Sergey_Taurus

Здравствуйте, коллеги Посоветуйте пожалуйста толковую доку для начинающих по настройке 7201 на PPPoE авторизацию с rate-limit. Минимально необходмый функционал от 7201 на текущем этапе: отдельные rate-limit'ы на 2 класса траффика - "локалка" (определенный диапазон адресов, за который нам магистрал не выставляет счета) и собственно Интернет. Лимиты симметричные, параметры лимитов у каждого абонента могут быть свои, хранимые в базе и навешиваемые при старте сессии. Хочется начать с простого: 1) какие необходимы настройки для превращения 7201 в PPPoE BRAS, параметры радиус сервера на самой циске 2) что поставить в качестве радиуса? freeradius? 3) понять формат базы радиуса, что там нужно хранить и в каком виде передавать (я так понимаю, определнный ряд атрибутов) 4) понять как на этой же 7201 реализовать акцессы на "локалку" и "Интернет": в зависимости от состояния счета абонента в добавок к rate-limit иметь механизм блокирования этих сервисов на уровне ppp-туннеля. Понимаю, что это изобретение велосипеда, и для кого-то это элементарно и за 15 минут настраивается левой ногой, но я просто утонул в нагугленных доках с описанием каких-то нанотехнологичных схем с SSG\ISG, в которых разобраться пока мне сложно с разбегу. Нужно что-то такое простое, для старта. Как взлетит - дальше уже на cisco.com буду смотреть детально что еще можно подкрутить, может и ISG добавим для выделенных некомутируемых каналов. И еще вопрос из практики: сколько PPPoE "прожует" 7201 NPE-G2 в таком режиме? NAT не требуется. Заранее спасибо за ответы.

Да хоть в фиолетовый горошек пары, главное по стандарту обжать 1,2,3 и 6 контакты, где 1-2 одна пара и 3-6 другая.

Правила настраиваются один раз, чтобы изолировать подсеть с должниками.Каждый раз их настраивать не нужно, тк дхцп сам отдаст нужный адрес. Да, с этим то все понятно... На ближайшем L3 агрегаторе нужны правила для пропуска куда угодно допустим 10.0.0.0/8 (диапазон хороших юзеров, с оплаченной абоненткой) и пропуском допустим 192.168.0.0/16 (должники) только на билинг. Здесь вопросов нет, все логично и понятно. Dynamic HosT Configuration Protocol.Про хостЫ/подсети в названии ничего не сказано. Я рфк читал бегло, и не увидел там возможности отдавать сразу подсети, вместо одного адреса. Просветите? Давайте не будем буквоедничать? Еще раз, бегло перефразирую\скопипастю то, что я уже приводил в пример:1) В общем случае каждый клиент имеет в конфиге DHCP сервера конкретный, закрепленный за ним статический серый адрес, который выдается конкретному абоненту по конкретной паре RemoteID+CurcuitID. 2) Есть клиенты которым нужно более одного статического серого (или даже белого) адреса на порту, получаемых по DHCP. Для них в конфиге DHCP сервера выделена /29 и более подсеть, из которой они получают адреса. По одному. Для каждого хостА. Но по одному. Но из подсети, сконфигурированной в конфиге DHCP севрера. Но по одному, для каждого хостА. Я не гуру в Option82, поэтому могу хотеть странного или невозможного. Если так, то поправьте плиз. Для конфигурации в варианте когда выдаются адреса куче юзеров на общем влане так все работает, проверял. Но будет ли это также работать если нужно выдавать адреса из диапазона заранее определенной подсети, для группы юзеров на определенном CurcuitID (порту узла доступа)? Либо делать время аренды, хотя бы подсети должников маленьким, либо почитать внимательно по значениям опции 53, а именно:RFC 3203 DHCP reconfigure extension (FORCERENEW) Ок, спасибо за наводку, почитаю. Может это и есть, то что нужно. Хотелось бы свести управление чем-либо на узлах доступа к нулю. Как я понимаю, порт в гостевой влан придется переносить скриптами управления, причем лазить напрямую на узел доступа, который может быть в дауне, т.е. придется это тоже отслеживать, "откладывать" на потом когда узел доступа оживет и т.д. Как раз в обсуждаемой схеме даже на L3 агрегаторах никакого управления\переконфигурирования не происходит, даже ACL'ы не изменяются, что и привлекает, т.к. на первый взгляд это будет более стабильно.

