C@T

nnm прав, на 6548 тоже 1Гб на 8 портов (взято отсюда): These cards share a 1 Mb buffer between a group of ports (1-8, 9-16, 17-24, 25-32, 33-40, and 41-48) since each block of eight ports is 8:1 oversubscribed. The aggregate throughput of each block of eight ports cannot exceed 1 Gbps

Seagull, в исходниках ISG(станартного), если я правильно понимаю, не обрабатывается значение атрибута Cisco-Account-Info, если значение атрибута не начинается на Q if ($rp->vsattributes($rad_dict->vendor_num("Cisco"))) { foreach my $val (@{$rp->vsattr($rad_dict->vendor_num("Cisco"), "Cisco-Account-Info")}) { if ($val =~ /^Q/) { @rate_info = parse_account_qos($val); } Остальные значения просто игнорирутся(?) Я могу ошибаться. Остается или ждать патча (а может он уже написан, надо бы ветку заново перечитать :) ), либо писать патч самим, либо менять через isg change-rate, если этот метод работает (нашлось время потестить, не работает смена через change-rate...а как тогда вообще поменять?)

Спасибо!

да, работает, и даже без особых телодвижений

сорри не заметил в конфиге. просто причина обычно кроется именно в этой строчке...

в конфиге такая строчка есть? aaa authorization subscriber-service default local group ISG-RADIUS

про forus: A "forus" or "for-us" packet are packets destined to the router itself (process by the RP).

Простейший конфиг, как раз с тестового gns3 (некоторые незначащие строчки выкинуты): ! aaa new-model aaa session-mib disconnect ! aaa authentication ppp default group radius aaa authorization network default group radius aaa accounting update periodic 5 aaa accounting network default action-type start-stop group radius ! aaa server radius dynamic-author client 192.168.1.214 server-key 7 XXXXXXXX auth-type any ! aaa session-id common clock timezone MSK 4 syscon address 192.168.1.214 XXXXXXXX syscon shelf-id 0 ip source-route ! ip cef no ipv6 cef ! multilink bundle-name authenticated ! username admin secret 5 xxxxxxxxxxxxxxxxx ! bba-group pppoe global virtual-template 1 sessions max limit 8000 ac name nas1 sessions per-mac limit 1 sessions per-vlan limit 500 sessions auto cleanup ! ! interface FastEthernet0/0 ip address 192.168.1.138 255.255.255.0 speed auto duplex auto pppoe enable group global no cdp enable ! interface FastEthernet0/1 no ip address shutdown speed auto duplex auto ! interface Virtual-Template1 ip unnumbered FastEthernet0/0 ip flow ingress peer default ip address pool PPPoE ppp max-bad-auth 3 ppp authentication chap radius ppp authorization radius ppp timeout retry 3 ppp timeout authentication 45 ppp timeout idle 3600 ! ip local pool PPPoE 192.168.2.10 192.168.2.20 ! ! no ip http server no ip http secure-server ip route 0.0.0.0 0.0.0.0 192.168.1.254 ! access-list 3 permit 192.168.1.214 no cdp run ! snmp-server community XXXXXXXX RW 3 snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart snmp-server enable traps tty snmp-server enable traps aaa_server snmp-server host 192.168.1.214 161 snmp-server host 192.168.1.214 2c snmp-server host 192.168.1.214 aaa snmp-server host 192.168.1.214 XXXXXXXX snmp snmp ifmib ifindex persist ! ! radius-server attribute 8 include-in-access-req radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU radius-server attribute 31 mac format unformatted radius-server host 192.168.1.214 auth-port 1812 acct-port 1813 non-standard radius-server retransmit 5 radius-server timeout 30 radius-server deadtime 1 radius-server key 7 XXXXXXXXXXXXXXXXX radius-server vsa send accounting radius-server vsa send authentication

А чего к нему подходить? ) вот работающий пример: tc qdisc add dev eth0 ingress tc qdisc add dev eth1 ingress tc filter add dev eth0 parent ffff: protocol ip prio 10 u32 match ip src 10.10.10.10 action nat egress 10.10.10.10/32 32.xx.xx.2 tc filter add dev eth1 parent ffff: protocol ip prio 10 u32 match ip dst 32.xx.xx.2 action nat ingress 32.xx.xx.2/32 10.10.10.10 В сочетании с хеш-фильтрами было бы идеальное решение (не надо тратить ресурсы на tracking), Но из-за упомянутых Abram'ом недостатков интерес у меня к нему упал...

Вот здесь, например, разъясняется ) http://etherealmind.com/cisco-ios-vlan-1002-reserved-1005-purpose-function/

Спасибо, Bambuk, видимо это действительно единственный выход

Присоединяюсь к топикстартеру, этот же вопрос интересует тоже (как я понимаю, в названии темы ошибка и речь идет о ipoe, а не о pppое) В софтовом lISG все решается просто, добавлением одной строчки "-j ISG --session-init --init-mode dst" Но пришло время искать "железное" решение для ISG, а не софтовое... Пойду отправлюсь в поиск по форуму)

Есть такой же забитый под завязку, СRС нет, но траффика не много через него проходит ~200МБит в обе стороны конденсаторы, как я понимаю, проверить нет возможности?

