Sergey_Taurus

Здравствуйте, коллеги Посоветуйте пожалуйста толковую доку для начинающих по настройке 7201 на PPPoE авторизацию с rate-limit. Минимально необходмый функционал от 7201 на текущем этапе: отдельные rate-limit'ы на 2 класса траффика - "локалка" (определенный диапазон адресов, за который нам магистрал не выставляет счета) и собственно Интернет. Лимиты симметричные, параметры лимитов у каждого абонента могут быть свои, хранимые в базе и навешиваемые при старте сессии. Хочется начать с простого: 1) какие необходимы настройки для превращения 7201 в PPPoE BRAS, параметры радиус сервера на самой циске 2) что поставить в качестве радиуса? freeradius? 3) понять формат базы радиуса, что там нужно хранить и в каком виде передавать (я так понимаю, определнный ряд атрибутов) 4) понять как на этой же 7201 реализовать акцессы на "локалку" и "Интернет": в зависимости от состояния счета абонента в добавок к rate-limit иметь механизм блокирования этих сервисов на уровне ppp-туннеля. Понимаю, что это изобретение велосипеда, и для кого-то это элементарно и за 15 минут настраивается левой ногой, но я просто утонул в нагугленных доках с описанием каких-то нанотехнологичных схем с SSG\ISG, в которых разобраться пока мне сложно с разбегу. Нужно что-то такое простое, для старта. Как взлетит - дальше уже на cisco.com буду смотреть детально что еще можно подкрутить, может и ISG добавим для выделенных некомутируемых каналов. И еще вопрос из практики: сколько PPPoE "прожует" 7201 NPE-G2 в таком режиме? NAT не требуется. Заранее спасибо за ответы.

Да хоть в фиолетовый горошек пары, главное по стандарту обжать 1,2,3 и 6 контакты, где 1-2 одна пара и 3-6 другая.

Правила настраиваются один раз, чтобы изолировать подсеть с должниками.Каждый раз их настраивать не нужно, тк дхцп сам отдаст нужный адрес. Да, с этим то все понятно... На ближайшем L3 агрегаторе нужны правила для пропуска куда угодно допустим 10.0.0.0/8 (диапазон хороших юзеров, с оплаченной абоненткой) и пропуском допустим 192.168.0.0/16 (должники) только на билинг. Здесь вопросов нет, все логично и понятно. Dynamic HosT Configuration Protocol.Про хостЫ/подсети в названии ничего не сказано. Я рфк читал бегло, и не увидел там возможности отдавать сразу подсети, вместо одного адреса. Просветите? Давайте не будем буквоедничать? Еще раз, бегло перефразирую\скопипастю то, что я уже приводил в пример:1) В общем случае каждый клиент имеет в конфиге DHCP сервера конкретный, закрепленный за ним статический серый адрес, который выдается конкретному абоненту по конкретной паре RemoteID+CurcuitID. 2) Есть клиенты которым нужно более одного статического серого (или даже белого) адреса на порту, получаемых по DHCP. Для них в конфиге DHCP сервера выделена /29 и более подсеть, из которой они получают адреса. По одному. Для каждого хостА. Но по одному. Но из подсети, сконфигурированной в конфиге DHCP севрера. Но по одному, для каждого хостА. Я не гуру в Option82, поэтому могу хотеть странного или невозможного. Если так, то поправьте плиз. Для конфигурации в варианте когда выдаются адреса куче юзеров на общем влане так все работает, проверял. Но будет ли это также работать если нужно выдавать адреса из диапазона заранее определенной подсети, для группы юзеров на определенном CurcuitID (порту узла доступа)? Либо делать время аренды, хотя бы подсети должников маленьким, либо почитать внимательно по значениям опции 53, а именно:RFC 3203 DHCP reconfigure extension (FORCERENEW) Ок, спасибо за наводку, почитаю. Может это и есть, то что нужно. Хотелось бы свести управление чем-либо на узлах доступа к нулю. Как я понимаю, порт в гостевой влан придется переносить скриптами управления, причем лазить напрямую на узел доступа, который может быть в дауне, т.е. придется это тоже отслеживать, "откладывать" на потом когда узел доступа оживет и т.д. Как раз в обсуждаемой схеме даже на L3 агрегаторах никакого управления\переконфигурирования не происходит, даже ACL'ы не изменяются, что и привлекает, т.к. на первый взгляд это будет более стабильно.

