BiTel

Добрый день.

Настроен CoA на Cisco ASR1002 следующим образом:



Сценарий следующий - абонент в личном кабинете меняет себе тариф.
RADIUS посылает запрос на маршрутизатор с попыткой динамически
поменять настройки sub-qos-policy.

По факту запрос приходит на маршрутизатор, но тарифные опции не
применяются.

BGInetAccess log

connection 02-20/16:29:18 INFO [sa-p-13-t-32] ServiceActivatorDeviceWorker - Command result event: ServiceActivatorEvent type=2; inetServId: 18546; call: true; oldState: 1; newState: 1; oldOptionSet: 8; newOptionSet: 9
connection 02-20/16:29:18 INFO [sa-p-13-t-32] ServiceActivatorDeviceWorker - Processing deviceId:3; command ServiceActivatorEvent type=2;
inetServId: 18546; call: true; oldState: 1; newState: 1; oldOptionSet: 8; newOptionSet: 9
connection 02-20/16:29:18 INFO [sa-p-13-t-32] ServiceActivatorSet - Invoking connectionModify
connection 02-20/16:29:18 INFO [sa-p-13-t-32] CoAServiceActivator - Connection modify: oldState: 1; newState: 1; oldOptionSet: [8]; newOptionSet: [9]
connection 02-20/16:29:18 INFO [sa-p-13-t-32] CoAServiceActivator - Send CoA:
Packet type: CoA-Request
Identifier: 33
Authenticator: {77 A9 41 FA D7 3D 77 BE 02 6C 9B F1 31 FC 5E 30}
Attributes:
User-Name=alex
Framed-IP-Address=10.240.50.102
Acct-Session-Id=9C0000000050312C
cisco-avpair=ip:inacl=Unlimited
cisco-avpair=ip:outacl=Unlimited
cisco-avpair=ip:sub-qos-policy-in=Unlim-8Mb
cisco-avpair=ip:sub-qos-policy-out=Unlim-8Mb

connection 02-20/16:29:18 INFO [sa-p-13-t-32] RadiusClient - Sending to /10.260.129.243:1701
Packet type: CoA-Request
Identifier: 33
Authenticator: {77 A9 41 FA D7 3D 77 BE 02 6C 9B F1 31 FC 5E 30}
Attributes:
User-Name=alex
Framed-IP-Address=10.240.50.102
Acct-Session-Id=9C0000000050312C
cisco-avpair=ip:inacl=Unlimited
cisco-avpair=ip:outacl=Unlimited
cisco-avpair=ip:sub-qos-policy-in=Unlim-8Mb
cisco-avpair=ip:sub-qos-policy-out=Unlim-8Mb

connection 02-20/16:29:18 INFO [sa-p-13-t-32] ServiceActivatorDeviceWorker - Process event type[2] result=true
connection 02-20/16:29:18 INFO [rds-clnt-/81.26.129.43-1701] RadiusClient - Recieved from /10.260.129.243:1701
Packet type: CoA-ACK
Identifier: 33
Authenticator: {A6 0B B4 40 B4 D3 CE 31 89 D9 AA 6A 64 4C E4 66}
Attributes:
cisco-SSG-Account-Info=S10.240.50.102
cisco-SSG-Account-Info=$IVirtual-Access2.339

connection 02-20/16:29:23 INFO [sa-p-13-t-4] ServiceActivatorSet - Disconnecting from device
connection 02-20/16:29:23 INFO [sa-p-13-t-32] EventWorker - Future is done
connection 02-20/16:29:23 INFO [sa-p-13-t-32] ServiceActivatorSet - Disconnecting from device


debug aaa coa:

