Scorsese712 Опубликовано 14 июля, 2021 · Жалоба Коллеги, подскажите есть ли на ASR1002 некий таймер, который реавторизует сессию после сброса со стороны биллинга. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 14 июля, 2021 · Жалоба Сессии какие? Какой инициатор? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Scorsese712 Опубликовано 15 июля, 2021 · Жалоба 12 часов назад, zhenya` сказал: Сессии какие? Какой инициатор? ip subscriber routed initiator unclassified ip-address Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 15 июля, 2021 · Жалоба 1 hour ago, Scorsese712 said: ip subscriber routed initiator unclassified ip-address Любой траффик от абона инициирует сеанс. Чего пытаетесь добиться? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Scorsese712 Опубликовано 16 июля, 2021 · Жалоба В 15.07.2021 в 10:15, ShyLion сказал: Любой траффик от абона инициирует сеанс. Чего пытаетесь добиться? Повторного запроса к биллингу на авторизацию. Сессия остается неавторизированной пока вручную не сбросить сессию на киске, саппорт биллинга утверждает что запросы не приходят Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 16 июля, 2021 · Жалоба 19 минут назад, Scorsese712 сказал: Повторного запроса к биллингу на авторизацию. Сессия остается неавторизированной пока вручную не сбросить сессию на киске, саппорт биллинга утверждает что запросы не приходят Что в конфиге то у вас? Сессия то точно сбрасывается, не висит в списке? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 16 июля, 2021 · Жалоба Unauth как раз говорит про тайм-аут или access-reject. Можно сделать так: class-map type control match-all IP_UNAUTH_COND match authen-status unauthenticated match timer IP_UNAUTH_TIMER ! policy-map type control <NAME> class type control IP_UNAUTH_COND event timed-policy-expiry 10 service disconnect ! class type control always event session-start 10 authorize aaa list ..... 20 set-timer IP_UNAUTH_TIMER 5 ! если 10 пройдет, то таймер в 20 не выставится... 5 минут unauth повисит и схлопнет сессию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Scorsese712 Опубликовано 17 июля, 2021 · Жалоба 17 часов назад, zhenya` сказал: Unauth как раз говорит про тайм-аут или access-reject. Можно сделать так: class-map type control match-all IP_UNAUTH_COND match authen-status unauthenticated match timer IP_UNAUTH_TIMER ! policy-map type control <NAME> class type control IP_UNAUTH_COND event timed-policy-expiry 10 service disconnect ! class type control always event session-start 10 authorize aaa list ..... 20 set-timer IP_UNAUTH_TIMER 5 ! если 10 пройдет, то таймер в 20 не выставится... 5 минут unauth повисит и схлопнет сессию. На данный момент так в принципе вроде правильно или все же не так policy-map type control ISG-CUSTOMERS-POLICY-IPOE class type control ISG-IP-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event session-start 10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address 20 set-timer UNAUTH-TIMER 3 30 service-policy type service name OPENGRD 40 service-policy type service name REDIRECT ! class type control always event radius-timeout 1 service-policy type service name OPENGRD 2 service-policy type service name REDIRECT 4 set-timer IP_UNAUTH_TIMER 3 ! class type control always event access-reject 10 service-policy type service name OPENGRD 20 service-policy type service name REDIRECT 40 set-timer UNAUTH_TIMER 3 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 17 июля, 2021 · Жалоба Зависит от ожиданий. Я бы дал доступ в инет в части случаев.