vanishox Опубликовано 28 августа, 2012 (изменено) · Жалоба Парни, никак не получается победить эту проблему - почему-то в профиле редирект выдается вместе с OG_SRV (VirtualPurse_IN/OUT) траффик классом. + еще заметил что параллельно поднимается еще 2 сесии: ASR-PPPoE#sh subscriber session uid 369 detailed Unique Session ID: 369 Identifier: SIP subscriber access type(s): Traffic-Class Current SIP options: None Session Up-time: 00:01:12, Last Changed: 00:01:12 Policy information: Context 433809E4: Handle A30001E8 AAA_id 000001B0: Flow_handle 0 Authentication status: unauthen Downloaded User profile, including services: l4redirect "redirect to ip 10.10.65.2 port 8080" traffic-class "output access-group name REDIR-TRAFF priority 3" traffic-class "input access-group name REDIR-TRAFF priority 3" Config history for session (recent to oldest): Access-type: Web-service-logon Client: Service Command-Handler Policy event: Service-Start (Service) Profile name: NEED-PAY, 4 references l4redirect "redirect to ip 10.10.65.2 port 8080" traffic-class "output access-group name REDIR-TRAFF priority 3" traffic-class "input access-group name REDIR-TRAFF priority 3" Session inbound features: Feature: Layer 4 Redirect Rule Cfg Definition #1 SVC Redirect to ip 10.10.65.2 port 8080 Configuration sources associated with this session: Service: NEED-PAY, Active Time = 00:01:12 ASR-PPPoE#sh subscriber session uid 370 detailed Unique Session ID: 370 Identifier: SIP subscriber access type(s): Traffic-Class Current SIP options: None Session Up-time: 00:01:26, Last Changed: 00:01:26 Policy information: Context 43380450: Handle 750001E9 AAA_id 000001B0: Flow_handle 0 Authentication status: unauthen Downloaded User profile, including services: traffic-class "input access-group name VirtualPurse_IN priority 2" traffic-class "output access-group name VirtualPurse_OUT priority 2" ssg-service-info "QU;10000;D;10000" Config history for session (recent to oldest): Access-type: Web-service-logon Client: Service Command-Handler Policy event: Service-Start (Service) Profile name: OG_SRV, 4 references traffic-class "input access-group name VirtualPurse_IN priority 2" traffic-class "output access-group name VirtualPurse_OUT priority 2" ssg-service-info "QU;10000;D;10000" Session inbound features: Feature: Policing Upstream Params: Average rate = 10000, Normal burst = 1875, Excess burst = 3750 Config level = Service Profile Session outbound features: Feature: Policing Dnstream Params: Average rate = 10000, Normal burst = 1875, Excess burst = 3750 Config level = Service Profile Configuration sources associated with this session: Service: OG_SRV, Active Time = 00:01:26 Так и должно быть? Подскажите плиз. Изменено 28 августа, 2012 пользователем vanishox Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StSphinx Опубликовано 29 августа, 2012 · Жалоба Насколько я помню, в traffic class, на каждое направление должен быть отдельный access list. Проблема может и не в этом, но все же... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vanishox Опубликовано 30 августа, 2012 · Жалоба StSphinx Спасибо, что откликнулись. Отдельный траффик класс это для редиректа? traffic-class "output access-group name REDIR-TRAFF priority 3" traffic-class "input access-group name REDIR-TRAFF priority 3" Здесь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StSphinx Опубликовано 30 августа, 2012 · Жалоба StSphinx Спасибо, что откликнулись. Отдельный траффик класс это для редиректа? traffic-class "output access-group name REDIR-TRAFF priority 3" traffic-class "input access-group name REDIR-TRAFF priority 3" Здесь? Да, здесь. На каждое направление в TC - input & output должен быть отдельный access-list. