[siddkharta]

Добрый день, форумчане!

Жарко в Краснодаре, мозг плавится.

В общем, надоели нам изыски изделий производства Микротик в качестве BRAS-ов, решили мы заменить несколько CCR-1036G на одну, но очень серьезную железку Cisco ASR1002-X с перспективой роста так сказать.

Но грех такое железо использовать в качестве тупого PPPoE-концентратора, руководство поставило задачу использовать связку PPPoE подключений с ISG на территории этой самой железки.

Есть один нюанс, мы уже 3 года с переменным успехом используем Ланбиллинг версии 2.0 (2.014 на текущий момент).

Предполагаемая стратегия такова:

- Cisco ASR1002-X будет держать на себе все сервисы. В данный момент на ней ИОС asr1002x-universalk9.03.13.01.S.154-3.S1-ext.SPA.bin и полные 16 Гб оперативки.

- Биллингу почетная роль сообщать Cisco какой(ие) сервис(ы) навешивать пользователю. Ну и аккаунтинг.

 

В итоге.

На тестовом биллинг-сервере был создан тестовый же пользователь с логином 0000197.

Был создан тарифный план Экспериментальный стоимостью 100 рублей, списание ежедневное, блокировка автоматическая, к тарифному плану привязана внешняя услуга с названием ASERVICE-1M.

Сама услуга на территории Cisco звучит как SERVICE-1M, подробности, кому интересно в аттаче прототип конфига Cisco.

Да, пользователь аутентифицируется и авторизуется на сервере, ему выдается положенный адрес. А дальше пошли нюансы.

Во-первых по непонятной для меня причине Cisco, после получения от ЛБ аттрибутов видит, что необходимо что-то сделать с SERVICE-1M, и кидается его аутентифицировать ((!) Не авторизовать).

Естественно аутентификация не проходит, и при наличии гостевой сети сервису (!) выдается гостевой адрес. В этом случае на появившемся Virtual-Access 2.1 появляется гостевой итоговый адрес.

Вопрос! Кто сумел таки подружить Cisco ASR с ISG с Ланбиллингом? То невнятное недоразумение в документации я читал и пробовал в разных ипостасях не единожды.

Вопрос в принципе можно конкретизировать - как аутентифицировать (а затем и авторизовать) сервис в ЛанБиллинге?

TEST-ASR1002.TXT

[zhenya`]

замените aaa authorization network ISG-GROUP group ISG-GROUP на

aaa authorization network ISG-GROUP local group ISG-GROUP

 

 

то что она споросила сервис через радиус.. значит не нашла на железе его.

 

п.с. ацлы у вас выглядят странно. вы хотите давать абонентам доступ только до 10.100.128.0 0.0.31.255 (судя по ацл именно так)?

[siddkharta]

замените aaa authorization network ISG-GROUP group ISG-GROUP на

aaa authorization network ISG-GROUP local group ISG-GROUP

 

 

то что она споросила сервис через радиус.. значит не нашла на железе его.

 

п.с. ацлы у вас выглядят странно. вы хотите давать абонентам доступ только до 10.100.128.0 0.0.31.255 (судя по ацл именно так)?

 

Спасибо большое за дельные замечания. Да действительно, заработало!

[siddkharta]

Вот теперь в голове полная каша...

 

Что имеем?

BRAS Cisco ASR1002-X, ПО LanBilling2 (ver. 2.014). LanBilling "знает" и сообщает только о названиях сервисов, ибо все они рулятся локально на Циске.

Пользователи. Все подключаются через PPPoE, исключений нет. Гостевой сети также нет, убрана.

Вопрос в том, что не могу составить для себя алгоритм подключения пользователя...

К примеру.

 

Есть вот такой изначальный конфиг

 

policy-map type control ISG-CONTROL

!

class type control always event session-start

10 authenticate aaa list ISG-GROUP

20 service local

!

Но, кроме удачной аутентификации надо же предусмотреть еще кучу нюансов, к примеру.

 

1. Пользователь не смог осилить буквы, неправильный пароль, поэтому ему надо разрешить пользоваться местным сервером ДНС и сервером статистики.

2. Первого числа у пользователя не хватило денег на следующий месяц, у него необходимо отобрать текущую услугу доступа в Интернет и оповестить, перекинув на страничку "дай денег".