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 19 июля, 2021 · Жалоба On 7/17/2021 at 2:48 PM, Scorsese712 said: На данный момент так в принципе вроде правильно или все же не так policy-map type control ISG-CUSTOMERS-POLICY-IPOE class type control ISG-IP-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event session-start 10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address 20 set-timer UNAUTH-TIMER 3 30 service-policy type service name OPENGRD 40 service-policy type service name REDIRECT ! class type control always event radius-timeout 1 service-policy type service name OPENGRD 2 service-policy type service name REDIRECT 4 set-timer IP_UNAUTH_TIMER 3 ! class type control always event access-reject 10 service-policy type service name OPENGRD 20 service-policy type service name REDIRECT 40 set-timer UNAUTH_TIMER 3 Таймер-то как в итоге называется? Вот рабочий пример: aaa new-model ! ! aaa group server radius ipoe server-private 10.0.6.102 auth-port 18120 acct-port 18130 key 7 01000307490E12 ip vrf forwarding Mgmt-intf ip radius source-interface GigabitEthernet0 ! aaa authentication ppp IPOE group ipoe aaa authorization network IPOE group ipoe aaa authorization subscriber-service default local aaa authorization subscriber-service IPOE local group ipoe aaa accounting delay-start all aaa accounting delay-start extended-delay 2 aaa accounting update periodic 5 aaa accounting include auth-profile framed-ip-address aaa accounting include auth-profile framed-ipv6-prefix aaa accounting include auth-profile delegated-ipv6-prefix aaa accounting network default start-stop group ipoe aaa accounting network IPOE start-stop group ipoe ! ! aaa server radius dynamic-author client 10.0.6.102 vrf Mgmt-intf server-key 7 120A0014000E18 port 1645 auth-type any ignore session-key ! aaa session-id common aaa policy interface-config allow-subinterface ! ! redirect server-group NoMoney server ip x.y.198.3 port 80 ! redirect server-group NoMoneyDNS server ip x.y.198.10 port 53 ! ! ! ! ! class-map type traffic match-any CM_ANY match access-group input name CM_T_ANY match access-group output name CM_T_ANY ! class-map type traffic match-any CM_T_NoMoney_REDIRECT_DNS match access-group input name CM_T_NoMoney_REDIRECT_DNS ! class-map type traffic match-any CM_T_NoMoney_REDIRECT_WWW match access-group input name CM_T_NoMoney_REDIRECT_WWW ! class-map type traffic match-any CM_T_NoMoney_PASS match access-group input name CM_T_NoMoney_PASS match access-group output name CM_T_NoMoney_PASS ! class-map type control match-all CM_C_IPoE_REJECT_REAUTH match timer IPoE_REJECT_REAUTH match authen-status unauthenticated ! class-map type control match-all CM_C_IPoE_RTIMEOUT_REAUTH match timer IPoE_RTIMEOUT_REAUTH match authen-status unauthenticated ! policy-map type service NoMoney10 10 class type traffic CM_T_NoMoney_PASS ! class type traffic default in-out drop ! ! policy-map type service NoMoney500 500 class type traffic CM_T_NoMoney_REDIRECT_WWW redirect to group NoMoney ! class type traffic default in-out drop ! ! policy-map type service NoMoney510 510 class type traffic CM_T_NoMoney_REDIRECT_DNS redirect to group NoMoneyDNS ! class type traffic default in-out drop ! ! policy-map type service Internet 100 class type traffic CM_ANY ! class type traffic default in-out drop ! ! policy-map type control IPoE class type control CM_C_IPoE_RTIMEOUT_REAUTH event timed-policy-expiry 1 service disconnect ! class type control CM_C_IPoE_REJECT_REAUTH event timed-policy-expiry 1 service disconnect ! class type control always event session-start 10 authorize aaa list IPOE password ciscoo identifier source-ip-address 20 set-timer IPoE_REJECT_REAUTH 1 30 service-policy type service aaa list IPOE name NoMoney10 40 service-policy type service aaa list IPOE name NoMoney500 50 service-policy type service aaa list IPOE name NoMoney510 ! class type control always event service-stop 1 service-policy type service unapply identifier service-name ! class type control always event session-restart 10 authorize aaa list IPOE password ciscoo identifier source-ip-address 20 set-timer IPoE_REJECT_REAUTH 1 30 service-policy type service aaa list IPOE name NoMoney10 40 service-policy type service aaa list IPOE name NoMoney500 50 service-policy type service aaa list IPOE name NoMoney510 ! class type control always event radius-timeout 1 set-timer IPoE_RTIMEOUT_REAUTH 1 10 service-policy type service aaa list IPOE name NoMoney10 20 service-policy type service aaa list IPOE name NoMoney500 30 service-policy type service aaa list IPOE name NoMoney510 ! ! interface Loopback2 ip address x.y.198.1 255.255.255.0 ! ! interface TenGigabitEthernet0/1/0.298 description Client 102 encapsulation dot1Q 298 ip unnumbered Loopback2 ip nat outside service-policy type control IPoE ip subscriber routed initiator unclassified ip-address ! interface TenGigabitEthernet0/1/0.299 description Client 103 encapsulation dot1Q 299 ip unnumbered Loopback2 ip nat outside service-policy type control IPoE ip subscriber routed initiator unclassified ip-address ! ! ..... далее аналогично, может быть двойное тегирование ........ ! ip route x.y.198.102 255.255.255.255 TenGigabitEthernet0/1/0.298 x.y.198.102 name "client 102" ip route x.y.198.103 255.255.255.255 TenGigabitEthernet0/1/0.299 x.y.198.103 name "client 103" ! ! ..... далее аналогично .............. ! ! ip access-list extended CM_T_ANY permit ip any any ip access-list extended CM_T_NoMoney_PASS permit ip any host x.y.198.3 permit ip host x.y.198.3 any permit udp any host x.y.198.10 eq domain permit udp host x.y.198.10 eq domain any ip access-list extended CM_T_NoMoney_REDIRECT_DNS permit udp any any eq domain ip access-list extended CM_T_NoMoney_REDIRECT_WWW permit tcp any any eq www ! ! radius-server attribute 44 include-in-access-req default-vrf radius-server attribute 8 include-in-access-req radius-server attribute 55 include-in-acct-req radius-server attribute 25 access-request include radius-server attribute 31 mac format ietf ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Scorsese712 Опубликовано 21 июля, 2021 · Жалоба В 19.07.2021 в 19:36, ShyLion сказал: Таймер-то как в итоге называется? Сорри за глупый вопрос, названия таймеров должны быть одинаковые ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 21 июля, 2021 · Жалоба 20 minutes ago, Scorsese712 said: Сорри за глупый вопрос, названия таймеров должны быть одинаковые ? Ну если класс в полиси стартует таймер, то в классе, который матчит этот таймер, название таймера естественно должно быть таким-же Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Scorsese712 Опубликовано 21 июля, 2021 · Жалоба 28 минут назад, ShyLion сказал: Ну если класс в полиси стартует таймер, то в классе, который матчит этот таймер, название таймера естественно должно быть таким-же В нашем случае получается везде должен быть ISG-IP-UNAUTH? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 21 июля, 2021 · Жалоба все зависит от содержимого class-map type control match-all IP_UNAUTH_COND match authen-status unauthenticated match timer IP_UNAUTH_TIMER ! если там такое имя, то и таймеры должны быть с таким. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Scorsese712 Опубликовано 21 июля, 2021 · Жалоба 40 минут назад, zhenya` сказал: все зависит от содержимого class-map type control match-all IP_UNAUTH_COND match authen-status unauthenticated match timer IP_UNAUTH_TIMER ! если там такое имя, то и таймеры должны быть с таким. По идее тогда правильно, кроме class type control always event radius-timeout 1 service-policy type service name OPENGRD 2 service-policy type service name REDIRECT 4 set-timer IP_UNAUTH_TIMER 3 class-map type control match-all ISG-IP-UNAUTH match authen-status unauthenticated match timer UNAUTH-TIMER Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Scorsese712 Опубликовано 30 июля, 2021 · Жалоба Привел к виду. Все равно сессия остается не авторизованной, пока вручную не сбросить ее на циске.. Что еще может быть policy-map type control ISG-CUSTOMERS-POLICY-IPOE class type control ISG-IP-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event session-start 10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address 20 set-timer UNAUTH-TIMER 1 30 service-policy type service name OPENGRD 40 service-policy type service name REDIRECT ! class type control always event radius-timeout 1 service-policy type service name OPENGRD 2 service-policy type service name REDIRECT 4 set-timer UNAUTH-TIMER 1 ! class type control always event access-reject 10 service-policy type service name OPENGRD 20 service-policy type service name REDIRECT 