:) Действительно, просто и железобетонно надежно. Спасибо за наводку. Задержкой в 10 минут, например, можно и пожертвовать, если вариантов больше нет.Больше никаких именно server-side способов нет, чтобы минимизировать время между включением услуги в билинге и её фактическим включением у абонента? Мне кажется это флуд тогда будет. Зачем вам резкр отключать пользователя тарифы не безлимитные или просто важно чтобы новый компьютер быстро подключался и получал айпи? Я просто как наяву вижу среднестатистическую домохозяйку, которая положила деньги через киоск оплаты, пришла домой, зашла (уже достижение иногда) в личный кабинет, оплатила локалку и сидит ждет когда же оно заработает. Ждет недолго, минуты 2-3, потом начинает звонить в суппорт, а на том конце провода ей начинают объяснять как сделать ipconfig /renew, т.е. сделать что-то с компом, чтобы он получил новый IP адрес (здесь на слове "IP адрес" мы просто пациента теряем). Тарифы на Инет тут не при чем - они режутся на граничном маршрутизаторе без вмешательства кого-либо. Мне нужно чтобы доступ к сервису "локальная сеть" открывался и закрывался оперативно и с минимальным участием абонента, чтобы он для этого не перегружал комп, не выключал сетевые карты которые потом он не сможет включить обратно, не дергал как попало первые попавшиеся под руку кабеля (монтажникам и без этого работы хватает) и прочее.

:) Действительно, просто и железобетонно надежно. Спасибо за наводку. Задержкой в 10 минут, например, можно и пожертвовать, если вариантов больше нет.Больше никаких именно server-side способов нет, чтобы минимизировать время между включением услуги в билинге и её фактическим включением у абонента?

Сорри, но я не понял что это было. Что мне следовало читать и где? Позволяет жёстко закреплять за абонентом ИП, так что он если его сменит то коммутатор на доступе его никуда не пустит сам, без всяких доп ацл.Не заплатил - получай ип из отдельной подсети, которой только до биллинга можно ходить. Ну да, как раз вариант №2 о котором я прочитал на этом форуме. Что значит "без всяких доп ацл"? А кто же его тогда никуда не пустит, кроме билинга? Как я понимаю, для этого и нужен ACL на той железке (например на L3 агрегаторе, например на упомянутом мною Cisco 3750G, конечно же не на коммутаторе доступа), где "отдельная подсеть" будет резаться и пропускаться только на билинг, а "правильная" подсеть - пропускаться на локалку. Это значит вы не читали совсем.ДХЦП не отдаёт подсети, там в заголовке поля по 4 байта для ипв4 адресов. Наверное криво выразил свою мысль - здесь имелось ввиду, что за абонентом закреплен не конкретный статический адрес серый\белый, а динамический, из диапазона-подсети. Например, для тех абонентов, которым серая статика не нужна по разным причинам. Также я имел ввиду случай, когда через DHCP на конкретном порту (юрик) планируется выдавать например белую подсеть /29 через DHCP. Спасибо за наводки, погляжу. Просто после частого упоминания ISC-DHCPd думал что все работают в основном в связке с ним. Это бесспорно прекрасно, но вопрос был не об этом. Юзер забыл оплатить абонентку, он вечером пришел домой, включил ноутбук и ему выдался адрес из диапазона, где локалка зарезана. Юзер зашел в личный кабинет, оплатил в личном кабинете абонентку, тут же в конфигурации DHCP сервера для него прописался адрес из другого диапазона, для которого локалка разрешена. Как я представляю, этот новый адрес юзер получит если он перегрузит свой WindowsXP, выкл\вкл сетевой адаптер или дернет и воткнет обратно шнурок из компа (или роутера). Извините, но я не вижу здесь места, куда обычная среднестатистическая домохозяйка с виндой на ноуте может вбить ipconfig /renew Т.е. собственно вопрос в том как форсировать DHCP "сбросить" lease для этого юзера и заставить его сделать повторный DHCP запрос при котором уже выдать новый адрес.

