Перейти к содержимому
Калькуляторы

C@T

Активный участник
 Просмотреть профиль  Активность

  • Публикации

    103

  • Зарегистрирован

  • Посещение

 Тип публикации 

Сообщения, опубликованные пользователем C@T

  1. Опубликовано · Жалоба на ответ

    1Гб на 8 портов разве не на 6148 плате ?

    nnm прав, на 6548 тоже 1Гб на 8 портов (взято отсюда):

    These cards share a 1 Mb buffer between a group of ports (1-8, 9-16, 17-24, 25-32, 33-40, and 41-48) since each block of eight ports is 8:1 oversubscribed. The aggregate throughput of each block of eight ports cannot exceed 1 Gbps

  2. Опубликовано · Изменено пользователем C@T · Жалоба на ответ

    Seagull, в исходниках ISG(станартного), если я правильно понимаю, не обрабатывается значение атрибута Cisco-Account-Info,

    если значение атрибута не начинается на Q

      if ($rp->vsattributes($rad_dict->vendor_num("Cisco"))) {
               foreach my $val (@{$rp->vsattr($rad_dict->vendor_num("Cisco"), "Cisco-Account-Info")}) {
                   if ($val =~ /^Q/) {
                       @rate_info = parse_account_qos($val);
                   }

    Остальные значения просто игнорирутся(?)

    Я могу ошибаться. Остается или ждать патча (а может он уже написан, надо бы ветку заново перечитать :) ),

    либо писать патч самим, либо менять через isg change-rate, если этот метод работает (нашлось время потестить, не работает смена через change-rate...а как тогда вообще поменять?)

  8. Опубликовано · Жалоба на ответ

    Простейший конфиг, как раз с тестового gns3 (некоторые незначащие строчки выкинуты):

    !
aaa new-model
aaa session-mib disconnect
!
aaa authentication ppp default group radius
aaa authorization network default group radius
aaa accounting update periodic 5
aaa accounting network default
action-type start-stop
group radius
!
aaa server radius dynamic-author
client 192.168.1.214 server-key 7 XXXXXXXX
auth-type any
!
aaa session-id common
clock timezone MSK 4
syscon address 192.168.1.214 XXXXXXXX
syscon shelf-id 0
ip source-route
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
username admin secret 5 xxxxxxxxxxxxxxxxx
!
bba-group pppoe global
virtual-template 1
sessions max limit 8000
ac name nas1
sessions per-mac limit 1
sessions per-vlan limit 500
sessions auto cleanup
!
!
interface FastEthernet0/0
ip address 192.168.1.138 255.255.255.0
speed auto
duplex auto
pppoe enable group global
no cdp enable
!
interface FastEthernet0/1
no ip address
shutdown
speed auto
duplex auto
!
interface Virtual-Template1
ip unnumbered FastEthernet0/0
ip flow ingress
peer default ip address pool PPPoE
ppp max-bad-auth 3
ppp authentication chap radius
ppp authorization radius
ppp timeout retry 3
ppp timeout authentication 45
ppp timeout idle 3600
!
ip local pool PPPoE 192.168.2.10 192.168.2.20
!
!
no ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 192.168.1.254
!
access-list 3 permit 192.168.1.214
no cdp run
!
snmp-server community XXXXXXXX RW 3
snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart
snmp-server enable traps tty
snmp-server enable traps aaa_server
snmp-server host 192.168.1.214 161
snmp-server host 192.168.1.214 2c
snmp-server host 192.168.1.214 aaa
snmp-server host 192.168.1.214 XXXXXXXX  snmp
snmp ifmib ifindex persist
!
!
radius-server attribute 8 include-in-access-req
radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
radius-server attribute 31 mac format unformatted
radius-server host 192.168.1.214 auth-port 1812 acct-port 1813 non-standard
radius-server retransmit 5
radius-server timeout 30
radius-server deadtime 1
radius-server key 7 XXXXXXXXXXXXXXXXX
radius-server vsa send accounting
radius-server vsa send authentication

  9. Опубликовано · Изменено пользователем C@T · Жалоба на ответ

    Вы смогли разобраться, как к этому коню подходить?

