siddkharta

Чтобы не возникало вопросов, проверка через часик.

Всё! Помер ресурс... https://is.rossvyaz.ru:8443/rossvyaz/ недоступен. https://yadi.sk/i/VTJ1yNSg3Eokij Я отписался в техподдержку, чтобы помогла оправдаться в случае чего. Однако невовремя все это легло, ой невовремя. Я успел только за 13 год сведения закинуть. А надо бы и за 14...

Там стоит коммутатор и компьютер в 24 юнитовом шкафчике. У коммутатора стоит APC Smart UPS 3000, у компьютера инвертор Эковольт с 200 А батареей. Микрорайон новый, проблемный. Поэтому к шкафу подвели 2 ввода. Плюс у каждого девайса свой УПС. Суммарное потребление около 100-110 Вт (не считая самих УПС). То есть нагрузка копеечная. 3000 держит около 7,5-8 часов. Места в ящике хватает, туда больше ничего ставиться не будет, ну в крайнем случае добавится коммутатор 16-портовый управляемый, т.е. около 20 ватт. А бюджет... Ну сами понимаете, дальше пошло плак-плак и рассказы как нас все гнобят и что зарабатываем сущие копейки, как Батька про свою Белоруссию кажет. :-) С бюджетом пока не определились. А сколько вообще такое может стоить? Цена 20 штук плюс около 500 рублей доставка... Ну, по мне, так дороговато для такого самостроя. Или нет?

В общем, искали мы, искали, но ничего внятного так и не нашли. Есть у нас в здании шкафчик, в нем стоит оборудование (коммутатор и компьютер, суммарное потребление около 100-110 ватт). В шкафчик заходят 2 ввода электрических. Плюс ко всему всё это сидит на APC UPS 3000. Что хотелось бы получить? Некий автоматический переключатель, который отслеживает исчезновение электричества на первом вводе и автоматическое переключение оного на второй ввод. В случае возврата электричества на 1 вводе, возврат на него. В данный момент отключение электричества приводит к переходу на УПС, и пока тот не сдохнет, работа на нем. Как издох - приезд техника и переключение на второй ввод. В общем мы согласны заплатить разумные деньги за изготовление принципиальной схемы и самого девайса. Связь через скайп, ник siddkharta.

Ой, ну можно на sokolov@wifipro.info, или в Яндекс-диске публичную ссылку сделать, я заберу! И это, спасибо большое за то, что откликнулись!

Вот воткнул вроде скриншотик. Ежели на нем не видно, то и не знаю. Вот данные из командной строки: AT8100-Rymn29# sh ver AlliedWare Plus 2.2.1.1 07/12/11 15:01:48 Application Build name : ats-8100-2.2.1.1.img Application Build date : Jul 12 2011 15:01:48 Application Build type : RELEASE Bootloader version : 5.1.2 Bootloader build date : Dec 22 2010 12:39:06

Пока что нету. Есть старые, на которых работаем. System image file is "bootflash:/asr1002x-universalk9.03.13.01.S.154-3.S1-ext.SPA.bin" Пока не жалуемся, правда раз в 2 месяца с 1100+ юзверями и 128 адресами в пуле наружу приходится в 5.30 все-таки перегружать циску.

Господа, помогитя! Стоит у нас свитчик от Allied Telesis, древний, но работающий. Который AT-8100S/24C 24-портовый. Не путать со славным и крепким хорошим 8000s. У кого есть, прошу Вас, киньте прошивочку, а то достал меня уже этот свитчик. Сначала на нем виснет Менеджмент VLAN, непонятно почему. А потом в произвольном порядке порты отваливаться начинают. Ужас просто. Если у кого доступ есть к прошивкам Allied Telesis, скачайте на AT-8100S/24C firmware пжалста! Покупать ихний смартнет ради полудохлого свитча резону нету, а выкинуть не могу, денежку на новый пока что не выделяют...

Спасибо за пример! А вот вопрос есть ли работающие на ИОСе 3.13.01? Насколько он глючный и стоит ли оставаться на нем или все-таки "соскользнуть" на 3.10.04?