3. Отвалился биллинг. Ну, мало ли. А очередной пользователь ломится и жаждит приобщиться к тайнам Интернета... Ему надо дать доступ, но "временный", скажем со скоростью 4 Мбит/сек.

 

Просто прочел то я много, но например так и не достиг понимания в таких вещах как credit-exhausted, quota-depleted... (Это скорее всего относится к помегабайтной оплате, которой у нас нет)

Из того что я описал выше, на мой взгляд, конфиг вырисовывается следующий:

 

 

 

policy-map type control ISG-CONTROL

class type control ISG-UNAUTH event timed-policy-expiry

1 service disconnect

!

class type control always event session-start

10 authenticate aaa list ISG-GROUP

20 service local

30 set-timer UNAUTH-TIMER 3

40 service-policy type service name SERVICE-TRUSTED

50 service-policy type service name REDIRECTION

!

class type control always event radius-timeout

1 service-policy type service name SERVICE-TRUSTED

2 service-policy type service name REDIRECTION

!

!

 

!!!!!!!!!!!!!! Сервис редиректа в случае окончания средств !!!!!!!!!!!!!!!!!!!

 

!

redirect server-group REDIRECT_NOPAY

server ip xxx.xx.xx.xx port 80

!

!

policy-map type service REDIRECTION

1 class type traffic CLASS-TO-REDIRECT

redirect to group REDIRECT_NOPAY

!

class type traffic default input

drop

!

!

class-map type traffic match-any CLASS-TO-REDIRECT

match access-group input 197

match access-group output 197

!

!

access-list 197 remark --Redirect-Portal--

access-list 197 permit tcp any any eq www

access-list 197 permit udp any any eq domain

access-list 197 permit udp any eq domain any

access-list 197 permit tcp any eq www any

access-list 197 deny ip any any

!

!!!!!!!!!!!!!!!!!!!!!! Конец сервиса !!!!!!!!!!!!!!!!!!!!!!!!!!!!

!

!

!

!!!!!!!!!!!!!!!! Куда разрешено ходить пользователям у которых кончилась денежка !!!!!!!!!!!!!!!!!!!

policy-map type service SERVICE-TRUSTED

1 class type traffic CLASS-TRUSTED

police input 64000 8000 16000

police output 64000 8000 16000

!

class type traffic default input

drop

!

!

class-map type traffic match-any CLASS-TRUSTED

match access-group input 198

match access-group output 198

!

!

access-list 198 remark --BLOCKED Clients--

! Разрешаем пользователю ДНС

access-list 198 permit udp any any eq domain

access-list 198 permit udp any eq domain any

! Разрешаем пользователю сервер статистики и наш сайт

access-list 198 permit tcp any host xxx.xx.xx.23 eq www

access-list 198 permit tcp any host xxx.xx.xx.23 eq 443

! Разрешаем пользователю доступ в систему PayOnline, вдруг он решился заплатить?

access-list 198 permit tcp any host 66.11.130.100 eq 443

! Разрешаем пользователю пинги

access-list 198 permit icmp any any

! Если ничего не забыл, то всё.

access-list 198 deny ip any any

!

!!!!!!!!!!!!!!!!! Конец сервиса !!!!!!!!!!!!!!!!!!!!!!!!!

 

Вопрос звучит следующим образом. Многие ведь используют PPPoE+ISG. Подскажите, какие сервисы вы юзаете, хотя бы обзорно, внутри этой самой основной policy control.

Изменено 3 августа, 2015 пользователем siddkharta

[siddkharta]

Управились мы с "аутентификацией сервиса". Всё оказалось просто, как всегда.

Но!

Раньше, когда аутентифицировались и авторизовались пользователи в Ланбиллинге, было всё достаточно просто: на каждый тарифный план создавались 2 радиус-аттрибута типа lcp:cisco-config, на вход и на выход. При переходе с тарифного плана на тарифный план мы с помощью POD или SNMP v2 скидывали сессию пользователя на Cisco 7201.

С переходом на ISG всё несколько не так. Нам необходимо передать во внешний скрипт несколько параметров:

session_id, login, service_old, NAS_ip, NAS_port, NAS_pod.

echo "Acct-Session-Id='$session_id',User-Name='$login', cisco-avpair = 'subscriber:service-name=$service_old', cisco-avpair = 'subscriber:command=deactivate-service'" | radclient -t1 - r1 -c1 -x $NAS_ip:$NAS_port coa $NAS_pod;

И тут возникает проблемка - все параметры мы получаем, некоторые мы получаем из Биллинга, некоторые реализуем внутри скрипта. Единственный параметр, который не удалось отловить - service_old/service_new, этот же параметр отвечает за скорость. Вот она то у нас всегда равна 0.

