tsolodov

А можно конфиг интерфейсов, которые в разных VRF? Я с VRF тоже на грабли вставал и их решил.

А почему в первом посте в конфиге интерфейса политика ISG-CUSTOMERS-POLICY прописана, а вы мне отписали про политику TAL ?

На радиус авторизация шлется? Покажите политику ISG-CUSTOMERS-POLICY

Как узнать сколько и дропается ли траффик ?

Объясните пожалуйста, сколько можно прогнать максимум трафика с функционалом ISG

Добрый день, пытаюсь внедрить ISG. 1)Дошел до того, что неплохо бы сделать средство мониторинга для поддержки, и задумался. Что то я никак не нашел как получить количество отдропаного трафика по сервисам. Д и вообще много чего хочется дать поддержке L2, чтобы диагностировать проблемы лучше. Кто и какие фишки/решения использует для этого? 2)Еще хочется узнать, у кого как загружен Rdaius сервер, на котором залиты аккаунты пользователей 3)Кто делал резервирование radius/mysql БД(Интересуют грабли на которые я могу встать)? В данный момент планирую строить кластер mysql slave/master. 4)Как узнать текущую среднюю загрузку канала абонента?(мой вариант сделать пару CoA запросов и из них собрать IN/OUT octets и найти среднее).

Как скорость режете?

Да, я не смог так сделать. Проверял на разных прошивках, в инете видел список рассылки про эту проблему, там отписали что это ограничение микросхем на 7600. Кстати, вы политику привешиваете на како интерфейс? L2 или L3?

пробовал и на сессию и на сервис вешать, почти все клиенты нормально отваливаются и сессия прибивается, а один остается висеть без сервиса. Хотелось бы сделать так чтобы если таймаут вышел то сессия оборвалась, но пока чтото не получается Люди, что то затупил. Можно конечно к пользователю прибить session-timeout, но мне незачем увеличивать кол-во записей в БД. Как можно отстрелить пользователя после того, как он залогинился после 24 часов? (профили пользователей и сервисвов находятся в радиусе) вот политика которая на интерфейс привешена: policy-map type control S1 class type control always event session-start 10 authorize aaa list ISG-AUTH password cisco identifier source-ip-address ! class type control always event access-reject 1 service-policy type service name OPENGARDEN 2 service-policy type service name L4REDIRECTOR ! Делал по примерам как тут, но там я не совсем понял что к чему, да и не заработало это у меня. Кто поделится информацией? Официальные доки рулят.

пробовал и на сессию и на сервис вешать, почти все клиенты нормально отваливаются и сессия прибивается, а один остается висеть без сервиса. Хотелось бы сделать так чтобы если таймаут вышел то сессия оборвалась, но пока чтото не получается Люди, что то затупил. Можно конечно к пользователю прибить session-timeout, но мне незачем увеличивать кол-во записей в БД. Как можно отстрелить пользователя после того, как он залогинился после 24 часов? (профили пользователей и сервисвов находятся в радиусе) вот политика которая на интерфейс привешена: policy-map type control S1 class type control always event session-start 10 authorize aaa list ISG-AUTH password cisco identifier source-ip-address ! class type control always event access-reject 1 service-policy type service name OPENGARDEN 2 service-policy type service name L4REDIRECTOR ! Делал по примерам как тут, но там я не совсем понял что к чему, да и не заработало это у меня. Кто поделится информацией?

могут они скорость на влане резать. Ага но не всегда в 2 направления, бывает что то лько в одном.

Я понимаю это)

Про группы хорошоая идея, буду копать в этом направлении!!!!у нас routed, но в дальнейшем будет и l2 connected!

Наверное вы меня не поняли. У меня уже все работает. Вопрос в наполнении БД для радиуса. Если сессия установлена то клиенты из этой подсети выйдут наружу, если нет, то нужно авторризовываться. Т.е. если подсеть размеров в 256 хостов то в БД пользователей нужно занести 256 записей+для каждого из этого пользователей нужно еще и одинаковые атрибуты засунуть, что впринципе не проблема, но это самый просто и неоптимальный на мой взгляд ход, т.к. в бд будут лишние записи. Что я хочу: в бд имерть одну запись например select * from radcheck attribute,"op","value","username" Password,"==","cisco","192.168.0.0" select * from radreply "username","attribute","op","value" "192.168.0.0","Framed-IP-Netmask","+=","255.255.255.0" Когда сессия неавторизована, то если пакет придет с IP 192.168.0.20, то ISG будет запрашивать accREq с username = 192.168.0.20, ему будет отказано, т.к. в БД есть только 192.168.0.0. Если же сессия авторизована то пакет пройдет. Какием есть мысли: 1) Еще раз скажу что созать записи для каждого IP для подсети(думаю это грабля) 2) Другой авриант, это преобразование/либо хитрый запрос который бы давал access accept, думаю не я один задавался этим вопросом. Кто как решил проблему?

Юзеры все в радиусе(freeradius). Интересует кто как решил проблему когда у пользователя целая сеть? В радиус добавляли каждый IP из сети c атрибутами или использовали другое решение?

Может это специфика ASR1002? У меня НАТ на старенькой 3725 с overload-ом работает нормально. Сколько пользователей натите в пик?

Как считаете, товарищи? Не жирно будет? Сколько можно зананить траффика на такой железке?

snmpwalk -cblablabla host 1.1.1.1 1.3.6.1.4.1.9.9.150.1.1.3.1 дал ответ

Сессии IPoE routed

1) хз, тоже инетерсно 2) я сделал вот так

Сделаю позже, отпишу, а то пока работы наволилось много)))

Интересует, что за загвоздочка :) не могу прицепить vrf к сессии, не могу разметить траффик по dscp.

Много читал про организацию тарифов, но в итоге ничего интересного не нашел, и сделал вот так. Но это чисто тарифы. Про настройки наберите в гугле cisco ISG, увидите статью, описанную в вики на русском языке, мне она сильно помогла для общего понимания связов радиус+ISg. ps Эх и гемор этот ISG(, сейчас остановился на одной загвоздке, без которой незаметно от пользователей не смогу перевести их на BRAS ISg.

Полиси мап привесилась, но dscp так и не меняется(((

Нет 100%, т.к. через этот порт, только по разным vlan идет трафик в разные стороны, с одной стороны траффик из вне идет с dscp 1, он не затирается и доходит до клиента.