Cisco ASR1002 пустые ISG сессии

[Kami]

Есть успешно работающая сеть на, примерно, 10 тыс. абонентов. Используется IPOE и в качестве BRASа - asr1002 c IOS-ом asr1000rp1-advipservicesk9.03.02.02.S.151-1.S2.bin.

Совершенно, можно сказать, случайно, было замечено, что количество сессий, полученных по sh sss sess и по sh sss sess detail - разное.

причем - существенно, в разы. разбор полетов показал, что есть сессис, у которых есть UID, профиль, трафик, но нет связанного с ними IP адреса абонента.

 

так как, IP адрес является идентификатором подписчика:

ip subscriber routed

initiator unclassified ip-address

 

 

Вот как выглядит такая сессия:

 

 

asr1002#sh sss sess uid 16067

Unique Session ID: 16067

Identifier:

SIP subscriber access type(s): Traffic-Class

Current SIP options: None

Session Up-time: 04:55:53, Last Changed: 04:55:53

 

Policy information:

Authentication status: unauthen

 

Session inbound features:

Feature: Service accounting

Service: slonyatko-day

Method List: ONYMA

Packets = 291649, Bytes = 37455801

 

Feature: Access lists

Active IP access list:

internet-nonreal-in

Feature: Policing

Upstream Params:

Average rate = 20000000, Normal burst = 1052632, Excess burst = 1204819

Config level = Service Profile

 

Session outbound features:

Feature: Service accounting

Service: slonyatko-day

Method List: ONYMA

Packets = 297221, Bytes = 131720765

 

Feature: Access lists

Active IP access list:

internet-nonreal-out

Feature: Policing

Dnstream Params:

Average rate = 20000000, Normal burst = 1052632, Excess burst = 1204819

Config level = Service Profile

 

Configuration sources associated with this session:

Service: slonyatko-day, Active Time = 04:55:53

 

т.е. сессия не авторизованная, но связана с реальным профилем и содержит трафик. что неверно в принципе.

 

"правильная" неавторизованная сессия должна быть связан с профилем "l4r", как вот например эта:

asr1002#sh sss sess uid 11826

Unique Session ID: 11826

Identifier: 109.х.х.х

SIP subscriber access type(s): IP

Current SIP options: Req Fwding/Req Fwded

Session Up-time: 00:01:16, Last Changed: 00:01:16

 

Policy information:

Authentication status: unauthen

Active services associated with session:

name "l4r", applied before account logon

Rules, actions and conditions executed:

subscriber rule-map enter-test1

condition always event session-start

5 authorize identifier source-ip-address

10 service-policy type service name l4r

20 set-timer IP_UNAUTH_TIMER 5

 

Session inbound features:

Traffic classes:

Traffic class session ID: 9629

ACL Name: l4r-redirect-in, Packets = 5388, Bytes = 279642

Unmatched Packets = 0, Re-classified packets (redirected) = 0

 

Feature: Layer 4 Redirect

Rule table is empty

Session outbound features:

Traffic classes:

Traffic class session ID: 9629

ACL Name: l4r-redirect-out, Packets = 5197, Bytes = 395860

Unmatched Packets = 0, Re-classified packets (redirected) = 0

 

Configuration sources associated with this session:

Service: l4r, Active Time = 00:01:16

Interface: Port-channel1.59, Active Time = 00:01:16

 

 

Вопрос: нормально ли это ? если нет, то в какую сторону начинать борьбу с этим ?

Т.е. смущает ровно две вещи: если сессия неавторизована, то почему у нее профиль с выходом "наружу", а не l4r

и почему сессия активно потребляет трафик: за 5 часов - 130 МБ. мелочь, но не приятно да и сессий таких тыщщщи....

 

Спасибо

Edited August 24, 2011 by Kami

[leveler]

Покажите вывод команд show пожалуйста.

[Kami]

Покажите вывод команд show пожалуйста.

 

не понял, какую именно команду показать ?

вывод детализации по "пустой" сессии и по "правильно" неавторизованной сессии присутствует выше.

[leveler]

Извиняюсь. Не заметил.

 

UPD: может быть это связано вот с этим:

Note Effective with Cisco IOS Release 15.0(1)S, the show sss session command is replaced by the show subscriber session command. See the show subscriber session command for more information.

?

Этот текст взял с описания команды, дающееся в Cisco Command Lookup Tool для версии 15.1M&T

[Дегтярев Илья]

У вас таймаут для L4R сервиса случайно не задан?

У нас подобное было когда таймаут повесили не отдельным сервисом а на L4R (или на всю сессию).

L4R сервис пропадал, а сессия без сервисов оставалась висеть.

[Kami]

У вас таймаут для L4R сервиса случайно не задан?

У нас подобное было когда таймаут повесили не отдельным сервисом а на L4R (или на всю сессию).

L4R сервис пропадал, а сессия без сервисов оставалась висеть.

 

таймаута нету:

asr1002#sh subscriber service name l4r det

Service "l4r":

Version 1:

SVM ID : 1F000001

Class Id In: 00000028

Class Id Out: 00000029

Locked by : SVM-Printer [1]

Locked by : PM-Service [67]

Locked by : PM-Info [67]

Locked by : FM-Bind [67]

Profile : 3F66F7D4

Profile name: l4r, 70 references

service-type 5 [Outbound]

l4redirect "redirect to ip 46.52.х.х port 8080"

traffic-class "in access-group name l4r-redirect-in priority 1"

traffic-class "out access-group name l4r-redirect-out priority 1"

Feature : L4 Redirect

Feature IDB type : Sub-if or not required

Feature Data : 20 bytes:

: 000000 00 00 38 C6 02 50 38 C6 ..8..p8.

: 000008 02 50 00 00 00 01 00 00 .p......

: 000010 00 00 00 00 ....

 

 

и фишка в том, что сессия висела с сервисами и трафиком, но без идентификатора (IP адреса абонента).

 

сегодня утром обновили IOS. сейчас это System image file is "bootflash:asr1000rp1-advipservicesk9.03.03.02.S.151-2.S2.bin"

пока полет нормальный, сессий без идентификатора нету.

Edited August 25, 2011 by Kami

[leveler]

А файликом не поделитесь? )