40 set-timer UNAUTH-TIMER 1 ! class type control always event session-restart 10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address 20 set-timer UNAUTH-TIMER 1 30 service-policy type service name OPENGRD 40 service-policy type service name REDIRECT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 30 июля, 2021 · Жалоба Покажите класс мапы ваши Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Scorsese712 Опубликовано 30 июля, 2021 · Жалоба 39 минут назад, VolanD666 сказал: Покажите класс мапы ваши class-map type traffic match-any OPENGRD-CLASS match access-group input name OPENGARDEN-ACL match access-group output name OPENGARDEN-ACL ! class-map type traffic match-any REDIRECT-CLASS match access-group input name REDIRECT-ACL match access-group output name REDIRECT-ACL ! class-map type control match-all ISG-IP-UNAUTH match authen-status unauthenticated match timer UNAUTH-TIMER Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Scorsese712 Опубликовано 31 июля, 2021 · Жалоба Есть идеи? Тупо висит и ждет ручного сброса 332 IPv4 unauthen Attempting 00:06:16 0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 1 августа, 2021 · Жалоба Очень странный статус. Покажите sh subscriber uid sess <uid num> det какие радиус таймауты у вас? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Scorsese712 Опубликовано 1 августа, 2021 (изменено) · Жалоба 2 часа назад, zhenya` сказал: Очень странный статус. Покажите sh subscriber uid sess <uid num> det какие радиус таймауты у вас? вот все что есть... ASR1002-X-COMMON#show sss session uid 981 Type: IPv4, UID: 981, State: unauthen, Identity: х.х.х.х IPv4 Address: х.х.х.х Session Up-time: 00:02:58, Last Changed: 00:02:58 Switch-ID: 133027 Policy information: Authentication status: unauthen Rules, actions and conditions executed: subscriber rule-map ISG-CUSTOMERS-POLICY-IPOE condition always event session-start 10 authorize aaa list ISG-AUTH-1 identifier source-ip-address subscriber rule-map ISG-CUSTOMERS-POLICY-IPOE condition always event access-reject 10 service-policy type service name OPENGRD Изменено 1 августа, 2021 пользователем Scorsese712 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 1 августа, 2021 · Жалоба Настройки тайм-аутов и ретраев покажите для радиуса. а если с det? а редирект сервис то назначился? Поставьте установку таймера выше применения сервисов в access-reject Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Scorsese712 Опубликовано 1 августа, 2021 · Жалоба 2 часа назад, zhenya` сказал: Настройки тайм-аутов и ретраев покажите для радиуса. а если с det? а редирект сервис то назначился? Поставьте установку таймера выше применения сервисов в access-reject таймауты с радиуса приходят. если вы о session and idle timeout. Что есть det Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Scorsese712 Опубликовано 2 августа, 2021 · Жалоба В 01.08.2021 в 11:46, zhenya` сказал: Настройки тайм-аутов и ретраев покажите для радиуса. а если с det? а редирект сервис то назначился? Поставьте установку таймера выше применения сервисов в access-reject Поднял таймер, картина стала такая. Но суть не поменялась, все равно не авторизуется ASR1002-X-COMMON#sh sss sessi uid 959 det Type: IPv4, UID: 959, State: unauthen, Identity: х.х.х.х IPv4 Address: х.х.х.х Session Up-time: 00:03:49, Last Changed: 00:03:49 Switch-ID: 295597 Policy information: Context 7F4C0BDF5810: Handle 62000205 AAA_id 0081B800: Flow_handle 0 Authentication status: unauthen Rules, actions and conditions executed: subscriber rule-map ISG-CUSTOMERS-POLICY-IPOE condition always event session-start 10 authorize aaa list ISG-AUTH-1 identifier source-ip-address subscriber rule-map ISG-CUSTOMERS-POLICY-IPOE condition always event access-reject 10 set-timer UNAUTH-TIMER 1 20 service-policy type service name OPENGRD Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 2 августа, 2021 · Жалоба Покажите настройки радиуса в конфигурации. Выглядит очень все странно.. будто оно все ещё окончательного решения ждёт.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...