    А чего к нему подходить? )

    вот работающий пример:

    tc qdisc add dev eth0 ingress
tc qdisc add dev eth1 ingress

tc filter add dev eth0 parent ffff: protocol ip prio 10 u32 match ip src 10.10.10.10 action nat egress 10.10.10.10/32 32.xx.xx.2
tc filter add dev eth1 parent ffff: protocol ip prio 10 u32 match ip dst 32.xx.xx.2 action nat ingress 32.xx.xx.2/32 10.10.10.10

    В сочетании с хеш-фильтрами было бы идеальное решение (не надо тратить ресурсы на tracking),

    Но из-за упомянутых Abram'ом недостатков интерес у меня к нему упал...

  12. Опубликовано · Жалоба на ответ

    И до тех пор пока с сервера не придет первый ip пакет сессия не будет создана, соответственно доступа к серверу не будет.

    Присоединяюсь к топикстартеру, этот же вопрос интересует тоже

    (как я понимаю, в названии темы ошибка и речь идет о ipoe, а не о pppое)

    В софтовом lISG все решается просто, добавлением одной строчки

    "-j ISG --session-init --init-mode dst"

    Но пришло время искать "железное" решение для ISG, а не софтовое...

    Пойду отправлюсь в поиск по форуму)

  13. Опубликовано · Жалоба на ответ

    У кого-нибудь еще есть такой же каталист забитый SFP, но без crc на них?

    Есть такой же забитый под завязку, СRС нет, но траффика не много через него проходит ~200МБит в обе стороны

     

    конденсаторы, как я понимаю, проверить нет возможности?

  14. Опубликовано · Изменено пользователем C@T · Жалоба на ответ

    interface Vlan1

    ip address 192.168.0.254 255.255.255.0 secondary

    ip address 172.16.1.3 255.255.255.248

    !

    у вас адрес 192.168.0.254 настроен как secondary

    попробуйте убрать шлюз на компьютере, и пропинговать его c cisco вот так:

    ping 192.168.0.1 source 192.168.0.254

    или прописать адрес 192.168.0.254 на vlan1 как primary

    или, как правильно говорит GFORGX, wireshark вам в помощь

  16. Опубликовано · Жалоба на ответ

    Есть еще способ сказать циске, чтобы она все-таки слала аккаунтинг, это

    передать в AUTHENTICATION_ACCEPT пакете с RADIUS-сервера атрибуты

    1. Cisco-Avpair="accounting-list=accounting-mlist-name" (видимо ACCNT_LIST1)

    2. Acct-Interim-Interval (attribute 85)

    но попробовать мне это так и не удалось, не знаю, будет ли работать

  17. Опубликовано · Изменено пользователем C@T · Жалоба на ответ

    в bgbilling используете bitel.billing.server.processor.PoDNASConnectionInspector или новый

    bitel.billing.server.processor.ISGNasConnectionInspector ? Весрия 5.1 , 5.0 или 4.6 ?

    Через модуль IPN или BGRadiusDialup?

    в любом случае попробуйте передать атрибут Cisco-Account-Info = AACT через bgbilling'овский radius, если не знаете как, пишите, IPN не знаю, а если BGRadiusDialup, то подскажу

  18. Опубликовано · Изменено пользователем C@T · Жалоба на ответ

    а пользователю через этот сервис подключается?

    можете снова показать пакет AUTHENTICATION_ACCEPT от радиуса?

    и в профиле пользователя поставить что-то типа

    Cisco-Account-Info += AACT

  19. Опубликовано · Жалоба на ответ

    то ACC почемуто начинает отправляться как имя пользователя

    циска почему-то не находит этот сервис ACC у себя как локально определенный сервис, и пытается запросить его у RADIUSа, а на RADUIS-сервере. он, похоже, не определен

     

    я не знаю тонкости ASR1002, но попробуйте добавить в конфиг, чтобы циска искала серисы сначала локально, а потом уже запрашивала их у радиуса:

    aaa authorization subscriber-service default local group SERVER_GROUP1

  20. Опубликовано · Жалоба на ответ

    05-12/11:27:01 INFO [pool-1-thread-37] radius - RESPONSE:

    Type=AUTHENTICATION_ACCEPT

    Process time auth: 122 init_tariff: 0; set_ip: 0; common_auth: 12

    Attributes:.

