BiTel

Добрый день. Помогите, пожалуйста, разобраться в работе связки dhcp+isg.

На тестовом стенде производим отладку схемы аутентификации пользователей по коммутатору/порту через опцию 82. Релеем выступает cisco ISG (c7200). В основном все работает: remote-id и circuit-id извлекаются из пакетов, сервис находится и адрес выдается. Но есть несколько непонятных моментов.

Схема следующая:

DES3526 --> Cisco c3560 --> Cisco c7200 (relay)

В коммутаторы (в каждый) включено по одному клиенту.

1) Как происходит обработка renew пакетов, и происходит ли она вообще? Т.к. renew пакет - юникастовый, он не попадает под опцию 82 на коммутаторе. В итоге, такой пакет не обрабатывается БГ, т.к. БГ не может найти сервис, к которому отнести данный пакет. Получается, что dhcp-серверу БГ, чтобы продлить аренду, нужно найти устройство и сервис, привязанный к этому устройству/порту?

2) После того, как таймер Т1 кончается, клиент шлет rebind пакет. На такой пакет БГ стабильно отвечает NAK. Клиент переходит в discover (в котором есть поле requested ip с адресом, выданным до этого), все начинается снова, но БГ предлагает уже другой адрес из пула, offer - request - ack. Почему так происходит? БГ отвечает NAK-ом видимо потому, что запрашиваемый адрес она считает занятым, при этом в dhcp.log появляется InetDhcpProcessor - Unknown packet (linked offer not found). Discard packet.
Как быть в данной ситуации? В конфигурации устройства-релея выставлен dhcp.connection.checkDuplicate=9 - судя по документации, даже если БГ посчитает, что это еще одна сессия того же абонента, она должна отключить старую сессию и освободить адрес. Это ведет к третьему вопросу:

3) Для тестов мы используем небольшой пул из пяти адресов. И несмотря на то, что подключаются всего два (а порой и один) клиента, адреса заканчиваются очень быстро, и постоянно в логе видим InetDhcpProcessor - Free IP-address not found. LeaseTime выставлен 300 секунд, но адреса высвобождаются гораздо дольше. Скорее всего, это как то связано с предыдущим вопросом о том, что клиент не может получить ранее выданный адрес, а всегда получает следующий в пуле.

Вот небольшой кусочек лога, относящийся ко второму вопросу:



Очень буду признателен за какие-нибудь подсказки.


Информация о версии:

Клиент: вер. 7.0.971 / 03.09.2018 20:19:17
os: Windows 7; java: Java HotSpot(TM) Client VM, v.1.8.0_191
Сервер: вер. 7.0.1410 / 20.09.2018 22:11:30
os: Linux; java: Java HotSpot(TM) 64-Bit Server VM, v.1.8.0_151

bill: вер. 7.0.145 / 03.09.2018 20:21:40
card: вер. 7.0.51 / 07.06.2018 16:41:02
dba: вер. 7.0.170 / 14.03.2018 16:03:34
dialup: вер. 7.0.326 / 08.06.2018 14:17:17
email: вер. 7.0.185 / 14.03.2018 16:03:39
inet: вер. 7.0.934 / 20.09.2018 22:11:40
ВНИМАНИЕ: клиентская версия: 7.0.933 / 03.09.2018 20:21:11
ipn: вер. 7.0.291 / 03.09.2018 20:21:06
mps: вер. 7.0.230 / 19.06.2018 20:44:57
npay: вер. 7.0.218 / 28.08.2018 17:44:11
phone: вер. 7.0.317 / 03.09.2018 20:21:52
reports: вер. 7.0.247 / 23.08.2018 17:04:21
rscm: вер. 7.0.190 / 31.05.2018 15:53:23
ru.bitel.bgbilling.plugins.cashcheck: вер. 7.0.139 / 23.08.2018 18:54:11
ru.bitel.bgbilling.plugins.cladr: вер. 7.0.126 / 14.03.2018 16:03:33
ru.bitel.bgbilling.plugins.crm: вер. 7.0.205 / 30.07.2018 09:49:11
ru.bitel.bgbilling.plugins.organizer: вер. 7.0.78 / 14.03.2018 16:04:15
voiceip: вер. 7.0.210 / 08.06.2018 14:17:18

Добрый день.

По описанию не совсем понятно в каком режиме работает ASR - старт по DHCP DISCOVER или старт по IP-пакету?
initiator {dhcp [class-aware] | radius-proxy | unclassified mac-address}

Добрый.

