 30 2020 System image file is "bootflash:/asr1002x-universalk9.03.13.02.S.154-3.S2-ext.SPA.bin" Вставить ник Quote
VolanD666 Posted February 11, 2020 Posted February 11, 2020 Дык может таймер срабатывает потому что трафик летит в сторону клиента? Вставить ник Quote
Scorsese712 Posted February 11, 2020 Author Posted February 11, 2020 12 минут назад, VolanD666 сказал: Дык может таймер срабатывает потому что трафик летит в сторону клиента? Бродкасты есть с сабинтерфейса. Айпи саб интерфейса опрашивает у кого второй айпи из его подсети. Это обычное дело. Это может влиять? Или это как то можно отключить? Вставить ник Quote
VolanD666 Posted February 11, 2020 Posted February 11, 2020 А почему с сабинтерфейса летят броадкасты? По идее не должны влиять, у них же DST адрес не клиентский. А у сабскрайбера не белый ИП? Сессия вообще вечно висит? Может быть такое, что другие клиенты шлют трафик на ИП сессии? Вставить ник Quote
Scorsese712 Posted February 11, 2020 Author Posted February 11, 2020 2 минуты назад, VolanD666 сказал: А почему с сабинтерфейса летят броадкасты? По идее не должны влиять, у них же DST адрес не клиентский. А у сабскрайбера не белый ИП? Сессия вообще вечно висит? Может быть такое, что другие клиенты шлют трафик на ИП сессии? Все белое, все сабы имеют сеть /30. У саба соотвественно тоже белый айпишник. Другого трафика кроме ARP Broadcast в снифере нет Вставить ник Quote
dead0001 Posted February 11, 2020 Posted February 11, 2020 Смотрите атрибут idle-timeout-direction. По-умолчанию idle-timeout сбрасывает трафик, который идет в сторону клиента. Вставить ник Quote
VolanD666 Posted February 11, 2020 Posted February 11, 2020 21 минуту назад, dead0001 сказал: Смотрите атрибут idle-timeout-direction. По-умолчанию idle-timeout сбрасывает трафик, который идет в сторону клиента. Вопрос, могут ли АРПы в с запросом клиентского ИП-МАК сбрасывать таймер? Вставить ник Quote
dead0001 Posted February 11, 2020 Posted February 11, 2020 9 minutes ago, VolanD666 said: Вопрос, могут ли АРПы в с запросом клиентского ИП-МАК сбрасывать таймер? Мне кажется, что уже сам факт того, что пришел пакет с адресом клиента в dst, уже сбрасывает таймер. Была такая же фигня с висящими сессиями, когда Cisco после очередного обновления добавили этот атрибут. Вставить ник Quote
Scorsese712 Posted February 11, 2020 Author Posted February 11, 2020 45 минут назад, dead0001 сказал: Смотрите атрибут idle-timeout-direction. По-умолчанию idle-timeout сбрасывает трафик, который идет в сторону клиента. Атрибут такой Cisco-AVPair = "subscriber:idle-timeout-direction=inbound"Idle-Timeout = 300 Вставить ник Quote
VolanD666 Posted February 11, 2020 Posted February 11, 2020 А если его вообще не отдавать, этот параметр (idle-timeout-direction) ? Вставить ник Quote
dead0001 Posted February 11, 2020 Posted February 11, 2020 40 minutes ago, VolanD666 said: А если его вообще не отдавать, этот параметр (idle-timeout-direction) ? По-умолчанию будет outbound. Вставить ник Quote
VolanD666 Posted February 11, 2020 Posted February 11, 2020 27 минут назад, dead0001 сказал: По-умолчанию будет outbound. Ну вот я и говорю, надо попробовать как таймер будет себя вести Вставить ник Quote
gadrus42 Posted February 18, 2020 Posted February 18, 2020 Добрый день! Подскажите куда этот атрибут нужно добавить? Столкнулся с такой же проблемой. Вставить ник Quote
VolanD666 Posted February 18, 2020 Posted February 18, 2020 2 часа назад, gadrus42 сказал: Добрый день! Подскажите куда этот атрибут нужно добавить? Столкнулся с такой же проблемой. В профиль сессии Вставить ник Quote
gadrus42 Posted February 18, 2020 Posted February 18, 2020 25 минут назад, VolanD666 сказал: В профиль сессии Все разобрался, спасибо! Вставить ник Quote
gadrus42 Posted February 18, 2020 Posted February 18, 2020 Idle Timeout: Class-id Dir Timeout value Idle-Time Source 1 Out 30 00:00:29 Peruser Добавил атрибут, навешивается, теперь доходит до 30, и сбрасывается счетчик, сессия дальше висит....( Один раз все-таки сбросил сессию....но не стабильно как-то работает(((( Подскажите в чем может быть проблема? Вставить ник Quote
VolanD666 Posted February 18, 2020 Posted February 18, 2020 3 минуты назад, gadrus42 сказал: Idle Timeout: Class-id Dir Timeout value Idle-Time Source 1 Out 30 00:00:29 Peruser Добавил атрибут, навешивается, теперь доходит до 30, и сбрасывается счетчик, сессия дальше висит....( Один раз все-таки сбросил сессию....но не стабильно как-то работает(((( Подскажите в чем может быть проблема? В том что летит трафик от /к клиенту? Вставить ник Quote
gadrus42 Posted February 18, 2020 Posted February 18, 2020 4 минуты назад, VolanD666 сказал: В том что летит трафик от /к клиенту? Понял, спасибо! Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.