А в чем глюки то? Мы просто тоже недавно приобрели железку, правда чуть помощнее. И установили на нее asr1002x-universalk9.03.13.01.S.154-3.S1-ext.SPA.bin Она работает, правда сессий на ней немного, около 800, хотелось бы про глюки узнать. Звучит конечно некошерно, но я для кошки брал ИОС вышеуказанный с rutracker.org. если надо, могу слить и кинуть, только скажите куда. Почта такой файл не выдержит, потому нужна ftp. Стучитесь в скайп (siddkharta), постараюсь помочь.

Уважаемый All! Появился у меня вопрос к тем, кто использует PPPoE в своей работе с пользователями на Cisco ASR 1000. В данный момент настроена связка Ланбиллинг - Cisco ASR1002-X (BRAS). asr1002x-universalk9.03.13.01.S.154-3.S1-ext.SPA.bin Настройки Циски пишу с комментариями для тех, кому будет необходимо: ! bba-group pppoe PPPoE virtual-template 1 sessions per-mac limit 2 ! Сделано именно так, чтобы сессия пересоздавалась, не ожидая пока Циска убьет старую сессию sessions per-vlan limit 1000 sessions auto cleanup ! ! interface GigabitEthernet0/0/1.10 description -Old PPPoE Users- encapsulation dot1Q 10 pppoe enable group PPPoE ! ! interface Virtual-Template111 description -- Rossiyskiy PPPoE -- mtu 1492 ip unnumbered Loopback0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip tcp adjust-mss 1440 no logging event link-status no peer default ip address ! Мы берем IP адреса из Биллинга через радиус, локальных пулов нет. keepalive 60 ppp mtu adaptive ppp authentication chap pap ms-chap-v2 callin ISG-GROUP ! Ввели ms-chap-v2 для нескольких пользователей, пока те не уберут этот способ аутентификации. ! А вообще ms-chap-v2 зло, с которым надо активно бороться. К сожалению этим злом страдают не ! только напрямую подключающиеся пользователи, но и оборудование производства Zyxel ppp authorization ISG-GROUP ppp accounting ISG-GROUP ppp ipcp dns ххх.ххх.ххх.20 77.88.8.1 ppp ipcp mask 255.255.255.255 ppp ipcp address required ppp timeout idle 1800 service-policy type control ISG-CONTROL ! ! policy-map type control ISG-CONTROL class type control always event session-start 10 authenticate aaa list ISG-GROUP 20 service local ! ! ! policy-map type service SERVICE-10M service-policy input POLICY-10M-IN service-policy output POLICY-10M-OUT ! ! policy-map POLICY-10M-OUT class class-default shape average 11000000 policy-map POLICY-10M-IN class class-default police cir 11000000 bc 256000 conform-action transmit exceed-action drop ! ip nat settings pap ip nat log translations flow-export v9 udp destination ххх.ххх.ххх.25 49хх1 ip nat translation timeout 300 ip nat translation tcp-timeout 180 ip nat translation udp-timeout 180 ip nat translation syn-timeout 180 ip nat translation dns-timeout 120 ip nat translation icmp-timeout 120 ip nat translation max-entries all-host 512 ! не фиг создавать торрентами кучу сессий. Пусть юзвери учатся управлять своими uTorrent-программками no ip nat service ftp ppp packet throttle 30 1 30 ! А это самая главная строчка в конфиге, еле нашел, из-за чего наша циска слишком вяло подхватывала ! сессию пользователя для аутентификации. А Cisco об этой проблеме молчит, как партизан. Почти. То есть на Биллинг возложена обязанность прислать IP-адрес из "правильной" сети в случае успешной аутентификации (деньги на счету имеются), и название сервиса, примапленного к выбранному тарифу. А вот теперь вопрос, ради которого всё это и писалось. При подключении пользователь всё получает, и ДНС и адрес и т.д. Кроме одного. Default Gateway отсутствует, хоть тресни. Я понимаю, что PPP может и так работать, но дело в том, что когда стояла Cisco 7201 в качестве BRAS, пользователь успешно получал в качестве Default Gateway IP адрес LoopBACK0. Может у меня глаза уже замылились, ткните носом, как сделать так (что прописать в Virtual Template), чтобы шлюз по умолчанию юзвери все-таки получали.

