BiTel

Добрый день!

с помощью дружища Скуба начал переходить на inet (PPPoE + ISG)

Дерево устройств:


в конфиге корневым устройством числится процесс групп (id 14)
На договоре висит сервис ISG - устройство CiscoISG (16)

на Фиктивном договоре висит сервис с описанием и устройство ASR ISG Activ (17)

при авторизации PPPoE первым радиус Accept пакетом выдается ip адресс и cisco-SSG-Account-Info=AINTERNETm10

далее от циски прилетает запрос на вторичную авторизацию уже с логина AINTERNETm10

в фиктивном договоре на сервисе данный логин заведен, прикручены опция указывающая на атрибуты с сервисами, но вот беда, биллинг не может найти такого логина



пробовал устройство с сервисами перетаскивать в группу process group
тогда биллингу плевать что в договоре для первичной авторизации указано устройство CiscoISG - он пытается авторизоваться с ASR ISG Activator

вот я и не могу понять - почему то что я на договоре в сервисах явно указываю устройство - а он плюет мне в душу...

Логин прописан точно INTERNETm10, а не AINTERNETm10?
В inet-access.xml rootDeviceId точно 15?

INTERNETm10 - точно

inet-access.xml root device 14 я выше написал...

если поставить rootdevice 15 - то PPPoE логин не может найти

Ну дык в этом и проблема - если хотите 2 ProcessGroup - делайте по них 2 радиуса: в один авторизуйте логины, в другой - сервисы.
Я вообще отдельный модуль под ISG-сервисы делал:
http://wiki.bitel.ru/index.php/%D0%A1%D ... 0%BE%D0%B2

ps. Про radius.deviceTypeIds не забудьте.

Потому что в одном радиусе 2 NAS-а с одним и тем же IP. Он же при авторизации ещё не знает, какой это сервис.
Ищет по IP NAS, берёт первый попавшийся, и уже среди его сервисов ищет подходящий.

Поднимите отдельный BGInetAccess для 15 рута.

о как, псяп, попробую так

а пара вопросов:
1 - коллектор нетфлоу линком на кого натравливать - на сессию с сервисами, или на pppoe авторизатор?
2 - в мониторе когда все успешно - будут 2 сессии? одна pppoe другая AINETblahblah?

PPPoE авторизатор.
По сессии с сервисами не бегает аккаунтинг и netflow ЕМНИМС

Нет не будет двух сессий. Т.к. не придет Accounting-Start

_________________
Цитаты великих людей
Напишите в helpdesk © stark
повторяю: => хелпдеск => доработка => профит © dimOn
свершилось... © skn
Мой код изящен, лёгок, оригинален, краток. Как прохладный весенний ветерок, как звонкий ручей! © dimOn
Вежливый разработчик © Artur
Эти баги тоже исправлены, как и те, которые еще не написаны © Artur
ну т.е. существует воркэраунд, ок © dimOn

тоесть для ISG вторую копию только акцесса надо запустить, и на циске acct-port можно не указывать?

за ISG отвечает только - this строчка?

Для схемы с ISG в общем случае 3 радиус-порта можно указывать:
- AAA родительской сессии
- Access для ISG-сервиса (справочник атрибутов сервисов)
- ААА дочерних сессий

Для модуля Inet пп 1 и 3 совпадают, а справочник как хочешь, так и делаешь - хоть на FreeRadius.
В мониторе показывается родительская сессия. Тыркаешь правой клавишей "показать дочерние" - показываются дочерние.
Но это, если вы аккаунтинг по дочерним ведёте. Если трафики по дочерним отдельно не нужно считать, то можно и без этого, просто вешать сервисы.

Я не цискарь, но вам нужно почитать про схему где-нибудь. Все порты на циске прописываются отдельно.

авторизовывается, сервисы выдает
схема

2 Акцесс сервера
1 аккаунтинг

Аккаунтинг шлется с PPPoE сессии
нетфлоу шлется на него же
но в мониторе не обновляется колонка длительность и в договоре нету статистики по трафику

Оно обновляется при очередном проходе обработчика -флашера
Т.е. чтобы снизить нагрузку на базу по апдейтам аккаунтинг в базу не лезет, а делает это периодически запускаемым процессом

Поищите на эту тему по форуму:

# Количество потоков на worker
accounting.worker.2.thread.count=1
# Сброс в базу трафиков и наработки:
# Минимальная наработка, при которой сбрасывать соединение в базу
accounting.worker.2.flushing.1.minDeltaAccount=0
# Минимальная сумма трафика в байтах, при которой сбрасывать соединение в базу
#1048576 = 1MB
accounting.worker.2.flushing.1.minDeltaAmount=1048576
# Пауза между заданиями сброса в базу
accounting.worker.2.flushing.1.delay=60
# Максимальное количество сброшенных соединений в базу за задание
accounting.worker.2.flushing.1.batchSize=1000

Еще можно посмотреть что в логах, когда приходит аккаунтинг.
Может быть приходит только сервисный (дочерний), а привязка трафиков настроена на родительский.

а с сервисной сессии вообще аккаунтинг нужен?


сделано вот тык

+ на скрине видно что нетфлоу я снимаю со СКАТ, в устройствах в группе процесс групп
в устрйоствах CiscoISG (PPPoE) и ASR Service Act в конфигах стоит flow.agent.link=18:-1

но на договоре в отчетах наработки по трафику все равно не видно...

Если для статистики и тарификации не нужна - нет. Вам решать.

нужна
тоесть аккаунтинг снимать с обоих групп? и с PPPoE и с сервисной? и слать все можно на один аккаунтинг сервер?

Да, на один порт.

Обычно для обычного Access-Accept и для сервисного выдается что-нибудь вроде:
Acct-Interim-Interval=60;cisco-avpair=subscriber:accounting-list=ipoe-isg-aaa

И соответственно по обоим видам сессий идет аккаунтинг.

вышел из отпуска, с авторизациями разобрался...

вопрос таков, netflow идет, трафик складируется, но на договорах трафика не видно...
Why?