siddkharta
-
Публикации
53 -
Зарегистрирован
-
Посещение
Сообщения, опубликованные пользователем siddkharta
-
-
Всё! Помер ресурс... https://is.rossvyaz.ru:8443/rossvyaz/ недоступен.
https://yadi.sk/i/VTJ1yNSg3Eokij
Я отписался в техподдержку, чтобы помогла оправдаться в случае чего. Однако невовремя все это легло, ой невовремя. Я успел только за 13 год сведения закинуть. А надо бы и за 14...
-
Там стоит коммутатор и компьютер в 24 юнитовом шкафчике. У коммутатора стоит APC Smart UPS 3000, у компьютера инвертор Эковольт с 200 А батареей. Микрорайон новый, проблемный. Поэтому к шкафу подвели 2 ввода. Плюс у каждого девайса свой УПС. Суммарное потребление около 100-110 Вт (не считая самих УПС). То есть нагрузка копеечная. 3000 держит около 7,5-8 часов.
Места в ящике хватает, туда больше ничего ставиться не будет, ну в крайнем случае добавится коммутатор 16-портовый управляемый, т.е. около 20 ватт.
А бюджет... Ну сами понимаете, дальше пошло плак-плак и рассказы как нас все гнобят и что зарабатываем сущие копейки, как Батька про свою Белоруссию кажет. :-) С бюджетом пока не определились. А сколько вообще такое может стоить? Цена 20 штук плюс около 500 рублей доставка... Ну, по мне, так дороговато для такого самостроя. Или нет?
-
В общем, искали мы, искали, но ничего внятного так и не нашли.
Есть у нас в здании шкафчик, в нем стоит оборудование (коммутатор и компьютер, суммарное потребление около 100-110 ватт). В шкафчик заходят 2 ввода электрических. Плюс ко всему всё это сидит на APC UPS 3000.
Что хотелось бы получить? Некий автоматический переключатель, который отслеживает исчезновение электричества на первом вводе и автоматическое переключение оного на второй ввод. В случае возврата электричества на 1 вводе, возврат на него. В данный момент отключение электричества приводит к переходу на УПС, и пока тот не сдохнет, работа на нем. Как издох - приезд техника и переключение на второй ввод.
В общем мы согласны заплатить разумные деньги за изготовление принципиальной схемы и самого девайса. Связь через скайп, ник siddkharta.
-
Ага, имеется
[sol@sol 224p5]$ ll итого 13980 -rw-rw-r-- 1 nfsnobody nfsnobody 14313443 янв 22 2013 ats-8100-2.2.4.5-PATCH.zip
Оно 14мб. Куда слать?
Ой, ну можно на sokolov@wifipro.info, или в Яндекс-диске публичную ссылку сделать, я заберу! И это, спасибо большое за то, что откликнулись!
-
Уточните, какая платформа у этого коммутатора. В Веб интерфейсе должно быть крупно сверху написано что-то типа AT-S62 или типа того.
Вот воткнул вроде скриншотик. Ежели на нем не видно, то и не знаю. Вот данные из командной строки:
AT8100-Rymn29# sh ver
AlliedWare Plus 2.2.1.1 07/12/11 15:01:48
Application Build name : ats-8100-2.2.1.1.img
Application Build date : Jul 12 2011 15:01:48
Application Build type : RELEASE
Bootloader version : 5.1.2
Bootloader build date : Dec 22 2010 12:39:06
-
Нет ни у кого свежих прошивок?
Пока что нету. Есть старые, на которых работаем.
System image file is "bootflash:/asr1002x-universalk9.03.13.01.S.154-3.S1-ext.SPA.bin"
Пока не жалуемся, правда раз в 2 месяца с 1100+ юзверями и 128 адресами в пуле наружу приходится в 5.30 все-таки перегружать циску.
-
Господа, помогитя!
