siddkharta

Пользователи
  • Публикаций

    53
  • Зарегистрирован

  • Посещение

Информация о siddkharta

  • Звание
    Абитуриент
  • День рождения 01.01.1973

Контакты

  • ICQ
    335685723
  • Skype
    siddkharta

Информация

  • Пол
    Мужчина
  • Интересы
    Хатха. Cisco.

Город

  • Город
    Краснодар
  1. Чтобы не возникало вопросов, проверка через часик.
  2. Всё! Помер ресурс... https://is.rossvyaz.ru:8443/rossvyaz/ недоступен. https://yadi.sk/i/VTJ1yNSg3Eokij Я отписался в техподдержку, чтобы помогла оправдаться в случае чего. Однако невовремя все это легло, ой невовремя. Я успел только за 13 год сведения закинуть. А надо бы и за 14...
  3. Там стоит коммутатор и компьютер в 24 юнитовом шкафчике. У коммутатора стоит APC Smart UPS 3000, у компьютера инвертор Эковольт с 200 А батареей. Микрорайон новый, проблемный. Поэтому к шкафу подвели 2 ввода. Плюс у каждого девайса свой УПС. Суммарное потребление около 100-110 Вт (не считая самих УПС). То есть нагрузка копеечная. 3000 держит около 7,5-8 часов. Места в ящике хватает, туда больше ничего ставиться не будет, ну в крайнем случае добавится коммутатор 16-портовый управляемый, т.е. около 20 ватт. А бюджет... Ну сами понимаете, дальше пошло плак-плак и рассказы как нас все гнобят и что зарабатываем сущие копейки, как Батька про свою Белоруссию кажет. :-) С бюджетом пока не определились. А сколько вообще такое может стоить? Цена 20 штук плюс около 500 рублей доставка... Ну, по мне, так дороговато для такого самостроя. Или нет?
  4. В общем, искали мы, искали, но ничего внятного так и не нашли. Есть у нас в здании шкафчик, в нем стоит оборудование (коммутатор и компьютер, суммарное потребление около 100-110 ватт). В шкафчик заходят 2 ввода электрических. Плюс ко всему всё это сидит на APC UPS 3000. Что хотелось бы получить? Некий автоматический переключатель, который отслеживает исчезновение электричества на первом вводе и автоматическое переключение оного на второй ввод. В случае возврата электричества на 1 вводе, возврат на него. В данный момент отключение электричества приводит к переходу на УПС, и пока тот не сдохнет, работа на нем. Как издох - приезд техника и переключение на второй ввод. В общем мы согласны заплатить разумные деньги за изготовление принципиальной схемы и самого девайса. Связь через скайп, ник siddkharta.
  5. Ой, ну можно на sokolov@wifipro.info, или в Яндекс-диске публичную ссылку сделать, я заберу! И это, спасибо большое за то, что откликнулись!
  6. Вот воткнул вроде скриншотик. Ежели на нем не видно, то и не знаю. Вот данные из командной строки: AT8100-Rymn29# sh ver AlliedWare Plus 2.2.1.1 07/12/11 15:01:48 Application Build name : ats-8100-2.2.1.1.img Application Build date : Jul 12 2011 15:01:48 Application Build type : RELEASE Bootloader version : 5.1.2 Bootloader build date : Dec 22 2010 12:39:06
  7. Пока что нету. Есть старые, на которых работаем. System image file is "bootflash:/asr1002x-universalk9.03.13.01.S.154-3.S1-ext.SPA.bin" Пока не жалуемся, правда раз в 2 месяца с 1100+ юзверями и 128 адресами в пуле наружу приходится в 5.30 все-таки перегружать циску.
  8. Господа, помогитя! Стоит у нас свитчик от Allied Telesis, древний, но работающий. Который AT-8100S/24C 24-портовый. Не путать со славным и крепким хорошим 8000s. У кого есть, прошу Вас, киньте прошивочку, а то достал меня уже этот свитчик. Сначала на нем виснет Менеджмент VLAN, непонятно почему. А потом в произвольном порядке порты отваливаться начинают. Ужас просто. Если у кого доступ есть к прошивкам Allied Telesis, скачайте на AT-8100S/24C firmware пжалста! Покупать ихний смартнет ради полудохлого свитча резону нету, а выкинуть не могу, денежку на новый пока что не выделяют...
  9. Спасибо за пример! А вот вопрос есть ли работающие на ИОСе 3.13.01? Насколько он глючный и стоит ли оставаться на нем или все-таки "соскользнуть" на 3.10.04?
  10. А в чем глюки то? Мы просто тоже недавно приобрели железку, правда чуть помощнее. И установили на нее asr1002x-universalk9.03.13.01.S.154-3.S1-ext.SPA.bin Она работает, правда сессий на ней немного, около 800, хотелось бы про глюки узнать. Звучит конечно некошерно, но я для кошки брал ИОС вышеуказанный с rutracker.org. если надо, могу слить и кинуть, только скажите куда. Почта такой файл не выдержит, потому нужна ftp. Стучитесь в скайп (siddkharta), постараюсь помочь.