Feb 20 12:29:18.580: RADIUS: COA received from id 33 172.16.0.25:56898, CoA Request, len 186
Feb 20 12:29:18.581: COA: 10.160.0.25 request queued
Feb 20 12:29:18.581: RADIUS: authenticator 03 A2 BB 88 40 4F 6F DC - D5 C5 E3 BF 3D A8 E7 6A
Feb 20 12:29:18.581: RADIUS: User-Name [1] 12 "alex"
Feb 20 12:29:18.581: RADIUS: Framed-IP-Address [8] 6 10.240.50.102
Feb 20 12:29:18.581: RADIUS: Acct-Session-Id [44] 18 "9C0000000050312C"
Feb 20 12:29:18.581: RADIUS: Vendor, Cisco [26] 26
Feb 20 12:29:18.581: RADIUS: Cisco AVpair [1] 20 "ip:inacl=Unlimited"
Feb 20 12:29:18.581: RADIUS: Vendor, Cisco [26] 27
Feb 20 12:29:18.581: RADIUS: Cisco AVpair [1] 21 "ip:outacl=Unlimited"
Feb 20 12:29:18.581: RADIUS: Vendor, Cisco [26] 38
Feb 20 12:29:18.581: RADIUS: Cisco AVpair [1] 32 "ip:sub-qos-policy-in=Unlim-8Mb"
Feb 20 12:29:18.581: RADIUS: Vendor, Cisco [26] 39
Feb 20 12:29:18.581: RADIUS: Cisco AVpair [1] 33 "ip:sub-qos-policy-out=Unlim-8Mb"
Feb 20 12:29:18.581: COA: Message Authenticator missing or failed decode

Feb 20 12:29:18.581: ++++++ CoA Attribute List ++++++
Feb 20 12:29:18.581: 65036908 0 00000081 username(450) 10 alex
Feb 20 12:29:18.581: 650355E8 0 00000001 addr(8) 4 10.240.50.102
Feb 20 12:29:18.581: 6503561C 0 00000001 session-id(408) 4 5255468(50312C)
Feb 20 12:29:18.581: 65035650 0 00000081 inacl(144) 9 Unlimited
Feb 20 12:29:18.581: 65035684 0 00000081 outacl(310) 9 Unlimited
Feb 20 12:29:18.581: 650356B8 0 00000081 sub-qos-policy-in(421) 9 Unlim-8Mb
Feb 20 12:29:18.581: 65042408 0 00000081 sub-qos-policy-out(423) 9 Unlim-8Mb
Feb 20 12:29:18.581:
Feb 20 12:29:18.601: RADIUS/ENCODE(00000000):Orig. component type = Invalid
Feb 20 12:29:18.601: RADIUS(00000000): sending
Feb 20 12:29:18.601: RADIUS(00000000): Send CoA Ack Response to 10.160.0.25:56898 id 33, len 71
Feb 20 12:29:18.601: RADIUS: authenticator A6 0B B4 40 B4 D3 CE 31 - 89 D9 AA 6A 64 4C E4 66
Feb 20 12:29:18.601: RADIUS: Vendor, Cisco [26] 22
Feb 20 12:29:18.601: RADIUS: ssg-account-info [250] 16 "S10.240.50.102"
Feb 20 12:29:18.602: RADIUS: Vendor, Cisco [26] 29
Feb 20 12:29:18.602: RADIUS: ssg-account-info [250] 23 "$IVirtual-Access2.339"


Смущает сообщение "COA: Message Authenticator missing or failed decode".

Профили ACL и MQC на циске или биллинг предлагает?
Что было на сессии до и после?

Может ответить что применил, но самих профилей нет или написаны с ошибкой.

Сессия устанавливается и работает с любым из предлагаемых профилей.
Все параметры настроены на маршрутизаторе. При попытке динамически поменять параметры - поменять тариф, получаю вышеописанный лог.

На циске:



Найти сессию, которую изменить пытаетесь.



Выведет список текущих и всех применённых на сессии профилей, наработку по ним и т.п.

_________________
Если бы программисты были врачами, им бы пациенты говорили например "у меня болит нога", а они бы отвечали "ну не знаю, у меня такая же нога, а ничего не болит".