Спасибо за совет. Да, раньше так и было. Но переходим на понятие "Сервис", а это именно связка Cisco ISG с Ланбиллингом2.

Управились мы с "аутентификацией сервиса". Всё оказалось просто, как всегда. Но! Раньше, когда аутентифицировались и авторизовались пользователи в Ланбиллинге, было всё достаточно просто: на каждый тарифный план создавались 2 радиус-аттрибута типа lcp:cisco-config, на вход и на выход. При переходе с тарифного плана на тарифный план мы с помощью POD или SNMP v2 скидывали сессию пользователя на Cisco 7201. С переходом на ISG всё несколько не так. Нам необходимо передать во внешний скрипт несколько параметров: session_id, login, service_old, NAS_ip, NAS_port, NAS_pod. echo "Acct-Session-Id='$session_id',User-Name='$login', cisco-avpair = 'subscriber:service-name=$service_old', cisco-avpair = 'subscriber:command=deactivate-service'" | radclient -t1 - r1 -c1 -x $NAS_ip:$NAS_port coa $NAS_pod; И тут возникает проблемка - все параметры мы получаем, некоторые мы получаем из Биллинга, некоторые реализуем внутри скрипта. Единственный параметр, который не удалось отловить - service_old/service_new, этот же параметр отвечает за скорость. Вот она то у нас всегда равна 0. И вопрос в следующем - парни, кто как реализовал Тарифный план (например, основываясь на скорости, или на Агенте), чтобы вовне в качестве параметра передавалось не нулевое значение скорости, то есть в идеале посылалось некое значение символьное, к примеру SERVICE-10M?

Вот теперь в голове полная каша... Что имеем? BRAS Cisco ASR1002-X, ПО LanBilling2 (ver. 2.014). LanBilling "знает" и сообщает только о названиях сервисов, ибо все они рулятся локально на Циске. Пользователи. Все подключаются через PPPoE, исключений нет. Гостевой сети также нет, убрана. Вопрос в том, что не могу составить для себя алгоритм подключения пользователя... К примеру. Есть вот такой изначальный конфиг policy-map type control ISG-CONTROL ! class type control always event session-start 10 authenticate aaa list ISG-GROUP 20 service local ! Но, кроме удачной аутентификации надо же предусмотреть еще кучу нюансов, к примеру. 1. Пользователь не смог осилить буквы, неправильный пароль, поэтому ему надо разрешить пользоваться местным сервером ДНС и сервером статистики. 2. Первого числа у пользователя не хватило денег на следующий месяц, у него необходимо отобрать текущую услугу доступа в Интернет и оповестить, перекинув на страничку "дай денег". 3. Отвалился биллинг. Ну, мало ли. А очередной пользователь ломится и жаждит приобщиться к тайнам Интернета... Ему надо дать доступ, но "временный", скажем со скоростью 4 Мбит/сек. Просто прочел то я много, но например так и не достиг понимания в таких вещах как credit-exhausted, quota-depleted... (Это скорее всего относится к помегабайтной оплате, которой у нас нет) Из того что я описал выше, на мой взгляд, конфиг вырисовывается следующий: policy-map type control ISG-CONTROL class type control ISG-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event session-start 10 authenticate aaa list ISG-GROUP 20 service local 30 set-timer UNAUTH-TIMER 3 40 service-policy type service name SERVICE-TRUSTED 50 service-policy type service name REDIRECTION ! class type control always event radius-timeout 1 service-policy type service name SERVICE-TRUSTED 2 service-policy type service name REDIRECTION ! ! !!!!!!!!!!!!!! Сервис редиректа в случае окончания средств !!!!!!!!!!!!!!!!!!! ! redirect server-group REDIRECT_NOPAY server ip xxx.xx.xx.xx port 80 ! ! policy-map type service REDIRECTION 1 class type traffic CLASS-TO-REDIRECT redirect to group REDIRECT_NOPAY ! class type traffic default input drop ! ! class-map type traffic match-any CLASS-TO-REDIRECT match access-group input 197 match access-group output 197 ! ! access-list 197 remark --Redirect-Portal-- access-list 197 permit tcp any any eq www access-list 197 permit udp any any eq domain access-list 197 permit udp any eq domain any access-list 197 permit tcp any eq www any access-list 197 deny ip any any ! !!!!!!!!!!!!!!!!!!!!!! Конец сервиса !!!!!!!!!!!!!!!!!!!!!!!!!!!! ! ! ! !!!!!!!!!!!!!!!! Куда разрешено ходить пользователям у которых кончилась денежка !!!!!!!!!!!!!!!!!!! policy-map type service SERVICE-TRUSTED 1 class type traffic CLASS-TRUSTED police input 64000 8000 16000 police output 64000 8000 16000 ! class type traffic default input drop ! ! class-map type traffic match-any CLASS-TRUSTED match access-group input 198 match access-group output 198 ! ! access-list 198 remark --BLOCKED Clients-- ! Разрешаем пользователю ДНС access-list 198 permit udp any any eq domain access-list 198 permit udp any eq domain any ! Разрешаем пользователю сервер статистики и наш сайт access-list 198 permit tcp any host xxx.xx.xx.23 eq www access-list 198 permit tcp any host xxx.xx.xx.23 eq 443 ! Разрешаем пользователю доступ в систему PayOnline, вдруг он решился заплатить? access-list 198 permit tcp any host 66.11.130.100 eq 443 ! Разрешаем пользователю пинги access-list 198 permit icmp any any ! Если ничего не забыл, то всё. access-list 198 deny ip any any ! !!!!!!!!!!!!!!!!! Конец сервиса !!!!!!!!!!!!!!!!!!!!!!!!! Вопрос звучит следующим образом. Многие ведь используют PPPoE+ISG. Подскажите, какие сервисы вы юзаете, хотя бы обзорно, внутри этой самой основной policy control.

