Jump to content
Калькуляторы

Cisco ASR1002 ISG

Коллеги, подскажите есть ли на ASR1002 некий таймер, который реавторизует сессию после сброса со стороны биллинга.

Share this post


Link to post
Share on other sites
12 часов назад, zhenya` сказал:

Сессии какие? Какой инициатор?

 ip subscriber routed
  initiator unclassified ip-address

Share this post


Link to post
Share on other sites
1 hour ago, Scorsese712 said:

 ip subscriber routed
  initiator unclassified ip-address

Любой траффик от абона инициирует сеанс.

Чего пытаетесь добиться?

Share this post


Link to post
Share on other sites
В 15.07.2021 в 10:15, ShyLion сказал:

Любой траффик от абона инициирует сеанс.

Чего пытаетесь добиться?

Повторного запроса к биллингу на авторизацию. Сессия остается неавторизированной пока вручную не сбросить сессию на киске, саппорт биллинга утверждает что запросы не приходят 

Share this post


Link to post
Share on other sites
19 минут назад, Scorsese712 сказал:

Повторного запроса к биллингу на авторизацию. Сессия остается неавторизированной пока вручную не сбросить сессию на киске, саппорт биллинга утверждает что запросы не приходят 

Что в конфиге то у вас? Сессия то точно сбрасывается, не висит в списке?

Share this post


Link to post
Share on other sites

Unauth как раз говорит про тайм-аут или access-reject.

 

Можно сделать так:

 

class-map type control match-all IP_UNAUTH_COND
 match authen-status unauthenticated 
 match timer IP_UNAUTH_TIMER 
!

policy-map type control <NAME>
 class type control IP_UNAUTH_COND event timed-policy-expiry
  10 service disconnect
 !
 class type control always event session-start
  10 authorize aaa list .....
  20 set-timer IP_UNAUTH_TIMER 5
 !
 

если 10 пройдет, то таймер в 20 не выставится... 5 минут unauth повисит и схлопнет сессию.

Share this post


Link to post
Share on other sites
17 часов назад, zhenya` сказал:

Unauth как раз говорит про тайм-аут или access-reject.

 

Можно сделать так:

 

class-map type control match-all IP_UNAUTH_COND
 match authen-status unauthenticated 
 match timer IP_UNAUTH_TIMER 
!

policy-map type control <NAME>
 class type control IP_UNAUTH_COND event timed-policy-expiry
  10 service disconnect
 !
 class type control always event session-start
  10 authorize aaa list .....
  20 set-timer IP_UNAUTH_TIMER 5
 !
 

если 10 пройдет, то таймер в 20 не выставится... 5 минут unauth повисит и схлопнет сессию.

На данный момент так в принципе вроде правильно или все же не так

 

policy-map type control ISG-CUSTOMERS-POLICY-IPOE
 class type control ISG-IP-UNAUTH event timed-policy-expiry
  1 service disconnect
 !
 class type control always event session-start
  10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address 
  20 set-timer UNAUTH-TIMER 3
  30 service-policy type service name OPENGRD
  40 service-policy type service name REDIRECT
 !
 class type control always event radius-timeout
  1 service-policy type service name OPENGRD
  2 service-policy type service name REDIRECT
  4 set-timer IP_UNAUTH_TIMER 3
 !
 class type control always event access-reject
  10 service-policy type service name OPENGRD
  20 service-policy type service name REDIRECT
  40 set-timer UNAUTH_TIMER 3

Share this post


Link to post
Share on other sites

Зависит от ожиданий. Я бы дал доступ в инет в части случаев..

Share this post


Link to post
Share on other sites
On 7/17/2021 at 2:48 PM, Scorsese712 said:

На данный момент так в принципе вроде правильно или все же не так

 

policy-map type control ISG-CUSTOMERS-POLICY-IPOE
 class type control ISG-IP-UNAUTH event timed-policy-expiry
  1 service disconnect
 !
 class type control always event session-start
  10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address 
  20 set-timer UNAUTH-TIMER 3
  30 service-policy type service name OPENGRD
  40 service-policy type service name REDIRECT
 !
 class type control always event radius-timeout
  1 service-policy type service name OPENGRD
  2 service-policy type service name REDIRECT
  4 set-timer IP_UNAUTH_TIMER 3
 !
 class type control always event access-reject
  10 service-policy type service name OPENGRD
  20 service-policy type service name REDIRECT
  40 set-timer UNAUTH_TIMER 3

Таймер-то как в итоге называется?