  11. Уважаемый All! Появился у меня вопрос к тем, кто использует PPPoE в своей работе с пользователями на Cisco ASR 1000. В данный момент настроена связка Ланбиллинг - Cisco ASR1002-X (BRAS). asr1002x-universalk9.03.13.01.S.154-3.S1-ext.SPA.bin Настройки Циски пишу с комментариями для тех, кому будет необходимо: ! bba-group pppoe PPPoE virtual-template 1 sessions per-mac limit 2 ! Сделано именно так, чтобы сессия пересоздавалась, не ожидая пока Циска убьет старую сессию sessions per-vlan limit 1000 sessions auto cleanup ! ! interface GigabitEthernet0/0/1.10 description -Old PPPoE Users- encapsulation dot1Q 10 pppoe enable group PPPoE ! ! interface Virtual-Template111 description -- Rossiyskiy PPPoE -- mtu 1492 ip unnumbered Loopback0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip tcp adjust-mss 1440 no logging event link-status no peer default ip address ! Мы берем IP адреса из Биллинга через радиус, локальных пулов нет. keepalive 60 ppp mtu adaptive ppp authentication chap pap ms-chap-v2 callin ISG-GROUP ! Ввели ms-chap-v2 для нескольких пользователей, пока те не уберут этот способ аутентификации. ! А вообще ms-chap-v2 зло, с которым надо активно бороться. К сожалению этим злом страдают не ! только напрямую подключающиеся пользователи, но и оборудование производства Zyxel ppp authorization ISG-GROUP ppp accounting ISG-GROUP ppp ipcp dns ххх.ххх.ххх.20 77.88.8.1 ppp ipcp mask 255.255.255.255 ppp ipcp address required ppp timeout idle 1800 service-policy type control ISG-CONTROL ! ! policy-map type control ISG-CONTROL class type control always event session-start 10 authenticate aaa list ISG-GROUP 20 service local ! ! ! policy-map type service SERVICE-10M service-policy input POLICY-10M-IN service-policy output POLICY-10M-OUT ! ! policy-map POLICY-10M-OUT class class-default shape average 11000000 policy-map POLICY-10M-IN class class-default police cir 11000000 bc 256000 conform-action transmit exceed-action drop ! ip nat settings pap ip nat log translations flow-export v9 udp destination ххх.ххх.ххх.25 49хх1 ip nat translation timeout 300 ip nat translation tcp-timeout 180 ip nat translation udp-timeout 180 ip nat translation syn-timeout 180 ip nat translation dns-timeout 120 ip nat translation icmp-timeout 120 ip nat translation max-entries all-host 512 ! не фиг создавать торрентами кучу сессий. Пусть юзвери учатся управлять своими uTorrent-программками no ip nat service ftp ppp packet throttle 30 1 30 ! А это самая главная строчка в конфиге, еле нашел, из-за чего наша циска слишком вяло подхватывала ! сессию пользователя для аутентификации. А Cisco об этой проблеме молчит, как партизан. Почти. То есть на Биллинг возложена обязанность прислать IP-адрес из "правильной" сети в случае успешной аутентификации (деньги на счету имеются), и название сервиса, примапленного к выбранному тарифу. А вот теперь вопрос, ради которого всё это и писалось. При подключении пользователь всё получает, и ДНС и адрес и т.д. Кроме одного. Default Gateway отсутствует, хоть тресни. Я понимаю, что PPP может и так работать, но дело в том, что когда стояла Cisco 7201 в качестве BRAS, пользователь успешно получал в качестве Default Gateway IP адрес LoopBACK0. Может у меня глаза уже замылились, ткните носом, как сделать так (что прописать в Virtual Template), чтобы шлюз по умолчанию юзвери все-таки получали.
  12. Спасибо за совет. Да, раньше так и было. Но переходим на понятие "Сервис", а это именно связка Cisco ISG с Ланбиллингом2.
  13. Управились мы с "аутентификацией сервиса". Всё оказалось просто, как всегда. Но! Раньше, когда аутентифицировались и авторизовались пользователи в Ланбиллинге, было всё достаточно просто: на каждый тарифный план создавались 2 радиус-аттрибута типа lcp:cisco-config, на вход и на выход. При переходе с тарифного плана на тарифный план мы с помощью POD или SNMP v2 скидывали сессию пользователя на Cisco 7201. С переходом на ISG всё несколько не так. Нам необходимо передать во внешний скрипт несколько параметров: session_id, login, service_old, NAS_ip, NAS_port, NAS_pod. echo "Acct-Session-Id='$session_id',User-Name='$login', cisco-avpair = 'subscriber:service-name=$service_old', cisco-avpair = 'subscriber:command=deactivate-service'" | radclient -t1 - r1 -c1 -x $NAS_ip:$NAS_port coa $NAS_pod; И тут возникает проблемка - все параметры мы получаем, некоторые мы получаем из Биллинга, некоторые реализуем внутри скрипта. Единственный параметр, который не удалось отловить - service_old/service_new, этот же параметр отвечает за скорость. Вот она то у нас всегда равна 0. И вопрос в следующем - парни, кто как реализовал Тарифный план (например, основываясь на скорости, или на Агенте), чтобы вовне в качестве параметра передавалось не нулевое значение скорости, то есть в идеале посылалось некое значение символьное, к примеру SERVICE-10M?