БРАС стартует сессию по dhcp:



Сейчас таймеры dhcp выставлены следующие:


Пока видим, что БГ не понимает rebind-пакет - при его получении в логе всегда появляется



и в ответ идет nak. Каждый раз после этого клиенты получают новые адреса, но затем адреса перестают выдаваться:

Для того, чтобы биллинг отвечал на RENEW запросы в конфиге Access+Accounting должно быть указано
dhcp.renew=1
https://docs.bitel.ru/pages/viewpage.ac ... d=65044482
Исторически так сложилось, что по умолчанию не отвечает на RENEW - вроде бы у каких-то коммутаторов были проблемы при включенном snooping с пакетами, которые идут на прямую на DHCP-сервер

Для режима "initiator dhcp" DHCP-сервер биллинга должен отвечать основываясь на RADIUS-сессии с ASR, т.к. адрес он уже указал в Access-Accept.
В inet-access.xml для 7.0 вместо InetDhcpProcessor нужно указать InetDhcpProcessor2 (ранее для этого режима указывали InetDhcpHelperProcessor, сейчас для обоих режимов можно использовать один класс).

Для того, чтобы биллинг знал, с каких устройств "запоминать" сессии для последующего ответа по DHCP в конфигурации Access+Accounting нужно указать
dhcp.key.deviceTypeIds=ID типа устройства ASR

По умолчанию привязка идет по такому ключу:
dhcp.key.pattern=$deviceId:$remoteId:$circuitId:$mac
deviceId - устройство-релей (ASR), remoteId - агентское устройство, circuitId - зависит от режима поиска, это может быть порт или VLAN, mac - MAC.
Если в RADIUS- или DHCP-пакете нет чего-то из этого, то ключ можно сократить до
dhcp.key.pattern=$deviceId:$mac

MAC-адрес из RADIUS-пакета - это значение из Calling-Station-Id

Если MAC-адрес приходит в другом атрибуте, то есть параметры:
radius.callingStationId.vendor=
radius.callingStationId.type=
radius.callingStationId.prefix=

Спасибо, попробуем.

Пока особых изменений не наблюдаем. БГ (dhcp) по прежнему не воспринимает DHCP Request с выставленным Requested IP, и в новой сессии клиент получает другой (следующий в пуле) адрес. При этом, наблюдается несколько странное поведение:

Вот это renew запрос, в котором параметры опции 82 не соответствуют тем, что посылает коммутатор клиента. Здесь причина понятна - запрос юникастовый, и опцию 82 вставляет уже следующий на пути следования коммутатор (с3560 в нашем случае).



Сообщение о том, что не найдены параметры для запроса тут ясны - сервис в договоре привязан к другому устройству. Дальше, это rebind. Здесь уже есть опция 50 - Requested IP{50}=145.255.253.233, а в опции 82 указаны уже верные параметры. Однако, ответ сервера следует такой же, как и при renew: pattern: $deviceId:$remoteId:$circuitId, servSearchMode: 1, deviceId: 50, agentDeviceId: 52




И только после того, как клиент переходит опять в discover, сервер выдает адрес.



Т.е., по какой причине не отрабатывает renew в данном случае ясно. Но, почему не обрабатываются rebind запросы и абоненту не выдается тот же адрес, что у него был до этого?

P.S.: mac из паттерна привязки мы пока убрали.

Перед тем как выдать Access-Accept должен написать
InetConnectionMap - Put auth accept ......

И какой режим поиска абонента у вас? По порту, по VLAN, ...?

Как раз этого и не должно быть в этой схеме. Биллинг по RADIUS выдает Access-Accept с адресом и запоминает с ключом из шаблона dhcp.key.pattern (например, Put auth accept deviceId:4;mac:001560CA2890).
Когда приходит DHCP-запрос, из запроса по dhcp.key.pattern создается ключ и по этому ключу идет поиск сессии, если сессия найдена - тогда OFFER/ACK. Нет - тогда Not found params for request

Режим поиска абонента по порту на найденном устройстве, вланы для поиска не используются.


Я правильно понимаю логику работы, что адрес выдается не в dhcp-пакете, а в radius-пакете? Т.е. при такой схеме параметр dhcp.ipCategories= получается, не нужен и достаточно ip.resource.categoryId= ? Ниже приложу конфигурацию устройства-релея, которая относится к радиусу и dhcp.

Так, на данном этапе мы обнаружили проблему - она была не в БГ, а в коммутаторе агрегации. Если включить клиента по схеме коммутатор -> релей, без промежуточного свитча, то все работает правильно. Будем разбираться с железом. Но я думаю, это не конец истории, если будут вопросы, я напишу их в эту же тему. Спасибо.

Возможно он option82 подменяет.
В этом случае с
dhcp.key.pattern=$deviceId:$mac
должно работать, т.к. привязка будет только по ASR и MAC абонента

Здесь речь идет именно о привязке радиус/дхцп к сессии? Я к тому, что если мы оставим например, только девайс и мак, мы не потеряем функционал аутентификации по коммутатору и порту?

