Jump to content
Калькуляторы

isg-sce интеграция

Ктонибуть настраивал сабжевую связку? имеем asr+sce8000, control-bus настроен, и политики храним в радиусе и всё бы вроде хорошо, сабскрайберы авторизуются, терминируются на ISG после подрезаются на sce и тд. Но аккаунтинга с SCE вообще не понятно как получать :(

 

Аккаунтинг же с сервисов от самого ISG исправно приходит

 

debug radius accounting

debug aaa accounting

молчат или видят аккаунтинг только от ISG сервисов

 

сервис выглядит так

SG-Service-Info = "IS#TORRENT#500000"

Cisco-Spec-1 = "subscriber:accounting-list=ISG-AUTH"

Cisco-Spec-1 = "subscriber:sg-service-type=external-policy"

Cisco-Spec-1 = "subscriber:policy-name=2"

Cisco-Spec-1 = "subscriber:service-monitor=1"

 

политика на isg выглядит так

policy-map type control TEST-POLICY

!

class type control always event session-start

5 authorize aaa list ISG-AUTH password mysecret identifier source-ip-address

10 service-policy type service name OPEN-SRV

 

Share this post


Link to post
Share on other sites
Но аккаунтинга с SCE вообще не понятно как получать :(

Аккаунтинг с SCE шелтся на ISG (выступает в качестве proxy), а ISG в свою очередь пересылает на сервер.

Настройка отправки аккаунтинга на SCE:

SCA-BB--->Service Configuration Editor--->Configuration--->Policies--->System Settings--->

---->Advanced Options----> Секция Reporting--->Далее меняем значения поля "Flow Accounting RDRs enabled" с false на true.

Загружаем конфиг на SCE. С этого момента аккаунтинг должен приходить.

 

Share this post


Link to post
Share on other sites

Ох тыж.. секретная галочка!

Спасибо огромное до земли :) Как раз то чего и не хватало

Share this post


Link to post
Share on other sites

Ндаа.. отдельное дело теперь понять что летит в аккаунтинге )

Share this post


Link to post
Share on other sites

Ндаа.. отдельное дело теперь понять что летит в аккаунтинге )

А что не понятно?

Share this post


Link to post
Share on other sites

идентификаторы сервисов летят в виде N28, N12, N13 и так далее..

опытным путём можно узнать что за ними скрывается, но решение какоето не красивое. Хотелось бы видеть ип-адрес абонента но вместо этого есть только session-guid, тоже нужно думать как бы к нему привязаться.

да и пока не понятно почему не летят стоп пакеты при сбросе сессии..

Share this post


Link to post
Share on other sites

Чтобы не открывать новую тему, напишу здесь.

Имется SCE2020 в разрыве между бордером и ISG Bras-ом (ASR), не получается настроить push сабскрайберов с аср на сце.

что имеем в конфиге сце:

 

SCE#sh run | i scmp

scmp name BRAS001-PE-1 radius 10.10.1.250 secret password auth 1812 acct 1813

scmp

subscriber anonymous-group name "ASR" IP-range *.*.*.0:0xfffffc00 scmp name BRAS001-PE-1

 

SCE#sh scmp all

SCMP Connection 'BRAS001-PE-1' status:

10.10.1.250 auth-port 1812 acct-port 1813

Connection state: Connected

Peer protocol-version: 2.0

Keep-alive interval: 5 seconds

Force single SCE: No

Send session start: No

Time connected: 2 hours, 5 minutes, 51 seconds

 

SCE#sh scmp all counters

SCMP Connection 'BRAS001-PE-1' counters:

Total messages sent: 1575

Total messages received: 1575

Establish requests sent: 1

Establish replies received: 1

Accounting requests sent: 0

Accounting replies received: 0

Subscriber queries sent: 64

Subscriber query response recv: 64

Request retry exceeded: 0

Requests replied with errors: 64

Subscriber requests received: 0

Subscriber responses sent: 0

Failed Requests: 0

Keep-alive sent: 1510

Keep-alive received: 1510

 

что имеем на брасе:

 

BRAS001-PE-1#show subscriber policy peer all de

EXTERNAL POLICY PEER Details:

=============================

 

Peer IP: 10.10.1.98

Conn ID: 16

Mode : PULL

State : ACTIVE

Version: 2.0

Conn up time: 01:16:59

Conf keepalive: 5

Negotiated keepalive: 5

Time since last keepalive: 00:00:03

Inform owner on pull: FALSE

Total number of associated sessions: 0

Associated session details:

None

 

что я неправильно делаю?