Стоит у нас свитчик от Allied Telesis, древний, но работающий. Который AT-8100S/24C 24-портовый. Не путать со славным и крепким хорошим 8000s. У кого есть, прошу Вас, киньте прошивочку, а то достал меня уже этот свитчик. Сначала на нем виснет Менеджмент VLAN, непонятно почему. А потом в произвольном порядке порты отваливаться начинают. Ужас просто. Если у кого доступ есть к прошивкам Allied Telesis, скачайте на AT-8100S/24C firmware пжалста! Покупать ихний смартнет ради полудохлого свитча резону нету, а выкинуть не могу, денежку на новый пока что не выделяют...
-
Спасибо за пример!
А вот вопрос есть ли работающие на ИОСе 3.13.01? Насколько он глючный и стоит ли оставаться на нем или все-таки "соскользнуть" на 3.10.04?
-
Опубликовано · Изменено пользователем siddkharta · Жалоба на ответ
А в чем глюки то? Мы просто тоже недавно приобрели железку, правда чуть помощнее. И установили на нее
asr1002x-universalk9.03.13.01.S.154-3.S1-ext.SPA.bin
Она работает, правда сессий на ней немного, около 800, хотелось бы про глюки узнать.
Звучит конечно некошерно, но я для кошки брал ИОС вышеуказанный с rutracker.org.
если надо, могу слить и кинуть, только скажите куда. Почта такой файл не выдержит,
потому нужна ftp. Стучитесь в скайп (siddkharta), постараюсь помочь.
3.13 пробовали.
asr1000rp1-adventerprisek9.03.13.00.S.154-3.S-ext.bin
asr1000rp1-adventerprisek9.03.13.01.S.154-3.S1-ext.bin
Все жутко глючное.
Если кто может - поделитесь asr1000rp1-adventerprisek9.03.15.01.S.155-2.S1-std.bin
-
Уважаемый All!
Появился у меня вопрос к тем, кто использует PPPoE в своей работе с пользователями на Cisco ASR 1000.
В данный момент настроена связка Ланбиллинг - Cisco ASR1002-X (BRAS).
asr1002x-universalk9.03.13.01.S.154-3.S1-ext.SPA.bin
Настройки Циски пишу с комментариями для тех, кому будет необходимо:
!
bba-group pppoe PPPoE
virtual-template 1
sessions per-mac limit 2 ! Сделано именно так, чтобы сессия пересоздавалась, не ожидая пока Циска убьет старую сессию
sessions per-vlan limit 1000
sessions auto cleanup
!
!
interface GigabitEthernet0/0/1.10
description -Old PPPoE Users-
encapsulation dot1Q 10
pppoe enable group PPPoE
!
!
interface Virtual-Template111
description -- Rossiyskiy PPPoE --
mtu 1492
ip unnumbered Loopback0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip tcp adjust-mss 1440
no logging event link-status
no peer default ip address
! Мы берем IP адреса из Биллинга через радиус, локальных пулов нет.
keepalive 60
ppp mtu adaptive
ppp authentication chap pap ms-chap-v2 callin ISG-GROUP
! Ввели ms-chap-v2 для нескольких пользователей, пока те не уберут этот способ аутентификации.
! А вообще ms-chap-v2 зло, с которым надо активно бороться. К сожалению этим злом страдают не
! только напрямую подключающиеся пользователи, но и оборудование производства Zyxel
ppp authorization ISG-GROUP
ppp accounting ISG-GROUP
ppp ipcp dns ххх.ххх.ххх.20 77.88.8.1
ppp ipcp mask 255.255.255.255
ppp ipcp address required
ppp timeout idle 1800
service-policy type control ISG-CONTROL
!
!
policy-map type control ISG-CONTROL
class type control always event session-start
10 authenticate aaa list ISG-GROUP
20 service local
!
!
!
policy-map type service SERVICE-10M
service-policy input POLICY-10M-IN
service-policy output POLICY-10M-OUT
!
