C@T
-
Публикации
103 -
Зарегистрирован
-
Посещение
Сообщения, опубликованные пользователем C@T
-
-
Опубликовано · Изменено пользователем C@T · Жалоба на ответ
Seagull, в исходниках ISG(станартного), если я правильно понимаю, не обрабатывается значение атрибута Cisco-Account-Info,
если значение атрибута не начинается на Q
if ($rp->vsattributes($rad_dict->vendor_num("Cisco"))) { foreach my $val (@{$rp->vsattr($rad_dict->vendor_num("Cisco"), "Cisco-Account-Info")}) { if ($val =~ /^Q/) { @rate_info = parse_account_qos($val); }
Остальные значения просто игнорирутся(?)
Я могу ошибаться. Остается или ждать патча (а может он уже написан, надо бы ветку заново перечитать :) ),
либо писать патч самим, либо менять через isg change-rate, если этот метод работает (нашлось время потестить, не работает смена через change-rate...а как тогда вообще поменять?)
-
-
у кого-то работает ip-unnumberred + dhcp_snooping c opt 82 на одном девайсе на агрегации ?
да, работает, и даже без особых телодвижений
-
сорри не заметил в конфиге.
просто причина обычно кроется именно в этой строчке...
-
в конфиге такая строчка есть?
aaa authorization subscriber-service default local group ISG-RADIUS
-
про forus:
A "forus" or "for-us" packet are packets destined to the router itself (process by the RP).
-
Простейший конфиг, как раз с тестового gns3 (некоторые незначащие строчки выкинуты):
! aaa new-model aaa session-mib disconnect ! aaa authentication ppp default group radius aaa authorization network default group radius aaa accounting update periodic 5 aaa accounting network default action-type start-stop group radius ! aaa server radius dynamic-author client 192.168.1.214 server-key 7 XXXXXXXX auth-type any ! aaa session-id common clock timezone MSK 4 syscon address 192.168.1.214 XXXXXXXX syscon shelf-id 0 ip source-route ! ip cef no ipv6 cef ! multilink bundle-name authenticated ! username admin secret 5 xxxxxxxxxxxxxxxxx ! bba-group pppoe global virtual-template 1 sessions max limit 8000 ac name nas1 sessions per-mac limit 1 sessions per-vlan limit 500 sessions auto cleanup ! ! interface FastEthernet0/0 ip address 192.168.1.138 255.255.255.0 speed auto duplex auto pppoe enable group global no cdp enable ! interface FastEthernet0/1 no ip address shutdown speed auto duplex auto ! interface Virtual-Template1 ip unnumbered FastEthernet0/0 ip flow ingress peer default ip address pool PPPoE ppp max-bad-auth 3 ppp authentication chap radius ppp authorization radius ppp timeout retry 3 ppp timeout authentication 45 ppp timeout idle 3600 ! ip local pool PPPoE 192.168.2.10 192.168.2.20 ! ! no ip http server no ip http secure-server ip route 0.0.0.0 0.0.0.0 192.168.1.254 ! access-list 3 permit 192.168.1.214 no cdp run ! snmp-server community XXXXXXXX RW 3 snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart snmp-server enable traps tty snmp-server enable traps aaa_server snmp-server host 192.168.1.214 161 snmp-server host 192.168.1.214 2c snmp-server host 192.168.1.214 aaa snmp-server host 192.168.1.214 XXXXXXXX snmp snmp ifmib ifindex persist ! ! radius-server attribute 8 include-in-access-req radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU radius-server attribute 31 mac format unformatted radius-server host 192.168.1.214 auth-port 1812 acct-port 1813 non-standard radius-server retransmit 5 radius-server timeout 30 radius-server deadtime 1 radius-server key 7 XXXXXXXXXXXXXXXXX radius-server vsa send accounting radius-server vsa send authentication
-
Опубликовано · Изменено пользователем C@T · Жалоба на ответ
Вы смогли разобраться, как к этому коню подходить?