:) Действительно, просто и железобетонно надежно. Спасибо за наводку. Задержкой в 10 минут, например, можно и пожертвовать, если вариантов больше нет.Больше никаких именно server-side способов нет, чтобы минимизировать время между включением услуги в билинге и её фактическим включением у абонента? Мне кажется это флуд тогда будет. Зачем вам резкр отключать пользователя тарифы не безлимитные или просто важно чтобы новый компьютер быстро подключался и получал айпи? Я просто как наяву вижу среднестатистическую домохозяйку, которая положила деньги через киоск оплаты, пришла домой, зашла (уже достижение иногда) в личный кабинет, оплатила локалку и сидит ждет когда же оно заработает. Ждет недолго, минуты 2-3, потом начинает звонить в суппорт, а на том конце провода ей начинают объяснять как сделать ipconfig /renew, т.е. сделать что-то с компом, чтобы он получил новый IP адрес (здесь на слове "IP адрес" мы просто пациента теряем). Тарифы на Инет тут не при чем - они режутся на граничном маршрутизаторе без вмешательства кого-либо. Мне нужно чтобы доступ к сервису "локальная сеть" открывался и закрывался оперативно и с минимальным участием абонента, чтобы он для этого не перегружал комп, не выключал сетевые карты которые потом он не сможет включить обратно, не дергал как попало первые попавшиеся под руку кабеля (монтажникам и без этого работы хватает) и прочее.

:) Действительно, просто и железобетонно надежно. Спасибо за наводку. Задержкой в 10 минут, например, можно и пожертвовать, если вариантов больше нет.Больше никаких именно server-side способов нет, чтобы минимизировать время между включением услуги в билинге и её фактическим включением у абонента?

Сорри, но я не понял что это было. Что мне следовало читать и где? Позволяет жёстко закреплять за абонентом ИП, так что он если его сменит то коммутатор на доступе его никуда не пустит сам, без всяких доп ацл.Не заплатил - получай ип из отдельной подсети, которой только до биллинга можно ходить. Ну да, как раз вариант №2 о котором я прочитал на этом форуме. Что значит "без всяких доп ацл"? А кто же его тогда никуда не пустит, кроме билинга? Как я понимаю, для этого и нужен ACL на той железке (например на L3 агрегаторе, например на упомянутом мною Cisco 3750G, конечно же не на коммутаторе доступа), где "отдельная подсеть" будет резаться и пропускаться только на билинг, а "правильная" подсеть - пропускаться на локалку. Это значит вы не читали совсем.ДХЦП не отдаёт подсети, там в заголовке поля по 4 байта для ипв4 адресов. Наверное криво выразил свою мысль - здесь имелось ввиду, что за абонентом закреплен не конкретный статический адрес серый\белый, а динамический, из диапазона-подсети. Например, для тех абонентов, которым серая статика не нужна по разным причинам. Также я имел ввиду случай, когда через DHCP на конкретном порту (юрик) планируется выдавать например белую подсеть /29 через DHCP. Спасибо за наводки, погляжу. Просто после частого упоминания ISC-DHCPd думал что все работают в основном в связке с ним. Это бесспорно прекрасно, но вопрос был не об этом. Юзер забыл оплатить абонентку, он вечером пришел домой, включил ноутбук и ему выдался адрес из диапазона, где локалка зарезана. Юзер зашел в личный кабинет, оплатил в личном кабинете абонентку, тут же в конфигурации DHCP сервера для него прописался адрес из другого диапазона, для которого локалка разрешена. Как я представляю, этот новый адрес юзер получит если он перегрузит свой WindowsXP, выкл\вкл сетевой адаптер или дернет и воткнет обратно шнурок из компа (или роутера). Извините, но я не вижу здесь места, куда обычная среднестатистическая домохозяйка с виндой на ноуте может вбить ipconfig /renew Т.е. собственно вопрос в том как форсировать DHCP "сбросить" lease для этого юзера и заставить его сделать повторный DHCP запрос при котором уже выдать новый адрес.