!
policy-map POLICY-10M-OUT
class class-default
shape average 11000000
policy-map POLICY-10M-IN
class class-default
police cir 11000000 bc 256000 conform-action transmit exceed-action drop
!
ip nat settings pap
ip nat log translations flow-export v9 udp destination ххх.ххх.ххх.25 49хх1
ip nat translation timeout 300
ip nat translation tcp-timeout 180
ip nat translation udp-timeout 180
ip nat translation syn-timeout 180
ip nat translation dns-timeout 120
ip nat translation icmp-timeout 120
ip nat translation max-entries all-host 512
! не фиг создавать торрентами кучу сессий. Пусть юзвери учатся управлять своими uTorrent-программками
no ip nat service ftp
ppp packet throttle 30 1 30
! А это самая главная строчка в конфиге, еле нашел, из-за чего наша циска слишком вяло подхватывала
! сессию пользователя для аутентификации. А Cisco об этой проблеме молчит, как партизан. Почти.
То есть на Биллинг возложена обязанность прислать IP-адрес из "правильной" сети в случае успешной аутентификации (деньги на счету имеются), и название сервиса, примапленного к выбранному тарифу.
А вот теперь вопрос, ради которого всё это и писалось.
При подключении пользователь всё получает, и ДНС и адрес и т.д. Кроме одного. Default Gateway отсутствует, хоть тресни.
Я понимаю, что PPP может и так работать, но дело в том, что когда стояла Cisco 7201 в качестве BRAS,
пользователь успешно получал в качестве Default Gateway IP адрес LoopBACK0.
Может у меня глаза уже замылились, ткните носом, как сделать так (что прописать в Virtual Template), чтобы шлюз по умолчанию юзвери все-таки получали.
-
Спасибо за совет. Да, раньше так и было. Но переходим на понятие "Сервис", а это именно связка Cisco ISG с Ланбиллингом2.
-
Управились мы с "аутентификацией сервиса". Всё оказалось просто, как всегда.
Но!
Раньше, когда аутентифицировались и авторизовались пользователи в Ланбиллинге, было всё достаточно просто: на каждый тарифный план создавались 2 радиус-аттрибута типа lcp:cisco-config, на вход и на выход. При переходе с тарифного плана на тарифный план мы с помощью POD или SNMP v2 скидывали сессию пользователя на Cisco 7201.
С переходом на ISG всё несколько не так. Нам необходимо передать во внешний скрипт несколько параметров:
session_id, login, service_old, NAS_ip, NAS_port, NAS_pod.
echo "Acct-Session-Id='$session_id',User-Name='$login', cisco-avpair = 'subscriber:service-name=$service_old', cisco-avpair = 'subscriber:command=deactivate-service'" | radclient -t1 - r1 -c1 -x $NAS_ip:$NAS_port coa $NAS_pod;
И тут возникает проблемка - все параметры мы получаем, некоторые мы получаем из Биллинга, некоторые реализуем внутри скрипта. Единственный параметр, который не удалось отловить - service_old/service_new, этот же параметр отвечает за скорость. Вот она то у нас всегда равна 0.
И вопрос в следующем - парни, кто как реализовал Тарифный план (например, основываясь на скорости, или на Агенте), чтобы вовне в качестве параметра передавалось не нулевое значение скорости, то есть в идеале посылалось некое значение символьное, к примеру SERVICE-10M?
-
Опубликовано · Изменено пользователем siddkharta · Жалоба на ответ
Вот теперь в голове полная каша...
Что имеем?
BRAS Cisco ASR1002-X, ПО LanBilling2 (ver. 2.014). LanBilling "знает" и сообщает только о названиях сервисов, ибо все они рулятся локально на Циске.
Пользователи. Все подключаются через PPPoE, исключений нет. Гостевой сети также нет, убрана.
Вопрос в том, что не могу составить для себя алгоритм подключения пользователя...
К примеру.
Есть вот такой изначальный конфиг
policy-map type control ISG-CONTROL
!
class type control always event session-start
10 authenticate aaa list ISG-GROUP
20 service local
!
Но, кроме удачной аутентификации надо же предусмотреть еще кучу нюансов, к примеру.
1. Пользователь не смог осилить буквы, неправильный пароль, поэтому ему надо разрешить пользоваться местным сервером ДНС и сервером статистики.
2. Первого числа у пользователя не хватило денег на следующий месяц, у него необходимо отобрать текущую услугу доступа в Интернет и оповестить, перекинув на страничку "дай денег".