Хотим попробовать пока оставить только мак. Некоторые коммутаторы (например, Dlink DES3526) шлет renew без опций82, как я уже писал, и БГ при получении такого пакета отвечает nak и кладет сессию.

Кстати, подскажите пожалуйста, как правильно вытащить mac из dhcp-пакета в БГ?

Нет, аутентификация идет при Access-Request. Другое дело, что могут быть проблемы, если будут устройства с одинаковыми MAC - в этом случае привязка $deviceId:$remoteId:$circuitId:$mac или $deviceId:$remoteId:$mac предпочтительнее.

В любом случае нужно смотреть что пишет в Put auth accept и в Not found, какие там значения полей

А вообще, есть какая-то практика по работе с renew сообщениями без опции 82? У нас вообще возникла мысль попытаться сделать так, чтобы БГ игнорировала dhcp-пакеты без суб-опциии 9 (той, которая приходит уже от релея и в которой находятся все нужные нам значения).

Для того, чтобы биллинг отвечал на RENEW запросы в конфиге Access+Accounting должно быть указано
dhcp.renew=1, InetAccess нужно перезапустить.

Renew-запрос - это запрос у которого ciaddr!=0.0.0.0 и нет опций Server-Identifier и Requested-IP-Address. Чтобы ответить на такой запрос, биллинг ищет активную сессию по ciaddr.
Если же это Renew-запрос, но при этом option82 есть и запрос пришел от релея - обрабатывается как обычный запрос

DHCP-клиент шлет RENEW на адрес, указанный в
dhcp.option.serverIdentifier=
Т.е. на адрес из опции Server-Identifier из OFFER/ACK.

dhcp.renew=1 у нас установлен.

Вы говорите, что биллинг ищет сессию по ciaddr. Но судя по логу, он пытается найти ее по паттерну.

Значит в этом пакете есть option82.

Логично... Поработаем в эту сторону.

Проблему нашли. Она была в коммутаторе dlink des3526. При отправке renew, он вставляет неполную опцию82, без remote-id. Устройство-релей, получив такой пакет, хотя и направляет его на dhcp-сервер, но remote-id не инкапсулирет, ввиду его отсутствия. И получается так, что БГ не понимает, что делать с таким пакетом: опция82 в нем есть, но в ней нет никакой нужной информации.

Поставили des3028 - все завелось с первого раза.

Появился новый вопрос. В данный момент перешли к работе над отключенными сессиями, при недостатке средств. Пока не работает.

При связке dhcp+isg - кто все же выдает адреса? Например, есть параметр, который отвечает за определение пула выдаваемых по dhcp адресов:


Однако, в процессе тестирование в какой-то момент я увидел, что клиент получил адрес вообще из другого пула. Оказалось, что этот пул был следующим в



Я убрал из конфигурации dhcp.ipCategories, оставив только ip.resource.categoryId - и все работает. Из этого следующий вопрос: если адреса выдаются по ip.resource.categoryId, то как выдавать адреса отключенным абонентам? Используя dhcp.disable.ipCategories= ?

ip.resource.categoryId - это адреса для статического назначения при редактировании сервиса
dhcp.ipCategories - для динамической выдачи по DHCP, если на сервисе не указан статический адрес (но не для вашей текущей схемы, где главным является RADIUS)
radius.realm.default.ipCategories - для динамической выдачи по RADIUS, если на сервисе не указан статический адрес (в вашей схеме должен выдавать отсюда)

При ограниченном доступе (для RADIUS) выдает из
radius.disable.ipCategories
В нем могут быть указаны теже самые категории.

Однако есть параметр

https://docs.bitel.ru/pages/viewpage.ac ... =119505956

Спасибо.

У нас пока по какой-то причине при отрицательном балансе и состоянии "отключен (недостаточно средств)" БГ не находит устройство, к которому привязан сервис.



При этом, если баланс сделать положительным - все начинает работать нормально.

Сессия при этом в биллинге есть?

Нет, сессии нет. На ASR при этом идут попытки, но сессия постоянно в статусе unauthen.

Поведение следующее: ASR при получении dhcp-пакета от клиента стартует сессию, отправляет radius-запрос в БГ, и БГ ему отвечает access-accept. Т.е. на этом этапе они договариваются, отключенная сессия с адресом и всеми необходимыми сервисами поднимается. Однако, dhcp.log вообще молчит - как будто он не при делах вовсе. Ну и машина клиента адрес соответственно не получает.

Что-то с настройками ASR.
Или выдаются не те сервисы в Access-Accept, которые она ждет.
Или атрибуты в Access-Accept не нравятся

Мне кажется, что сесси не должна быть unauthen, если биллинг выдал Access-Accept