[vanishox]

Парни, никак не получается победить эту проблему - почему-то в профиле редирект выдается вместе с OG_SRV (VirtualPurse_IN/OUT) траффик классом.

+ еще заметил что параллельно поднимается еще 2 сесии:

 

ASR-PPPoE#sh subscriber session uid 369 detailed 
Unique Session ID: 369
Identifier: 
SIP subscriber access type(s): Traffic-Class
Current SIP options: None
Session Up-time: 00:01:12, Last Changed: 00:01:12

Policy information:
 Context 433809E4: Handle A30001E8
 AAA_id 000001B0: Flow_handle 0
 Authentication status: unauthen
 Downloaded User profile, including services:
   l4redirect           "redirect  to ip 10.10.65.2 port 8080"
   traffic-class        "output access-group name REDIR-TRAFF priority 3"
   traffic-class        "input access-group name REDIR-TRAFF priority 3"
 Config history for session (recent to oldest):
   Access-type: Web-service-logon Client: Service Command-Handler
    Policy event: Service-Start (Service)
     Profile name: NEED-PAY, 4 references 
       l4redirect           "redirect  to ip 10.10.65.2 port 8080"
       traffic-class        "output access-group name REDIR-TRAFF priority 3"
       traffic-class        "input access-group name REDIR-TRAFF priority 3"

Session inbound features:
Feature: Layer 4 Redirect
 Rule  Cfg  Definition
 #1    SVC  Redirect to ip 10.10.65.2 port 8080 
Configuration sources associated with this session:
Service: NEED-PAY, Active Time = 00:01:12

ASR-PPPoE#sh subscriber session uid 370 detailed 
Unique Session ID: 370
Identifier: 
SIP subscriber access type(s): Traffic-Class
Current SIP options: None
Session Up-time: 00:01:26, Last Changed: 00:01:26

Policy information:
 Context 43380450: Handle 750001E9
 AAA_id 000001B0: Flow_handle 0
 Authentication status: unauthen
 Downloaded User profile, including services:
   traffic-class        "input access-group name VirtualPurse_IN priority 2"
   traffic-class        "output access-group name VirtualPurse_OUT priority 2"
   ssg-service-info     "QU;10000;D;10000"
 Config history for session (recent to oldest):
   Access-type: Web-service-logon Client: Service Command-Handler
    Policy event: Service-Start (Service)
     Profile name: OG_SRV, 4 references 
       traffic-class        "input access-group name VirtualPurse_IN priority 2"
       traffic-class        "output access-group name VirtualPurse_OUT priority 2"
       ssg-service-info     "QU;10000;D;10000"

Session inbound features:
Feature: Policing
Upstream Params: 
Average rate = 10000, Normal burst = 1875, Excess burst = 3750
Config level = Service Profile

Session outbound features:
Feature: Policing
Dnstream Params: 
Average rate = 10000, Normal burst = 1875, Excess burst = 3750
Config level = Service Profile

Configuration sources associated with this session:
Service: OG_SRV, Active Time = 00:01:26

 

Так и должно быть?

Подскажите плиз.

Изменено 28 августа, 2012 пользователем vanishox

[StSphinx]

Насколько я помню, в traffic class, на каждое направление должен быть отдельный access list. Проблема может и не в этом, но все же...

[vanishox]

StSphinx

Спасибо, что откликнулись.

Отдельный траффик класс это для редиректа?

 

 traffic-class        "output access-group name REDIR-TRAFF priority 3"
traffic-class        "input access-group name REDIR-TRAFF priority 3"

 

Здесь?

[StSphinx]

StSphinx

Спасибо, что откликнулись.

Отдельный траффик класс это для редиректа?

 

 traffic-class        "output access-group name REDIR-TRAFF priority 3"
traffic-class        "input access-group name REDIR-TRAFF priority 3"

 

Здесь?

Да, здесь. На каждое направление в TC - input & output должен быть отдельный access-list.

[vanishox]

StSphinx, хорошо попробую разделить направления в ТС. Сейчас правда в отпуске - как вернусь, сразу же проверю.

