forum.bitel.ru :: Просмотр темы

forum.bitel.ru http://forum.bitel.ru/

PPPoE + ISG (ASR1002) http://forum.bitel.ru/viewtopic.php?f=44&t=11733	Страница 1 из 1

Автор:

Kostiksnz [ 27 июн 2016, 15:55 ]

Заголовок сообщения:

PPPoE + ISG (ASR1002)

Добрый день!

с помощью дружища Скуба начал переходить на inet (PPPoE + ISG)

Дерево устройств:

в конфиге корневым устройством числится процесс групп (id 14)
На договоре висит сервис ISG - устройство CiscoISG (16)

на Фиктивном договоре висит сервис с описанием и устройство ASR ISG Activ (17)

при авторизации PPPoE первым радиус Accept пакетом выдается ip адресс и cisco-SSG-Account-Info=AINTERNETm10

далее от циски прилетает запрос на вторичную авторизацию уже с логина AINTERNETm10

в фиктивном договоре на сервисе данный логин заведен, прикручены опция указывающая на атрибуты с сервисами, но вот беда, биллинг не может найти такого логина

Код:

06-27/14:41:56  INFO [rdsLstnr-p-9-t-2] InetNas - Search by username=INTERNETm10
06-27/14:41:56  INFO [rdsLstnr-p-9-t-2] InetRadiusProcessor - [username=INTERNETm10] InetServ not found.
06-27/14:41:56  INFO [rdsLstnr-p-9-t-2] InetRadiusProcessor - Return code=1
06-27/14:41:56  INFO [rdsLstnr-p-9-t-2] InetRadiusProcessor - RESPONSE_BEFORE_POSTPROCESS:
Packet type: Access-Reject
Identifier: 53
Authenticator: {}
Attributes:
  Reply-Message=1

пробовал устройство с сервисами перетаскивать в группу process group
тогда биллингу плевать что в договоре для первичной авторизации указано устройство CiscoISG - он пытается авторизоваться с ASR ISG Activator

вот я и не могу понять - почему то что я на договоре в сервисах явно указываю устройство - а он плюет мне в душу... :facepalm:

Вложения:

tree.JPG [ 21.68 КБ | Просмотров: 8259 ]

Автор:	Amir [ 27 июн 2016, 17:48 ]
Заголовок сообщения:	Re: PPPoE + ISG (ASR1002)
Логин прописан точно INTERNETm10, а не AINTERNETm10? В inet-access.xml rootDeviceId точно 15?

Автор:	Kostiksnz [ 28 июн 2016, 08:56 ]
Заголовок сообщения:	Re: PPPoE + ISG (ASR1002)
Amir писал(а): Логин прописан точно INTERNETm10, а не AINTERNETm10? В inet-access.xml rootDeviceId точно 15? INTERNETm10 - точно inet-access.xml root device 14 я выше написал... если поставить rootdevice 15 - то PPPoE логин не может найти

Автор:	Cromeshnic [ 28 июн 2016, 11:26 ]
Заголовок сообщения:	Re: PPPoE + ISG (ASR1002)
Ну дык в этом и проблема - если хотите 2 ProcessGroup - делайте по них 2 радиуса: в один авторизуйте логины, в другой - сервисы. Я вообще отдельный модуль под ISG-сервисы делал: http://wiki.bitel.ru/index.php/%D0%A1%D ... 0%BE%D0%B2 ps. Про radius.deviceTypeIds не забудьте.

Автор:	Cromeshnic [ 28 июн 2016, 11:28 ]
Заголовок сообщения:	Re: PPPoE + ISG (ASR1002)
Kostiksnz писал(а): пробовал устройство с сервисами перетаскивать в группу process group тогда биллингу плевать что в договоре для первичной авторизации указано устройство CiscoISG - он пытается авторизоваться с ASR ISG Activator вот я и не могу понять - почему то что я на договоре в сервисах явно указываю устройство - а он плюет мне в душу... Потому что в одном радиусе 2 NAS-а с одним и тем же IP. Он же при авторизации ещё не знает, какой это сервис. Ищет по IP NAS, берёт первый попавшийся, и уже среди его сервисов ищет подходящий. Поднимите отдельный BGInetAccess для 15 рута.

