skinner Опубликовано 23 сентября, 2010 · Жалоба Ктонибуть настраивал сабжевую связку? имеем asr+sce8000, control-bus настроен, и политики храним в радиусе и всё бы вроде хорошо, сабскрайберы авторизуются, терминируются на ISG после подрезаются на sce и тд. Но аккаунтинга с SCE вообще не понятно как получать :( Аккаунтинг же с сервисов от самого ISG исправно приходит debug radius accounting debug aaa accounting молчат или видят аккаунтинг только от ISG сервисов сервис выглядит так SG-Service-Info = "IS#TORRENT#500000" Cisco-Spec-1 = "subscriber:accounting-list=ISG-AUTH" Cisco-Spec-1 = "subscriber:sg-service-type=external-policy" Cisco-Spec-1 = "subscriber:policy-name=2" Cisco-Spec-1 = "subscriber:service-monitor=1" политика на isg выглядит так policy-map type control TEST-POLICY ! class type control always event session-start 5 authorize aaa list ISG-AUTH password mysecret identifier source-ip-address 10 service-policy type service name OPEN-SRV Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
exeyp Опубликовано 27 сентября, 2010 · Жалоба Но аккаунтинга с SCE вообще не понятно как получать :( Аккаунтинг с SCE шелтся на ISG (выступает в качестве proxy), а ISG в свою очередь пересылает на сервер. Настройка отправки аккаунтинга на SCE: SCA-BB--->Service Configuration Editor--->Configuration--->Policies--->System Settings---> ---->Advanced Options----> Секция Reporting--->Далее меняем значения поля "Flow Accounting RDRs enabled" с false на true. Загружаем конфиг на SCE. С этого момента аккаунтинг должен приходить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
skinner Опубликовано 28 сентября, 2010 · Жалоба Ох тыж.. секретная галочка! Спасибо огромное до земли :) Как раз то чего и не хватало Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
skinner Опубликовано 30 сентября, 2010 · Жалоба Ндаа.. отдельное дело теперь понять что летит в аккаунтинге ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
exeyp Опубликовано 30 сентября, 2010 · Жалоба Ндаа.. отдельное дело теперь понять что летит в аккаунтинге ) А что не понятно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
skinner Опубликовано 30 сентября, 2010 · Жалоба идентификаторы сервисов летят в виде N28, N12, N13 и так далее.. опытным путём можно узнать что за ними скрывается, но решение какоето не красивое. Хотелось бы видеть ип-адрес абонента но вместо этого есть только session-guid, тоже нужно думать как бы к нему привязаться. да и пока не понятно почему не летят стоп пакеты при сбросе сессии.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Raredemon Опубликовано 11 января, 2011 · Жалоба Чтобы не открывать новую тему, напишу здесь. Имется SCE2020 в разрыве между бордером и ISG Bras-ом (ASR), не получается настроить push сабскрайберов с аср на сце. что имеем в конфиге сце: SCE#sh run | i scmp scmp name BRAS001-PE-1 radius 10.10.1.250 secret password auth 1812 acct 1813 scmp subscriber anonymous-group name "ASR" IP-range *.*.*.0:0xfffffc00 scmp name BRAS001-PE-1 SCE#sh scmp all SCMP Connection 'BRAS001-PE-1' status: 10.10.1.250 auth-port 1812 acct-port 1813 Connection state: Connected Peer protocol-version: 2.0 Keep-alive interval: 5 seconds Force single SCE: No Send session start: No Time connected: 2 hours, 5 minutes, 51 seconds SCE#sh scmp all counters SCMP Connection 'BRAS001-PE-1' counters: Total messages sent: 1575 Total messages received: 1575 Establish requests sent: 1 Establish replies received: 1 Accounting requests sent: 0 Accounting replies received: 0 Subscriber queries sent: 64 Subscriber query response recv: 64 Request retry exceeded: 0 Requests replied with errors: 64 Subscriber requests received: 0 Subscriber responses sent: 0 Failed Requests: 0 Keep-alive sent: 1510 Keep-alive received: 1510 что имеем на брасе: BRAS001-PE-1#show subscriber policy peer all de EXTERNAL POLICY PEER Details: ============================= Peer IP: 10.10.1.98 Conn ID: 16 Mode : PULL State : ACTIVE Version: 2.0 Conn up time: 01:16:59 Conf keepalive: 5 Negotiated keepalive: 5 Time since last keepalive: 00:00:03 Inform owner on pull: FALSE Total number of associated sessions: 0 Associated session details: None что я неправильно делаю? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 11 января, 2011 (изменено) · Жалоба пушите что имя профиля или его номер, в цисковской доке врут там пушат имя пакаджа Изменено 11 января, 2011 пользователем alks Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Raredemon Опубликовано 11 января, 2011 · Жалоба пушу имя: policy-map type service INET256x256 class type traffic Internet accounting aaa list ISG-AUTH-1 ! sg-service-type external-policy policy-name 256x256 service-monitor enable Пробовал пушить номер, ничего не изменялось Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 11 января, 2011 · Жалоба пушить нужно номер пакаджа на SCE покажите конфиг по шине ASR и включайте дебаг - что там пишет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Raredemon Опубликовано 12 января, 2011 · Жалоба Конфиг АСР-а взят из цисковского мана, практически без изменений: aaa authentication login ISG-AUTH-1 group ISG-RADIUS aaa authentication ppp ISG-AUTH-1 group ISG-RADIUS aaa authorization network ISG-AUTH-1 group ISG-RADIUS aaa accounting network ISG-AUTH-1 start-stop group ISG-RADIUS aaa accounting network service_acct start-stop group radius aaa accounting network session_acct start-stop group radius aaa attribute list coa attribute type nas-ip-address *.*.*.232 aaa server radius policy-device key password message-authenticator ignore authentication port 1812 accounting port 1813 client 10.10.1.98 vrf Mgmt-intf key password ! policy-peer address 10.10.1.98 keepalive 5 policy-peer keepalive 5 ! policy-map type service INET256x256 class type traffic Internet accounting aaa list coa ! sg-service-type external-policy policy-name 256x256 service-monitor enable ! policy-map type control ISG-REDIRECT class type control always event session-start 15 service-policy type service name INET256x256 ! class type control always event acct-notification 10 proxy aaa list ISG-AUTH-1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
exeyp Опубликовано 20 января, 2011 (изменено) · Жалоба aaa server radius policy-device key password message-authenticator ignore authentication port 1812 accounting port 1813 client 10.10.1.98 vrf Mgmt-intf key password Попробуй настроить и протестировать работу ISG-SCE без использования VRF в конфигурации маршрутизатора (чтобы SCE виднелась в global routin table). Есть подозрение, что причина в этом.... Если заработает, то отпишись, пжл. Изменено 20 января, 2011 пользователем exeyp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Raredemon Опубликовано 20 января, 2011 · Жалоба Уже после того как написал, выкинул врф, но ничо не изменилось... Копаю дальше Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
exeyp Опубликовано 21 января, 2011 (изменено) · Жалоба Уже после того как написал, выкинул врф, но ничо не изменилось... Копаю дальшеНу тогда: 1. В "policy-name" задается идентификатор packageId (цифра) 2. Попробуйте отключить "service password-encryption" и перебейте key в конфигурации "aaa server radius policy-device" 3. Когда конфигурируйте "policy-map type service INET256x256" укажите "accounting aaa list ISG-AUTH-1" (я не понял почему в качестве метод-листа указан coa) 4. sh run | inc radius 5. Ну и, по-прежнему, используйте конфигурацию без VRF. 6. И напоследок, если ничего не поможет: --------------------------------- Какая версия софта ISG и SCE? и debug radius debug sss policy peer error debug sss policy peer event debug sss service debug sss error debug sss event debug sss aaa authorization event debug aaa subscriber profile debug aaa per-user debug aaa mlist-state debug aaa mlist-ref-count debug aaa coa debug aaa subsys --------------------------------- Изменено 21 января, 2011 пользователем exeyp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Raredemon Опубликовано 21 января, 2011 · Жалоба Так, попробую описать ситуацию на данный момент. Данные об СЦЕ: SCE001-1#sh run | i scmp scmp name ASR radius 10.10.1.250 secret cisco