Здравствуйте коллеги. Я так понимаю связку ISC-DHCPd + Option82 тут используют многие. Стал тут тоже неё поглядывать, появились несколько вопросов. Сейчас вся сеть работает на чистом PPPoE, по схеме VLAN на дом (группа коммутаторов). Планирую запустить пилот-сегмент с использованием DHCP Option82 + DHCP Snooping + IP Source Guard для маршрутизации локалки (терминация L3 интерфейсов на Cisco 3750G) но в то же время оставить PPPoE как дополнительную авторизацию для доступа в Интернет (да, иногда хочется странного). Как кто решает вопрос с блокировкой локалки для юзеров, не оплативших абонентку? Идея такая, что даже если юзер не оплатил локалку, у него должен быть доступ с билингу чтобы посмотреть что случилось, проверить баланс в личном кабинете, оплатить. Про Интернет речи не идет - его отрежет на граничном маршрутизаторе. Пока видится все опции: 1) На Cisco 3750G формировать\изменять L3 ACL, привязанные к VLAN'ам, таким образом управляя пропуском трафика от отдельных абонентов к локалке. Периодически менять эти листы и заливать их на циски. Из минусов - если использовать "длинные" ACL (один на все VLAN'ы), в которых будет список всех абонентов в пределах данного узла агрегации; если использовать для каждого VLAN'а свой ACL, то становится мудренее управление и формирование этих ACL. Дополнительный минус - необходимо забрасывать измененные ACL на циски, возникает период обновления ACL равный интервалу заброски ACL - в итоге абонент получает сервис не мгновенно, что иногда вызывает ненужные вопросы в техподдержку. 2) На Cisco 3750G создать один короткий ACL, в котором описать две большие сети - например 10.0.0.0/8 и 192.168.0.0/16. Юзеров из 10.0.0.0/8 пускать всегда и везде (юзеры с оплаченной абоненткой). Юзерам не оплатившим абонентку выдавать по DHCP адрес из 192.168.0.0/16, для которой открыт доступ только на билинг. На Cisco 3750G на VLAN интерсейсах держать адреса из обоих сетей, с общим коротким ACL'ом. Управлять доступом к локалке путем изменения конфигурации ISC-DHCPd. Плюсы: конфигурация цисок статична, ничего не обновляется, короткие и эффективные ACL'ы. И первый и второй варианты выглядят вполне рабочими. Только по второму варианту никак не могу понять как эффективно, быстро и красиво менять конфигурацию ISC-DHCPd в расчете что вся конфигурация должна быть per-user, т.е. абоненту выдается статический серый (или белый адрес), или даже подсеть, но всегда одна и та же. Насколько я понимаю, конфигурация ISC-DHCPd находится в текстовом файле, связку в внешней базой данных (MySQL например) этот софт не поддерживает (хотя может я плохо искал). Каким образом менять конфигурационный файл? Как я понял, по HUP серверу станет плохо и он как минимум выбросит все leases и будет их переподнимать минут 5 (при большом конфиге). Делать это каждый раз когда очередной абонент, которых не одна тысяча, оплатит абонентку и будет нуждаться в смене конфигурации на DHCP сервере - просто нереально, сервер будет только и делать что заниматься перечитками конфига каждые 5 минут. Дополнительный вопрос по схеме2: как досрочно "пнуть" юзера, чтобы он перезапросил DHCP параметры в случае если нужно выдать ему другой адрес, ведь если этого не сделать то он допустим не получит сервис при оплате если кабель не передернет, или наоборот будет пользоваться локалкой пока не кончится время lease. Хотелось бы услышать каким образом у кого работает данная схема, услышать советы и ознакомиться с проверенными решениями, чтобы не наступать на грабли и не изобретать велосипед. Заранее большое спасибо.