Автор:	Kostiksnz [ 28 июн 2016, 12:30 ]
Заголовок сообщения:	Re: PPPoE + ISG (ASR1002)
Cromeshnic писал(а): Kostiksnz писал(а): пробовал устройство с сервисами перетаскивать в группу process group тогда биллингу плевать что в договоре для первичной авторизации указано устройство CiscoISG - он пытается авторизоваться с ASR ISG Activator вот я и не могу понять - почему то что я на договоре в сервисах явно указываю устройство - а он плюет мне в душу... Потому что в одном радиусе 2 NAS-а с одним и тем же IP. Он же при авторизации ещё не знает, какой это сервис. Ищет по IP NAS, берёт первый попавшийся, и уже среди его сервисов ищет подходящий. Поднимите отдельный BGInetAccess для 15 рута. о как, псяп, попробую так а пара вопросов: 1 - коллектор нетфлоу линком на кого натравливать - на сессию с сервисами, или на pppoe авторизатор? 2 - в мониторе когда все успешно - будут 2 сессии? одна pppoe другая AINETblahblah?

Автор:	Phricker [ 28 июн 2016, 12:39 ]
Заголовок сообщения:	Re: PPPoE + ISG (ASR1002)
PPPoE авторизатор. По сессии с сервисами не бегает аккаунтинг и netflow ЕМНИМС Нет не будет двух сессий. Т.к. не придет Accounting-Start

Автор:	Kostiksnz [ 28 июн 2016, 13:21 ]
Заголовок сообщения:	Re: PPPoE + ISG (ASR1002)
Phricker писал(а): PPPoE авторизатор. По сессии с сервисами не бегает аккаунтинг и netflow ЕМНИМС Нет не будет двух сессий. Т.к. не придет Accounting-Start тоесть для ISG вторую копию только акцесса надо запустить, и на циске acct-port можно не указывать? за ISG отвечает только Код: aaa authorization subscriber-service default local group ISG-RADIUS - this строчка?

Автор:	Cromeshnic [ 28 июн 2016, 14:26 ]
Заголовок сообщения:	Re: PPPoE + ISG (ASR1002)
Для схемы с ISG в общем случае 3 радиус-порта можно указывать: - AAA родительской сессии - Access для ISG-сервиса (справочник атрибутов сервисов) - ААА дочерних сессий Для модуля Inet пп 1 и 3 совпадают, а справочник как хочешь, так и делаешь - хоть на FreeRadius. В мониторе показывается родительская сессия. Тыркаешь правой клавишей "показать дочерние" - показываются дочерние. Но это, если вы аккаунтинг по дочерним ведёте. Если трафики по дочерним отдельно не нужно считать, то можно и без этого, просто вешать сервисы.

Автор:	Cromeshnic [ 28 июн 2016, 14:27 ]
Заголовок сообщения:	Re: PPPoE + ISG (ASR1002)
Я не цискарь, но вам нужно почитать про схему где-нибудь. Все порты на циске прописываются отдельно.

Автор:	Kostiksnz [ 29 июн 2016, 13:32 ]
Заголовок сообщения:	Re: PPPoE + ISG (ASR1002)
авторизовывается, сервисы выдает схема 2 Акцесс сервера 1 аккаунтинг Аккаунтинг шлется с PPPoE сессии нетфлоу шлется на него же но в мониторе не обновляется колонка длительность и в договоре нету статистики по трафику

