leveler Опубликовано 21 августа, 2009 · Жалоба Мучаю ISG для выдачи сервисов хосту со статическим IP-адресом. Всё нужное выдаётся. Но проблема в том, что хочу отключения сессии в случае отсутствия пакетов от/на данный хост. Вот тут есть умные слова Idle Timeout and Session timeout, но что-то в конфиге и мануалах я не наткнулся на этого. На данный момент делаю так - раз в N минут service disconnect. Хотелось бы более элегантное (правильное) решение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
triam Опубликовано 21 августа, 2009 · Жалоба Мучаю ISG для выдачи сервисов хосту со статическим IP-адресом. Всё нужное выдаётся. Но проблема в том, что хочу отключения сессии в случае отсутствия пакетов от/на данный хост. Вот тут есть умные слова Idle Timeout and Session timeout, но что-то в конфиге и мануалах я не наткнулся на этого. На данный момент делаю так - раз в N минут service disconnect. Хотелось бы более элегантное (правильное) решение. show subscriber session id source- 10.1.1.1 255.255.255.255 смотри на строчки Feature: IP Idle Timeout Timeout value is 3600 Idle time is 00:00:34 =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 21 августа, 2009 · Жалоба Видимо часа я и не выждал. ))) А можно ли подкрутить этот таймер? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 24 августа, 2009 · Жалоба Emulated7201#sh subscriber ses id sou <IP-адрес хоста> 255.255.255.255 Emulated7201# Какбэ всё. Можно вот так сделать: Emulated7201#sh subscriber session detailed | i ime Session Up-time: 02:10:18, Last Changed: 02:10:19 Service: ISGLocal, Active Time = 02:10:19 Session Up-time: 02:10:18, Last Changed: 02:10:19 Service: ISGInternet, Active Time = 02:10:19 Session Up-time: 02:10:19, Last Changed: 02:10:19 Service: ISGInternet, Active Time = 02:10:19 Service: ISGLocal, Active Time = 02:10:19 Interface: FastEthernet0/0, Active Time = 02:10:19 Emulated7201#sh subscriber session detailed | i ime Но тут тоже не видно ключевых слов "Idle time". Более того, сессия у меня простаивает уже более двух часов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
redefine Опубликовано 25 августа, 2009 · Жалоба Обычно это делается одним из двух способов: конфигурация в CLI или выдача атрибута из радиуса. Какой софт используете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 25 августа, 2009 · Жалоба Исключительно отечественный c7200-a3jk91s-mz.122-31.SB9.bin + dynamips/dynagen. Я согласен любым. Но если расскажете про оба, будет ещё лучше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dead_moroz Опубликовано 26 марта, 2010 · Жалоба Мучаю ISG для выдачи сервисов хосту со статическим IP-адресом. Всё нужное выдаётся. Но проблема в том, что хочу отключения сессии в случае отсутствия пакетов от/на данный хост. Вот тут есть умные слова Idle Timeout and Session timeout, но что-то в конфиге и мануалах я не наткнулся на этого. На данный момент делаю так - раз в N минут service disconnect. Хотелось бы более элегантное (правильное) решение. Данная проблема решена?Если да, то поделитесь решением. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dehu4ka Опубликовано 26 марта, 2010 · Жалоба Мы с радиуса выдаём атрибуты Session-timeout и Idle timeout. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dead_moroz Опубликовано 26 марта, 2010 · Жалоба Мы с радиуса выдаём атрибуты Session-timeout и Idle timeout.Спасибо, уже разобрался.Я эти атрибуты вешал на траффик-класс, а нужно на юзера. На юзере все работает. P.S. Может еще подскажете, как поменять параметры сессии без ее разрыва? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dehu4ka Опубликовано 26 марта, 2010 · Жалоба Я тестировал через CoA смену как услуги, так и параметров QoS услуги. Работало. К сожалению, дальше тестирования не ушло. :( Может у кого есть наработки/готовый CoA-портал? На форуме уже приводились примеры работы с CoA, через radclient Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dead_moroz Опубликовано 27 марта, 2010 · Жалоба Обнаружился косяк с idle timeot. ASR постоянно обнуляет счетчик Idle time, больше 5-10 минут не наматывается, соответственно сессии по таймауту не отваливаютя. Данный косяк наблюдал на 2.3.2-advipservices и на 2.5.1-advipservices. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dehu4ka Опубликовано 29 марта, 2010 · Жалоба Idle time - время неактивности. Может просто шёл какой-то трафик? Session-Timeout (RADIUS-атрибут 27) - может вам его надо задавать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Eugene Tsepelev Опубликовано 29 июля, 2010 · Жалоба Подниму пожалуй тему. Ни у кого не было проблем с рестартом сервиса после idle-timeout ? Имеем следующее - gw-regit#sh ver Cisco IOS Software, 7200 Software (C7200P-ADVENTERPRISEK9-M), Version 12.2(33)SRE, RELEASE SOFTWARE (fc1) gw-regit#sh policy-map service Current policy profile DB contents are: Profile name: nas-port:10.255.0.1:0/0/3/1499, 3 references ssg-account-info "ALOCAL" ssg-account-info "APREPAID_INTERNET" Profile name: PREPAID_INTERNET, 3 references traffic-class "in access-group 196 priority 200" traffic-class "out access-group 196 priority 200" traffic-class "out default drop" traffic-class "in default drop" idletime 600 (0x258) accounting-list "ISG-AUTH-1" Profile name: LOCAL, 5 references traffic-class "in access-group 195 priority 5" traffic-class "in default drop" traffic-class "out access-group 195 priority 5" traffic-class "out