Share this post


Link to post
Share on other sites

пушите что имя профиля или его номер, в цисковской доке врут там пушат имя пакаджа

Edited by alks

Share this post


Link to post
Share on other sites

пушу имя:

policy-map type service INET256x256

class type traffic Internet

accounting aaa list ISG-AUTH-1

!

sg-service-type external-policy

policy-name 256x256

service-monitor enable

 

Пробовал пушить номер, ничего не изменялось

Share this post


Link to post
Share on other sites

пушить нужно номер пакаджа на SCE

покажите конфиг по шине ASR и включайте дебаг - что там пишет

Share this post


Link to post
Share on other sites

Конфиг АСР-а взят из цисковского мана, практически без изменений:

 

aaa authentication login ISG-AUTH-1 group ISG-RADIUS

aaa authentication ppp ISG-AUTH-1 group ISG-RADIUS

aaa authorization network ISG-AUTH-1 group ISG-RADIUS

aaa accounting network ISG-AUTH-1 start-stop group ISG-RADIUS

 

aaa accounting network service_acct start-stop group radius

aaa accounting network session_acct start-stop group radius

 

aaa attribute list coa

attribute type nas-ip-address *.*.*.232

 

aaa server radius policy-device

key password

message-authenticator ignore

authentication port 1812

accounting port 1813

client 10.10.1.98 vrf Mgmt-intf key password

!

policy-peer address 10.10.1.98 keepalive 5

policy-peer keepalive 5

!

policy-map type service INET256x256

class type traffic Internet

accounting aaa list coa

!

sg-service-type external-policy

policy-name 256x256

service-monitor enable

!

policy-map type control ISG-REDIRECT

class type control always event session-start

15 service-policy type service name INET256x256

!

class type control always event acct-notification

10 proxy aaa list ISG-AUTH-1

 

Share this post


Link to post
Share on other sites
aaa server radius policy-device

key password

message-authenticator ignore

authentication port 1812

accounting port 1813

client 10.10.1.98 vrf Mgmt-intf key password

Попробуй настроить и протестировать работу ISG-SCE без использования VRF в конфигурации маршрутизатора (чтобы SCE виднелась в global routin table). Есть подозрение, что причина в этом....

Если заработает, то отпишись, пжл.

Edited by exeyp

Share this post


Link to post
Share on other sites

Уже после того как написал, выкинул врф, но ничо не изменилось... Копаю дальше

Share this post


Link to post
Share on other sites
Уже после того как написал, выкинул врф, но ничо не изменилось... Копаю дальше
Ну тогда:

 

1. В "policy-name" задается идентификатор packageId (цифра)

2. Попробуйте отключить "service password-encryption" и перебейте key в конфигурации "aaa server radius policy-device"

3. Когда конфигурируйте "policy-map type service INET256x256" укажите "accounting aaa list ISG-AUTH-1" (я не понял почему в качестве метод-листа указан coa)

4. sh run | inc radius

5. Ну и, по-прежнему, используйте конфигурацию без VRF.

6. И напоследок, если ничего не поможет:

---------------------------------

Какая версия софта ISG и SCE?

и

debug radius

debug sss policy peer error

debug sss policy peer event

debug sss service

debug sss error

debug sss event

debug sss aaa authorization event

debug aaa subscriber profile

debug aaa per-user

debug aaa mlist-state

debug aaa mlist-ref-count

debug aaa coa

debug aaa subsys

---------------------------------

Edited by exeyp

Share this post


Link to post
Share on other sites

Так, попробую описать ситуацию на данный момент.

Данные об СЦЕ:

 

SCE001-1#sh run | i scmp

scmp name ASR radius 10.10.1.250 secret cisco auth 1645 acct 1646

scmp reconnect-interval 10

scmp subscriber force-single-sce

scmp subscriber send-session-start

scmp

subscriber anonymous-group name "ISG" IP-range 0.0.0.0:0x00000000 scmp name ASR

 

SCE001-1#sh ver

System version: Version 3.6.5 Build 489

Build time: Oct 15 2010, 19:36:22 (Change-list 651872)

Software version is: Version 3.6.5 Build 489

Cryptography class: K9

 

SCE001-1#sh scmp

SCMP enabled: yes

Keep-alive interval: 5 seconds

Loss of synchronization timeout: 90 seconds from disconnection

Reconnection interval: 10 seconds

Force subscriber on a single SCE: yes

Peer sends subscriber data on session start

Subscriber Id structure: GUID

 