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vanishox Опубликовано 2 сентября, 2012 · Жалоба StSphinx, хорошо попробую разделить направления в ТС. Сейчас правда в отпуске - как вернусь, сразу же проверю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Itari Опубликовано 10 сентября, 2012 · Жалоба Добрый день всем, подскажите пожалуйста, почему при авторизации абонента, я вижу и traffic-class в авторизации абонента... LNK-ISG-BRASS#sh subscriber session Current Subscriber Information: Total sessions 1 Uniq ID Interface State Service Identifier Up-time 37 Traffic-Clas unauthen Ltm Internal 10:42:04 36 IP authen Local Term 10.254.254.2 10:42:04 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StSphinx Опубликовано 10 сентября, 2012 · Жалоба Добрый день всем, подскажите пожалуйста, почему при авторизации абонента, я вижу и traffic-class в авторизации абонента... LNK-ISG-BRASS#sh subscriber session Current Subscriber Information: Total sessions 1 Uniq ID Interface State Service Identifier Up-time 37 Traffic-Clas unauthen Ltm Internal 10:42:04 36 IP authen Local Term 10.254.254.2 10:42:04 Это нормально. С точки зрения ISG, сервис это тоже сущность авторизуемая. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Itari Опубликовано 10 сентября, 2012 · Жалоба Это нормально. С точки зрения ISG, сервис это тоже сущность авторизуемая. Спасибо за ответ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wonder Опубликовано 13 сентября, 2012 · Жалоба День добрый. Дабы не засорять ветку задам вопрос тут. Не работает POD на cisco 7206 c7200p-advipservicesk9-mz.122-33.SRE1.bin cisco#debug aaa pod Sep 13 15:10:52.035: POD: 10.10.0.2 request queued Sep 13 15:10:52.035: ++++++ POD Attribute List ++++++ Sep 13 15:10:52.035: 08C1575C 0 00000009 username(422) 6 test Sep 13 15:10:52.035: 08C1BC9C 0 00000001 addr(8) 4 xx.xx.xx.xx Sep 13 15:10:52.035: 08C1BCAC 0 00000001 session-id(385) 4 27417853(1A25CFD) Sep 13 15:10:52.035: Sep 13 15:10:52.035: POD: Received Acct-Session-Id of 000000001C00000001A25CFD Sep 13 15:10:52.035: POD: Converted to internal Session-Id of 000000000000000000A25CFD Sep 13 15:10:52.035: POD: 10.10.0.2 user test xx.xx.xx.xx sessid 0xA25CFD key 0x2F4317D7 Sep 13 15:10:52.035: POD: Line User IDB Session Id Key Sep 13 15:10:52.035: POD: Added Reply Message: No Matching Session Sep 13 15:10:52.035: POD: Added NACK Error Cause: Session Context Not Found Sep 13 15:10:52.035: POD: Sending NAK from port 1700 to 10.10.0.2/1700 Sep 13 15:10:52.035: RADIUS: 18 21 4E6F204D61746368696E672053657373696F6E Sep 13 15:10:52.035: RADIUS: 101 6 000001F7 Настройка aaa server radius dynamic-author server-key 7 2316011F0F0B auth-type any Куда копать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StSphinx Опубликовано 13 сентября, 2012 · Жалоба День добрый. Дабы не засорять ветку задам вопрос тут. Не работает POD на cisco 7206 c7200p-advipservicesk9-mz.122-33.SRE1.bin cisco#debug aaa pod Sep 13 15:10:52.035: POD: 10.10.0.2 request queued Sep 13 15:10:52.035: ++++++ POD Attribute List ++++++ Sep 13 15:10:52.035: 08C1575C 0 00000009 username(422) 6 test Sep 13 15:10:52.035: 08C1BC9C 0 00000001 addr(8) 4 xx.xx.xx.xx Sep 13 15:10:52.035: 08C1BCAC 0 00000001 session-id(385) 4 27417853(1A25CFD) Sep 13 15:10:52.035: Sep 13 15:10:52.035: POD: Received Acct-Session-Id of 000000001C00000001A25CFD Sep 13 15:10:52.035: POD: Converted to internal Session-Id of 000000000000000000A25CFD Sep 13 15:10:52.035: POD: 10.10.0.2 user test xx.xx.xx.xx sessid 0xA25CFD key 0x2F4317D7 Sep 13 15:10:52.035: POD: Line User IDB Session Id Key Sep 13 15:10:52.035: POD: Added Reply Message: No Matching Session Sep 13 15:10:52.035: POD: Added NACK Error Cause: Session Context Not Found Sep 13 15:10:52.035: POD: Sending NAK from port 1700 to 10.10.0.2/1700 Sep 13 15:10:52.035: RADIUS: 18 21 4E6F204D61746368696E672053657373696F6E Sep 13 15:10:52.035: RADIUS: 101 6 000001F7 Настройка aaa server radius dynamic-author server-key 7 2316011F0F0B auth-type any Куда копать? А абоненты случаем не в отдельном vrf? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wonder Опубликовано 14 сентября, 2012 (изменено) · Жалоба А абоненты случаем не в отдельном vrf? Нет, в vrf не заводил их. Мне не очень нравится вот это. Почему Session-Id отличаются? Sep 13 15:10:52.035: POD: Received Acct-Session-Id of 000000001C00000001A25CFD Sep 13 15:10:52.035: POD: Converted to internal Session-Id of 000000000000000000A25CFD Изменено 14 сентября, 2012 пользователем wonder Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StSphinx Опубликовано 14 сентября, 2012 · Жалоба А абоненты случаем не в отдельном vrf? Нет, в vrf не заводил их. Мне не очень нравится вот это. Почему Session-Id отличаются? Sep 13 15:10:52.035: POD: Received Acct-Session-Id of 000000001C00000001A25CFD Sep 13 15:10:52.035: POD: Converted to internal Session-Id of 000000000000000000A25CFD Ну насчет почему отличается Session-ID не скажу, а вот касательно pod и абонентов, еще один наводящий вопрос - aaa и абоненты находятся в одном vrf? Не получается так что, aaa у вас в vrf, а абоненты в global? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wonder Опубликовано 14 сентября, 2012 · Жалоба Ну насчет почему отличается Session-ID не скажу, а вот касательно pod и абонентов, еще один наводящий вопрос - aaa и абоненты находятся в одном vrf? Не получается так что, aaa у вас в vrf, а абоненты в global? радиус и абоненты находятся в global. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StSphinx Опубликовано 14 сентября, 2012 · Жалоба Вот сходу нагуглил, может поможет что-то из этого: http://www.gossamer-threads.com/lists/cisco/nsp/61485 http://tsolodov.blogspot.com/2011/02/problem-with-coa-request-on-isg-when.html https://supportforums.cisco.com/thread/132358 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
C@T Опубликовано 14 сентября, 2012 (изменено) · Жалоба Sep 13 15:10:52.035: ++++++ POD Attribute List ++++++ Sep 13 15:10:52.035: 08C1575C 0 00000009 username(422) 6 test Sep 13 15:10:52.035: 08C1BC9C 0 00000001 addr(8) 4 xx.xx.xx.xx Sep 13 15:10:52.035: 08C1BCAC 0 00000001 session-id(385) 4 27417853(1A25CFD) Если посылать в pod-пакете только username и addr, то есть вообще убрать session-id, то все работает? В конфиге циско стоит "aaa session-id unique" ? Изменено 14 сентября, 2012 пользователем C@T Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wonder Опубликовано 17 сентября, 2012 · Жалоба Если посылать в pod-пакете только username и addr, то есть вообще убрать session-id, то все работает? Спасибо, это помогло. Но возникла новая проблема. Теперь уже cisco 7301, при отсылке pod вижу на роутере. Sep 17 14:54:21.296: POD: 10.10.0.1 request queued Sep 17 14:54:21.296: POD: Illegal authenticator in POD from 10.10.0.1 using aaa_secret = secret_key_test Sep 17 14:54:21.296: POD: Added Reply Message: Invalid Authenticator Sep 17 14:54:21.296: POD: Added NACK Error Cause: Invalid Request Sep 17 14:54:21.296: POD: Sending NAK from port 1700 to 10.10.0.1/1700 Sep 17 14:54:21.296: RADIUS: 18 23 496E76616C69642041757468656E74696361746F72 Sep 17 14:54:21.296: RADIUS: 101 6 00000194 ключи на стороне биллинга и браса одинаковые 100%. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