у вас адрес 192.168.0.254 настроен как secondary попробуйте убрать шлюз на компьютере, и пропинговать его c cisco вот так: ping 192.168.0.1 source 192.168.0.254 или прописать адрес 192.168.0.254 на vlan1 как primary или, как правильно говорит GFORGX, wireshark вам в помощь

paul Cisco-Account-Info += ASERVICE_L4R не пробовали?

Есть еще способ сказать циске, чтобы она все-таки слала аккаунтинг, это передать в AUTHENTICATION_ACCEPT пакете с RADIUS-сервера атрибуты 1. Cisco-Avpair="accounting-list=accounting-mlist-name" (видимо ACCNT_LIST1) 2. Acct-Interim-Interval (attribute 85) но попробовать мне это так и не удалось, не знаю, будет ли работать

в bgbilling используете bitel.billing.server.processor.PoDNASConnectionInspector или новый bitel.billing.server.processor.ISGNasConnectionInspector ? Весрия 5.1 , 5.0 или 4.6 ? Через модуль IPN или BGRadiusDialup? в любом случае попробуйте передать атрибут Cisco-Account-Info = AACT через bgbilling'овский radius, если не знаете как, пишите, IPN не знаю, а если BGRadiusDialup, то подскажу

а пользователю через этот сервис подключается? можете снова показать пакет AUTHENTICATION_ACCEPT от радиуса? и в профиле пользователя поставить что-то типа Cisco-Account-Info += AACT

циска почему-то не находит этот сервис ACC у себя как локально определенный сервис, и пытается запросить его у RADIUSа, а на RADUIS-сервере. он, похоже, не определен я не знаю тонкости ASR1002, но попробуйте добавить в конфиг, чтобы циска искала серисы сначала локально, а потом уже запрашивала их у радиуса: aaa authorization subscriber-service default local group SERVER_GROUP1

Может быть я и ошибаюсь, но похоже аккаунтинг не идет, потому что пользователю в Auth_accept пакете не подключился сервис ACC (policy-map type service ACC), по которому у вас должен идти аккаунтинг

Abram, большое спасибо! Класс трафика из конфига передать так и не удалось пока-что, но зато работает все остальное! Осталось самое сложное - все это как-то с BGbilling связать )

За проектом наблюдаю практически с самого начала, но наконец-то нашлось время потестировать его. Возник вопрос, может кто подскажет... Многократное прочтение README не помогло. Одна из основных задач - смена скорости несколько раз в сутки как без участия пользователей, так и при помощи турбо-кнопки. Как я понимаю, без CoA тут не обойтись. берем последнюю версию из git'а Смотрим README In "Change of Authorization" messages you can currently change only this attributes of session: * Class (the attribute is using in lISG for rate policing) но через атрибут "Class" скорость передавать больше не удастся? при попытке передать CoA: xx@nas1:# echo NAS-Identifier="10.10.10.1",User-Name="10.10.10.10",Class="5000/5000" | radclient -x 127.0.0.1:3799 coa apple Sending CoA-Request of id 211 to 127.0.0.1 port 3799 NAS-Identifier = "10.10.10.1" User-Name = "10.10.10.10" Class = 0x353030302f35303030 rad_recv: CoA-ACK packet from host 127.0.0.1 port 3799, id=211, length=20 но Rate-in/Rate-out у сессии все также остается нулевым. Как в новом атрибуте Class передать скорость осталось неясным даже после прочтения RFC README: Attribute: Class = cookie_value Description: Standard attribute (as per RFC). String up to 32 chars. Example: Class = user_id_31 ткните пожалуйста носом, хоть примерно, как динамически применять новые параметры скорости? или единственный выход - это найти ту версию, где скорость передавалась в атрибуте "Class" ? PS: пришлось пока поставить одну из предыдущих версий, где скорость передается через атрибут "class", там CoA работает нормально

неужели так все грустно... но при перетыкании платы в обратно 3-й слот (других слотов нет, можем "играться" только с 1-ым и 3), модуль все-таки заводится, только сыпет ошибки, как в 1-м посте (TestUnusedPortLoopback Port(s)[8,16,24] failed. и т.д) Все-таки придется для эскперимента освобождать еще один слот

Имеется CISCO 6506, решили вставить в него еще один модуль, т.к не хватает портов, WS-X6548-GE-TX. (Об oversubscription, и других недостатках модуля знаю) Но диагностика модуля стала выдавить ошибки типа Port ASIC (PINNACLE) packet buffer failure detected on ports 1-24 Module 3 TestUnusedPortLoopback Port(s)[8,16,24] failed. Решили заменить слот, но свободный остался только первый, остальные слоты трогать возможности нет. Первый слот, по документации, предназначен для Sup2, но "If the system does not include a redundant supervisor engine or RSP, you can install another type of module in the slot reserved for the redundant supervisor engine or RSP." как я понимаю , туда можно вставлять любой другой модуль. Но при попытке вставить модуль в первый слот, CISCO ругается %OIR-SP-6-PWRFAILURE: Module 1 is being disabled due to power convertor failure 0x0 %C6KPWR-SP-4-DISABLED: power to module in slot 1 set off (FRU-power failed) Нормально ли это? Должен ли работать модуль в первом слоте? Гугление ничего особо внятного не дало( Питания достаточно system power redundancy mode = redundant system power total = 2331.00 Watts (55.50 Amps @ 42V) system power used = 979.44 Watts (23.32 Amps @ 42V) system power available = 1351.56 Watts (32.18 Amps @ 42V)

Слона-то я и не приметил.. спасибо!