auth 1645 acct 1646 scmp reconnect-interval 10 scmp subscriber force-single-sce scmp subscriber send-session-start scmp subscriber anonymous-group name "ISG" IP-range 0.0.0.0:0x00000000 scmp name ASR SCE001-1#sh ver System version: Version 3.6.5 Build 489 Build time: Oct 15 2010, 19:36:22 (Change-list 651872) Software version is: Version 3.6.5 Build 489 Cryptography class: K9 SCE001-1#sh scmp SCMP enabled: yes Keep-alive interval: 5 seconds Loss of synchronization timeout: 90 seconds from disconnection Reconnection interval: 10 seconds Force subscriber on a single SCE: yes Peer sends subscriber data on session start Subscriber Id structure: GUID SCE001-1#sh scmp all SCMP Connection 'ASR' status: 10.10.1.250 auth-port 1645 acct-port 1646 Connection state: Connected Peer protocol-version: 2.0 Keep-alive interval: 5 seconds Force single SCE: Yes Send session start: Yes Time connected: 32 minutes, 31 seconds SCE001-1#sh scmp all counters SCMP Connection 'ASR' counters: Total messages sent: 609 Total messages received: 609 Establish requests sent: 1 Establish replies received: 1 Accounting requests sent: 0 Accounting replies received: 0 Subscriber queries sent: 217 Subscriber query response recv: 217 Request retry exceeded: 0 Requests replied with errors: 217 Subscriber requests received: 0 Subscriber responses sent: 0 Failed Requests: 0 Keep-alive sent: 391 Keep-alive received: 391 Все про АСР: BRAS001-PE-1#sh ver | i boot System image file is "bootflash:asr1000rp1-advipservicesk9.02.05.02.122-33.XNE2.bin" Пробовал также иос asr1000rp1-adventerprisek9.02.06.02.122-33.XNF2.bin Общение с СЦЕ сделал в GRT interface GigabitEthernet0/0/0.10 description Management encapsulation dot1Q 10 ip address 10.10.1.250 255.255.240.0 Конфиг касаемый ИСГ: aaa authentication login ISG-AUTH-1 group ISG-RADIUS local aaa authentication ppp ISG-AUTH-1 group ISG-RADIUS local aaa authorization network ISG-AUTH-1 group ISG-RADIUS local aaa authorization subscriber-service default local group ISG-RADIUS aaa accounting delay-start aaa accounting update periodic 1 aaa accounting network ISG-AUTH-1 start-stop group ISG-RADIUS aaa accounting network session_acct start-stop group ISG-RADIUS aaa server radius policy-device key 7 01100F175804 message-authenticator ignore client 10.10.1.98 key 7 01100F175804 policy-peer address 10.10.1.98 keepalive 15 policy-peer keepalive 5 policy-map type service SVCSCE class type traffic PERMIT-ANY accounting aaa list ISG-AUTH-1 ! sg-service-type external-policy service-monitor enable policy-map type control SCEPOLICY class type control always event session-start 5 authenticate aaa list ISG-AUTH-1 10 service-policy type service name SVCSCE ! class type control always event service-start 20 service-policy type service identifier service-name BRAS001-PE-1#sh sss session username ***** detailed Unique Session ID: 467 Identifier: ***** SIP subscriber access type(s): PPPoE/PPP Current SIP options: Req Fwding/Req Fwded Session Up-time: 00:13:03, Last Changed: 00:13:03 Interface: Virtual-Access2.16 Policy information: Context 3C414DC8: Handle E3000258 AAA_id 000000C6: Flow_handle 0 Authentication status: authen Downloaded User profile, excluding services: timeout 86400 (0x15180) service-type 2 [Framed] Framed-Protocol 1 [PPP] addr *.*.*.31 netmask 255.255.255.255 ssg-account-info "NGLOBALNET" ssg-account-info "AGLOBALNET" policy-name "1" Downloaded User profile, including services: timeout 86400 (0x15180) service-type 2 [Framed] Framed-Protocol 1 [PPP] addr *.*.