skyb писал(а):
Код:
nas.inspector.radius.port=1812
Код:
aaa server radius dynamic-author
port 1812
port 1812
не стоит этого делать
лучше все же стандартный порт юзать, а то мало ли что индусам в голову взбредет
| forum.bitel.ru http://forum.bitel.ru/ |
|
| Сброс сессии по POD http://forum.bitel.ru/viewtopic.php?f=5&t=3732 |
Страница 1 из 1 |
| Автор: | skyb [ 18 мар 2010, 16:19 ] |
| Заголовок сообщения: | Сброс сессии по POD |
Пытаемся настроить ISG. Сам ISG настроили, не можем настроить сброс сессии. Конфиг радиуса биллинга касательно POD Код: nas.inspector.class=bitel.billing.server.processor.PoDNASConnectionInspector nas.inspector.radius.port=1812 nas.inspector.radius.attributes=Framed-IP-Address;Acct-Session-Id Конфиг cisco касательно POD Код: aaa new-model aaa session-mib disconnect aaa session-id unique aaa server radius dynamic-author client X.X.X.X server-key xxxxx port 1812 auth-type any В этом случае при сбросе сессии дебаг показывает следующее Код: 00:22:32: ++++++ POD Attribute List ++++++ 00:22:32: 6390C2F8 0 00000001 addr(8) 4 172.30.30.2 00:22:32: 6390C6A0 0 00000001 session-id(363) 4 19(13) 00:22:32: 00:22:32: POD: Converted to internal Session-Id of 00000013 00:22:32: POD: X.X.X.X user 172.30.30.2 sessid 0x13 key 0x0 00:22:32: POD: Line User IDB Session Id Key 00:22:32: POD: KILL FastEthe 0004012d x.x.x.x 0x13 0xE4666E78 00:22:32: POD: Sending ACK from port 1812 to x.x.x.x/43090 Потом идет стоп пакет. И вроде бы все хорошо, но сессия не переподнимается ни при каком условии. Тока после ребута циско. Более того, у меня сложилось ощущение, что вообще все пакеты с данного пользователя игнорируются. Если же меняем команду aaa session-id unique на aaa session-id common то убиваются вообще все сессии и точно такжэ не переподнимаются. Пакеты игнорируются со всех виланов, на которых были пользователи. Тоже самое случается, если убиваем сесиию по SNMP. Кстати,на всякий пожарный, полиси мапы прописанные на циско Код: policy-map type control RULE_IP_SESSION2a class type control always event session-start 30 authorize aaa list AUTHOR_LIST1 password password identifier circuit-id plus mac-address ! class type control always event session-restart 30 authorize aaa list AUTHOR_LIST1 password password identifier circuit-id plus mac-address ! class type control always event account-logon 10 authenticate aaa list AUTHEN_LIST1 Может, я что-то в полисе-мапе недопрописываю? Хотя если я сбрасываю сессию с самой циски, сессия прекрасно переподнимается сама. |
|
| Автор: | snark [ 19 мар 2010, 00:25 ] |
| Заголовок сообщения: | Re: Сброс сессии по POD |
skyb писал(а): Код: nas.inspector.radius.port=1812 Код: aaa server radius dynamic-author port 1812 не стоит этого делать лучше все же стандартный порт юзать, а то мало ли что индусам в голову взбредет
|
|
| Автор: | skyb [ 19 мар 2010, 04:45 ] |
| Заголовок сообщения: | Re: Сброс сессии по POD |
А почему сброс то не происходит? С циски то руками сбрасывается |
|
| Автор: | skyb [ 19 мар 2010, 07:30 ] |
| Заголовок сообщения: | Re: Сброс сессии по POD |
Попробовали поменять порт на стандартный - тоже не помогло. Тоже самое. Сначала 5 киллреквестов POD, на них 5 ответов, потом несколько пакетов-апдейтов от циски, потом стоп-пакет и сессия после этого не переподнимается. Странно, ведь при сбрасывании сессии напрямую с циски точно такой же стоп-пакет но сессия переподнимается нормально. |
|
| Автор: | mazay-d [ 19 мар 2010, 11:10 ] |
| Заголовок сообщения: | Re: Сброс сессии по POD |
Посмотрите здесь, мы уже обсуждали http://forum.bgbilling.ru/viewtopic.php?t=2374 |
|
| Автор: | snark [ 19 мар 2010, 20:10 ] |
| Заголовок сообщения: | Re: Сброс сессии по POD |
показывайте _весь_ конфиг - бум думать |
|
| Автор: | skyb [ 23 мар 2010, 08:31 ] |