Моделирую работу клиента. Авторизация прошла на тариф Unlim-15Mb,
позже, при попытке сменить тариф, в лог маршрутизатора выпадает, как и
раньше, следующее:

Feb 24 07:40:33.909: COA: 10.26.129.25 request queued
Feb 24 07:40:33.909: RADIUS: authenticator B4 37 D6 B4 9E 9B 34 75 - 0A 09 86 98 0C 53 85 49
Feb 24 07:40:33.909: RADIUS: User-Name [1] 12 "alex"
Feb 24 07:40:33.909: RADIUS: Nas-Identifier [32] 10 "PEBoneSE"
Feb 24 07:40:33.909: RADIUS: NAS-IP-Address [4] 6 10.26.129.43
Feb 24 07:40:33.910: RADIUS: NAS-Port [5] 6 0
Feb 24 07:40:33.910: RADIUS: Framed-IP-Address [8] 6 10.240.50.120
Feb 24 07:40:33.910: RADIUS: Acct-Session-Id [44] 18 "9C00000000504318"
Feb 24 07:40:33.910: RADIUS: Vendor, Cisco [26] 26
Feb 24 07:40:33.910: RADIUS: Cisco AVpair [1] 20 "ip:inacl=Unlimited"
Feb 24 07:40:33.910: RADIUS: Vendor, Cisco [26] 27
Feb 24 07:40:33.910: RADIUS: Cisco AVpair [1] 21 "ip:outacl=Unlimited"
Feb 24 07:40:33.910: RADIUS: Vendor, Cisco [26] 39
Feb 24 07:40:33.910: RADIUS: Cisco AVpair [1] 33 "ip:sub-qos-policy-in=Unlim-30Mb"
Feb 24 07:40:33.910: RADIUS: Vendor, Cisco [26] 40
Feb 24 07:40:33.910: RADIUS: Cisco AVpair [1] 34 "ip:sub-qos-policy-out=Unlim-30Mb"
Feb 24 07:40:33.910: COA: Message Authenticator missing or failed decode

Feb 24 07:40:33.910: ++++++ CoA Attribute List ++++++
Feb 24 07:40:33.910: 6503C248 0 00000081 username(450) 10 alex
Feb 24 07:40:33.910: 65035D58 0 00000081 nas-identifier(167) 8 PEBoneSE
Feb 24 07:40:33.910: 65035D8C 0 00000001 nas-ip-address(600) 4 10.26.129.43
Feb 24 07:40:33.910: 65035DC0 0 00000081 interface(221) 1 0
Feb 24 07:40:33.910: 65035DF4 0 00000001 addr(8) 4 10.240.50.120
Feb 24 07:40:33.910: 65035E28 0 00000001 session-id(408) 4 5260056(504318)
Feb 24 07:40:33.910: 6503B588 0 00000081 inacl(144) 9 Unlimited
Feb 24 07:40:33.910: 6503B5BC 0 00000081 outacl(310) 9 Unlimited
Feb 24 07:40:33.910: 6503B5F0 0 00000081 sub-qos-policy-in(421) 10 Unlim-30Mb
Feb 24 07:40:33.910: 6503B624 0 00000081 sub-qos-policy-out(423) 10 Unlim-30Mb

в логах биллинга: Монитор->Договоры->Текущие, вижу что новые параметры не
применились:

Time: 24.02.2014 11:15:24
Packet type: Access-Request
Identifier: 251
Authenticator: {DD A8 E5 60 F0 3E AE 2A EF 2F 38 8D F6 A1 35 E7}
Attributes:
User-Name=alex
NAS-Identifier=ugtel.ru
NAS-Port-Id=0/0/3/35
User-Password=q�\u27K�&w�\u21�=�.�'\u18
NAS-IP-Address=10.26.129.43
NAS-Port=0
Service-Type=2
Framed-Protocol=1
Acct-Session-Id=9C00000000504318
NAS-Port-Type=5