*.31 netmask 255.255.255.255 ssg-account-info "NGLOBALNET" ssg-account-info "AGLOBALNET" policy-name "1" username "SVCSCE" sg-service-type 3 [external-policy] service-monitor 1 (0x1) traffic-class "input access-group 102" вот что говорит debug radius: RADIUS: authenticator 03 06 A2 35 38 F9 B0 F6 - 4D 8E 2F C5 A6 17 92 25 RADIUS: Received from id 1646/155 10.10.1.98:1112, Accounting-Request, len 62 RADIUS: authenticator BB 43 1B 74 E7 67 45 40 - 28 87 24 D1 7B 08 48 13 RADIUS: NAS-IP-Address [4] 6 10.10.1.98 RADIUS: Vendor, Cisco [26] 36 RADIUS: Cisco AVpair [1] 30 "subscriber:command=keepalive" RADIUS(00000000): Received from id 1112/155 RADIUS/ENCODE(00000000):Orig. component type = Invalid RADIUS(00000000): Config NAS IP: 0.0.0.0 RADIUS: authenticator 83 B0 31 01 23 26 B0 05 - A6 49 2B 4E 50 3D 91 18 RADIUS: Received from id 1645/158 10.10.1.98:1111, Access-Request, len 104 RADIUS: authenticator DE 8E D0 F6 96 8D 34 CB - 9F 54 EA 75 84 09 2D 71 RADIUS: NAS-IP-Address [4] 6 10.10.1.98 RADIUS: Vendor, Cisco [26] 42 RADIUS: Cisco AVpair [1] 36 "subscriber:command=queryByIdentity" RADIUS: Vendor, Cisco [26] 30 RADIUS: Cisco AVpair [1] 24 "epd:notifyChanges=true" Т.е. кипэлайвы бегают, прилетают запросы на авторизацию от сце, но в тоже время АСР отбивает их с ошибкой "epd:error-cause=8" (в дебаге этого не видно, ловил wireshark-ом). По этой ошибке в интернете просто ничего нет, даж намеков что это может быть. Все остальные дебаги буду проверять, результаты отпишу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Raredemon Опубликовано 21 января, 2011 · Жалоба Воткнул все приведенные выше дебаги, вот самое интересное из полученных сообщений: PM EPD CONN MGR: Timer expired for for 10.10.1.98 PM EPD CONN MGR: restarting peer_mgr timer RADIUS: Received from id 1645/255 10.10.1.98:1111, Access-Request, len 104 RADIUS: authenticator 5C B4 F7 14 E6 1B 39 D2 - 20 AA 10 56 7E 27 AA 96 RADIUS: NAS-IP-Address [4] 6 10.10.1.98 RADIUS: Vendor, Cisco [26] 42 RADIUS: Cisco AVpair [1] 36 "subscriber:command=queryByIdentity" RADIUS: Vendor, Cisco [26] 30 RADIUS: Cisco AVpair [1] 24 "epd:notifyChanges=true" AAA/MLIST Ref count of of mlist 0x3B458360 raised to 150 AAA SRV(BC): process acct req RADIUS: Received from id 1646/0 10.10.1.98:1112, Accounting-Request, len 62 RADIUS: authenticator 21 92 EE 11 E0 28 B8 D8 - C4 8A 69 B2 1E 0A 34 FD RADIUS: NAS-IP-Address [4] 6 10.10.1.98 RADIUS: Vendor, Cisco [26] 36 RADIUS: Cisco AVpair [1] 30 "subscriber:command=keepalive" RADIUS(00000000): Received from id 1112/0 AAA SRV(00000000): protocol push for Accounting PM EPD HANDLER: Received accounting request with command set to: keepalive Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
exeyp Опубликовано 21 января, 2011 (изменено) · Жалоба RADIUS/ENCODE(00000000):Orig. component type = Invalid^^^^^^^^^^^^^^^^ Т.е. кипэлайвы бегают, прилетают запросы на авторизацию от сце, но в тоже время АСР отбивает их с ошибкой "epd:error-cause=8" (в дебаге этого не видно, ловил wireshark-ом). По этой ошибке в интернете просто ничего нет, даж намеков что это может быть. Все остальные дебаги буду проверять, результаты отпишу. 2. Попробуйте сказать на роутере "no service password-encryption" и перебейте key в конфигурации "aaa server radius policy-device" Т.е. чтобы ключ отображался в конфиге ISG без всякого шифрования. Изменено 21 января, 2011 пользователем exeyp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Raredemon Опубликовано 21 января, 2011 · Жалоба exeyp О великий гуру! Ниц падаю! Заработала таки окаяная железяка! Если серьезно, кто ж мог знать что из-за системного шифрования паролей не будет бегать радиус :) почти 2 недели развлечений с железкой закончились до обидного просто. Огромное спасибо за помощь, сами неизвестно сколько еще парились бы! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
skinner Опубликовано 21 февраля, 2011 · Жалоба Твоюж за ногу! всё дело то было в этих CENSORED паролях!!! вы две недели развлекались, а мы пять месяцев почти ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
skinner Опубликовано 27 июня, 2011 · Жалоба идентификаторы сервисов летят в виде N28, N12, N13 и так далее.. опытным путём можно узнать что за ними скрывается, но решение какоето не красивое. Вообщем долго мучаясь и этот простой вопрос решился :( всё оказалось тупо, все соответствия значений номеров сервисов и их названии хранятся в базе, в таблице INI_VALUES http://www.cisco.com/en/US/docs/cable/serv_exch/serv_control/broadband_app/rel36x/scabbrg/04_SCA_BB_RG.html#wp1001308 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...