[Itari]

Добрый день всем, подскажите пожалуйста, почему при авторизации абонента, я вижу и traffic-class в авторизации абонента...

LNK-ISG-BRASS#sh subscriber session
Current Subscriber Information: Total sessions 1

Uniq ID Interface    State         Service      Identifier           Up-time
37      Traffic-Clas unauthen      Ltm Internal                      10:42:04
36      IP           authen        Local Term   10.254.254.2         10:42:04

[StSphinx]

Добрый день всем, подскажите пожалуйста, почему при авторизации абонента, я вижу и traffic-class в авторизации абонента...

LNK-ISG-BRASS#sh subscriber session
Current Subscriber Information: Total sessions 1

Uniq ID Interface    State         Service      Identifier           Up-time
37      Traffic-Clas unauthen      Ltm Internal                      10:42:04
36      IP           authen        Local Term   10.254.254.2         10:42:04

 

Это нормально. С точки зрения ISG, сервис это тоже сущность авторизуемая.

[Itari]

Это нормально. С точки зрения ISG, сервис это тоже сущность авторизуемая.

 

Спасибо за ответ.

[wonder]

День добрый. Дабы не засорять ветку задам вопрос тут.

Не работает POD на cisco 7206

c7200p-advipservicesk9-mz.122-33.SRE1.bin

 

cisco#debug aaa pod

Sep 13 15:10:52.035: POD: 10.10.0.2 request queued
Sep 13 15:10:52.035:  ++++++ POD Attribute List ++++++
Sep 13 15:10:52.035: 08C1575C 0 00000009 username(422) 6 test
Sep 13 15:10:52.035: 08C1BC9C 0 00000001 addr(8) 4 xx.xx.xx.xx
Sep 13 15:10:52.035: 08C1BCAC 0 00000001 session-id(385) 4 27417853(1A25CFD)
Sep 13 15:10:52.035: 
Sep 13 15:10:52.035: POD: Received Acct-Session-Id of 000000001C00000001A25CFD
Sep 13 15:10:52.035: POD: Converted to internal Session-Id of 000000000000000000A25CFD
Sep 13 15:10:52.035: POD: 10.10.0.2 user test xx.xx.xx.xx sessid 0xA25CFD key 0x2F4317D7 
Sep 13 15:10:52.035: POD:      Line     User     IDB          Session Id Key
Sep 13 15:10:52.035: POD: Added Reply Message: No Matching Session
Sep 13 15:10:52.035: POD: Added NACK Error Cause: Session Context Not Found
Sep 13 15:10:52.035: POD: Sending NAK from port 1700 to 10.10.0.2/1700
Sep 13 15:10:52.035: RADIUS:  18  21  4E6F204D61746368696E672053657373696F6E
Sep 13 15:10:52.035: RADIUS:  101 6   000001F7

 

Настройка

 

 

aaa server radius dynamic-author
server-key 7 2316011F0F0B
auth-type any

Куда копать?

[StSphinx]

День добрый. Дабы не засорять ветку задам вопрос тут.

Не работает POD на cisco 7206

c7200p-advipservicesk9-mz.122-33.SRE1.bin

 

cisco#debug aaa pod

Sep 13 15:10:52.035: POD: 10.10.0.2 request queued
Sep 13 15:10:52.035:  ++++++ POD Attribute List ++++++
Sep 13 15:10:52.035: 08C1575C 0 00000009 username(422) 6 test
Sep 13 15:10:52.035: 08C1BC9C 0 00000001 addr(8) 4 xx.xx.xx.xx
Sep 13 15:10:52.035: 08C1BCAC 0 00000001 session-id(385) 4 27417853(1A25CFD)
Sep 13 15:10:52.035: 
Sep 13 15:10:52.035: POD: Received Acct-Session-Id of 000000001C00000001A25CFD
Sep 13 15:10:52.035: POD: Converted to internal Session-Id of 000000000000000000A25CFD
Sep 13 15:10:52.035: POD: 10.10.0.2 user test xx.xx.xx.xx sessid 0xA25CFD key 0x2F4317D7 
Sep 13 15:10:52.035: POD:      Line     User     IDB          Session Id Key
Sep 13 15:10:52.035: POD: Added Reply Message: No Matching Session
Sep 13 15:10:52.035: POD: Added NACK Error Cause: Session Context Not Found
Sep 13 15:10:52.035: POD: Sending NAK from port 1700 to 10.10.0.2/1700
Sep 13 15:10:52.035: RADIUS:  18  21  4E6F204D61746368696E672053657373696F6E
Sep 13 15:10:52.035: RADIUS:  101 6   000001F7