| Заголовок сообщения: | Re: Сброс сессии по POD |
Код: WhteWind спасибо за идею! рабочая связка : на cisco: aaa pod server auth-type any ignore session-key server-key xxxx билинг: #использовать только в режиме обсчёта update dialup.workmode=1 nas.inspector.class=bitel.billing.server.processor.PoDNASConnectionInspector nas.inspector.pod.host=78.25.XXX.XX nas.inspector.pod.port=1700 nas.inspector.pod.secret=xxxx #перечисление атрибутов, необходимых в PoD пакете, если пустое - высылаются все атрибуты #nas.inspector.pod.attributes=User-Name;Framed-IP-Address;Acct-Session-Id;NAS-Port nas.inspector.pod.attributes=Acct-Session-Id этот конфиг не сработал  ща конфиг циски выложу
|
|
| Автор: | skyb [ 23 мар 2010, 09:06 ] |
| Заголовок сообщения: | Re: Сброс сессии по POD |
Код: version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname cisco-ISG ! boot-start-marker boot system flash c7200-ipbasek9-mz.122-33.SRD2.bin boot-end-marker ! logging buffered 12096 no logging console ! aaa new-model aaa session-mib disconnect ! ! aaa group server radius SERVER_GROUP1 server 10.0.0.1 auth-port 1812 acct-port 1813 ! aaa authentication login AUTHEN_LIST1 group SERVER_GROUP1 aaa authorization network default group SERVER_GROUP1 aaa authorization subscriber-service AUTHOR_LIST1 group SERVER_GROUP1 aaa accounting delay-start all aaa accounting update periodic 1 aaa accounting network ACCNT_LIST1 start-stop group SERVER_GROUP1 ! aaa nas port extended ! ! ! aaa server radius dynamic-author client 10.0.0.1 server-key aaacisco auth-type any ! aaa session-id unique clock timezone Blag 9 clock summer-time Blag recurring 1 Sun Apr 3:00 last Sun Oct 3:00 clock calendar-valid ip subnet-zero ip source-route ip cef ! ! ip dhcp relay information policy keep ip dhcp relay information trust-all ip dhcp excluded-address 10.10.10.1 ! ip dhcp pool VPN_UC2_POOL1 network 10.10.10.0 255.255.255.0 dns-server 10.0.0.1 default-router 10.10.10.1 domain-name isgtest.com lease 0 0 1 class CLASS1 ! ! ! ip dhcp class CLASS1 ! no ip domain lookup ! subscriber authorization enable multilink bundle-name authenticated ! class-map type control match-all IP_UNAUTH_COND match timer IP_UNAUTH_TIMER match authen-status unauthenticated ! policy-map type control RULE_IP_SESSION2a class type control always event session-start 30 authorize aaa list AUTHOR_LIST1 password cisco123 identifier circuit-id plus mac-address ! class type control always event session-restart 30 authorize aaa list AUTHOR_LIST1 password cisco123 identifier circuit-id plus mac-address ! class type control always event account-logon 10 authenticate aaa list AUTHEN_LIST1 ! ! interface Loopback0 no ip address ! interface Loopback12 no ip address ! interface FastEthernet0/0 no ip address no ip redirects no ip mroute-cache duplex full no cdp enable ! interface FastEthernet0/0.300 encapsulation dot1Q 300 ip address 10.10.10.1 255.255.255.248 no cdp enable service-policy type control RULE_IP_SESSION2a ip subscriber routed initiator dhcp class-aware ! ! ! interface FastEthernet1/0 no ip address no ip redirects ip nat outside ip flow ingress no ip mroute-cache duplex full no cdp enable ! interface FastEthernet1/0.4000 encapsulation dot1Q 4000 ip address 192.168.100.1 255.255.255.252 no ip redirects ip flow ingress no ip mroute-cache no cdp enable ! ip classless ip route 0.0.0.0 0.0.0.0 192.168.0.2 no ip http server no ip http secure-server ! ! ! ip radius source-interface FastEthernet1/0 logging history size 500 logging trap warnings logging facility local0 logging source-interface FastEthernet0/0 no cdp run snmp-server community xxxxx RW snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart snmp-server enable traps dhcp snmp-server host 10.0.0.1 