ya4ya Posted July 16, 2013 Posted July 16, 2013 Здравствуйте. В наличии asr1000rp2-adventerprise.03.07.01.S.152-4.S1.bin Встала необходимость поднять Interface сессию isg: policy-map type control isg_interface class type control UNAUTH-COND event timed-policy-expiry 10 service disconnect ! class type control always event quota-depleted 1 set-param drop-traffic FALSE ! class type control always event session-start 10 authorize aaa list ipoe password ISG identifier nas-port 20 set-timer UNAUTH-TIMER 15 30 service-policy type service name srv_unauth ! class type control always event session-restart 10 authorize aaa list ipoe password ISG identifier nas-port 20 set-timer UNAUTH-TIMER 15 30 service-policy type service name srv_unauth ! interface GigabitEthernet0/0/0.350 encapsulation dot1Q 350 service-policy type control isg_interface ip subscriber interface Столкнулся со следующей проблемой: После того как авторизация прошла не успешно, трафик соответственно не пропускаем, видим сессию как unauthed в течении 15мин по истечению которых сессия дропается и больше мы её не видим (не видим повторных попыток авторизации). Попытки передернуть интерфейс, удалить создать занова ни к чему не приводят, попыток авторизации нет. Пробуем show subscriber в списке - нет, удалить нечего. Меняем название интерфейса сохраняя при этом номер влана видим попытку авторизации. При успешной авторизации все работает без проблем. На этой же железки крутятся routed сессии с unclassified ip-address таких проблем нет. Что может быть такое? Вставить ник Quote
shafiev Posted July 17, 2013 Posted July 17, 2013 (edited) версия IOS какая? Обнови до последнего . У АSR софт довольно сыроват моментами и бывают определеными баги Потом я пользователей завожу на интерфейс немного подругому interface Port-channel30.41 description SUBSCRIBERS SUBNET x.y.z.0/24 encapsulation dot1Q 41 ip dhcp relay information trusted ip address x.y.z 255.255.255.0 ip helper-address x.y.z.2 ip flow ingress service-policy type control ISG-CUSTOMERS-POLICY ip subscriber routed initiator unclassified ip-address ! Да и конфиг поподробней дай . А то ни класс мапов ни полиси мапов не видно Edited July 17, 2013 by shafiev Вставить ник Quote
ya4ya Posted July 17, 2013 Author Posted July 17, 2013 версия IOS какая? asr1000rp2-adventerprise.03.07.01.S.152-4.S1.bin Потом я пользователей завожу на интерфейс немного подругому Это совсем по другому, в данном случае такой режим не устраивает именно из-за того что инициатором должен быть клиент. На этой же железки крутятся routed сессии с unclassified ip-address таких проблем нет. Необходима именно ip subscriber interface Необходима адекватная работа при не удачной авторизации (переавторизации в случае завершения таймера UNAUTH-TIMER), т.е. до момента класс мапов и полиси мапов ещё далеко (мы ещё сессию только авторизуем) Ну бог с ней, пропала сессия, удалили -> создали интерфейс вновь, должно же все появится? А нет, + какую IP шку мы на этот интерфейс в дальнейшем не повесили бы IPшка не работает (видимо блокировка из-за не успешной авторизации ISG сессии), arp'шка есть. Может кто нибудь опыт провести на своей железке, не обязательно с аналогичным IOS? Вставить ник Quote
romantix74 Posted July 17, 2013 Posted July 17, 2013 Заранее извиняюсь если скажу глупость :) Возможно дело в lease-time DHCP сервера . В данном случае инициатором сессии является DHCP . Сколько по времени нужно чтобы клиент снова пытался авторизоваться? Тут (https://supportforums.cisco.com/docs/DOC-23170) рекомендуют ставить для ASR 9000 (для 1000 надо смотреть) dhcp ipv4 profile dhcp-red proxy lease proxy client-lease-time 300 Да и конфиг поподробней дай . А то ни класс мапов ни полиси мапов не видно +1 Вставить ник Quote