 

Настройка

 

 

aaa server radius dynamic-author
server-key 7 2316011F0F0B
auth-type any

Куда копать?

А абоненты случаем не в отдельном vrf?

[wonder]

А абоненты случаем не в отдельном vrf?

Нет, в vrf не заводил их.

 

Мне не очень нравится вот это. Почему Session-Id отличаются?

Sep 13 15:10:52.035: POD: Received Acct-Session-Id of 000000001C00000001A25CFD

Sep 13 15:10:52.035: POD: Converted to internal Session-Id of 000000000000000000A25CFD

Изменено 14 сентября, 2012 пользователем wonder

[StSphinx]

А абоненты случаем не в отдельном vrf?

Нет, в vrf не заводил их.

 

Мне не очень нравится вот это. Почему Session-Id отличаются?

Sep 13 15:10:52.035: POD: Received Acct-Session-Id of 000000001C00000001A25CFD

Sep 13 15:10:52.035: POD: Converted to internal Session-Id of 000000000000000000A25CFD

 

Ну насчет почему отличается Session-ID не скажу, а вот касательно pod и абонентов, еще один наводящий вопрос - aaa и абоненты находятся в одном vrf?

Не получается так что, aaa у вас в vrf, а абоненты в global?

[wonder]

Ну насчет почему отличается Session-ID не скажу, а вот касательно pod и абонентов, еще один наводящий вопрос - aaa и абоненты находятся в одном vrf?

Не получается так что, aaa у вас в vrf, а абоненты в global?

радиус и абоненты находятся в global.

[StSphinx]

Вот сходу нагуглил, может поможет что-то из этого:

http://www.gossamer-threads.com/lists/cisco/nsp/61485

http://tsolodov.blogspot.com/2011/02/problem-with-coa-request-on-isg-when.html

https://supportforums.cisco.com/thread/132358

[C@T]

Sep 13 15:10:52.035: ++++++ POD Attribute List ++++++

Sep 13 15:10:52.035: 08C1575C 0 00000009 username(422) 6 test

Sep 13 15:10:52.035: 08C1BC9C 0 00000001 addr(8) 4 xx.xx.xx.xx

Sep 13 15:10:52.035: 08C1BCAC 0 00000001 session-id(385) 4 27417853(1A25CFD)

 

Если посылать в pod-пакете только username и addr, то есть вообще убрать session-id, то все работает?

В конфиге циско стоит "aaa session-id unique" ?

Изменено 14 сентября, 2012 пользователем C@T

[wonder]

 

Если посылать в pod-пакете только username и addr, то есть вообще убрать session-id, то все работает?

 

Спасибо, это помогло.

Но возникла новая проблема. Теперь уже cisco 7301, при отсылке pod вижу на роутере.

 

Sep 17 14:54:21.296: POD: 10.10.0.1 request queued
Sep 17 14:54:21.296: POD: Illegal authenticator in POD from 10.10.0.1 using aaa_secret = secret_key_test
Sep 17 14:54:21.296: POD: Added Reply Message: Invalid Authenticator
Sep 17 14:54:21.296: POD: Added NACK Error Cause: Invalid Request
Sep 17 14:54:21.296: POD: Sending NAK from port 1700 to 10.10.0.1/1700
Sep 17 14:54:21.296: RADIUS:  18  23  496E76616C69642041757468656E74696361746F72
Sep 17 14:54:21.296: RADIUS:  101 6   00000194

 

ключи на стороне биллинга и браса одинаковые 100%.