3. Отвалился биллинг. Ну, мало ли. А очередной пользователь ломится и жаждит приобщиться к тайнам Интернета... Ему надо дать доступ, но "временный", скажем со скоростью 4 Мбит/сек.
Просто прочел то я много, но например так и не достиг понимания в таких вещах как credit-exhausted, quota-depleted... (Это скорее всего относится к помегабайтной оплате, которой у нас нет)
Из того что я описал выше, на мой взгляд, конфиг вырисовывается следующий:
policy-map type control ISG-CONTROL
class type control ISG-UNAUTH event timed-policy-expiry
1 service disconnect
!
class type control always event session-start
10 authenticate aaa list ISG-GROUP
20 service local
30 set-timer UNAUTH-TIMER 3
40 service-policy type service name SERVICE-TRUSTED
50 service-policy type service name REDIRECTION
!
class type control always event radius-timeout
1 service-policy type service name SERVICE-TRUSTED
2 service-policy type service name REDIRECTION
!
!
!!!!!!!!!!!!!! Сервис редиректа в случае окончания средств !!!!!!!!!!!!!!!!!!!
!
redirect server-group REDIRECT_NOPAY
server ip xxx.xx.xx.xx port 80
!
!
policy-map type service REDIRECTION
1 class type traffic CLASS-TO-REDIRECT
redirect to group REDIRECT_NOPAY
!
class type traffic default input
drop
!
!
class-map type traffic match-any CLASS-TO-REDIRECT
match access-group input 197
match access-group output 197
!
!
access-list 197 remark --Redirect-Portal--
access-list 197 permit tcp any any eq www
access-list 197 permit udp any any eq domain
access-list 197 permit udp any eq domain any
access-list 197 permit tcp any eq www any
access-list 197 deny ip any any
!
!!!!!!!!!!!!!!!!!!!!!! Конец сервиса !!!!!!!!!!!!!!!!!!!!!!!!!!!!
!
!
!
!!!!!!!!!!!!!!!! Куда разрешено ходить пользователям у которых кончилась денежка !!!!!!!!!!!!!!!!!!!
policy-map type service SERVICE-TRUSTED
1 class type traffic CLASS-TRUSTED
police input 64000 8000 16000
police output 64000 8000 16000
!
class type traffic default input
drop
!
!
class-map type traffic match-any CLASS-TRUSTED
match access-group input 198
match access-group output 198
!
!
access-list 198 remark --BLOCKED Clients--
! Разрешаем пользователю ДНС
access-list 198 permit udp any any eq domain
access-list 198 permit udp any eq domain any
! Разрешаем пользователю сервер статистики и наш сайт
access-list 198 permit tcp any host xxx.xx.xx.23 eq www
access-list 198 permit tcp any host xxx.xx.xx.23 eq 443
! Разрешаем пользователю доступ в систему PayOnline, вдруг он решился заплатить?
access-list 198 permit tcp any host 66.11.130.100 eq 443
! Разрешаем пользователю пинги
access-list 198 permit icmp any any
! Если ничего не забыл, то всё.
access-list 198 deny ip any any
!
!!!!!!!!!!!!!!!!! Конец сервиса !!!!!!!!!!!!!!!!!!!!!!!!!
Вопрос звучит следующим образом. Многие ведь используют PPPoE+ISG. Подскажите, какие сервисы вы юзаете, хотя бы обзорно, внутри этой самой основной policy control.
-
замените aaa authorization network ISG-GROUP group ISG-GROUP на
aaa authorization network ISG-GROUP local group ISG-GROUP
то что она споросила сервис через радиус.. значит не нашла на железе его.
п.с. ацлы у вас выглядят странно. вы хотите давать абонентам доступ только до 10.100.128.0 0.0.31.255 (судя по ацл именно так)?
Спасибо большое за дельные замечания. Да действительно, заработало!
-
Добрый день, форумчане!
Жарко в Краснодаре, мозг плавится.
В общем, надоели нам изыски изделий производства Микротик в качестве BRAS-ов, решили мы заменить несколько CCR-1036G на одну, но очень серьезную железку Cisco ASR1002-X с перспективой роста так сказать.
