Scorsese712 Posted July 14, 2021 Posted July 14, 2021 Коллеги, подскажите есть ли на ASR1002 некий таймер, который реавторизует сессию после сброса со стороны биллинга. Вставить ник Quote
Scorsese712 Posted July 15, 2021 Author Posted July 15, 2021 12 часов назад, zhenya` сказал: Сессии какие? Какой инициатор? ip subscriber routed initiator unclassified ip-address Вставить ник Quote
ShyLion Posted July 15, 2021 Posted July 15, 2021 1 hour ago, Scorsese712 said: ip subscriber routed initiator unclassified ip-address Любой траффик от абона инициирует сеанс. Чего пытаетесь добиться? Вставить ник Quote
Scorsese712 Posted July 16, 2021 Author Posted July 16, 2021 В 15.07.2021 в 10:15, ShyLion сказал: Любой траффик от абона инициирует сеанс. Чего пытаетесь добиться? Повторного запроса к биллингу на авторизацию. Сессия остается неавторизированной пока вручную не сбросить сессию на киске, саппорт биллинга утверждает что запросы не приходят Вставить ник Quote
VolanD666 Posted July 16, 2021 Posted July 16, 2021 19 минут назад, Scorsese712 сказал: Повторного запроса к биллингу на авторизацию. Сессия остается неавторизированной пока вручную не сбросить сессию на киске, саппорт биллинга утверждает что запросы не приходят Что в конфиге то у вас? Сессия то точно сбрасывается, не висит в списке? Вставить ник Quote
zhenya` Posted July 16, 2021 Posted July 16, 2021 Unauth как раз говорит про тайм-аут или access-reject. Можно сделать так: class-map type control match-all IP_UNAUTH_COND match authen-status unauthenticated match timer IP_UNAUTH_TIMER ! policy-map type control <NAME> class type control IP_UNAUTH_COND event timed-policy-expiry 10 service disconnect ! class type control always event session-start 10 authorize aaa list ..... 20 set-timer IP_UNAUTH_TIMER 5 ! если 10 пройдет, то таймер в 20 не выставится... 5 минут unauth повисит и схлопнет сессию. Вставить ник Quote
Scorsese712 Posted July 17, 2021 Author Posted July 17, 2021 17 часов назад, zhenya` сказал: Unauth как раз говорит про тайм-аут или access-reject. Можно сделать так: class-map type control match-all IP_UNAUTH_COND match authen-status unauthenticated match timer IP_UNAUTH_TIMER ! policy-map type control <NAME> class type control IP_UNAUTH_COND event timed-policy-expiry 10 service disconnect ! class type control always event session-start 10 authorize aaa list ..... 20 set-timer IP_UNAUTH_TIMER 5 ! если 10 пройдет, то таймер в 20 не выставится... 5 минут unauth повисит и схлопнет сессию. На данный момент так в принципе вроде правильно или все же не так policy-map type control ISG-CUSTOMERS-POLICY-IPOE class type control ISG-IP-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event session-start 10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address 20 set-timer UNAUTH-TIMER 3 30 service-policy type service name OPENGRD 40 service-policy type service name REDIRECT ! class type control always event radius-timeout 1 service-policy type service name OPENGRD 2 service-policy type service name REDIRECT 4 set-timer IP_UNAUTH_TIMER 3 ! class type control always event access-reject 10 service-policy type service name OPENGRD 20 service-policy type service name REDIRECT 40 set-timer UNAUTH_TIMER 3 Вставить ник Quote
zhenya` Posted July 17, 2021 Posted July 17, 2021 Зависит от ожиданий. Я бы дал доступ в инет в части случаев.. Вставить ник Quote
