[Scorsese712]

Коллеги, подскажите есть ли на ASR1002 некий таймер, который реавторизует сессию после сброса со стороны биллинга.

[zhenya`]

Сессии какие? Какой инициатор?

[Scorsese712]

12 часов назад, zhenya` сказал:

Сессии какие? Какой инициатор?

 ip subscriber routed
  initiator unclassified ip-address

[ShyLion]

1 hour ago, Scorsese712 said:

 ip subscriber routed
  initiator unclassified ip-address

Любой траффик от абона инициирует сеанс.

Чего пытаетесь добиться?

[Scorsese712]

В 15.07.2021 в 10:15, ShyLion сказал:

Любой траффик от абона инициирует сеанс.

Чего пытаетесь добиться?

Повторного запроса к биллингу на авторизацию. Сессия остается неавторизированной пока вручную не сбросить сессию на киске, саппорт биллинга утверждает что запросы не приходят 

[VolanD666]

19 минут назад, Scorsese712 сказал:

Повторного запроса к биллингу на авторизацию. Сессия остается неавторизированной пока вручную не сбросить сессию на киске, саппорт биллинга утверждает что запросы не приходят 

Что в конфиге то у вас? Сессия то точно сбрасывается, не висит в списке?

[zhenya`]

Unauth как раз говорит про тайм-аут или access-reject.

 

Можно сделать так:

 

class-map type control match-all IP_UNAUTH_COND
 match authen-status unauthenticated 
 match timer IP_UNAUTH_TIMER 
!

policy-map type control <NAME>
 class type control IP_UNAUTH_COND event timed-policy-expiry
  10 service disconnect
 !
 class type control always event session-start
  10 authorize aaa list .....
  20 set-timer IP_UNAUTH_TIMER 5
 !
 

если 10 пройдет, то таймер в 20 не выставится... 5 минут unauth повисит и схлопнет сессию.

[Scorsese712]

17 часов назад, zhenya` сказал:

Unauth как раз говорит про тайм-аут или access-reject.

 

Можно сделать так:

 

class-map type control match-all IP_UNAUTH_COND
 match authen-status unauthenticated 
 match timer IP_UNAUTH_TIMER 
!

policy-map type control <NAME>
 class type control IP_UNAUTH_COND event timed-policy-expiry
  10 service disconnect
 !
 class type control always event session-start
  10 authorize aaa list .....
  20 set-timer IP_UNAUTH_TIMER 5
 !
 

если 10 пройдет, то таймер в 20 не выставится... 5 минут unauth повисит и схлопнет сессию.

На данный момент так в принципе вроде правильно или все же не так

 

policy-map type control ISG-CUSTOMERS-POLICY-IPOE
 class type control ISG-IP-UNAUTH event timed-policy-expiry
  1 service disconnect
 !
 class type control always event session-start
  10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address 
  20 set-timer UNAUTH-TIMER 3
  30 service-policy type service name OPENGRD
  40 service-policy type service name REDIRECT
 !
 class type control always event radius-timeout
  1 service-policy type service name OPENGRD
  2 service-policy type service name REDIRECT
  4 set-timer IP_UNAUTH_TIMER 3
 !
 class type control always event access-reject
  10 service-policy type service name OPENGRD
  20 service-policy type service name REDIRECT
  40 set-timer UNAUTH_TIMER 3

[zhenya`]

Зависит от ожиданий. Я бы дал доступ в инет в части случаев..

[ShyLion]

On 7/17/2021 at 2:48 PM, Scorsese712 said:

На данный момент так в принципе вроде правильно или все же не так

 

policy-map type control ISG-CUSTOMERS-POLICY-IPOE
 class type control ISG-IP-UNAUTH event timed-policy-expiry
  1 service disconnect
 !
 class type control always event session-start
  10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address 
  20 set-timer UNAUTH-TIMER 3
  30 service-policy type service name OPENGRD
  40 service-policy type service name REDIRECT
 !
 class type control always event radius-timeout
  1 service-policy type service name OPENGRD
  2 service-policy type service name REDIRECT
  4 set-timer IP_UNAUTH_TIMER 3
 !
 class type control always event access-reject
  10 service-policy type service name OPENGRD
  20 service-policy type service name REDIRECT
  40 set-timer UNAUTH_TIMER 3

Таймер-то как в итоге называется?