Но грех такое железо использовать в качестве тупого PPPoE-концентратора, руководство поставило задачу использовать связку PPPoE подключений с ISG на территории этой самой железки.
Есть один нюанс, мы уже 3 года с переменным успехом используем Ланбиллинг версии 2.0 (2.014 на текущий момент).
Предполагаемая стратегия такова:
- Cisco ASR1002-X будет держать на себе все сервисы. В данный момент на ней ИОС asr1002x-universalk9.03.13.01.S.154-3.S1-ext.SPA.bin и полные 16 Гб оперативки.
- Биллингу почетная роль сообщать Cisco какой(ие) сервис(ы) навешивать пользователю. Ну и аккаунтинг.
В итоге.
На тестовом биллинг-сервере был создан тестовый же пользователь с логином 0000197.
Был создан тарифный план Экспериментальный стоимостью 100 рублей, списание ежедневное, блокировка автоматическая, к тарифному плану привязана внешняя услуга с названием ASERVICE-1M.
Сама услуга на территории Cisco звучит как SERVICE-1M, подробности, кому интересно в аттаче прототип конфига Cisco.
Да, пользователь аутентифицируется и авторизуется на сервере, ему выдается положенный адрес. А дальше пошли нюансы.
Во-первых по непонятной для меня причине Cisco, после получения от ЛБ аттрибутов видит, что необходимо что-то сделать с SERVICE-1M, и кидается его аутентифицировать ((!) Не авторизовать).
Естественно аутентификация не проходит, и при наличии гостевой сети сервису (!) выдается гостевой адрес. В этом случае на появившемся Virtual-Access 2.1 появляется гостевой итоговый адрес.
Вопрос! Кто сумел таки подружить Cisco ASR с ISG с Ланбиллингом? То невнятное недоразумение в документации я читал и пробовал в разных ипостасях не единожды.
Вопрос в принципе можно конкретизировать - как аутентифицировать (а затем и авторизовать) сервис в ЛанБиллинге?
-
Ну какой мне смысл ставить сие счастие, если через 6 недель у меня будет такой комбайнище, что ух!
чтобы он продержался до приезда знатного железа...
Идея, по-Вашему, конечно неплоха. А по мне, нырять с неизвестным результатом, угробив ночь-другую, нарвавшись на новое, оттестировать и т.д. В нужный момент, если что-то не так. что делать? Пока я буду курить мануалы, мои юзвери будут биться в истерике. Или не знаете, что им Интернет в мозг напрямую подключен и их корчить начинает даже от снижения некоторого скорости...
Мне проще разнести юзверей по разным Микротикам. А вопросы задавал, потому что частенько на накатанных конфигах люди про гребли говорят. Мне вот тут сходу предложили default и default-small посмотреть, толковый совет на самом деле. Именно таких советов я и ждал. Ну и надеялся. что активно используется эта железка и ее косяки знакомы многим. Оказывается никто, или почти никто, их не юзает.Жаль.
Тогда остается самый верный способ. Завтра с ура займусь.
Всем спасибо, но если будут идейки, киньте, не поленитесь.
-
Поставь фрю или линукс на офисный комп уровня коредуо оно будет быстрее и стабильнее.
Ну какой мне смысл ставить сие счастие, если через 6 недель у меня будет такой комбайнище, что ух! Cisco ASR1002-X всяко заточенная железка, а Линуксы... Ну снова втыкать в неизведанную область. это тоскливо. Я с цисками дружу неплохо, гораздо хлеще Линуксов и иже с ними, предпочитаю видеть последние в связке с Апачем на серверах.
Мне бы залатать Микротик, чтобы он продержался до приезда знатного железа...
-
А может сервер PPPoE игнорировать PAD пакеты? И по какой причине?
-
Что самое интересное, канальчик магистральный оптический, потерь нет. Проверял. На интерфейсах физических также потери отсутствуют. Вывод - с железом и драйверами вроде всё нормально. Учитывая, что до 350 работало идеально, мы с января вообще не заглядывали на БРАС, получается дьявол кроется либо в биллинговом Radius, либо в самом ненаглядном Микротике. И если старая тестовая циска 7206 спокойно съела то, что Микротик напрочь есть отказался при казалось бы одинаковых настройках аутентификации, вывод напрашивается сам собой...