xxxxx snmp ifmib ifindex persist ! radius-server attribute 44 include-in-access-req vrf default radius-server attribute 6 on-for-login-auth radius-server attribute 8 include-in-access-req radius-server attribute 32 include-in-access-req radius-server attribute 32 include-in-accounting-req radius-server attribute 55 include-in-acct-req radius-server attribute 55 access-request include radius-server attribute 25 access-request include radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU radius-server host 10.0.0.1 auth-port 1812 acct-port 1813 key aaacisco radius-server retransmit 5 radius-server timeout 30 radius-server directed-request radius-server vsa send accounting radius-server vsa send authentication ! control-plane ! ! dial-peer cor custom ! ! ! ! line con 0 stopbits 1 line aux 0 stopbits 1 line vty 0 4 access-class vty in exec-timeout 30 0 line vty 5 15 access-class vty in ! ntp clock-period 17179856 ntp server 194.149.67.130 ntp server 129.132.98.11 ntp server 128.105.39.11 time-range stage1 periodic daily 1:00 to 7:00 ! end Удивительно то, что как бы мы не убивали сессию ( по снмп или с помощью под) - сессия не пеподнимается. Вообще пакеты с интерфейса игнорироваться начинают. Прописывать в aaa server radius dynamic-author игнор сешион кей тоже пробовали. Ситуацию это не поменяло. Что еще любопытно - если у меня на одном влане несколько пользователей ( например на первом и на втором порту коммутатора), то при отправки килл пакета на одну из них вторая тоже сбрасывается. |
|
| Автор: | snark [ 23 мар 2010, 21:46 ] |
| Заголовок сообщения: | Re: Сброс сессии по POD |
Вы ISG используете? |
|
| Автор: | skyb [ 24 мар 2010, 05:13 ] |
| Заголовок сообщения: | Re: Сброс сессии по POD |
Пытаемся настроить. Верней настроено, только пока сброс сессий настроить неможем. Там же в шапке написано! Верней в первом посте |
|
| Автор: | snark [ 24 мар 2010, 18:14 ] |
| Заголовок сообщения: | Re: Сброс сессии по POD |
я же не просто так про ISG спросил в ISG авторизация более хитрая чем без ISG, там надо не просто дисконнект слать, аКод: cisco-avpair = subscriber:command=account-logoff вроде как (пишу по памяти и могу ошибиться) у Вас, насколько я помню ISG, автризация через DHCP, верно? и именно ее Вы пытаетесь сбросить? Вы к zzeka обратитесь, он ISG с БГБ сдружил и использует ... |
|
| Автор: | skyb [ 25 мар 2010, 06:06 ] |
| Заголовок сообщения: | Re: Сброс сессии по POD |
snark писал(а): я же не просто так про ISG спросил в ISG авторизация более хитрая чем без ISG, там надо не просто дисконнект слать, аКод: cisco-avpair = subscriber:command=account-logoff вроде как (пишу по памяти и могу ошибиться) у Вас, насколько я помню ISG, автризация через DHCP, верно? и именно ее Вы пытаетесь сбросить? Вы к zzeka обратитесь, он ISG с БГБ сдружил и использует ... Ага с Код: cisco-avpair = subscriber:command=account-logoff[ надо Обращусь, покачто не получается настроить. |
|
| Автор: | skyb [ 25 мар 2010, 08:01 ] |
| Заголовок сообщения: | Re: Сброс сессии по POD |
Вроде получилось передать параметр логофф и он его даже воспринял  .
|
|
| Автор: | skyb [ 25 мар 2010, 10:23 ] |
| Заголовок сообщения: | Re: Сброс сессии по POD |
snark писал(а): я же не просто так про ISG спросил в ISG авторизация более хитрая чем без ISG, там надо не просто дисконнект слать, аКод: cisco-avpair = subscriber:command=account-logoff вроде как (пишу по памяти и могу ошибиться) у Вас, насколько я помню ISG, автризация через DHCP, верно? и именно ее Вы пытаетесь сбросить? Вы к zzeka обратитесь, он ISG с БГБ сдружил и использует ... Он кстати говорит что они только редирект используют
|
|
| Страница 1 из 1 | Часовой пояс: UTC + 5 часов [ Летнее время ] |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|