SCE001-1#sh scmp all

SCMP Connection 'ASR' status:

10.10.1.250 auth-port 1645 acct-port 1646

Connection state: Connected

Peer protocol-version: 2.0

Keep-alive interval: 5 seconds

Force single SCE: Yes

Send session start: Yes

Time connected: 32 minutes, 31 seconds

 

SCE001-1#sh scmp all counters

SCMP Connection 'ASR' counters:

Total messages sent: 609

Total messages received: 609

Establish requests sent: 1

Establish replies received: 1

Accounting requests sent: 0

Accounting replies received: 0

Subscriber queries sent: 217

Subscriber query response recv: 217

Request retry exceeded: 0

Requests replied with errors: 217

Subscriber requests received: 0

Subscriber responses sent: 0

Failed Requests: 0

Keep-alive sent: 391

Keep-alive received: 391

 

 

Все про АСР:

 

BRAS001-PE-1#sh ver | i boot

System image file is "bootflash:asr1000rp1-advipservicesk9.02.05.02.122-33.XNE2.bin"

 

Пробовал также иос asr1000rp1-adventerprisek9.02.06.02.122-33.XNF2.bin

 

Общение с СЦЕ сделал в GRT

 

interface GigabitEthernet0/0/0.10

description Management

encapsulation dot1Q 10

ip address 10.10.1.250 255.255.240.0

 

Конфиг касаемый ИСГ:

 

aaa authentication login ISG-AUTH-1 group ISG-RADIUS local

aaa authentication ppp ISG-AUTH-1 group ISG-RADIUS local

aaa authorization network ISG-AUTH-1 group ISG-RADIUS local

aaa authorization subscriber-service default local group ISG-RADIUS

aaa accounting delay-start

aaa accounting update periodic 1

aaa accounting network ISG-AUTH-1 start-stop group ISG-RADIUS

aaa accounting network session_acct start-stop group ISG-RADIUS

 

aaa server radius policy-device

key 7 01100F175804

message-authenticator ignore

client 10.10.1.98 key 7 01100F175804

 

policy-peer address 10.10.1.98 keepalive 15

policy-peer keepalive 5

 

policy-map type service SVCSCE

class type traffic PERMIT-ANY

accounting aaa list ISG-AUTH-1

!

sg-service-type external-policy

service-monitor enable

 

policy-map type control SCEPOLICY

class type control always event session-start

5 authenticate aaa list ISG-AUTH-1

10 service-policy type service name SVCSCE

!

class type control always event service-start

20 service-policy type service identifier service-name

 

BRAS001-PE-1#sh sss session username ***** detailed

Unique Session ID: 467

Identifier: *****

SIP subscriber access type(s): PPPoE/PPP

Current SIP options: Req Fwding/Req Fwded

Session Up-time: 00:13:03, Last Changed: 00:13:03

Interface: Virtual-Access2.16

 

Policy information:

Context 3C414DC8: Handle E3000258

AAA_id 000000C6: Flow_handle 0

Authentication status: authen

Downloaded User profile, excluding services:

timeout 86400 (0x15180)

service-type 2 [Framed]

Framed-Protocol 1 [PPP]

addr *.*.*.31

netmask 255.255.255.255

ssg-account-info "NGLOBALNET"

ssg-account-info "AGLOBALNET"

policy-name "1"

Downloaded User profile, including services:

timeout 86400 (0x15180)

service-type 2 [Framed]

Framed-Protocol 1 [PPP]

addr *.*.*.31

netmask 255.255.255.255

ssg-account-info "NGLOBALNET"

ssg-account-info "AGLOBALNET"

policy-name "1"

username "SVCSCE"

sg-service-type 3 [external-policy]

service-monitor 1 (0x1)

traffic-class "input access-group 102"

 

вот что говорит debug radius:

RADIUS: authenticator 03 06 A2 35 38 F9 B0 F6 - 4D 8E 2F C5 A6 17 92 25

RADIUS: Received from id 1646/155 10.10.1.98:1112, Accounting-Request, len 62

RADIUS: authenticator BB 43 1B 74 E7 67 45 40 - 28 87 24 D1 7B 08 48 13

RADIUS: NAS-IP-Address [4] 6 10.10.1.98

RADIUS: Vendor, Cisco [26] 36

RADIUS: Cisco AVpair [1] 30 "subscriber:command=keepalive"

RADIUS(00000000): Received from id 1112/155

RADIUS/ENCODE(00000000):Orig. component type = Invalid

RADIUS(00000000): Config NAS IP: 0.0.0.0

 