Time: 24.02.2014 11:15:24
Packet type: Access-Accept
Identifier: 251
Authenticator: {DE 88 3D F0 7C BA AF 20 FA 25 F1 3A 86 67 21 DB}
Attributes:
Framed-IP-Address=10.240.50.120
cisco-avpair=ip:inacl=Unlimited
cisco-avpair=ip:outacl=Unlimited
cisco-avpair=ip:sub-qos-policy-in=Unlim-15Mb
cisco-avpair=ip:sub-qos-policy-out=Unlim-15Mb

Process time auth: 0


Time: 24.02.2014 11:15:24
Packet type: Accounting-Request
Identifier: 104
Authenticator: {97 64 87 D9 ED 78 63 7A 62 97 A3 91 EB 3E 17 35}
Attributes:
User-Name=pashkoalex
NAS-Identifier=ugtel.ru
NAS-IP-Address=81.26.129.43
NAS-Port=0
Service-Type=2
Framed-Protocol=1
Framed-IP-Address=10.240.50.120
Acct-Status-Type=1
Acct-Delay-Time=0
Acct-Session-Id=9C00000000504318
Acct-Authentic=1
NAS-Port-Id=0/0/3/35
NAS-Port-Type=5
cisco-avpair=connect-progress=LAN Ses Up
cisco-avpair=client-mac-address=0011.d8f1.6c6c
UNKNOWN[9-38]={55 6E 6C 69 6D 2D 31 35 4D 62}
UNKNOWN[9-37]={55 6E 6C 69 6D 2D 31 35 4D 62}

По вашей наводке смотрю применяемые параметры на маршрутизаторе:

sh subscriber session uid 1122 detailed

Type: PPPoE/PPP, UID: 1122, State: authen, Identity: alex
IPv4 Address: 10.240.50.120
Session Up-time: 00:29:10, Last Changed: 00:04:01
Interface: Virtual-Access2.285
Switch-ID: 1151323

Policy information:
Context 67449F14: Handle 40000907
AAA_id 004F8A3F: Flow_handle 0
Authentication status: authen

Classifiers:
Class-id Dir Packets Bytes Pri. Definition
0 In 5514 407225 0 Match Any
1 Out 6036 7610491 0 Match Any

Features:

QoS Policy Map:
Class-id Dir Policy Name Source
0 In Unlim-30Mb Peruser
1 Out Unlim-30Mb Peruser

IP Config:
M=Mandatory, T=Tag, Mp=Mandatory pool
Flags Peer IP Address Pool Name Interface
10.240.50.120 [None] [None]
:: [None] [None]

Idle Timeout:
Class-id Dir Timeout value Idle-Time Source
1 Out 216000 00:02:59 Virtual-Template3

Per-User ACL:
Class-id Dir Protocol ACL Name Source
0 In IP Unlimited Peruser
1 Out IP Unlimited Peruser

Configuration Sources:
Type Active Time AAA Service ID Name
USR 00:29:10 - Peruser
INT 00:29:10 - Virtual-Template3



Получается что все сработало, но в логах биллинга этого не видно.
Прошу подсказать - что я не так делаю или не там проверяю в биллинге?

Также возникла пара вопросов - какой принцип срабатывания механизма посылки CoA
на биллинге? Это происходит по истечении времени и можно ли это как-то
настраивать? Сложилась тенденция - при замене тарифа в личном
кабинете, пакеты CoA с биллинга на маршрутизатор могут отправляться через
1 минуту, могут через 15, а могут и вообще не отправляться.

Смотрите логи именно в клиенте биллинга, а не в текстовых?
Там по умолчанию только авторизация, старт и стоп. Чтобы в клиенте отображались CoA/PoD пакеты нужно в конфигурации устройства (типа устройства) указать

Спасибо!

Остался открытым один вопрос: с какой периодичностью биллинг отправляет CoA/PoD пакеты и где (как) задать это время и количество повторов в случае неответа от cisco?