 

 

Вот рабочий пример:

 

aaa new-model
!
!
aaa group server radius ipoe
 server-private 10.0.6.102 auth-port 18120 acct-port 18130 key 7 01000307490E12
 ip vrf forwarding Mgmt-intf
 ip radius source-interface GigabitEthernet0
!
aaa authentication ppp IPOE group ipoe
aaa authorization network IPOE group ipoe
aaa authorization subscriber-service default local
aaa authorization subscriber-service IPOE local group ipoe
aaa accounting delay-start all
aaa accounting delay-start extended-delay 2
aaa accounting update periodic 5
aaa accounting include auth-profile framed-ip-address
aaa accounting include auth-profile framed-ipv6-prefix
aaa accounting include auth-profile delegated-ipv6-prefix
aaa accounting network default start-stop group ipoe
aaa accounting network IPOE start-stop group ipoe
!
!
aaa server radius dynamic-author
 client 10.0.6.102 vrf Mgmt-intf server-key 7 120A0014000E18
 port 1645
 auth-type any
 ignore session-key
!
aaa session-id common
aaa policy interface-config allow-subinterface
!
!
redirect server-group NoMoney
 server ip x.y.198.3 port 80
!
redirect server-group NoMoneyDNS
 server ip x.y.198.10 port 53
!
!
!
!
!
class-map type traffic match-any CM_ANY
 match access-group input name CM_T_ANY
 match access-group output name CM_T_ANY
!
class-map type traffic match-any CM_T_NoMoney_REDIRECT_DNS
 match access-group input name CM_T_NoMoney_REDIRECT_DNS
!
class-map type traffic match-any CM_T_NoMoney_REDIRECT_WWW
 match access-group input name CM_T_NoMoney_REDIRECT_WWW
!
class-map type traffic match-any CM_T_NoMoney_PASS
 match access-group input name CM_T_NoMoney_PASS
 match access-group output name CM_T_NoMoney_PASS
!
class-map type control match-all CM_C_IPoE_REJECT_REAUTH
 match timer IPoE_REJECT_REAUTH
 match authen-status unauthenticated
!
class-map type control match-all CM_C_IPoE_RTIMEOUT_REAUTH
 match timer IPoE_RTIMEOUT_REAUTH
 match authen-status unauthenticated
!
policy-map type service NoMoney10
 10 class type traffic CM_T_NoMoney_PASS
 !
 class type traffic default in-out
  drop
 !
!
policy-map type service NoMoney500
 500 class type traffic CM_T_NoMoney_REDIRECT_WWW
  redirect to group NoMoney
 !
 class type traffic default in-out
  drop
 !
!
policy-map type service NoMoney510
 510 class type traffic CM_T_NoMoney_REDIRECT_DNS
  redirect to group NoMoneyDNS
 !
 class type traffic default in-out
  drop
 !
!
policy-map type service Internet
 100 class type traffic CM_ANY
 !
 class type traffic default in-out
  drop
 !
!
policy-map type control IPoE
 class type control CM_C_IPoE_RTIMEOUT_REAUTH event timed-policy-expiry
  1 service disconnect
 !
 class type control CM_C_IPoE_REJECT_REAUTH event timed-policy-expiry
  1 service disconnect
 !
 class type control always event session-start
  10 authorize aaa list IPOE password ciscoo identifier source-ip-address
  20 set-timer IPoE_REJECT_REAUTH 1
  30 service-policy type service aaa list IPOE name NoMoney10
  40 service-policy type service aaa list IPOE name NoMoney500
  50 service-policy type service aaa list IPOE name NoMoney510
 !
 class type control always event service-stop
  1 service-policy type service unapply identifier service-name
 !
 class type control always event session-restart
  10 authorize aaa list IPOE password ciscoo identifier source-ip-address
  20 set-timer IPoE_REJECT_REAUTH 1
  30 service-policy type service aaa list IPOE name NoMoney10
  40 service-policy type service aaa list IPOE name NoMoney500
  50 service-policy type service aaa list IPOE name NoMoney510
 !
 class type control always event radius-timeout
  1 set-timer IPoE_RTIMEOUT_REAUTH 1
  10 service-policy type service aaa list IPOE name NoMoney10
  20 service-policy type service aaa list IPOE name NoMoney500
  30 service-policy type service aaa list IPOE name NoMoney510
 !
!
interface Loopback2
 ip address x.y.198.1 255.255.255.0
!
!
interface TenGigabitEthernet0/1/0.298
 description Client 102
 encapsulation dot1Q 298
 ip unnumbered Loopback2
 ip nat outside
 service-policy type control IPoE
 ip subscriber routed
  initiator unclassified ip-address
!
interface TenGigabitEthernet0/1/0.299
 description Client 103
 encapsulation dot1Q 299
 ip unnumbered Loopback2
 ip nat outside
 service-policy type control IPoE
 ip subscriber routed
  initiator unclassified ip-address
!
! ..... далее аналогично, может быть двойное тегирование ........
!
ip route x.y.198.102 255.255.255.255 TenGigabitEthernet0/1/0.298 x.y.198.102 name "client 102"
ip route x.y.198.103 255.255.255.255 TenGigabitEthernet0/1/0.299 x.y.198.103 name "client 103"
!
! ..... далее аналогично ..............
!
!
ip access-list extended CM_T_ANY
 permit ip any any
ip access-list extended CM_T_NoMoney_PASS
 permit ip any host x.y.198.3
 permit ip host x.y.198.3 any
 permit udp any host x.y.198.10 eq domain
 permit udp host x.y.198.10 eq domain any
ip access-list extended CM_T_NoMoney_REDIRECT_DNS
 permit udp any any eq domain
ip access-list extended CM_T_NoMoney_REDIRECT_WWW
 permit tcp any any eq www
!
!
radius-server attribute 44 include-in-access-req default-vrf
radius-server attribute 8 include-in-access-req
radius-server attribute 55 include-in-acct-req
radius-server attribute 25 access-request include
radius-server attribute 31 mac format ietf
!