-
Что мешает откатиться ?но одновременно сменилась прошивка на 6.28
Ничего не мешает. С утра откатывался уже. На 6.21 Увы. Как рандомно откидывало/не принимало пользователей, так и не принимает. Делаю вывод - проблема не в прошивке, а в возросшем (резко) с 350 до 480 количестве пользователей на данном девайсе. Если не будет найдено решение за сегодня, то завтра с утра юзвери будут разнесены на разные Микротики.
-
По поводу очередей mikrotik и биллинга, можешь глянуть в интернете труды уважаемого White_Crow.
Спасибо, сейчас буду изучать!
-
Опубликовано · Изменено пользователем siddkharta · Жалоба на ответ
Неужто никто не сталкивался с такими аппаратами? Есть парни, у кого на таком аппарате ccr1036-12g-4s больше 600 юзверей и 500 Мбит?
С виду ничем нестрашный глюк winbox.
Первым делом отключи simple queues, попробуй потестить без шейпинга. С таким трафиком ничего страшного.
Имхо нужно менять подход к ограничению скорости.
P.s. оставь авторизацию только chap - проще.
Афигеть вы телепат.
Автор (привет земляк), при выводе через терминал на очередях так же потеря интерфейсов?
P.S.
Как раз simple queue и есть самый оптимальный вариант, только тип очереди сменить на sfq.
Ну и последние вопрос, вам не кажется, что Cisco7201 и CCR стоит поменять местами? Все же bgp простецкая задачка, с которой CCR-задроту под силу справиться (а еще лучше тупо поставить l3 свитч), а под bras все же лучше использовать ISG
Хм... Фишка в том, что финансисты наши наконец поняли, что Микротик это эксперимент задешево! В свое время я предлагал им поставить вторую 72012 как БРАС, но куда там! 2 ССР-а стоили 80 тыс. А циска... Короче, в итоге к нам едет Cisco ASR1002-X, а чуть позже к ней присоединится ее младшенькая сестра Cisco ASR1001-X в качестве БРАСа. Но! Эти 6 недель надо как то пережить, не дергая издерганных последним месяцем пользователей. А 7201 в качестве БРАСа при 900 пользователях - предел. Не потянет она, ибо софтовая.
Потому и прошу помощи, спрашиваю у парней, может есть какая изюминка при настройке Микротиков. Про SFQ в default и default-small знаю (выставлено).
Криптование убрано, всё на той вкладке выставлено в NO.
Проблемка сейчас больше в том, что юзвери не могут авторизоваться на БРАСе, вот только что подключался паренек. Ставлю его в ВЛАН приходящий на Микротик, ошибка 691. Ставлю в ВЛАН на старенькую Cisco 7206-G1 тестовую, подхватила и хоть бы что, поперла работать.
-
Неужто никто не сталкивался с такими аппаратами? Есть парни, у кого на таком аппарате ccr1036-12g-4s больше 600 юзверей и 500 Мбит?
С виду ничем нестрашный глюк winbox.
Первым делом отключи simple queues, попробуй потестить без шейпинга. С таким трафиком ничего страшного.
Имхо нужно менять подход к ограничению скорости.
Хм... А можно поподробнее про подход? Что имеется ввиду?
Simple Queues у меня на Микротике включается автоматом, как только с Радиуса приходит Access-Accept, следом идет настройка 50M/50M. Что тут можно поменять? И вопрос скорее не в поменять, а в том, почему настолько нестабильно стал работать сам Микротик, хотя по идее ему мощности хватает?
-
Неужто никто не сталкивался с такими аппаратами? Есть парни, у кого на таком аппарате ccr1036-12g-4s больше 600 юзверей и 500 Мбит?
Отчет в Россвязь до 1 марта.
в Работа с бумагами
Опубликовано · Жалоба на ответ
Чтобы не возникало вопросов, проверка через часик.