И вопрос в следующем - парни, кто как реализовал Тарифный план (например, основываясь на скорости, или на Агенте), чтобы вовне в качестве параметра передавалось не нулевое значение скорости, то есть в идеале посылалось некое значение символьное, к примеру SERVICE-10M?

[Andrei]

И вопрос в следующем - парни, кто как реализовал Тарифный план (например, основываясь на скорости, или на Агенте), чтобы вовне в качестве параметра передавалось не нулевое значение скорости, то есть в идеале посылалось некое значение символьное, к примеру SERVICE-10M?

Я делал вот так (но не ISG) - http://forums.lanbilling.ru/board/viewtopic.php?p=10147&sid=9bfaf63062a6ccb52d08b3c8eea9053e#p10147

[siddkharta]

Спасибо за совет. Да, раньше так и было. Но переходим на понятие "Сервис", а это именно связка Cisco ISG с Ланбиллингом2.

[breusovok]

Коллеги, понимаю, что поднимаю очень старую тему, но может кто-то поделится конфигом для ASR-1002-X для поднятия PPPOE сервера в связке с radius lbarcd Lanbilling, ну или с любым другим RADIUS?

[Andrei]

14 часов назад, breusovok сказал:

Коллеги, понимаю, что поднимаю очень старую тему, но может кто-то поделится конфигом для ASR-1002-X для поднятия PPPOE сервера в связке с radius lbarcd Lanbilling, ну или с любым другим RADIUS?

aaa new-model
!
!
aaa group server radius rad_lanbilling
 server-private 172.21.36.233 auth-port 34009 acct-port 34008 key 7 ххххххххххххх
!
aaa authentication login default local
aaa authentication ppp via_lb group rad_lanbilling
aaa authorization exec default local
aaa authorization network via_lb group rad_lanbilling
aaa accounting update periodic 1
aaa accounting network via_lb start-stop group rad_lanbilling

aaa session-id common
aaa policy interface-config allow-subinterface
ppp packet throttle 30 1 30

vpdn-group 1
 accept-dialin
  protocol any
  virtual-template 1
 session-limit 300
 local name vpn
 ip pmtu
 ip mtu adjust

bba-group pppoe global
 virtual-template 1
 sessions max limit 8000
 sessions per-mac limit 1
 sessions per-vlan limit 1000
 sessions per-mac throttle 1 30 31

interface Virtual-Template1
 description PPTP VPN template interface
 mtu 1492
 ip unnumbered Loopback0
 no ip redirects
 ip nat inside
 ip tcp adjust-mss 1432
 no logging event link-status
 no peer default ip address
 keepalive 30 7
 ppp authentication pap chap callin via_lb
 ppp authorization via_lb
 ppp accounting via_lb
 ppp ipcp dns 188.xxx.xxxx.xxx 8.8.8.8
 ppp ipcp address required
 ppp ipcp address unique
 no ip virtual-reassembly

Примерно так, правда у меня ASR-1002

[breusovok]

а как "прибить" pppoe server к vlan? и еще, какой конфиг у 

Loopback0

[Andrei]

11 минут назад, breusovok сказал:

а как "прибить" pppoe server к vlan?

Не понял вопрос.

По поводу Loopback0 - там нет практически ничего:

interface Loopback0
 ip address 10.1.1.1 255.255.255.0

 

 

 

[breusovok]

interface FastEthernet0/0
    description --To local--
    ip address 192.168.11.241 255.255.254.0
    ip broadcast-address 192.168.11.255
    no ip redirects
    no ip unreachables
    ip virtual-reassembly
    no ip mroute-cache
    duplex auto
    speed auto
    pppoe enable group global
    no cdp enable
    arp timeout 240

 

Жирным выделен ключевой момент, у вас так же?

[Andrei]

8 часов назад, breusovok сказал:

у вас так же

А... Ну да. на всех интерфейсах, куда приходят pppoe-запросы от клиентов, это включено, типа вот такого

interface GigabitEthernet0/0/1.21
 encapsulation dot1Q 21
 ip address 192.168.21.1 255.255.255.0
 pppoe enable group global

 

[breusovok]

Спасибо, все получилось.