Здравствуйте коллеги. Я так понимаю связку ISC-DHCPd + Option82 тут используют многие. Стал тут тоже неё поглядывать, появились несколько вопросов. Сейчас вся сеть работает на чистом PPPoE, по схеме VLAN на дом (группа коммутаторов). Планирую запустить пилот-сегмент с использованием DHCP Option82 + DHCP Snooping + IP Source Guard для маршрутизации локалки (терминация L3 интерфейсов на Cisco 3750G) но в то же время оставить PPPoE как дополнительную авторизацию для доступа в Интернет (да, иногда хочется странного). Как кто решает вопрос с блокировкой локалки для юзеров, не оплативших абонентку? Идея такая, что даже если юзер не оплатил локалку, у него должен быть доступ с билингу чтобы посмотреть что случилось, проверить баланс в личном кабинете, оплатить. Про Интернет речи не идет - его отрежет на граничном маршрутизаторе. Пока видится все опции: 1) На Cisco 3750G формировать\изменять L3 ACL, привязанные к VLAN'ам, таким образом управляя пропуском трафика от отдельных абонентов к локалке. Периодически менять эти листы и заливать их на циски. Из минусов - если использовать "длинные" ACL (один на все VLAN'ы), в которых будет список всех абонентов в пределах данного узла агрегации; если использовать для каждого VLAN'а свой ACL, то становится мудренее управление и формирование этих ACL. Дополнительный минус - необходимо забрасывать измененные ACL на циски, возникает период обновления ACL равный интервалу заброски ACL - в итоге абонент получает сервис не мгновенно, что иногда вызывает ненужные вопросы в техподдержку. 2) На Cisco 3750G создать один короткий ACL, в котором описать две большие сети - например 10.0.0.0/8 и 192.168.0.0/16. Юзеров из 10.0.0.0/8 пускать всегда и везде (юзеры с оплаченной абоненткой). Юзерам не оплатившим абонентку выдавать по DHCP адрес из 192.168.0.0/16, для которой открыт доступ только на билинг. На Cisco 3750G на VLAN интерсейсах держать адреса из обоих сетей, с общим коротким ACL'ом. Управлять доступом к локалке путем изменения конфигурации ISC-DHCPd. Плюсы: конфигурация цисок статична, ничего не обновляется, короткие и эффективные ACL'ы. И первый и второй варианты выглядят вполне рабочими. Только по второму варианту никак не могу понять как эффективно, быстро и красиво менять конфигурацию ISC-DHCPd в расчете что вся конфигурация должна быть per-user, т.е. абоненту выдается статический серый (или белый адрес), или даже подсеть, но всегда одна и та же. Насколько я понимаю, конфигурация ISC-DHCPd находится в текстовом файле, связку в внешней базой данных (MySQL например) этот софт не поддерживает (хотя может я плохо искал). Каким образом менять конфигурационный файл? Как я понял, по HUP серверу станет плохо и он как минимум выбросит все leases и будет их переподнимать минут 5 (при большом конфиге). Делать это каждый раз когда очередной абонент, которых не одна тысяча, оплатит абонентку и будет нуждаться в смене конфигурации на DHCP сервере - просто нереально, сервер будет только и делать что заниматься перечитками конфига каждые 5 минут. Дополнительный вопрос по схеме2: как досрочно "пнуть" юзера, чтобы он перезапросил DHCP параметры в случае если нужно выдать ему другой адрес, ведь если этого не сделать то он допустим не получит сервис при оплате если кабель не передернет, или наоборот будет пользоваться локалкой пока не кончится время lease. Хотелось бы услышать каким образом у кого работает данная схема, услышать советы и ознакомиться с проверенными решениями, чтобы не наступать на грабли и не изобретать велосипед. Заранее большое спасибо.