 

[Scorsese712]

В 19.07.2021 в 19:36, ShyLion сказал:

Таймер-то как в итоге называется?

 

 

 

Сорри за глупый вопрос, названия таймеров должны быть одинаковые ?

[ShyLion]

20 minutes ago, Scorsese712 said:

Сорри за глупый вопрос, названия таймеров должны быть одинаковые ?

Ну если класс в полиси стартует таймер, то в классе, который матчит этот таймер, название таймера естественно должно быть таким-же

[Scorsese712]

28 минут назад, ShyLion сказал:

Ну если класс в полиси стартует таймер, то в классе, который матчит этот таймер, название таймера естественно должно быть таким-же

В нашем случае получается везде должен быть ISG-IP-UNAUTH?

[zhenya`]

все зависит от содержимого

class-map type control match-all IP_UNAUTH_COND
 match authen-status unauthenticated 
 match timer IP_UNAUTH_TIMER 
!

 

если там такое имя, то и таймеры должны быть с таким.

[Scorsese712]

40 минут назад, zhenya` сказал:

все зависит от содержимого

class-map type control match-all IP_UNAUTH_COND
 match authen-status unauthenticated 
 match timer IP_UNAUTH_TIMER 
!

 

если там такое имя, то и таймеры должны быть с таким.

По идее тогда правильно, кроме

 

 class type control always event radius-timeout
  1 service-policy type service name OPENGRD
  2 service-policy type service name REDIRECT
  4 set-timer IP_UNAUTH_TIMER 3

 

class-map type control match-all ISG-IP-UNAUTH
 match authen-status unauthenticated 
 match timer UNAUTH-TIMER 

[Scorsese712]

Привел к виду. Все равно сессия остается не авторизованной, пока вручную не сбросить ее на циске.. Что еще может быть

 

policy-map type control ISG-CUSTOMERS-POLICY-IPOE
 class type control ISG-IP-UNAUTH event timed-policy-expiry
  1 service disconnect
 !        
 class type control always event session-start
  10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address 
  20 set-timer UNAUTH-TIMER 1
  30 service-policy type service name OPENGRD
  40 service-policy type service name REDIRECT
 !        
 class type control always event radius-timeout
  1 service-policy type service name OPENGRD
  2 service-policy type service name REDIRECT
  4 set-timer UNAUTH-TIMER 1
 !        
 class type control always event access-reject
  10 service-policy type service name OPENGRD
  20 service-policy type service name REDIRECT
  40 set-timer UNAUTH-TIMER 1
 !        
 class type control always event session-restart
  10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address 
  20 set-timer UNAUTH-TIMER 1
  30 service-policy type service name OPENGRD
  40 service-policy type service name REDIRECT