ShyLion Posted July 19, 2021 Posted July 19, 2021 On 7/17/2021 at 2:48 PM, Scorsese712 said: На данный момент так в принципе вроде правильно или все же не так policy-map type control ISG-CUSTOMERS-POLICY-IPOE class type control ISG-IP-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event session-start 10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address 20 set-timer UNAUTH-TIMER 3 30 service-policy type service name OPENGRD 40 service-policy type service name REDIRECT ! class type control always event radius-timeout 1 service-policy type service name OPENGRD 2 service-policy type service name REDIRECT 4 set-timer IP_UNAUTH_TIMER 3 ! class type control always event access-reject 10 service-policy type service name OPENGRD 20 service-policy type service name REDIRECT 40 set-timer UNAUTH_TIMER 3 Таймер-то как в итоге называется? Вот рабочий пример: aaa new-model ! ! aaa group server radius ipoe server-private 10.0.6.102 auth-port 18120 acct-port 18130 key 7 01000307490E12 ip vrf forwarding Mgmt-intf ip radius source-interface GigabitEthernet0 ! aaa authentication ppp IPOE group ipoe aaa authorization network IPOE group ipoe aaa authorization subscriber-service default local aaa authorization subscriber-service IPOE local group ipoe aaa accounting delay-start all aaa accounting delay-start extended-delay 2 aaa accounting update periodic 5 aaa accounting include auth-profile framed-ip-address aaa accounting include auth-profile framed-ipv6-prefix aaa accounting include auth-profile delegated-ipv6-prefix aaa accounting network default start-stop group ipoe aaa accounting network IPOE start-stop group ipoe ! ! aaa server radius dynamic-author client 10.0.6.102 vrf Mgmt-intf server-key 7 120A0014000E18 port 1645 auth-type any ignore session-key ! aaa session-id common aaa policy interface-config allow-subinterface ! ! redirect server-group NoMoney server ip x.y.198.3 port 80 ! redirect server-group NoMoneyDNS server ip x.y.198.10 port 53 ! ! ! ! ! class-map type traffic match-any CM_ANY match access-group input name CM_T_ANY match access-group output name CM_T_ANY ! class-map type traffic match-any CM_T_NoMoney_REDIRECT_DNS match access-group input name CM_T_NoMoney_REDIRECT_DNS ! class-map type traffic match-any CM_T_NoMoney_REDIRECT_WWW match access-group input name CM_T_NoMoney_REDIRECT_WWW ! class-map type traffic match-any CM_T_NoMoney_PASS match access-group input name CM_T_NoMoney_PASS match access-group output name CM_T_NoMoney_PASS ! class-map type control match-all CM_C_IPoE_REJECT_REAUTH match timer IPoE_REJECT_REAUTH match authen-status unauthenticated ! class-map type control match-all CM_C_IPoE_RTIMEOUT_REAUTH match timer IPoE_RTIMEOUT_REAUTH match authen-status unauthenticated ! policy-map type service NoMoney10 10 class type traffic CM_T_NoMoney_PASS ! class type traffic default in-out drop ! ! policy-map type service NoMoney500 500 class type traffic CM_T_NoMoney_REDIRECT_WWW redirect to group NoMoney ! class type traffic default in-out drop ! ! policy-map type service NoMoney510 510 class type traffic CM_T_NoMoney_REDIRECT_DNS redirect to group NoMoneyDNS ! class type traffic default in-out drop ! ! policy-map type service Internet 100 class type traffic CM_ANY ! class type traffic default in-out drop ! ! policy-map type control IPoE class type control CM_C_IPoE_RTIMEOUT_REAUTH event timed-policy-expiry 1 service disconnect ! class type control CM_C_IPoE_REJECT_REAUTH event timed-policy-expiry 1 service disconnect ! class type control always event session-start 10 authorize aaa list IPOE password ciscoo identifier source-ip-address 20 set-timer IPoE_REJECT_REAUTH 1 30 service-policy type service aaa list IPOE name NoMoney10 40 service-policy type service aaa list IPOE name NoMoney500 50 service-policy type service aaa list IPOE name NoMoney510 ! class type control always event service-stop 1 service-policy type service unapply identifier service-name ! class type control always event session-restart 10 authorize aaa list IPOE password ciscoo identifier source-ip-address 20 set-timer IPoE_REJECT_REAUTH 1 30 service-policy type service aaa list IPOE name NoMoney10 40 service-policy type service aaa list IPOE name NoMoney500 50 service-policy type service aaa list IPOE name NoMoney510 ! class type control always event radius-timeout 1 set-timer IPoE_RTIMEOUT_REAUTH 1 10 service-policy type service aaa list IPOE name NoMoney10 20 service-policy type service aaa list IPOE name