C@T Опубликовано 17 сентября, 2012 (изменено) · Жалоба Added Reply Message: Invalid Authenticator попробуйте в конфиге 7301 в секции dynamic-author ignore server-key и/или ignore session-key и можно встречный вопрос? У вас пользователи подключаются к 7200 по pppoe или чистое ipoe без туннелей? Если чистое "IPoE", то сессии по POD при этом сбрасываются? У меня, наоборот, POD-пакет проходит, cisco говорит POD: KILL FastEthe 172.21.2 172.21.252.10 0x12D 0xF9580C25 POD: Sending ACK from port 1700 to 192.168.1.50/55892 но при этом сессия остается висеть, то есть абонент продолжает работать. При типе подключения PPPoE сессия сбрасывалась. Вместо POD "COA account-logoff" пока тоже настроить не удается, циско ругается CoA-NAK Изменено 17 сентября, 2012 пользователем C@T Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wonder Опубликовано 18 сентября, 2012 · Жалоба Added Reply Message: Invalid Authenticator попробуйте в конфиге 7301 в секции dynamic-author ignore server-key и/или ignore session-key и можно встречный вопрос? У вас пользователи подключаются к 7200 по pppoe или чистое ipoe без туннелей? Если чистое "IPoE", то сессии по POD при этом сбрасываются? У меня, наоборот, POD-пакет проходит, cisco говорит POD: KILL FastEthe 172.21.2 172.21.252.10 0x12D 0xF9580C25 POD: Sending ACK from port 1700 to 192.168.1.50/55892 но при этом сессия остается висеть, то есть абонент продолжает работать. При типе подключения PPPoE сессия сбрасывалась. Вместо POD "COA account-logoff" пока тоже настроить не удается, циско ругается CoA-NAK ignore server-key помогло, но точно эту команду пробовал и до этого момента, а сейчас заработало. Мистика... У меня абоненты включены по PPPoE, грешу на глюки биллинга всё-таки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vanishox Опубликовано 26 сентября, 2012 (изменено) · Жалоба Добрый день. Вернулся из отпуска. По поводу проблемы с редиректом: table radcheck: User3 User-Password == Test3 1Mb User-Password == 123 NEED-PAY User-Password == 123 OG_SRV User-Password == 123 table radreply: #Здесь сервисы которые будем отдавать прошедшему регистрацию пользователю. User3 Cisco-Account-Info = AOG_SRV User3 Cisco-Account-Info += ANEED-PAY #Здесь аттрибуты для сервиса, который разрешает хождение траффика до днс и других серверов, доступных без редиректа #(приоритет ниже чем у редиректа, чтобы сервис отрабатывал перед редиректом) OG_SRV Cisco-AVpair = ip:traffic-class=input access-group name VirtualPurse_IN priority 2 OG_SRV Cisco-AVpair += ip:traffic-class=output access-group name VirtualPurse_OUT priority 2 OG_SRV Cisco-Service-Info += QU;1000000;D;1000000 #Здесь аттрибуты для сервиса редиректа, который будет перенаправлять траффик пользователя до нужного нам сервера #(приоритет выше чем у сервиса до открытых серверов, чтобы сервис отрабатывал после OG_SRV) NEED-PAY Cisco-AVpair = ip:l4redirect=redirect to ip [b]10.10.65.165[/b] port 8080 NEED-PAY Cisco-AVpair += ip:traffic-class=input access-group name REDIR-TRAFF priority 3 То есть попробовал: 1. Разделил редирект и ТС на основе аксесс-листа для открытых серверов, вместо 10.10.65.2 отдаю с радиуса: ip:l4redirect=redirect to ip 10.10.65.165 port 80 - не помогло. 2. ТС для сервиса редиректа - здесь оставил только для входящего траффика: ip:traffic-class=input access-group name REDIR-TRAFF priority 3 - не помогло. По прежнему редиректится запросы к ДНС. :( А можно например сделать постоянный редирект при поднятии сессии через control policy , а сервисы отдавать с радиуса с меньшими приоритетами. Что-то типа такого: policy-map type control cpp class type control always event session-start 100 service-policy type service name OG_SRV И те же сервисы с приоритетом 1,2 и т.