[VolanD666]

Покажите класс мапы ваши

[Scorsese712]

39 минут назад, VolanD666 сказал:

Покажите класс мапы ваши

class-map type traffic match-any OPENGRD-CLASS
 match access-group input name OPENGARDEN-ACL
 match access-group output name OPENGARDEN-ACL
!         
class-map type traffic match-any REDIRECT-CLASS
 match access-group input name REDIRECT-ACL
 match access-group output name REDIRECT-ACL
!         
class-map type control match-all ISG-IP-UNAUTH
 match authen-status unauthenticated 
 match timer UNAUTH-TIMER 

[Scorsese712]

Есть идеи? Тупо висит и ждет ручного сброса

 

332     IPv4         unauthen Attempting  00:06:16 0

 

 

[zhenya`]

Очень странный статус. Покажите sh subscriber uid sess <uid num> det
 

какие радиус таймауты у вас?

[Scorsese712]

2 часа назад, zhenya` сказал:

Очень странный статус. Покажите sh subscriber uid sess <uid num> det
 

какие радиус таймауты у вас?

 

вот все что есть...

 

ASR1002-X-COMMON#show sss session uid 981
Type: IPv4, UID: 981, State: unauthen, Identity: х.х.х.х
IPv4 Address: х.х.х.х
Session Up-time: 00:02:58, Last Changed: 00:02:58
Switch-ID: 133027

Policy information:
  Authentication status: unauthen
  Rules, actions and conditions executed:
    subscriber rule-map ISG-CUSTOMERS-POLICY-IPOE
      condition always event session-start
        10 authorize aaa list ISG-AUTH-1 identifier source-ip-address 
    subscriber rule-map ISG-CUSTOMERS-POLICY-IPOE
      condition always event access-reject
        10 service-policy type service name OPENGRD

Изменено 1 августа, 2021 пользователем Scorsese712

[zhenya`]

Настройки тайм-аутов и ретраев покажите для радиуса. 
а если с det?

 

а редирект сервис то назначился? Поставьте установку таймера выше применения сервисов в access-reject

[Scorsese712]

2 часа назад, zhenya` сказал:

Настройки тайм-аутов и ретраев покажите для радиуса. 
а если с det?

 

а редирект сервис то назначился? Поставьте установку таймера выше применения сервисов в access-reject

таймауты с радиуса приходят. если вы о session and idle timeout. Что есть det

[Scorsese712]

В 01.08.2021 в 11:46, zhenya` сказал:

Настройки тайм-аутов и ретраев покажите для радиуса. 
а если с det?

 

а редирект сервис то назначился? Поставьте установку таймера выше применения сервисов в access-reject

Поднял таймер, картина стала такая. Но суть не поменялась, все равно не авторизуется

 

ASR1002-X-COMMON#sh sss sessi uid 959 det       
Type: IPv4, UID: 959, State: unauthen, Identity: х.х.х.х
IPv4 Address: х.х.х.х 
Session Up-time: 00:03:49, Last Changed: 00:03:49
Switch-ID: 295597

Policy information:
  Context 7F4C0BDF5810: Handle 62000205
  AAA_id 0081B800: Flow_handle 0
  Authentication status: unauthen
  Rules, actions and conditions executed:
    subscriber rule-map ISG-CUSTOMERS-POLICY-IPOE
      condition always event session-start
        10 authorize aaa list ISG-AUTH-1 identifier source-ip-address 
    subscriber rule-map ISG-CUSTOMERS-POLICY-IPOE
      condition always event access-reject
        10 set-timer UNAUTH-TIMER 1
        20 service-policy type service name OPENGRD

[zhenya`]

Покажите настройки радиуса в конфигурации. Выглядит очень все странно.. будто оно все ещё окончательного решения ждёт..