[C@T]

Added Reply Message: Invalid Authenticator

попробуйте в конфиге 7301 в секции dynamic-author

ignore server-key и/или ignore session-key

 

и можно встречный вопрос? У вас пользователи подключаются к 7200 по pppoe или чистое ipoe без туннелей? Если чистое "IPoE", то сессии по POD при этом сбрасываются? У меня, наоборот, POD-пакет проходит, cisco говорит

POD: KILL FastEthe 172.21.2 172.21.252.10 0x12D      0xF9580C25
POD: Sending ACK from port 1700 to 192.168.1.50/55892

но при этом сессия остается висеть, то есть абонент продолжает работать. При типе подключения PPPoE сессия сбрасывалась.

Вместо POD "COA account-logoff" пока тоже настроить не удается, циско ругается CoA-NAK

Изменено 17 сентября, 2012 пользователем C@T

[wonder]

Added Reply Message: Invalid Authenticator

попробуйте в конфиге 7301 в секции dynamic-author

ignore server-key и/или ignore session-key

и можно встречный вопрос? У вас пользователи подключаются к 7200 по pppoe или чистое ipoe без туннелей? Если чистое "IPoE", то сессии по POD при этом сбрасываются? У меня, наоборот, POD-пакет проходит, cisco говорит

POD: KILL FastEthe 172.21.2 172.21.252.10 0x12D      0xF9580C25
POD: Sending ACK from port 1700 to 192.168.1.50/55892

но при этом сессия остается висеть, то есть абонент продолжает работать. При типе подключения PPPoE сессия сбрасывалась.

Вместо POD "COA account-logoff" пока тоже настроить не удается, циско ругается CoA-NAK

ignore server-key помогло, но точно эту команду пробовал и до этого момента, а сейчас заработало. Мистика...

У меня абоненты включены по PPPoE, грешу на глюки биллинга всё-таки.

[vanishox]

Добрый день. Вернулся из отпуска.

По поводу проблемы с редиректом:

table radcheck:

  User3     User-Password   ==   Test3 
  1Mb       User-Password   ==   123 
  NEED-PAY  User-Password   ==   123 
  OG_SRV    User-Password   ==   123 

table radreply:

 #Здесь сервисы которые будем отдавать прошедшему регистрацию пользователю. 
 User3    Cisco-Account-Info   =   AOG_SRV 
 User3    Cisco-Account-Info   +=  ANEED-PAY    

 #Здесь аттрибуты для сервиса, который разрешает хождение траффика до днс и других серверов, доступных без редиректа 
 #(приоритет ниже чем у редиректа, чтобы сервис отрабатывал перед редиректом)
 OG_SRV   Cisco-AVpair         =   ip:traffic-class=input access-group name VirtualPurse_IN priority 2 
 OG_SRV   Cisco-AVpair         +=  ip:traffic-class=output access-group name VirtualPurse_OUT priority 2 
 OG_SRV   Cisco-Service-Info   +=  QU;1000000;D;1000000   

 #Здесь аттрибуты для сервиса редиректа, который будет перенаправлять траффик пользователя до нужного нам сервера
 #(приоритет выше чем у сервиса до открытых серверов, чтобы сервис отрабатывал после OG_SRV)
 NEED-PAY   Cisco-AVpair       =   ip:l4redirect=redirect  to ip [b]10.10.65.165[/b] port 8080 
 NEED-PAY   Cisco-AVpair       +=  ip:traffic-class=input access-group name REDIR-TRAFF priority 3 

 

То есть попробовал:

 

1. Разделил редирект и ТС на основе аксесс-листа для открытых серверов, вместо 10.10.65.2 отдаю с радиуса:

ip:l4redirect=redirect to ip 10.10.65.165 port 80 - не помогло.

 

2. ТС для сервиса редиректа - здесь оставил только для входящего траффика:

ip:traffic-class=input access-group name REDIR-TRAFF priority 3 - не помогло.

 

По прежнему редиректится запросы к ДНС. :(

А можно например сделать постоянный редирект при поднятии сессии через control policy , а сервисы отдавать с радиуса с меньшими приоритетами.