Спасибо большое за дельные замечания. Да действительно, заработало!

Добрый день, форумчане! Жарко в Краснодаре, мозг плавится. В общем, надоели нам изыски изделий производства Микротик в качестве BRAS-ов, решили мы заменить несколько CCR-1036G на одну, но очень серьезную железку Cisco ASR1002-X с перспективой роста так сказать. Но грех такое железо использовать в качестве тупого PPPoE-концентратора, руководство поставило задачу использовать связку PPPoE подключений с ISG на территории этой самой железки. Есть один нюанс, мы уже 3 года с переменным успехом используем Ланбиллинг версии 2.0 (2.014 на текущий момент). Предполагаемая стратегия такова: - Cisco ASR1002-X будет держать на себе все сервисы. В данный момент на ней ИОС asr1002x-universalk9.03.13.01.S.154-3.S1-ext.SPA.bin и полные 16 Гб оперативки. - Биллингу почетная роль сообщать Cisco какой(ие) сервис(ы) навешивать пользователю. Ну и аккаунтинг. В итоге. На тестовом биллинг-сервере был создан тестовый же пользователь с логином 0000197. Был создан тарифный план Экспериментальный стоимостью 100 рублей, списание ежедневное, блокировка автоматическая, к тарифному плану привязана внешняя услуга с названием ASERVICE-1M. Сама услуга на территории Cisco звучит как SERVICE-1M, подробности, кому интересно в аттаче прототип конфига Cisco. Да, пользователь аутентифицируется и авторизуется на сервере, ему выдается положенный адрес. А дальше пошли нюансы. Во-первых по непонятной для меня причине Cisco, после получения от ЛБ аттрибутов видит, что необходимо что-то сделать с SERVICE-1M, и кидается его аутентифицировать ((!) Не авторизовать). Естественно аутентификация не проходит, и при наличии гостевой сети сервису (!) выдается гостевой адрес. В этом случае на появившемся Virtual-Access 2.1 появляется гостевой итоговый адрес. Вопрос! Кто сумел таки подружить Cisco ASR с ISG с Ланбиллингом? То невнятное недоразумение в документации я читал и пробовал в разных ипостасях не единожды. Вопрос в принципе можно конкретизировать - как аутентифицировать (а затем и авторизовать) сервис в ЛанБиллинге? TEST-ASR1002.TXT