ya4ya Posted July 17, 2013 Author Posted July 17, 2013 Да нет, dhcp тут вообще не причем. Повторная авторизация на unauthed session доложна быть сразу же после того как закончится таймер (отвалится по "10 service disconnect") - принцип "ip subscriber interface" (инициатором тут является не клиент за интерфейсом, а признак наличие самого интерфейса не зависимо от его состояния). Все что относится к данной ситации: aaa group server radius raddef server name raddef ! aaa authentication ppp ipoe group raddef aaa authorization network ipoe group raddef aaa authorization subscriber-service default local group raddef aaa accounting exec ipoe start-stop group raddef aaa accounting network ipoe start-stop group raddef ! class-map type traffic match-any с_unauth match access-group input name unauth_in match access-group output name unauth_out ! class-map type control match-all UNAUTH-COND match timer UNAUTH-TIMER match authen-status unauthenticated ! policy-map type service srv_unauth 1000 class type traffic с_unauth police input 8000 police output 8000 ! class type traffic default in-out drop ! ! policy-map type control isg_interface class type control UNAUTH-COND event timed-policy-expiry 10 service disconnect ! class type control always event quota-depleted 1 set-param drop-traffic FALSE ! class type control always event session-start 10 authorize aaa list ipoe password ISG identifier nas-port 20 set-timer UNAUTH-TIMER 15 30 service-policy type service name srv_unauth ! class type control always event session-restart 10 authorize aaa list ipoe password ISG identifier nas-port 20 set-timer UNAUTH-TIMER 15 30 service-policy type service name srv_unauth ! ! interface TenGigabitEthernet0/1/0.352 description IPoE-TEST encapsulation dot1Q 352 ip address AAAAAA no ip redirects no ip unreachables no ip proxy-arp service-policy type control isg_interface ip subscriber interface ! radius-server attribute 44 include-in-access-req default-vrf radius-server attribute 8 include-in-access-req radius-server attribute 32 include-in-access-req radius-server attribute 32 include-in-accounting-req radius-server attribute 55 include-in-acct-req radius-server attribute 55 access-request include radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU radius-server attribute 4 ASDASD radius-server attribute 31 mac format unformatted lower-case radius-server attribute 31 send nas-port-detail mac-only radius-server retransmit 1 radius-server timeout 10 radius-server vsa send cisco-nas-port radius-server vsa send accounting radius-server vsa send authentication ! radius server raddef address ipv4 ZZZZZ auth-port 1812 acct-port 1813 key 7 ..... ! ip access-list extended unauth_in permit ip any host XXXXX permit ip any host YYYYY ip access-list extended unauth_out permit ip host XXXXX any permit ip host YYYYY any Поднял схему на 7200-NPE-G2 проблем не вижу :(, протестируете кто нибудь на ASR1k с другим ios'ом. Вставить ник Quote
romantix74 Posted July 18, 2013 Posted July 18, 2013 На этой же железки крутятся routed сессии с unclassified ip-address таких проблем нет. 1) Не может ли это мешать ? может быть надо создать отдельный aaa method для авторизации ip subscriber interface ? 2) я пока только изучаю isg . Что в схеме авторизации interface является логином? Возможно даже смогу собрать стенд с прошивкой asr1002x-universalk9_npe.03.07.00.S.152-4.S.SPA.bin . Но вопрос в матчасти , пока не знаю что к чему . Вставить ник Quote
ya4ya Posted July 18, 2013 Author Posted July 18, 2013 Не может ли это мешать ? может быть надо создать отдельный aaa method для авторизации ip subscriber interface ? Да нет, бросьте. Да нет, aaa method отдельный не нужен (если например радиус тот же самый), а вот policy-map type control конечно отдельный. Что в схеме авторизации interface является логином? То что укажите в policy-map type control, в моем случае identifier nas-port (формат его такой "nas-port:0.0.0.0:0/1/0/352") Вставить ник Quote
ya4ya Posted July 18, 2013 Author Posted July 18, 2013 Блин, ларчик просто открывался... но бага наверно все таки - бага. Плюс бага в шаблоне ответа радиуса, которую конечно же поправили и все заработало как нужно :) Происходит следующее: 1. Первая авторизация, циска посылает запрос на радиус. 2. Радиус отвечает ему Access-Accept, но в реплае закралась ключевая строка "Cisco-AVPair = lcp:interface-config description ...". 3. Циска не переварив её, оставляет сессию unauthed, взводит таймер. 4. После таймера сессия пропадает и повторных авторизаций не происходит. 5. Удаление, создание интерфейса вновь не помогает, авторизации нет, трафик блокируется. 6. Выход а)сменить идентификатор интерфейса (то что после точки), влан можно оставить б)поменять номер влана на интерфейсе, авторизация пройдет (успешная/не успешная - не важно), вернуть нужный влан. Что странно 7200 данную avpair переваривает. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.