А чего к нему подходить? )
вот работающий пример:
tc qdisc add dev eth0 ingress tc qdisc add dev eth1 ingress tc filter add dev eth0 parent ffff: protocol ip prio 10 u32 match ip src 10.10.10.10 action nat egress 10.10.10.10/32 32.xx.xx.2 tc filter add dev eth1 parent ffff: protocol ip prio 10 u32 match ip dst 32.xx.xx.2 action nat ingress 32.xx.xx.2/32 10.10.10.10
В сочетании с хеш-фильтрами было бы идеальное решение (не надо тратить ресурсы на tracking),
Но из-за упомянутых Abram'ом недостатков интерес у меня к нему упал...
-
-
Спасибо, Bambuk,
видимо это действительно единственный выход
-
И до тех пор пока с сервера не придет первый ip пакет сессия не будет создана, соответственно доступа к серверу не будет.
Присоединяюсь к топикстартеру, этот же вопрос интересует тоже
(как я понимаю, в названии темы ошибка и речь идет о ipoe, а не о pppое)
В софтовом lISG все решается просто, добавлением одной строчки
"-j ISG --session-init --init-mode dst"
Но пришло время искать "железное" решение для ISG, а не софтовое...
Пойду отправлюсь в поиск по форуму)
-
У кого-нибудь еще есть такой же каталист забитый SFP, но без crc на них?
Есть такой же забитый под завязку, СRС нет, но траффика не много через него проходит ~200МБит в обе стороны
конденсаторы, как я понимаю, проверить нет возможности?
-
Опубликовано · Изменено пользователем C@T · Жалоба на ответ
interface Vlan1
ip address 192.168.0.254 255.255.255.0 secondary
ip address 172.16.1.3 255.255.255.248
!
у вас адрес 192.168.0.254 настроен как secondary
попробуйте убрать шлюз на компьютере, и пропинговать его c cisco вот так:
ping 192.168.0.1 source 192.168.0.254
или прописать адрес 192.168.0.254 на vlan1 как primary
или, как правильно говорит GFORGX, wireshark вам в помощь
-
paul Cisco-Account-Info += ASERVICE_L4R
не пробовали?
-
Есть еще способ сказать циске, чтобы она все-таки слала аккаунтинг, это
передать в AUTHENTICATION_ACCEPT пакете с RADIUS-сервера атрибуты
1. Cisco-Avpair="accounting-list=accounting-mlist-name" (видимо ACCNT_LIST1)
2. Acct-Interim-Interval (attribute 85)
но попробовать мне это так и не удалось, не знаю, будет ли работать
-
Опубликовано · Изменено пользователем C@T · Жалоба на ответ
в bgbilling используете bitel.billing.server.processor.PoDNASConnectionInspector или новый
bitel.billing.server.processor.ISGNasConnectionInspector ? Весрия 5.1 , 5.0 или 4.6 ?
Через модуль IPN или BGRadiusDialup?
в любом случае попробуйте передать атрибут Cisco-Account-Info = AACT через bgbilling'овский radius, если не знаете как, пишите, IPN не знаю, а если BGRadiusDialup, то подскажу
-
Опубликовано · Изменено пользователем C@T · Жалоба на ответ
а пользователю через этот сервис подключается?
можете снова показать пакет AUTHENTICATION_ACCEPT от радиуса?
и в профиле пользователя поставить что-то типа
Cisco-Account-Info += AACT
-
то ACC почемуто начинает отправляться как имя пользователя
циска почему-то не находит этот сервис ACC у себя как локально определенный сервис, и пытается запросить его у RADIUSа, а на RADUIS-сервере. он, похоже, не определен
я не знаю тонкости ASR1002, но попробуйте добавить в конфиг, чтобы циска искала серисы сначала локально, а потом уже запрашивала их у радиуса:
aaa authorization subscriber-service default local group SERVER_GROUP1
-
05-12/11:27:01 INFO [pool-1-thread-37] radius - RESPONSE:
Type=AUTHENTICATION_ACCEPT
Process time auth: 122 init_tariff: 0; set_ip: 0; common_auth: 12
Attributes:.
<------>Acct-Interim-Interval=60
<------>Service-Type=2
<------>Framed-Protocol=1
Может быть я и ошибаюсь, но похоже аккаунтинг не идет, потому что пользователю в Auth_accept пакете не подключился сервис ACC (policy-map type service ACC), по которому у вас должен идти аккаунтинг
-
Abram,
большое спасибо! Класс трафика из конфига передать так и не удалось пока-что, но зато работает все остальное!