Идея, по-Вашему, конечно неплоха. А по мне, нырять с неизвестным результатом, угробив ночь-другую, нарвавшись на новое, оттестировать и т.д. В нужный момент, если что-то не так. что делать? Пока я буду курить мануалы, мои юзвери будут биться в истерике. Или не знаете, что им Интернет в мозг напрямую подключен и их корчить начинает даже от снижения некоторого скорости... Мне проще разнести юзверей по разным Микротикам. А вопросы задавал, потому что частенько на накатанных конфигах люди про гребли говорят. Мне вот тут сходу предложили default и default-small посмотреть, толковый совет на самом деле. Именно таких советов я и ждал. Ну и надеялся. что активно используется эта железка и ее косяки знакомы многим. Оказывается никто, или почти никто, их не юзает.Жаль. Тогда остается самый верный способ. Завтра с ура займусь. Всем спасибо, но если будут идейки, киньте, не поленитесь.

Ну какой мне смысл ставить сие счастие, если через 6 недель у меня будет такой комбайнище, что ух! Cisco ASR1002-X всяко заточенная железка, а Линуксы... Ну снова втыкать в неизведанную область. это тоскливо. Я с цисками дружу неплохо, гораздо хлеще Линуксов и иже с ними, предпочитаю видеть последние в связке с Апачем на серверах. Мне бы залатать Микротик, чтобы он продержался до приезда знатного железа...

А может сервер PPPoE игнорировать PAD пакеты? И по какой причине?

Что самое интересное, канальчик магистральный оптический, потерь нет. Проверял. На интерфейсах физических также потери отсутствуют. Вывод - с железом и драйверами вроде всё нормально. Учитывая, что до 350 работало идеально, мы с января вообще не заглядывали на БРАС, получается дьявол кроется либо в биллинговом Radius, либо в самом ненаглядном Микротике. И если старая тестовая циска 7206 спокойно съела то, что Микротик напрочь есть отказался при казалось бы одинаковых настройках аутентификации, вывод напрашивается сам собой...

Что мешает откатиться ? Ничего не мешает. С утра откатывался уже. На 6.21 Увы. Как рандомно откидывало/не принимало пользователей, так и не принимает. Делаю вывод - проблема не в прошивке, а в возросшем (резко) с 350 до 480 количестве пользователей на данном девайсе. Если не будет найдено решение за сегодня, то завтра с утра юзвери будут разнесены на разные Микротики.

Спасибо, сейчас буду изучать!

С виду ничем нестрашный глюк winbox. Первым делом отключи simple queues, попробуй потестить без шейпинга. С таким трафиком ничего страшного. Имхо нужно менять подход к ограничению скорости. P.s. оставь авторизацию только chap - проще. Афигеть вы телепат. Автор (привет земляк), при выводе через терминал на очередях так же потеря интерфейсов? P.S. Как раз simple queue и есть самый оптимальный вариант, только тип очереди сменить на sfq. Ну и последние вопрос, вам не кажется, что Cisco7201 и CCR стоит поменять местами? Все же bgp простецкая задачка, с которой CCR-задроту под силу справиться (а еще лучше тупо поставить l3 свитч), а под bras все же лучше использовать ISG Хм... Фишка в том, что финансисты наши наконец поняли, что Микротик это эксперимент задешево! В свое время я предлагал им поставить вторую 72012 как БРАС, но куда там! 2 ССР-а стоили 80 тыс. А циска... Короче, в итоге к нам едет Cisco ASR1002-X, а чуть позже к ней присоединится ее младшенькая сестра Cisco ASR1001-X в качестве БРАСа. Но! Эти 6 недель надо как то пережить, не дергая издерганных последним месяцем пользователей. А 7201 в качестве БРАСа при 900 пользователях - предел. Не потянет она, ибо софтовая. Потому и прошу помощи, спрашиваю у парней, может есть какая изюминка при настройке Микротиков. Про SFQ в default и default-small знаю (выставлено). Криптование убрано, всё на той вкладке выставлено в NO. Проблемка сейчас больше в том, что юзвери не могут авторизоваться на БРАСе, вот только что подключался паренек. Ставлю его в ВЛАН приходящий на Микротик, ошибка 691. Ставлю в ВЛАН на старенькую Cisco 7206-G1 тестовую, подхватила и хоть бы что, поперла работать.