RADIUS: authenticator 83 B0 31 01 23 26 B0 05 - A6 49 2B 4E 50 3D 91 18

RADIUS: Received from id 1645/158 10.10.1.98:1111, Access-Request, len 104

RADIUS: authenticator DE 8E D0 F6 96 8D 34 CB - 9F 54 EA 75 84 09 2D 71

RADIUS: NAS-IP-Address [4] 6 10.10.1.98

RADIUS: Vendor, Cisco [26] 42

RADIUS: Cisco AVpair [1] 36 "subscriber:command=queryByIdentity"

RADIUS: Vendor, Cisco [26] 30

RADIUS: Cisco AVpair [1] 24 "epd:notifyChanges=true"

 

Т.е. кипэлайвы бегают, прилетают запросы на авторизацию от сце, но в тоже время АСР отбивает их с ошибкой "epd:error-cause=8" (в дебаге этого не видно, ловил wireshark-ом). По этой ошибке в интернете просто ничего нет, даж намеков что это может быть.

 

Все остальные дебаги буду проверять, результаты отпишу.

Share this post


Link to post
Share on other sites

Воткнул все приведенные выше дебаги, вот самое интересное из полученных сообщений:

 

PM EPD CONN MGR: Timer expired for for 10.10.1.98

PM EPD CONN MGR: restarting peer_mgr timer

RADIUS: Received from id 1645/255 10.10.1.98:1111, Access-Request, len 104

RADIUS: authenticator 5C B4 F7 14 E6 1B 39 D2 - 20 AA 10 56 7E 27 AA 96

RADIUS: NAS-IP-Address [4] 6 10.10.1.98

RADIUS: Vendor, Cisco [26] 42

RADIUS: Cisco AVpair [1] 36 "subscriber:command=queryByIdentity"

RADIUS: Vendor, Cisco [26] 30

RADIUS: Cisco AVpair [1] 24 "epd:notifyChanges=true"

AAA/MLIST Ref count of of mlist 0x3B458360 raised to 150

AAA SRV(BC): process acct req

 

RADIUS: Received from id 1646/0 10.10.1.98:1112, Accounting-Request, len 62

RADIUS: authenticator 21 92 EE 11 E0 28 B8 D8 - C4 8A 69 B2 1E 0A 34 FD

RADIUS: NAS-IP-Address [4] 6 10.10.1.98

RADIUS: Vendor, Cisco [26] 36

RADIUS: Cisco AVpair [1] 30 "subscriber:command=keepalive"

RADIUS(00000000): Received from id 1112/0

AAA SRV(00000000): protocol push for Accounting

PM EPD HANDLER: Received accounting request with command set to: keepalive

 

Share this post


Link to post
Share on other sites
RADIUS/ENCODE(00000000):Orig. component type = Invalid

^^^^^^^^^^^^^^^^

Т.е. кипэлайвы бегают, прилетают запросы на авторизацию от сце, но в тоже время АСР отбивает их с ошибкой "epd:error-cause=8" (в дебаге этого не видно, ловил wireshark-ом). По этой ошибке в интернете просто ничего нет, даж намеков что это может быть.

 

Все остальные дебаги буду проверять, результаты отпишу.

2. Попробуйте сказать на роутере "no service password-encryption" и перебейте key в конфигурации "aaa server radius policy-device" Т.е. чтобы ключ отображался в конфиге ISG без всякого шифрования.

 

Edited by exeyp

Share this post


Link to post
Share on other sites

exeyp

О великий гуру! Ниц падаю! Заработала таки окаяная железяка!

 

Если серьезно, кто ж мог знать что из-за системного шифрования паролей не будет бегать радиус :) почти 2 недели развлечений с железкой закончились до обидного просто. Огромное спасибо за помощь, сами неизвестно сколько еще парились бы!

Share this post


Link to post
Share on other sites

Твоюж за ногу! всё дело то было в этих CENSORED паролях!!! вы две недели развлекались, а мы пять месяцев почти )))

Share this post


Link to post
Share on other sites

идентификаторы сервисов летят в виде N28, N12, N13 и так далее..

опытным путём можно узнать что за ними скрывается, но решение какоето не красивое.

Вообщем долго мучаясь и этот простой вопрос решился :(

всё оказалось тупо, все соответствия значений номеров сервисов и их названии хранятся в базе, в таблице INI_VALUES

 

http://www.cisco.com/en/US/docs/cable/serv_exch/serv_control/broadband_app/rel36x/scabbrg/04_SCA_BB_RG.html#wp1001308

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this