У меня телепатические способности плохо развиты. Да, в этом случае (когда Вы нормально объяснили задачу) это не поможет.

vrf-lite? Но это если только "разные шлюзы" доступны через разные интерфейсы.

Здравствуйте, коллеги. Скажу сразу, в технологиях еще кое-как, но в железе особенно "новом" потерялся. Есть пара глупых вопросов: 1) Как посмотреть модель NPE в 7201? sh ver, sh inv не дает ничего. Я глазами понимаю, что там должен стоять NPE-G2 (судя по количеству 1G\SFP портов и прочему), но в консоли никак проверить это не могу. Или все 7201 собраются и собирались сразу с NPE-G2, а не как 72xx, где можно поставить супервизор по выбору? 2) На флеше роутера лежит c7201-kboot образ и нормальный IOS. Как я понимаю, boot helper image это такой полу-ИОС, которым можно в случае чего что-то починить\посмотреть, если нормальный ИОС не грузится. Так вот, наблюдаю что при загрузке сначала грузится boot helper image, а потом через 5-10 секунд уже нормальный IOS. В конфиге прописан boot system flash:нормальный_ИОС. Почему все равно грузится сначала kboot? Если удалить kboot, два(!) раза грузится полный ИОС, и только после этого роутер начинает работать. 3) Пробовал побродить по ROMMON. Не нашел ни xmodem ни tftpdlnd. Это нормально? А если на роутере слетит флеш, как в него через RS232 ИОС залить, как это было для "младших" 1700 и прочих моделей? Заранее спасибо за ответы.

На передачу это конечно совсем нанотехнологии :) На перехват, где-то видел описание девайса спецслужб(?). Идея такая, что идет "залом" волокна с целью получения части волны через оболочку в месте сгиба. Т.е. вроде как при этом падающий под сильно тупым углом луч частично отражается, а частично выходит за пределы волокна. Однако, при сильном перегибе типа вносятся "видимые" потери, поэтому тоже чревато обнаружением. Конкретной модели указано не было, так что то что это не первоапрельская утка гарантировать не могу.

Всем спасибо за ссылки, буду разбираться. isg тоже фича не первой свежести Ну все-таки, а правильно понял что ISG заменил SSG? Просто мне (на настоящем этапе, новичку в этих делах) усмотреть разницу не получается. Нагуглились гайды и к SSG и ISG, и вроде как и то и другое используется для реализации одних и тех же задач.

Здравствуйте коллеги. Хотел поинтересоваться у более опытных старших товарищей: 1) Я правильно понимаю, что SSG - это уже не модно и ISG это что-то типа SSG, но более новое и функциональное? 2) Если использовать ISG, что кроме соответсвующего IOSа еще будет необходимо? ISG Feature License? Broadband Users License? 3) Гайды на cisco.com по диагонали глядел, мудрено и несовсем понятно для "новичка" в этих вопросах. Где нибудь есть толковые how-to по настройке связок ISG с RADIUS для разных сервисов: PPPoE, IPoE 4) Правильно ли я понимаю, что ISG позволяет менять параметры "сервиса" для конкретного абонента "налету", без перелогина ppp сесии и т.п.? Где бы про этот CoA почитать, чтобы попроще и с примерами? Заранее спасибо за ответы.