Автор:	Cromeshnic [ 29 июн 2016, 15:36 ]
Заголовок сообщения:	Re: PPPoE + ISG (ASR1002)
Оно обновляется при очередном проходе обработчика -флашера Т.е. чтобы снизить нагрузку на базу по апдейтам аккаунтинг в базу не лезет, а делает это периодически запускаемым процессом Поищите на эту тему по форуму: # Количество потоков на worker accounting.worker.2.thread.count=1 # Сброс в базу трафиков и наработки: # Минимальная наработка, при которой сбрасывать соединение в базу accounting.worker.2.flushing.1.minDeltaAccount=0 # Минимальная сумма трафика в байтах, при которой сбрасывать соединение в базу #1048576 = 1MB accounting.worker.2.flushing.1.minDeltaAmount=1048576 # Пауза между заданиями сброса в базу accounting.worker.2.flushing.1.delay=60 # Максимальное количество сброшенных соединений в базу за задание accounting.worker.2.flushing.1.batchSize=1000

Автор:	Amir [ 29 июн 2016, 15:45 ]
Заголовок сообщения:	Re: PPPoE + ISG (ASR1002)
Еще можно посмотреть что в логах, когда приходит аккаунтинг. Может быть приходит только сервисный (дочерний), а привязка трафиков настроена на родительский.

Автор:	Kostiksnz [ 30 июн 2016, 09:23 ]
Заголовок сообщения:	Re: PPPoE + ISG (ASR1002)
Amir писал(а): Еще можно посмотреть что в логах, когда приходит аккаунтинг. Может быть приходит только сервисный (дочерний), а привязка трафиков настроена на родительский. а с сервисной сессии вообще аккаунтинг нужен? Код: aaa group server radius ISG-RADIUS server биллинг auth-port 1812 acct-port 1813 ! aaa group server radius ISG-ACTIVATOR server биллинг auth-port 1815 acct-port 1813 сделано вот тык + на скрине видно что нетфлоу я снимаю со СКАТ, в устройствах в группе процесс групп в устрйоствах CiscoISG (PPPoE) и ASR Service Act в конфигах стоит flow.agent.link=18:-1 но на договоре в отчетах наработки по трафику все равно не видно...

Автор:	Cromeshnic [ 30 июн 2016, 12:19 ]
Заголовок сообщения:	Re: PPPoE + ISG (ASR1002)
Kostiksnz писал(а): а с сервисной сессии вообще аккаунтинг нужен? Если для статистики и тарификации не нужна - нет. Вам решать.

Автор:	Kostiksnz [ 30 июн 2016, 14:26 ]
Заголовок сообщения:	Re: PPPoE + ISG (ASR1002)
Cromeshnic писал(а): Kostiksnz писал(а): а с сервисной сессии вообще аккаунтинг нужен? Если для статистики и тарификации не нужна - нет. Вам решать. нужна тоесть аккаунтинг снимать с обоих групп? и с PPPoE и с сервисной? и слать все можно на один аккаунтинг сервер?

Автор:	Amir [ 30 июн 2016, 14:58 ]
Заголовок сообщения:	Re: PPPoE + ISG (ASR1002)
Да, на один порт. Обычно для обычного Access-Accept и для сервисного выдается что-нибудь вроде: Acct-Interim-Interval=60;cisco-avpair=subscriber:accounting-list=ipoe-isg-aaa И соответственно по обоим видам сессий идет аккаунтинг.

Автор:	Kostiksnz [ 17 авг 2016, 09:55 ]
Заголовок сообщения:	Re: PPPoE + ISG (ASR1002)
Amir писал(а): Да, на один порт. Обычно для обычного Access-Accept и для сервисного выдается что-нибудь вроде: Acct-Interim-Interval=60;cisco-avpair=subscriber:accounting-list=ipoe-isg-aaa И соответственно по обоим видам сессий идет аккаунтинг. вышел из отпуска, с авторизациями разобрался... вопрос таков, netflow идет, трафик складируется, но на договорах трафика не видно... Why?

Страница 1 из 1	Часовой пояс: UTC + 5 часов [ Летнее время ]
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/