Jump to content
Калькуляторы

Cisco ASR1002 пустые ISG сессии

Есть успешно работающая сеть на, примерно, 10 тыс. абонентов. Используется IPOE и в качестве BRASа - asr1002 c IOS-ом asr1000rp1-advipservicesk9.03.02.02.S.151-1.S2.bin.

Совершенно, можно сказать, случайно, было замечено, что количество сессий, полученных по sh sss sess и по sh sss sess detail - разное.

причем - существенно, в разы. разбор полетов показал, что есть сессис, у которых есть UID, профиль, трафик, но нет связанного с ними IP адреса абонента.

 

так как, IP адрес является идентификатором подписчика:

ip subscriber routed

initiator unclassified ip-address

 

 

Вот как выглядит такая сессия:

 

 

asr1002#sh sss sess uid 16067

Unique Session ID: 16067

Identifier:

SIP subscriber access type(s): Traffic-Class

Current SIP options: None

Session Up-time: 04:55:53, Last Changed: 04:55:53

 

Policy information:

Authentication status: unauthen

 

Session inbound features:

Feature: Service accounting

Service: slonyatko-day

Method List: ONYMA

Packets = 291649, Bytes = 37455801

 

Feature: Access lists

Active IP access list:

internet-nonreal-in

Feature: Policing

Upstream Params:

Average rate = 20000000, Normal burst = 1052632, Excess burst = 1204819

Config level = Service Profile

 

Session outbound features:

Feature: Service accounting

Service: slonyatko-day

Method List: ONYMA

Packets = 297221, Bytes = 131720765

 

Feature: Access lists

Active IP access list:

internet-nonreal-out

Feature: Policing

Dnstream Params:

Average rate = 20000000, Normal burst = 1052632, Excess burst = 1204819

Config level = Service Profile

 

Configuration sources associated with this session:

Service: slonyatko-day, Active Time = 04:55:53

 

т.е. сессия не авторизованная, но связана с реальным профилем и содержит трафик. что неверно в принципе.

 

"правильная" неавторизованная сессия должна быть связан с профилем "l4r", как вот например эта:

asr1002#sh sss sess uid 11826

Unique Session ID: 11826

Identifier: 109.х.х.х

SIP subscriber access type(s): IP

Current SIP options: Req Fwding/Req Fwded

Session Up-time: 00:01:16, Last Changed: 00:01:16

 

Policy information:

Authentication status: unauthen

Active services associated with session:

name "l4r", applied before account logon

Rules, actions and conditions executed:

subscriber rule-map enter-test1

condition always event session-start

5 authorize identifier source-ip-address

10 service-policy type service name l4r

20 set-timer IP_UNAUTH_TIMER 5

 

Session inbound features:

Traffic classes:

Traffic class session ID: 9629

ACL Name: l4r-redirect-in, Packets = 5388, Bytes = 279642

Unmatched Packets = 0, Re-classified packets (redirected) = 0

 

Feature: Layer 4 Redirect

Rule table is empty

Session outbound features:

Traffic classes:

Traffic class session ID: 9629

ACL Name: l4r-redirect-out, Packets = 5197, Bytes = 395860

Unmatched Packets = 0, Re-classified packets (redirected) = 0

 

Configuration sources associated with this session:

Service: l4r, Active Time = 00:01:16

Interface: Port-channel1.59, Active Time = 00:01:16

 

 

Вопрос: нормально ли это ? если нет, то в какую сторону начинать борьбу с этим ?

Т.е. смущает ровно две вещи: если сессия неавторизована, то почему у нее профиль с выходом "наружу", а не l4r

и почему сессия активно потребляет трафик: за 5 часов - 130 МБ. мелочь, но не приятно да и сессий таких тыщщщи....

 

Спасибо

Edited by Kami

Share this post


Link to post
Share on other sites

Покажите вывод команд show пожалуйста.

Share this post


Link to post
Share on other sites

Покажите вывод команд show пожалуйста.

 

не понял, какую именно команду показать ?

вывод детализации по "пустой" сессии и по "правильно" неавторизованной сессии присутствует выше.

Share this post


Link to post
Share on other sites

Извиняюсь. Не заметил.

 

UPD: может быть это связано вот с этим:

Note Effective with Cisco IOS Release 15.0(1)S, the show sss session command is replaced by the show subscriber session command. See the show subscriber session command for more information.

?

Этот текст взял с описания команды, дающееся в Cisco Command Lookup Tool для версии 15.1M&T

Share this post


Link to post
Share on other sites

У вас таймаут для L4R сервиса случайно не задан?

У нас подобное было когда таймаут повесили не отдельным сервисом а на L4R (или на всю сессию).

L4R сервис пропадал, а сессия без сервисов оставалась висеть.

Share this post


Link to post
Share on other sites

У вас таймаут для L4R сервиса случайно не задан?

У нас подобное было когда таймаут повесили не отдельным сервисом а на L4R (или на всю сессию).

L4R сервис пропадал, а сессия без сервисов оставалась висеть.

 

таймаута нету:

asr1002#sh subscriber service name l4r det

Service "l4r":

Version 1:

SVM ID : 1F000001

Class Id In: 00000028

Class Id Out: 00000029

Locked by : SVM-Printer [1]

Locked by : PM-Service [67]

Locked by : PM-Info [67]

Locked by : FM-Bind [67]

Profile : 3F66F7D4

Profile name: l4r, 70 references

service-type 5 [Outbound]

l4redirect "redirect to ip 46.52.х.х port 8080"

traffic-class "in access-group name l4r-redirect-in priority 1"

traffic-class "out access-group name l4r-redirect-out priority 1"

Feature : L4 Redirect

Feature IDB type : Sub-if or not required

Feature Data : 20 bytes:

: 000000 00 00 38 C6 02 50 38 C6 ..8..p8.

: 000008 02 50 00 00 00 01 00 00 .p......

: 000010 00 00 00 00 ....

 

 

и фишка в том, что сессия висела с сервисами и трафиком, но без идентификатора (IP адреса абонента).

 

сегодня утром обновили IOS. сейчас это System image file is "bootflash:asr1000rp1-advipservicesk9.03.03.02.S.151-2.S2.bin"

пока полет нормальный, сессий без идентификатора нету.

Edited by Kami

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this