 

 

Вот рабочий пример:

 

aaa new-model
!
!
aaa group server radius ipoe
 server-private 10.0.6.102 auth-port 18120 acct-port 18130 key 7 01000307490E12
 ip vrf forwarding Mgmt-intf
 ip radius source-interface GigabitEthernet0
!
aaa authentication ppp IPOE group ipoe
aaa authorization network IPOE group ipoe
aaa authorization subscriber-service default local
aaa authorization subscriber-service IPOE local group ipoe
aaa accounting delay-start all
aaa accounting delay-start extended-delay 2
aaa accounting update periodic 5
aaa accounting include auth-profile framed-ip-address
aaa accounting include auth-profile framed-ipv6-prefix
aaa accounting include auth-profile delegated-ipv6-prefix
aaa accounting network default start-stop group ipoe
aaa accounting network IPOE start-stop group ipoe
!
!
aaa server radius dynamic-author
 client 10.0.6.102 vrf Mgmt-intf server-key 7 120A0014000E18
 port 1645
 auth-type any
 ignore session-key
!
aaa session-id common
aaa policy interface-config allow-subinterface
!
!
redirect server-group NoMoney
 server ip x.y.198.3 port 80
!
redirect server-group NoMoneyDNS
 server ip x.y.198.10 port 53
!
!
!
!
!
class-map type traffic match-any CM_ANY
 match access-group input name CM_T_ANY
 match access-group output name CM_T_ANY
!
class-map type traffic match-any CM_T_NoMoney_REDIRECT_DNS
 match access-group input name CM_T_NoMoney_REDIRECT_DNS
!
class-map type traffic match-any CM_T_NoMoney_REDIRECT_WWW
 match access-group input name CM_T_NoMoney_REDIRECT_WWW
!
class-map type traffic match-any CM_T_NoMoney_PASS
 match access-group input name CM_T_NoMoney_PASS
 match access-group output name CM_T_NoMoney_PASS
!
class-map type control match-all CM_C_IPoE_REJECT_REAUTH
 match timer IPoE_REJECT_REAUTH
 match authen-status unauthenticated
!
class-map type control match-all CM_C_IPoE_RTIMEOUT_REAUTH
 match timer IPoE_RTIMEOUT_REAUTH
 match authen-status unauthenticated
!
policy-map type service NoMoney10
 10 class type traffic CM_T_NoMoney_PASS
 !
 class type traffic default in-out
  drop
 !
!
policy-map type service NoMoney500
 500 class type traffic CM_T_NoMoney_REDIRECT_WWW
  redirect to group NoMoney
 !
 class type traffic default in-out
  drop
 !
!
policy-map type service NoMoney510
 510 class type traffic CM_T_NoMoney_REDIRECT_DNS
  redirect to group NoMoneyDNS
 !
 class type traffic default in-out
  drop
 !
!
policy-map type service Internet
 100 class type traffic CM_ANY
 !
 class type traffic default in-out
  drop
 !
!
policy-map type control IPoE
 class type control CM_C_IPoE_RTIMEOUT_REAUTH event timed-policy-expiry
  1 service disconnect
 !
 class type control CM_C_IPoE_REJECT_REAUTH event timed-policy-expiry
  1 service disconnect
 !
 class type control always event session-start
  10 authorize aaa list IPOE password ciscoo identifier source-ip-address
  20 set-timer IPoE_REJECT_REAUTH 1
  30 service-policy type service aaa list IPOE name NoMoney10
  40 service-policy type service aaa list IPOE name NoMoney500
  50 service-policy type service aaa list IPOE name NoMoney510
 !
 class type control always event service-stop
  1 service-policy type service unapply identifier service-name
 !
 class type control always event session-restart
  10 authorize aaa list IPOE password ciscoo identifier source-ip-address
  20 set-timer IPoE_REJECT_REAUTH 1
  30 service-policy type service aaa list IPOE name NoMoney10
  40 service-policy type service aaa list IPOE name NoMoney500
  50 service-policy type service aaa list IPOE name NoMoney510
 !
 class type control always event radius-timeout
  1 set-timer IPoE_RTIMEOUT_REAUTH 1
  10 service-policy type service aaa list IPOE name NoMoney10
  20 service-policy type service aaa list IPOE name NoMoney500
  30 service-policy type service aaa list IPOE name NoMoney510
 !
!
interface Loopback2
 ip address x.y.198.1 255.255.255.0
!
!
interface TenGigabitEthernet0/1/0.298
 description Client 102
 encapsulation dot1Q 298
 ip unnumbered Loopback2
 ip nat outside
 service-policy type control IPoE
 ip subscriber routed
  initiator unclassified ip-address
!
interface TenGigabitEthernet0/1/0.299
 description Client 103
 encapsulation dot1Q 299
 ip unnumbered Loopback2
 ip nat outside
 service-policy type control IPoE
 ip subscriber routed
  initiator unclassified ip-address
!
! ..... далее аналогично, может быть двойное тегирование ........
!
ip route x.y.198.102 255.255.255.255 TenGigabitEthernet0/1/0.298 x.y.198.102 name "client 102"
ip route x.y.198.103 255.255.255.255 TenGigabitEthernet0/1/0.299 x.y.198.103 name "client 103"
!
! ..... далее аналогично ..............
!
!
ip access-list extended CM_T_ANY
 permit ip any any
ip access-list extended CM_T_NoMoney_PASS
 permit ip any host x.y.198.3
 permit ip host x.y.198.3 any
 permit udp any host x.y.198.10 eq domain
 permit udp host x.y.198.10 eq domain any
ip access-list extended CM_T_NoMoney_REDIRECT_DNS
 permit udp any any eq domain
ip access-list extended CM_T_NoMoney_REDIRECT_WWW
 permit tcp any any eq www
!
!
radius-server attribute 44 include-in-access-req default-vrf
radius-server attribute 8 include-in-access-req
radius-server attribute 55 include-in-acct-req
radius-server attribute 25 access-request include
radius-server attribute 31 mac format ietf
!