NoMoney500 30 service-policy type service aaa list IPOE name NoMoney510 ! ! interface Loopback2 ip address x.y.198.1 255.255.255.0 ! ! interface TenGigabitEthernet0/1/0.298 description Client 102 encapsulation dot1Q 298 ip unnumbered Loopback2 ip nat outside service-policy type control IPoE ip subscriber routed initiator unclassified ip-address ! interface TenGigabitEthernet0/1/0.299 description Client 103 encapsulation dot1Q 299 ip unnumbered Loopback2 ip nat outside service-policy type control IPoE ip subscriber routed initiator unclassified ip-address ! ! ..... далее аналогично, может быть двойное тегирование ........ ! ip route x.y.198.102 255.255.255.255 TenGigabitEthernet0/1/0.298 x.y.198.102 name "client 102" ip route x.y.198.103 255.255.255.255 TenGigabitEthernet0/1/0.299 x.y.198.103 name "client 103" ! ! ..... далее аналогично .............. ! ! ip access-list extended CM_T_ANY permit ip any any ip access-list extended CM_T_NoMoney_PASS permit ip any host x.y.198.3 permit ip host x.y.198.3 any permit udp any host x.y.198.10 eq domain permit udp host x.y.198.10 eq domain any ip access-list extended CM_T_NoMoney_REDIRECT_DNS permit udp any any eq domain ip access-list extended CM_T_NoMoney_REDIRECT_WWW permit tcp any any eq www ! ! radius-server attribute 44 include-in-access-req default-vrf radius-server attribute 8 include-in-access-req radius-server attribute 55 include-in-acct-req radius-server attribute 25 access-request include radius-server attribute 31 mac format ietf ! Вставить ник Quote
Scorsese712 Posted July 21, 2021 Author Posted July 21, 2021 В 19.07.2021 в 19:36, ShyLion сказал: Таймер-то как в итоге называется? Сорри за глупый вопрос, названия таймеров должны быть одинаковые ? Вставить ник Quote
ShyLion Posted July 21, 2021 Posted July 21, 2021 20 minutes ago, Scorsese712 said: Сорри за глупый вопрос, названия таймеров должны быть одинаковые ? Ну если класс в полиси стартует таймер, то в классе, который матчит этот таймер, название таймера естественно должно быть таким-же Вставить ник Quote
Scorsese712 Posted July 21, 2021 Author Posted July 21, 2021 28 минут назад, ShyLion сказал: Ну если класс в полиси стартует таймер, то в классе, который матчит этот таймер, название таймера естественно должно быть таким-же В нашем случае получается везде должен быть ISG-IP-UNAUTH? Вставить ник Quote
zhenya` Posted July 21, 2021 Posted July 21, 2021 все зависит от содержимого class-map type control match-all IP_UNAUTH_COND match authen-status unauthenticated match timer IP_UNAUTH_TIMER ! если там такое имя, то и таймеры должны быть с таким. Вставить ник Quote
Scorsese712 Posted July 21, 2021 Author Posted July 21, 2021 40 минут назад, zhenya` сказал: все зависит от содержимого class-map type control match-all IP_UNAUTH_COND match authen-status unauthenticated match timer IP_UNAUTH_TIMER ! если там такое имя, то и таймеры должны быть с таким. По идее тогда правильно, кроме class type control always event radius-timeout 1 service-policy type service name OPENGRD 2 service-policy type service name REDIRECT 4 set-timer IP_UNAUTH_TIMER 3 class-map type control match-all ISG-IP-UNAUTH match authen-status unauthenticated match timer UNAUTH-TIMER Вставить ник Quote
Scorsese712 Posted July 30, 2021 Author Posted July 30, 2021 Привел к виду. Все равно сессия остается не авторизованной, пока вручную не сбросить ее на циске.. Что еще может быть policy-map type control ISG-CUSTOMERS-POLICY-IPOE class type control ISG-IP-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event session-start 10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address 20 set-timer UNAUTH-TIMER 1 30 service-policy type service name OPENGRD 40 service-policy type service name REDIRECT ! class type control always event radius-timeout 1 service-policy type service name OPENGRD 2 service-policy type service name REDIRECT 4 set-timer UNAUTH-TIMER 1 ! class type control always event access-reject 10 service-policy type service name OPENGRD 20 service-policy type service name REDIRECT 40 set-timer UNAUTH-TIMER 1 ! class type control always event session-restart 10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address 20 set-timer UNAUTH-TIMER 1 30 service-policy type service name OPENGRD 40 service-policy type service name REDIRECT Вставить ник Quote