    <------>Acct-Interim-Interval=60

    <------>Service-Type=2

    <------>Framed-Protocol=1

    Может быть я и ошибаюсь, но похоже аккаунтинг не идет, потому что пользователю в Auth_accept пакете не подключился сервис ACC (policy-map type service ACC), по которому у вас должен идти аккаунтинг

  22. Опубликовано · Изменено пользователем C@T · Жалоба на ответ

    За проектом наблюдаю практически с самого начала, но наконец-то нашлось время потестировать его. Возник вопрос, может кто подскажет... Многократное прочтение README не помогло. Одна из основных задач - смена скорости несколько раз в сутки как без участия пользователей, так и при помощи турбо-кнопки. Как я понимаю, без CoA тут не обойтись.

    берем последнюю версию из git'а

    Смотрим README

    In "Change of Authorization" messages you can currently change only
this attributes of session:
   * Class (the attribute is using in lISG for rate policing)

    но

    Don't use 'Class' attribute to store rate limiting information, please see README for 'Cisco-Account-Info = QU;cir;normal burst;D;cir;normal burst'

    через атрибут "Class" скорость передавать больше не удастся?

    при попытке передать CoA:

    xx@nas1:# echo NAS-Identifier="10.10.10.1",User-Name="10.10.10.10",Class="5000/5000" | radclient -x 127.0.0.1:3799 coa apple
Sending CoA-Request of id 211 to 127.0.0.1 port 3799
       NAS-Identifier = "10.10.10.1"
       User-Name = "10.10.10.10"
       Class = 0x353030302f35303030
rad_recv: CoA-ACK packet from host 127.0.0.1 port 3799, id=211, length=20

    но Rate-in/Rate-out у сессии все также остается нулевым.

    Как в новом атрибуте Class передать скорость осталось неясным даже после прочтения RFC

    README:

    Attribute:      Class = cookie_value
Description:         Standard attribute (as per RFC). String up to 32 chars.
Example:             Class = user_id_31

    ткните пожалуйста носом, хоть примерно, как динамически применять новые параметры скорости?

    или единственный выход - это найти ту версию, где скорость передавалась в атрибуте "Class" ?

     

    PS: пришлось пока поставить одну из предыдущих версий, где скорость передается через атрибут "class", там CoA работает нормально

  23. Опубликовано · Жалоба на ответ

    у вас сгорел источник питания на плате

    неужели так все грустно...

    но при перетыкании платы в обратно 3-й слот (других слотов нет, можем "играться" только с 1-ым и 3),

    модуль все-таки заводится, только сыпет ошибки, как в 1-м посте (TestUnusedPortLoopback Port(s)[8,16,24] failed. и т.д)

    Все-таки придется для эскперимента освобождать еще один слот

  24. Опубликовано · Жалоба на ответ

    Имеется CISCO 6506,

    решили вставить в него еще один модуль, т.к не хватает портов, WS-X6548-GE-TX. (Об oversubscription, и других недостатках модуля знаю)

    Но диагностика модуля стала выдавить ошибки типа

    Port ASIC (PINNACLE) packet buffer failure detected on ports 1-24

    Module 3 TestUnusedPortLoopback Port(s)[8,16,24] failed.

    Решили заменить слот, но свободный остался только первый, остальные слоты трогать возможности нет.

    Первый слот, по документации, предназначен для Sup2, но "If the system does not include a redundant supervisor engine or RSP,

    you can install another type of module in the slot reserved for the redundant supervisor engine or RSP."

    как я понимаю , туда можно вставлять любой другой модуль.

    Но при попытке вставить модуль в первый слот, CISCO ругается

    %OIR-SP-6-PWRFAILURE: Module 1 is being disabled due to power convertor failure 0x0
%C6KPWR-SP-4-DISABLED: power to module in slot 1 set off (FRU-power failed)

    Нормально ли это? Должен ли работать модуль в первом слоте?

    Гугление ничего особо внятного не дало(

    Питания достаточно

    system power redundancy mode = redundant
system power total =     2331.00 Watts (55.50 Amps @ 42V)
system power used =       979.44 Watts (23.32 Amps @ 42V)
system power available = 1351.56 Watts (32.18 Amps @ 42V)