Kami Опубликовано 24 августа, 2011 (изменено) · Жалоба Есть успешно работающая сеть на, примерно, 10 тыс. абонентов. Используется IPOE и в качестве BRASа - asr1002 c IOS-ом asr1000rp1-advipservicesk9.03.02.02.S.151-1.S2.bin. Совершенно, можно сказать, случайно, было замечено, что количество сессий, полученных по sh sss sess и по sh sss sess detail - разное. причем - существенно, в разы. разбор полетов показал, что есть сессис, у которых есть UID, профиль, трафик, но нет связанного с ними IP адреса абонента. так как, IP адрес является идентификатором подписчика: ip subscriber routed initiator unclassified ip-address Вот как выглядит такая сессия: asr1002#sh sss sess uid 16067 Unique Session ID: 16067 Identifier: SIP subscriber access type(s): Traffic-Class Current SIP options: None Session Up-time: 04:55:53, Last Changed: 04:55:53 Policy information: Authentication status: unauthen Session inbound features: Feature: Service accounting Service: slonyatko-day Method List: ONYMA Packets = 291649, Bytes = 37455801 Feature: Access lists Active IP access list: internet-nonreal-in Feature: Policing Upstream Params: Average rate = 20000000, Normal burst = 1052632, Excess burst = 1204819 Config level = Service Profile Session outbound features: Feature: Service accounting Service: slonyatko-day Method List: ONYMA Packets = 297221, Bytes = 131720765 Feature: Access lists Active IP access list: internet-nonreal-out Feature: Policing Dnstream Params: Average rate = 20000000, Normal burst = 1052632, Excess burst = 1204819 Config level = Service Profile Configuration sources associated with this session: Service: slonyatko-day, Active Time = 04:55:53 т.е. сессия не авторизованная, но связана с реальным профилем и содержит трафик. что неверно в принципе. "правильная" неавторизованная сессия должна быть связан с профилем "l4r", как вот например эта: asr1002#sh sss sess uid 11826 Unique Session ID: 11826 Identifier: 109.х.х.х SIP subscriber access type(s): IP Current SIP options: Req Fwding/Req Fwded Session Up-time: 00:01:16, Last Changed: 00:01:16 Policy information: Authentication status: unauthen Active services associated with session: name "l4r", applied before account logon Rules, actions and conditions executed: subscriber rule-map enter-test1 condition always event session-start 5 authorize identifier source-ip-address 10 service-policy type service name l4r 20 set-timer IP_UNAUTH_TIMER 5 Session inbound features: Traffic classes: Traffic class session ID: 9629 ACL Name: l4r-redirect-in, Packets = 5388, Bytes = 279642 Unmatched Packets = 0, Re-classified packets (redirected) = 0 Feature: Layer 4 Redirect Rule table is empty Session outbound features: Traffic classes: Traffic class session ID: 9629 ACL Name: l4r-redirect-out, Packets = 5197, Bytes = 395860 Unmatched Packets = 0, Re-classified packets (redirected) = 0 Configuration sources associated with this session: Service: l4r, Active Time = 00:01:16 Interface: Port-channel1.59, Active Time = 00:01:16 Вопрос: нормально ли это ? если нет, то в какую сторону начинать борьбу с этим ? Т.е. смущает ровно две вещи: если сессия неавторизована, то почему у нее профиль с выходом "наружу", а не l4r и почему сессия активно потребляет трафик: за 5 часов - 130 МБ. мелочь, но не приятно да и сессий таких тыщщщи.... Спасибо Изменено 24 августа, 2011 пользователем Kami Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 24 августа, 2011 · Жалоба Покажите вывод команд show пожалуйста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kami Опубликовано 24 августа, 2011 · Жалоба Покажите вывод команд show пожалуйста. не понял, какую именно команду показать ? вывод детализации по "пустой" сессии и по "правильно" неавторизованной сессии присутствует выше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 24 августа, 2011 · Жалоба Извиняюсь. Не заметил. UPD: может быть это связано вот с этим: Note Effective with Cisco IOS Release 15.0(1)S, the show sss session command is replaced by the show subscriber session command. See the show subscriber session command for more information. ? Этот текст взял с описания команды, дающееся в Cisco Command Lookup Tool для версии 15.1M&T Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 24 августа, 2011 · Жалоба У вас таймаут для L4R сервиса случайно не задан? У нас подобное было когда таймаут повесили не отдельным сервисом а на L4R (или на всю сессию). L4R сервис пропадал, а сессия без сервисов оставалась висеть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kami Опубликовано 25 августа, 2011 (изменено) · Жалоба У вас таймаут для L4R сервиса случайно не задан? У нас подобное было когда таймаут повесили не отдельным сервисом а на L4R (или на всю сессию). L4R сервис пропадал, а сессия без сервисов оставалась висеть. таймаута нету: asr1002#sh subscriber service name l4r det Service "l4r": Version 1: SVM ID : 1F000001 Class Id In: 00000028 Class Id Out: 00000029 Locked by : SVM-Printer [1] Locked by : PM-Service [67] Locked by : PM-Info [67] Locked by : FM-Bind [67] Profile : 3F66F7D4 Profile name: l4r, 70 references service-type 5 [Outbound] l4redirect "redirect to ip 46.52.х.х port 8080" traffic-class "in access-group name l4r-redirect-in priority 1" traffic-class "out access-group name l4r-redirect-out priority 1" Feature : L4 Redirect Feature IDB type : Sub-if or not required Feature Data : 20 bytes: : 000000 00 00 38 C6 02 50 38 C6 ..8..p8. : 000008 02 50 00 00 00 01 00 00 .p...... : 000010 00 00 00 00 .... и фишка в том, что сессия висела с сервисами и трафиком, но без идентификатора (IP адреса абонента). сегодня утром обновили IOS. сейчас это System image file is "bootflash:asr1000rp1-advipservicesk9.03.03.02.S.151-2.S2.bin" пока полет нормальный, сессий без идентификатора нету. Изменено 25 августа, 2011 пользователем Kami Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 25 августа, 2011 · Жалоба А файликом не поделитесь? ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...