default drop" ssg-service-info "QU;50000000;75000000;D;50000000;75000000" gw-regit#sh subsc sess de поскипано Access-type: IP-Interface Client: SM Policy event: Service Selection Request Profile name: nas-port:10.255.0.1:0/0/3/1499, 2 references ssg-account-info "ALOCAL" ssg-account-info "APREPAID_INTERNET" Active services associated with session: name "LOCAL" Rules, actions and conditions executed: subscriber rule-map ISG-INTERFACE-POLICY condition always event session-start 10 authorize aaa list ISG-AUTH-1 identifier nas-port subscriber rule-map default-internal-rule condition always event idle-timeout 1 disconnect поскипано Сервис LOCAL остался, PREPAID_INTERNET умер по тайм ауту. В политиках у нас gw-regit#sh policy-map control Rule: default-internal-rule Class-map: always event account-logon Action: 1 authenticate Executed: 0 Class-map: always event idle-timeout Action: 1 disconnect Executed: 8 Class-map: always event session-timeout Action: 1 disconnect Executed: 0 Class-map: always event keepalive-timeout Action: 1 disconnect Executed: 0 Rule: internal-rule-session-restart Class-map: always event session-restart Action: 1 service disconnect delay 60 Executed: 0 Rule: ISG-INTERFACE-POLICY Class-map: always event session-start Action: 10 authorize aaa list ISG-AUTH-1 identifier nas-port Executed: 430 Action: 20 set-timer UNAUTH-TIMER 1 Executed: 426 Action: 30 service-policy type service name LOCAL_L4R Executed: 6 Class-map: always event session-restart Action: 10 authorize aaa list ISG-AUTH-1 identifier nas-port Executed: 0 Action: 20 set-timer UNAUTH-TIMER 1 Executed: 0 Action: 30 service-policy type service name LOCAL_L4R Executed: 0 Видно что срабатывает always event idle-timeout, но как по новой сервис запустить ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
skinner Опубликовано 27 сентября, 2010 · Жалоба присоединяюсь к вопросу.. а это вообще возможно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dehu4ka Опубликовано 30 сентября, 2010 · Жалоба > как по новой сервис запустить ? COA-запросом, например. Быть может лучше idle-timeout не на сервис вешать, а на сессию? Чтобы при "10 authorize aaa list ISG-AUTH-1 identifier nas-port" радиус выдавал idle-timeout? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kt Опубликовано 21 октября, 2010 · Жалоба > как по новой сервис запустить ?COA-запросом, например. Быть может лучше idle-timeout не на сервис вешать, а на сессию? Чтобы при "10 authorize aaa list ISG-AUTH-1 identifier nas-port" радиус выдавал idle-timeout? пробовал и на сессию и на сервис вешать, почти все клиенты нормально отваливаются и сессия прибивается, а один остается висеть без сервиса. Хотелось бы сделать так чтобы если таймаут вышел то сессия оборвалась, но пока чтото не получается Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tsolodov Опубликовано 15 марта, 2011 · Жалоба > как по новой сервис запустить ?COA-запросом, например. Быть может лучше idle-timeout не на сервис вешать, а на сессию? Чтобы при "10 authorize aaa list ISG-AUTH-1 identifier nas-port" радиус выдавал idle-timeout? пробовал и на сессию и на сервис вешать, почти все клиенты нормально отваливаются и сессия прибивается, а один остается висеть без сервиса. Хотелось бы сделать так чтобы если таймаут вышел то сессия оборвалась, но пока чтото не получается Люди, что то затупил. Можно конечно к пользователю прибить session-timeout, но мне незачем увеличивать кол-во записей в БД. Как можно отстрелить пользователя после того, как он залогинился после 24 часов? (профили пользователей и сервисвов находятся в радиусе) вот политика которая на интерфейс привешена: policy-map type control S1 class type control always event session-start 10 authorize aaa list ISG-AUTH password cisco identifier source-ip-address ! class type control always event access-reject 1 service-policy type service name OPENGARDEN 2 service-policy type service name L4REDIRECTOR ! Делал по примерам как тут, но там я не совсем понял что к чему, да и не заработало это у меня. Кто поделится информацией? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tsolodov Опубликовано 16 марта, 2011 · Жалоба > как по новой сервис запустить ?COA-запросом, например. Быть может лучше idle-timeout не на сервис вешать, а на сессию? Чтобы при "10 authorize aaa list ISG-AUTH-1 identifier nas-port" радиус выдавал idle-timeout? пробовал и на сессию и на сервис вешать, почти все клиенты нормально отваливаются и сессия прибивается, а один остается висеть без сервиса. Хотелось бы сделать так чтобы если таймаут вышел то сессия оборвалась, но пока чтото не получается Люди, что то затупил. Можно конечно к пользователю прибить session-timeout, но мне незачем увеличивать кол-во записей в БД. Как можно отстрелить пользователя после того, как он залогинился после 24 часов? (профили пользователей и сервисвов находятся в радиусе) вот политика которая на интерфейс привешена: policy-map type control S1 class type control always event session-start 10 authorize aaa list ISG-AUTH password cisco identifier source-ip-address ! class type control always event access-reject 1 service-policy type service name OPENGARDEN 2 service-policy type service name L4REDIRECTOR ! Делал по примерам как тут, но там я не совсем понял что к чему, да и не заработало это у меня. Кто поделится информацией? Официальные доки рулят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...