 

Share this post


Link to post
Share on other sites
В 19.07.2021 в 19:36, ShyLion сказал:

Таймер-то как в итоге называется?

 

 

 

Сорри за глупый вопрос, названия таймеров должны быть одинаковые ?

Share this post


Link to post
Share on other sites
20 minutes ago, Scorsese712 said:

Сорри за глупый вопрос, названия таймеров должны быть одинаковые ?

Ну если класс в полиси стартует таймер, то в классе, который матчит этот таймер, название таймера естественно должно быть таким-же

Share this post


Link to post
Share on other sites
28 минут назад, ShyLion сказал:

Ну если класс в полиси стартует таймер, то в классе, который матчит этот таймер, название таймера естественно должно быть таким-же

В нашем случае получается везде должен быть ISG-IP-UNAUTH?

Share this post


Link to post
Share on other sites

все зависит от содержимого

class-map type control match-all IP_UNAUTH_COND
 match authen-status unauthenticated 
 match timer IP_UNAUTH_TIMER 
!

 

если там такое имя, то и таймеры должны быть с таким.

Share this post


Link to post
Share on other sites
40 минут назад, zhenya` сказал:

все зависит от содержимого

class-map type control match-all IP_UNAUTH_COND
 match authen-status unauthenticated 
 match timer IP_UNAUTH_TIMER 
!

 

если там такое имя, то и таймеры должны быть с таким.

По идее тогда правильно, кроме

 

 class type control always event radius-timeout
  1 service-policy type service name OPENGRD
  2 service-policy type service name REDIRECT
  4 set-timer IP_UNAUTH_TIMER 3

 

class-map type control match-all ISG-IP-UNAUTH
 match authen-status unauthenticated 
 match timer UNAUTH-TIMER 

Share this post


Link to post
Share on other sites

Привел к виду. Все равно сессия остается не авторизованной, пока вручную не сбросить ее на циске.. Что еще может быть