 

Что-то типа такого:

 

policy-map type control cpp

class type control always event session-start

100 service-policy type service name OG_SRV

 

И те же сервисы с приоритетом 1,2 и т.д ?

 

P.S. AAAA!!!!! Как же побороть этот постоянный редирект на ДНС ????

Изменено 26 сентября, 2012 пользователем vanishox

[Andrey75]

помогите с IOS у меня версия 12.4

на команду class-map type traffic match-any CLS_ACCEPT

выдает ошибку----------------^

 

при запросе команды нет.

KharinoGW1(config)#class-map type ?

access-control access-control specific class-map

control Configure a control policy class-map

inspect Configure Firewall Class Map

logging Class map for control-plane packet logging

port-filter Class map for port filter

queue-threshold Class map for queue threshold

stack class-map for protocol header stack specification

urlfilter Config Class map for local URL filtering

 

дело в версии?

Изменено 19 марта, 2016 пользователем Andrey75

[zhenya`]

Скорее всего у вас софт с SSG.

[Andrey75]

Скорее всего у вас софт с SSG.

у нас стоит блок NPE-G1, он поддерживает ISG?

[furai]

Вы путаете модель железа и версию софта. Позовите админа :)

Покажите show version.

[Andrey75]

Вы путаете модель железа и версию софта. Позовите админа :)

Покажите show version.

#show version

Cisco IOS Software, 7200 Software (C7200-ADVIPSERVICESK9-M), Version 12.4(24)T4, RELEASE SOFTWARE (fc2)

Technical Support: http://www.cisco.com/techsupport

Copyright © 1986-2010 by Cisco Systems, Inc.

Compiled Fri 03-Sep-10 11:05 by prod_rel_team

 

ROM: System Bootstrap, Version 12.3(4r)T1, RELEASE SOFTWARE (fc1)

BOOTLDR: Cisco IOS Software, 7200 Software (C7200-KBOOT-M), Version 12.4(24)T3, RELEASE SOFTWARE (fc2)

 

KharinoIPoE uptime is 3 days, 21 hours, 4 minutes

System returned to ROM by power-on

System image file is "disk2:c7200-advipservicesk9-mz.124-24.T4.bin"

 

 

This product contains cryptographic features and is subject to United

States and local country laws governing import, export, transfer and

use. Delivery of Cisco cryptographic products does not imply

third-party authority to import, export, distribute or use encryption.

Importers, exporters, distributors and users are responsible for

compliance with U.S. and local country laws. By using this product you

agree to comply with applicable laws and regulations. If you are unable

to comply with U.S. and local laws, return this product immediately.

 

A summary of U.S. laws governing Cisco cryptographic products may be found at:

http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

 

If you require further assistance please contact us by sending email to

export@cisco.com.

 

Cisco 7206VXR (NPE-G1) processor (revision B) with 229376K/32768K bytes of memory.

Processor board ID 37051912

SB-1 CPU at 700MHz, Implementation 1025, Rev 0.2, 512KB L2 Cache

6 slot VXR midplane, Version 2.11

 

Last reset from power-on

 

PCI bus mb1 (Slots 1, 3 and 5) has a capacity of 600 bandwidth points.

Current configuration on bus mb1 has a total of 0 bandwidth points.

This configuration is within the PCI bus capacity and is supported.

 

PCI bus mb2 (Slots 2, 4 and 6) has a capacity of 600 bandwidth points.

Current configuration on bus mb2 has a total of 0 bandwidth points.

This configuration is within the PCI bus capacity and is supported.

 

Please refer to the following document "Cisco 7200 Series Port Adaptor

Hardware Configuration Guidelines" on Cisco.com <http://www.cisco.com>

for c7200 bandwidth points oversubscription and usage guidelines.

 

 

3 Gigabit Ethernet interfaces

509K bytes of NVRAM.

 

125440K bytes of ATA PCMCIA card at slot 2 (Sector size 512 bytes).

16384K bytes of Flash internal SIMM (Sector size 256K).

Configuration register is 0x2102

 

#

[Andrey75]

скачал c7200-advipservicesk9-mz.152-4.S7 заработало, всем спасибо