д ? P.S. AAAA!!!!! Как же побороть этот постоянный редирект на ДНС ???? Изменено 26 сентября, 2012 пользователем vanishox Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey75 Опубликовано 19 марта, 2016 (изменено) · Жалоба помогите с IOS у меня версия 12.4 на команду class-map type traffic match-any CLS_ACCEPT выдает ошибку----------------^ при запросе команды нет. KharinoGW1(config)#class-map type ? access-control access-control specific class-map control Configure a control policy class-map inspect Configure Firewall Class Map logging Class map for control-plane packet logging port-filter Class map for port filter queue-threshold Class map for queue threshold stack class-map for protocol header stack specification urlfilter Config Class map for local URL filtering дело в версии? Изменено 19 марта, 2016 пользователем Andrey75 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 19 марта, 2016 · Жалоба Скорее всего у вас софт с SSG. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey75 Опубликовано 23 марта, 2016 · Жалоба Скорее всего у вас софт с SSG. у нас стоит блок NPE-G1, он поддерживает ISG? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
furai Опубликовано 23 марта, 2016 · Жалоба Вы путаете модель железа и версию софта. Позовите админа :) Покажите show version. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey75 Опубликовано 23 марта, 2016 · Жалоба Вы путаете модель железа и версию софта. Позовите админа :) Покажите show version. #show version Cisco IOS Software, 7200 Software (C7200-ADVIPSERVICESK9-M), Version 12.4(24)T4, RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright © 1986-2010 by Cisco Systems, Inc. Compiled Fri 03-Sep-10 11:05 by prod_rel_team ROM: System Bootstrap, Version 12.3(4r)T1, RELEASE SOFTWARE (fc1) BOOTLDR: Cisco IOS Software, 7200 Software (C7200-KBOOT-M), Version 12.4(24)T3, RELEASE SOFTWARE (fc2) KharinoIPoE uptime is 3 days, 21 hours, 4 minutes System returned to ROM by power-on System image file is "disk2:c7200-advipservicesk9-mz.124-24.T4.bin" This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. Cisco 7206VXR (NPE-G1) processor (revision B) with 229376K/32768K bytes of memory. Processor board ID 37051912 SB-1 CPU at 700MHz, Implementation 1025, Rev 0.2, 512KB L2 Cache 6 slot VXR midplane, Version 2.11 Last reset from power-on PCI bus mb1 (Slots 1, 3 and 5) has a capacity of 600 bandwidth points. Current configuration on bus mb1 has a total of 0 bandwidth points. This configuration is within the PCI bus capacity and is supported. PCI bus mb2 (Slots 2, 4 and 6) has a capacity of 600 bandwidth points. Current configuration on bus mb2 has a total of 0 bandwidth points. This configuration is within the PCI bus capacity and is supported. Please refer to the following document "Cisco 7200 Series Port Adaptor Hardware Configuration Guidelines" on Cisco.com <http://www.cisco.com> for c7200 bandwidth points oversubscription and usage guidelines. 3 Gigabit Ethernet interfaces 509K bytes of NVRAM. 125440K bytes of ATA PCMCIA card at slot 2 (Sector size 512 bytes). 16384K bytes of Flash internal SIMM (Sector size 256K). Configuration register is 0x2102 # Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey75 Опубликовано 23 марта, 2016 · Жалоба скачал c7200-advipservicesk9-mz.152-4.S7 заработало, всем спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...