У меня телепатические способности плохо развиты. Да, в этом случае (когда Вы нормально объяснили задачу) это не поможет.

vrf-lite? Но это если только "разные шлюзы" доступны через разные интерфейсы.

Здравствуйте, коллеги. Скажу сразу, в технологиях еще кое-как, но в железе особенно "новом" потерялся. Есть пара глупых вопросов: 1) Как посмотреть модель NPE в 7201? sh ver, sh inv не дает ничего. Я глазами понимаю, что там должен стоять NPE-G2 (судя по количеству 1G\SFP портов и прочему), но в консоли никак проверить это не могу. Или все 7201 собраются и собирались сразу с NPE-G2, а не как 72xx, где можно поставить супервизор по выбору? 2) На флеше роутера лежит c7201-kboot образ и нормальный IOS. Как я понимаю, boot helper image это такой полу-ИОС, которым можно в случае чего что-то починить\посмотреть, если нормальный ИОС не грузится. Так вот, наблюдаю что при загрузке сначала грузится boot helper image, а потом через 5-10 секунд уже нормальный IOS. В конфиге прописан boot system flash:нормальный_ИОС. Почему все равно грузится сначала kboot? Если удалить kboot, два(!) раза грузится полный ИОС, и только после этого роутер начинает работать. 3) Пробовал побродить по ROMMON. Не нашел ни xmodem ни tftpdlnd. Это нормально? А если на роутере слетит флеш, как в него через RS232 ИОС залить, как это было для "младших" 1700 и прочих моделей? Заранее спасибо за ответы.

На передачу это конечно совсем нанотехнологии :) На перехват, где-то видел описание девайса спецслужб(?). Идея такая, что идет "залом" волокна с целью получения части волны через оболочку в месте сгиба. Т.е. вроде как при этом падающий под сильно тупым углом луч частично отражается, а частично выходит за пределы волокна. Однако, при сильном перегибе типа вносятся "видимые" потери, поэтому тоже чревато обнаружением. Конкретной модели указано не было, так что то что это не первоапрельская утка гарантировать не могу.

Всем спасибо за ссылки, буду разбираться. isg тоже фича не первой свежести Ну все-таки, а правильно понял что ISG заменил SSG? Просто мне (на настоящем этапе, новичку в этих делах) усмотреть разницу не получается. Нагуглились гайды и к SSG и ISG, и вроде как и то и другое используется для реализации одних и тех же задач.

Здравствуйте коллеги. Хотел поинтересоваться у более опытных старших товарищей: 1) Я правильно понимаю, что SSG - это уже не модно и ISG это что-то типа SSG, но более новое и функциональное? 2) Если использовать ISG, что кроме соответсвующего IOSа еще будет необходимо? ISG Feature License? Broadband Users License? 3) Гайды на cisco.com по диагонали глядел, мудрено и несовсем понятно для "новичка" в этих вопросах. Где нибудь есть толковые how-to по настройке связок ISG с RADIUS для разных сервисов: PPPoE, IPoE 4) Правильно ли я понимаю, что ISG позволяет менять параметры "сервиса" для конкретного абонента "налету", без перелогина ppp сесии и т.п.? Где бы про этот CoA почитать, чтобы попроще и с примерами? Заранее спасибо за ответы.

Подниму топик. Упала тут неожиданного на голову 7206VXR. Где можно найти хорошие доки по настройке на ней PPPoE BRAS, работе с RADIUS-атрибутами и т.д.? Это уже смотрел: http://alex-at.ru/cisco/ssg-cisco-7206-pppoe Мудрено :) Мне бы что-нибуль с нарастающей сложностью, для начинающих :) Спасибо.

Update: На неделе поддержка подтвердила, что это глюк прошивки. Будем ожидать фикса.