Подниму топик. Упала тут неожиданного на голову 7206VXR. Где можно найти хорошие доки по настройке на ней PPPoE BRAS, работе с RADIUS-атрибутами и т.д.? Это уже смотрел: http://alex-at.ru/cisco/ssg-cisco-7206-pppoe Мудрено :) Мне бы что-нибуль с нарастающей сложностью, для начинающих :) Спасибо.

Update: На неделе поддержка подтвердила, что это глюк прошивки. Будем ожидать фикса.

Мудрено. Вопрос: а второй провайдер точно пропускает с Dialer2 пакеты с левым Src?

Всем привет. Пробую настроить Private VLAN на ES4612. Документация скудная, ограничения никакие не описаны, поддержка тайваня молчит. Может кто наступал уже на такие грабли? Если конфигурировать как up-link порт любой "чистый" ethernet порт - все проходит нормально. У меня сформирован port-channel из eth 1/9-12. При попытке добавить отдельный порт из диапазона 1/9-12, весь диапазон или port-channel собственной персоной как up-link выходят ошибки: Console(config)#pvlan up-link ethernet 1/9 down-link ethernet 1/1-8 % Trunk member, ethernet 1/9, could not be configured or displayed. Console(config)#pvlan up-link ethernet 1/9-12 down-link ethernet 1/1-8 % Trunk member, ethernet 1/9, could not be configured or displayed. % Trunk member, ethernet 1/10, could not be configured or displayed. % Trunk member, ethernet 1/11, could not be configured or displayed. % Trunk member, ethernet 1/12, could not be configured or displayed. Console(config)#pvlan up-link port-channel 1 down-link ethernet 1/1-8 Failed to set private VLAN. По первым ошибкам логично, порты в транке. По последней - непонятно. Что в up-link что в down-link, port-channel <1-6> теоретически добавить можно из CLI, но практически выдает вот такое. Пробовал вариант когда ни в 1/1-8 и в транк ничего кроме VLAN1 не добавлено (простые access untagged порты), и вариант с несколькими вланами в портах и транке (tagged). Результат одинаковый. Такое впечатление, что port-channel вообще для этих целей использовать нельзя, хотя и в CLI и через WEB консоль вроде как можно его сконфигурировать. Пробовал менять тип port-channel c LACP в статический. Результат нулевой. Документация никаких ограничений по этому вопросу не описывает. Никто не сталкивался, как побороть это? Или оно так и есть, и PrivateVLAN будут работать только на "чистых" портах, не собранных в port-channel? Заранее спасибо.

Всем привет. Есть каталист WS-C3750G-24TS-1U, есть WDM модули OptiCin SFP-WDM3.10 (1310nm) и OptiCin SFP-WDM5.10 (1550nm). Модули не видятся, "service unsupported-transceiver" и "no errdisable detect cause gbic-invalid" эффекта не производят. Эти же модули в EdgeCore и LinkSys работают без проблем. Я так понимаю, что придется перепрошивать? Чем пользоваться, аппаратура, образы? Заранее спасибо за ответы.

У меня не используется Ваше решение. Отчестность - это сторонний скрипт который распарсивает вывод ipfw pipe show.Проблема в том что в выводе очень много "мертвых"пайпов, которые не отражают реальной картины. Если ли где-то параметр (например где-то в sysctl), который определяет таймаут после которого пайп, в который больше не поступает траффик, удаляется?

Всем привет. Небольшой вопрос по теме. Установил у себя сие чудо. Работает нормально. При переброске юзера из одной трубы в другую (при смене тарифа, включении ночного режима и т.п.), старая труба висит параллельно с новой. Т.е. в системе остается старая динамическая труба, которая потом спустя неопределенный таймаут удаляется. Для целей мониторинга неудобно, графики рисуют несовсем реальную картину. Вопрос: чему равен дефолтный таймаут динамического pipe и где его можно подкрутить, чтобы при отсутствии трафика труба удалялась быстрее, не занимая ресурсов и не портя отчетность :) Заранее спасибо за ответы.