Осталось самое сложное - все это как-то с BGbilling связать )
-
Опубликовано · Изменено пользователем C@T · Жалоба на ответ
За проектом наблюдаю практически с самого начала, но наконец-то нашлось время потестировать его. Возник вопрос, может кто подскажет... Многократное прочтение README не помогло. Одна из основных задач - смена скорости несколько раз в сутки как без участия пользователей, так и при помощи турбо-кнопки. Как я понимаю, без CoA тут не обойтись.
берем последнюю версию из git'а
Смотрим README
In "Change of Authorization" messages you can currently change only this attributes of session: * Class (the attribute is using in lISG for rate policing)
но
Don't use 'Class' attribute to store rate limiting information, please see README for 'Cisco-Account-Info = QU;cir;normal burst;D;cir;normal burst'
через атрибут "Class" скорость передавать больше не удастся?
при попытке передать CoA:
xx@nas1:# echo NAS-Identifier="10.10.10.1",User-Name="10.10.10.10",Class="5000/5000" | radclient -x 127.0.0.1:3799 coa apple Sending CoA-Request of id 211 to 127.0.0.1 port 3799 NAS-Identifier = "10.10.10.1" User-Name = "10.10.10.10" Class = 0x353030302f35303030 rad_recv: CoA-ACK packet from host 127.0.0.1 port 3799, id=211, length=20
но Rate-in/Rate-out у сессии все также остается нулевым.
Как в новом атрибуте Class передать скорость осталось неясным даже после прочтения RFC
README:
Attribute: Class = cookie_value Description: Standard attribute (as per RFC). String up to 32 chars. Example: Class = user_id_31
ткните пожалуйста носом, хоть примерно, как динамически применять новые параметры скорости?
или единственный выход - это найти ту версию, где скорость передавалась в атрибуте "Class" ?
PS: пришлось пока поставить одну из предыдущих версий, где скорость передается через атрибут "class", там CoA работает нормально
-
у вас сгорел источник питания на плате
неужели так все грустно...
но при перетыкании платы в обратно 3-й слот (других слотов нет, можем "играться" только с 1-ым и 3),
модуль все-таки заводится, только сыпет ошибки, как в 1-м посте (TestUnusedPortLoopback Port(s)[8,16,24] failed. и т.д)
Все-таки придется для эскперимента освобождать еще один слот
-
Имеется CISCO 6506,
решили вставить в него еще один модуль, т.к не хватает портов, WS-X6548-GE-TX. (Об oversubscription, и других недостатках модуля знаю)
Но диагностика модуля стала выдавить ошибки типа
Port ASIC (PINNACLE) packet buffer failure detected on ports 1-24
Module 3 TestUnusedPortLoopback Port(s)[8,16,24] failed.
Решили заменить слот, но свободный остался только первый, остальные слоты трогать возможности нет.
Первый слот, по документации, предназначен для Sup2, но "If the system does not include a redundant supervisor engine or RSP,
you can install another type of module in the slot reserved for the redundant supervisor engine or RSP."
как я понимаю , туда можно вставлять любой другой модуль.
Но при попытке вставить модуль в первый слот, CISCO ругается
%OIR-SP-6-PWRFAILURE: Module 1 is being disabled due to power convertor failure 0x0 %C6KPWR-SP-4-DISABLED: power to module in slot 1 set off (FRU-power failed)
Нормально ли это? Должен ли работать модуль в первом слоте?
Гугление ничего особо внятного не дало(
Питания достаточно
system power redundancy mode = redundant system power total = 2331.00 Watts (55.50 Amps @ 42V) system power used = 979.44 Watts (23.32 Amps @ 42V) system power available = 1351.56 Watts (32.18 Amps @ 42V)
-
на 33 как раз все банально - обычный SPAN умеет прямо на cpu вешаться, примерно так:
Слона-то я и не приметил.. спасибо!
Cisco 6500
в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Опубликовано · Жалоба на ответ
nnm прав, на 6548 тоже 1Гб на 8 портов (взято отсюда):
These cards share a 1 Mb buffer between a group of ports (1-8, 9-16, 17-24, 25-32, 33-40, and 41-48) since each block of eight ports is 8:1 oversubscribed. The aggregate throughput of each block of eight ports cannot exceed 1 Gbps