Scorsese712 Posted July 30, 2021 Author Posted July 30, 2021 39 минут назад, VolanD666 сказал: Покажите класс мапы ваши class-map type traffic match-any OPENGRD-CLASS match access-group input name OPENGARDEN-ACL match access-group output name OPENGARDEN-ACL ! class-map type traffic match-any REDIRECT-CLASS match access-group input name REDIRECT-ACL match access-group output name REDIRECT-ACL ! class-map type control match-all ISG-IP-UNAUTH match authen-status unauthenticated match timer UNAUTH-TIMER Вставить ник Quote
Scorsese712 Posted July 31, 2021 Author Posted July 31, 2021 Есть идеи? Тупо висит и ждет ручного сброса 332 IPv4 unauthen Attempting 00:06:16 0 Вставить ник Quote
zhenya` Posted August 1, 2021 Posted August 1, 2021 Очень странный статус. Покажите sh subscriber uid sess <uid num> det какие радиус таймауты у вас? Вставить ник Quote
Scorsese712 Posted August 1, 2021 Author Posted August 1, 2021 (edited) 2 часа назад, zhenya` сказал: Очень странный статус. Покажите sh subscriber uid sess <uid num> det какие радиус таймауты у вас? вот все что есть... ASR1002-X-COMMON#show sss session uid 981 Type: IPv4, UID: 981, State: unauthen, Identity: х.х.х.х IPv4 Address: х.х.х.х Session Up-time: 00:02:58, Last Changed: 00:02:58 Switch-ID: 133027 Policy information: Authentication status: unauthen Rules, actions and conditions executed: subscriber rule-map ISG-CUSTOMERS-POLICY-IPOE condition always event session-start 10 authorize aaa list ISG-AUTH-1 identifier source-ip-address subscriber rule-map ISG-CUSTOMERS-POLICY-IPOE condition always event access-reject 10 service-policy type service name OPENGRD Edited August 1, 2021 by Scorsese712 Вставить ник Quote
zhenya` Posted August 1, 2021 Posted August 1, 2021 Настройки тайм-аутов и ретраев покажите для радиуса. а если с det? а редирект сервис то назначился? Поставьте установку таймера выше применения сервисов в access-reject Вставить ник Quote
Scorsese712 Posted August 1, 2021 Author Posted August 1, 2021 2 часа назад, zhenya` сказал: Настройки тайм-аутов и ретраев покажите для радиуса. а если с det? а редирект сервис то назначился? Поставьте установку таймера выше применения сервисов в access-reject таймауты с радиуса приходят. если вы о session and idle timeout. Что есть det Вставить ник Quote
Scorsese712 Posted August 2, 2021 Author Posted August 2, 2021 В 01.08.2021 в 11:46, zhenya` сказал: Настройки тайм-аутов и ретраев покажите для радиуса. а если с det? а редирект сервис то назначился? Поставьте установку таймера выше применения сервисов в access-reject Поднял таймер, картина стала такая. Но суть не поменялась, все равно не авторизуется ASR1002-X-COMMON#sh sss sessi uid 959 det Type: IPv4, UID: 959, State: unauthen, Identity: х.х.х.х IPv4 Address: х.х.х.х Session Up-time: 00:03:49, Last Changed: 00:03:49 Switch-ID: 295597 Policy information: Context 7F4C0BDF5810: Handle 62000205 AAA_id 0081B800: Flow_handle 0 Authentication status: unauthen Rules, actions and conditions executed: subscriber rule-map ISG-CUSTOMERS-POLICY-IPOE condition always event session-start 10 authorize aaa list ISG-AUTH-1 identifier source-ip-address subscriber rule-map ISG-CUSTOMERS-POLICY-IPOE condition always event access-reject 10 set-timer UNAUTH-TIMER 1 20 service-policy type service name OPENGRD Вставить ник Quote
zhenya` Posted August 2, 2021 Posted August 2, 2021 Покажите настройки радиуса в конфигурации. Выглядит очень все странно.. будто оно все ещё окончательного решения ждёт.. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.