Автору - зачет :) Читается весело и на одном дыхании. А в целом да, очередная попытка продать много килобаксовый TelePresence в новой обертке: типа это надо всем от топа до суппортера.

Спасибо, пойду завтра ковырять :)

Здравствуйте, коллеги. Цискарей тут есть немного, может быть кто подскажет. Возникла задача: контора с сеткой скажем 192.168.123.0\24 переезжает частями в новую локацию. Клиенту хочется "странного": на базе существующего роутера 1800 серии и еще одного такого же или аналогичного сделать временный линк (туннель) между друмя локациями с сохранением адресного пространства, т.е. и там и там должна быть 192.168.123.0\24 сетка, ходить броадкасты, нетбиосы и все такое. Так и только так, дробить на сегменты и городить NetBIOS-over-TCP(UDP) никак нельзя. Первое что приходит на ум - l2tp туннель между цисками. Вот тут проблема: чтение мануалов по l2tp показало, что на интерфейсе который планируется бриджевать никаких IP адресов быть не должно. На циске (по крайней мере той 1800, которая есть в наличии) вроде как fa0/0 и на vlan1 8-ми портах внутреннего свича висят IP адреса (сам пока не щупал, все со слов клиента). Вопрос: взлетит ли такая кострукция: если все таки fa0/0 свободен (т.е. если у них там DSL подключен через WIC) могу ли я оставить IP адрес на vlan1, включить fa0/0 в бридж через l2tp и соединить fa0/0 c vlan1 (одним из портов встроенно свича)? Идея такая, что броадкасты и прочие нелокальные МАКи пойдут через 8-ми портовый свитч в fa0/0, оттуда в туннель, а прочие IP пакеты (интернет) - как прежде - через vlan1 в нат и т.д. Как я понимаю, поделить свитч на вланы и прикрутить какой-то порт в бридж не получится, т.е. остается только как-то так, как описано выше. Покритикуйте решение, пожалуйста. Или я изобретаю велосипед и есть что-то более элегантное? PS: Про OpenVPN и его бриждинг фичи я в курсе. Цимус в том, что решение временное, на несколько месяцев, пока контора полностью не переедет. Городить два дополнительных писюка никто не хочет. Есть установка что "эти циски которые мы купили и поставили должны такое уметь". Заранее большое спасибо.

Все спасибо, вопрос снят :) Видимо, повышенная солнечная активность - сегодня все работает нормально :)

Всем привет. Начал ставить эту всю эту чудо-систему. Есть сервер HP DL320 с набортными карточками BCM5713. Создаю бридж следующим скриптом (синтаксис - по хэндбуку): ifconfig bridge0 create sleep 2 # Иначе следующая команда не может повесить айпишник на бридж-интерфейс который поднимается секунду-две ifconfig bridge0 inet 192.168.0.55/24 ifconfig bridge0 addm bge0 addm bge1 up ifconfig bge0 up ifconfig bge1 up В итоге, бридж создается, айпишник навешивается. Пакеты сквозь сервер ходят, сам сервер не пингуется и не отзывается по SSH до тех пор, пока с самого сервера что-то не пропинговать. Далее, отзывается со стороны одного интерфейса (bge1 например), но может не отзываться со второго (например bge0), далее - вариации с точностью до наоборот. При попытке повесить айпишник на физическую карточку - не работает бридж. Проверял на 8.0 и 6.2, с одинаковой конфигурацией одинаковый результат. У всех так или я просто не умею готовить бриджи? :) Поставить третью карточку может быть и выход, но есть спортивный интерес (в хэндбуке как раз рекомендовано вешать адрес на бридж-интерфейс), и карточку ставить некуда - слоты все заняты. Делать из сервера роутер вместо бриджа тоже хочется в последнюю очередь. В виртуальной среде (VMWare 6.2) все работает нормально. На практике и реальном железе - как-то вот так... В чем может быть проблема? Заранее спасибо за ответы.