  14. Вот теперь в голове полная каша... Что имеем? BRAS Cisco ASR1002-X, ПО LanBilling2 (ver. 2.014). LanBilling "знает" и сообщает только о названиях сервисов, ибо все они рулятся локально на Циске. Пользователи. Все подключаются через PPPoE, исключений нет. Гостевой сети также нет, убрана. Вопрос в том, что не могу составить для себя алгоритм подключения пользователя... К примеру. Есть вот такой изначальный конфиг policy-map type control ISG-CONTROL ! class type control always event session-start 10 authenticate aaa list ISG-GROUP 20 service local ! Но, кроме удачной аутентификации надо же предусмотреть еще кучу нюансов, к примеру. 1. Пользователь не смог осилить буквы, неправильный пароль, поэтому ему надо разрешить пользоваться местным сервером ДНС и сервером статистики. 2. Первого числа у пользователя не хватило денег на следующий месяц, у него необходимо отобрать текущую услугу доступа в Интернет и оповестить, перекинув на страничку "дай денег". 3. Отвалился биллинг. Ну, мало ли. А очередной пользователь ломится и жаждит приобщиться к тайнам Интернета... Ему надо дать доступ, но "временный", скажем со скоростью 4 Мбит/сек. Просто прочел то я много, но например так и не достиг понимания в таких вещах как credit-exhausted, quota-depleted... (Это скорее всего относится к помегабайтной оплате, которой у нас нет) Из того что я описал выше, на мой взгляд, конфиг вырисовывается следующий: policy-map type control ISG-CONTROL class type control ISG-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event session-start 10 authenticate aaa list ISG-GROUP 20 service local 30 set-timer UNAUTH-TIMER 3 40 service-policy type service name SERVICE-TRUSTED 50 service-policy type service name REDIRECTION ! class type control always event radius-timeout 1 service-policy type service name SERVICE-TRUSTED 2 service-policy type service name REDIRECTION ! ! !!!!!!!!!!!!!! Сервис редиректа в случае окончания средств !!!!!!!!!!!!!!!!!!! ! redirect server-group REDIRECT_NOPAY server ip xxx.xx.xx.xx port 80 ! ! policy-map type service REDIRECTION 1 class type traffic CLASS-TO-REDIRECT redirect to group REDIRECT_NOPAY ! class type traffic default input drop ! ! class-map type traffic match-any CLASS-TO-REDIRECT match access-group input 197 match access-group output 197 ! ! access-list 197 remark --Redirect-Portal-- access-list 197 permit tcp any any eq www access-list 197 permit udp any any eq domain access-list 197 permit udp any eq domain any access-list 197 permit tcp any eq www any access-list 197 deny ip any any ! !!!!!!!!!!!!!!!!!!!!!! Конец сервиса !!!!!!!!!!!!!!!!!!!!!!!!!!!! ! ! ! !!!!!!!!!!!!!!!! Куда разрешено ходить пользователям у которых кончилась денежка !!!!!!!!!!!!!!!!!!! policy-map type service SERVICE-TRUSTED 1 class type traffic CLASS-TRUSTED police input 64000 8000 16000 police output 64000 8000 16000 ! class type traffic default input drop ! ! class-map type traffic match-any CLASS-TRUSTED match access-group input 198 match access-group output 198 ! ! access-list 198 remark --BLOCKED Clients-- ! Разрешаем пользователю ДНС access-list 198 permit udp any any eq domain access-list 198 permit udp any eq domain any ! Разрешаем пользователю сервер статистики и наш сайт access-list 198 permit tcp any host xxx.xx.xx.23 eq www access-list 198 permit tcp any host xxx.xx.xx.23 eq 443 ! Разрешаем пользователю доступ в систему PayOnline, вдруг он решился заплатить? access-list 198 permit tcp any host 66.11.130.100 eq 443 ! Разрешаем пользователю пинги access-list 198 permit icmp any any ! Если ничего не забыл, то всё. access-list 198 deny ip any any ! !!!!!!!!!!!!!!!!! Конец сервиса !!!!!!!!!!!!!!!!!!!!!!!!! Вопрос звучит следующим образом. Многие ведь используют PPPoE+ISG. Подскажите, какие сервисы вы юзаете, хотя бы обзорно, внутри этой самой основной policy control.
  15. Спасибо большое за дельные замечания. Да действительно, заработало!