 

policy-map type control ISG-CUSTOMERS-POLICY-IPOE
 class type control ISG-IP-UNAUTH event timed-policy-expiry
  1 service disconnect
 !        
 class type control always event session-start
  10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address 
  20 set-timer UNAUTH-TIMER 1
  30 service-policy type service name OPENGRD
  40 service-policy type service name REDIRECT
 !        
 class type control always event radius-timeout
  1 service-policy type service name OPENGRD
  2 service-policy type service name REDIRECT
  4 set-timer UNAUTH-TIMER 1
 !        
 class type control always event access-reject
  10 service-policy type service name OPENGRD
  20 service-policy type service name REDIRECT
  40 set-timer UNAUTH-TIMER 1
 !        
 class type control always event session-restart
  10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address 
  20 set-timer UNAUTH-TIMER 1
  30 service-policy type service name OPENGRD
  40 service-policy type service name REDIRECT

Share this post


Link to post
Share on other sites
39 минут назад, VolanD666 сказал:

Покажите класс мапы ваши

class-map type traffic match-any OPENGRD-CLASS
 match access-group input name OPENGARDEN-ACL
 match access-group output name OPENGARDEN-ACL
!         
class-map type traffic match-any REDIRECT-CLASS
 match access-group input name REDIRECT-ACL
 match access-group output name REDIRECT-ACL
!         
class-map type control match-all ISG-IP-UNAUTH
 match authen-status unauthenticated 
 match timer UNAUTH-TIMER 

Share this post


Link to post
Share on other sites

Есть идеи? Тупо висит и ждет ручного сброса

 

332     IPv4         unauthen Attempting  00:06:16 0

 

 

Share this post


Link to post
Share on other sites

Очень странный статус. Покажите sh subscriber uid sess <uid num> det
 

какие радиус таймауты у вас?

Share this post


Link to post
Share on other sites
2 часа назад, zhenya` сказал:

Очень странный статус. Покажите sh subscriber uid sess <uid num> det
 

какие радиус таймауты у вас?

 

вот все что есть...

 

ASR1002-X-COMMON#show sss session uid 981
Type: IPv4, UID: 981, State: unauthen, Identity: х.х.х.х
IPv4 Address: х.х.х.х
Session Up-time: 00:02:58, Last Changed: 00:02:58
Switch-ID: 133027

Policy information:
  Authentication status: unauthen
  Rules, actions and conditions executed:
    subscriber rule-map ISG-CUSTOMERS-POLICY-IPOE
      condition always event session-start
        10 authorize aaa list ISG-AUTH-1 identifier source-ip-address 
    subscriber rule-map ISG-CUSTOMERS-POLICY-IPOE
      condition always event access-reject
        10 service-policy type service name OPENGRD

Edited by Scorsese712

Share this post


Link to post
Share on other sites

Настройки тайм-аутов и ретраев покажите для радиуса. 
а если с det?

 

а редирект сервис то назначился? Поставьте установку таймера выше применения сервисов в access-reject

Share this post


Link to post
Share on other sites
2 часа назад, zhenya` сказал:

Настройки тайм-аутов и ретраев покажите для радиуса. 
а если с det?

 

а редирект сервис то назначился? Поставьте установку таймера выше применения сервисов в access-reject

таймауты с радиуса приходят. если вы о session and idle timeout. Что есть det

Share this post


Link to post
Share on other sites
В 01.08.2021 в 11:46, zhenya` сказал:

Настройки тайм-аутов и ретраев покажите для радиуса. 
а если с det?

 

а редирект сервис то назначился? Поставьте установку таймера выше применения сервисов в access-reject

Поднял таймер, картина стала такая. Но суть не поменялась, все равно не авторизуется

 

ASR1002-X-COMMON#sh sss sessi uid 959 det       
Type: IPv4, UID: 959, State: unauthen, Identity: х.х.х.х
IPv4 Address: х.х.х.х 
Session Up-time: 00:03:49, Last Changed: 00:03:49
Switch-ID: 295597

Policy information:
  Context 7F4C0BDF5810: Handle 62000205
  AAA_id 0081B800: Flow_handle 0
  Authentication status: unauthen
  Rules, actions and conditions executed:
    subscriber rule-map ISG-CUSTOMERS-POLICY-IPOE
      condition always event session-start
        10 authorize aaa list ISG-AUTH-1 identifier source-ip-address 
    subscriber rule-map ISG-CUSTOMERS-POLICY-IPOE
      condition always event access-reject
        10 set-timer UNAUTH-TIMER 1
        20 service-policy type service name OPENGRD

Share this post


Link to post
Share on other sites

Покажите настройки радиуса в конфигурации. Выглядит очень все странно.. будто оно все ещё окончательного решения ждёт..

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this