siddkharta Posted July 27, 2015 Posted July 27, 2015 Добрый день, форумчане! Жарко в Краснодаре, мозг плавится. В общем, надоели нам изыски изделий производства Микротик в качестве BRAS-ов, решили мы заменить несколько CCR-1036G на одну, но очень серьезную железку Cisco ASR1002-X с перспективой роста так сказать. Но грех такое железо использовать в качестве тупого PPPoE-концентратора, руководство поставило задачу использовать связку PPPoE подключений с ISG на территории этой самой железки. Есть один нюанс, мы уже 3 года с переменным успехом используем Ланбиллинг версии 2.0 (2.014 на текущий момент). Предполагаемая стратегия такова: - Cisco ASR1002-X будет держать на себе все сервисы. В данный момент на ней ИОС asr1002x-universalk9.03.13.01.S.154-3.S1-ext.SPA.bin и полные 16 Гб оперативки. - Биллингу почетная роль сообщать Cisco какой(ие) сервис(ы) навешивать пользователю. Ну и аккаунтинг. В итоге. На тестовом биллинг-сервере был создан тестовый же пользователь с логином 0000197. Был создан тарифный план Экспериментальный стоимостью 100 рублей, списание ежедневное, блокировка автоматическая, к тарифному плану привязана внешняя услуга с названием ASERVICE-1M. Сама услуга на территории Cisco звучит как SERVICE-1M, подробности, кому интересно в аттаче прототип конфига Cisco. Да, пользователь аутентифицируется и авторизуется на сервере, ему выдается положенный адрес. А дальше пошли нюансы. Во-первых по непонятной для меня причине Cisco, после получения от ЛБ аттрибутов видит, что необходимо что-то сделать с SERVICE-1M, и кидается его аутентифицировать ((!) Не авторизовать). Естественно аутентификация не проходит, и при наличии гостевой сети сервису (!) выдается гостевой адрес. В этом случае на появившемся Virtual-Access 2.1 появляется гостевой итоговый адрес. Вопрос! Кто сумел таки подружить Cisco ASR с ISG с Ланбиллингом? То невнятное недоразумение в документации я читал и пробовал в разных ипостасях не единожды. Вопрос в принципе можно конкретизировать - как аутентифицировать (а затем и авторизовать) сервис в ЛанБиллинге? TEST-ASR1002.TXT Вставить ник Quote
zhenya` Posted July 27, 2015 Posted July 27, 2015 замените aaa authorization network ISG-GROUP group ISG-GROUP на aaa authorization network ISG-GROUP local group ISG-GROUP то что она споросила сервис через радиус.. значит не нашла на железе его. п.с. ацлы у вас выглядят странно. вы хотите давать абонентам доступ только до 10.100.128.0 0.0.31.255 (судя по ацл именно так)? Вставить ник Quote
siddkharta Posted July 30, 2015 Author Posted July 30, 2015 замените aaa authorization network ISG-GROUP group ISG-GROUP на aaa authorization network ISG-GROUP local group ISG-GROUP то что она споросила сервис через радиус.. значит не нашла на железе его. п.с. ацлы у вас выглядят странно. вы хотите давать абонентам доступ только до 10.100.128.0 0.0.31.255 (судя по ацл именно так)? Спасибо большое за дельные замечания. Да действительно, заработало! Вставить ник Quote
siddkharta Posted August 3, 2015 Author Posted August 3, 2015 (edited) Вот теперь в голове полная каша... Что имеем? BRAS Cisco ASR1002-X, ПО LanBilling2 (ver. 2.014). LanBilling "знает" и сообщает только о названиях сервисов, ибо все они рулятся локально на Циске. Пользователи. Все подключаются через PPPoE, исключений нет. Гостевой сети также нет, убрана. Вопрос в том, что не могу составить для себя алгоритм подключения пользователя... К примеру. Есть вот такой изначальный конфиг policy-map type control ISG-CONTROL ! class type control always event session-start 10 authenticate aaa list ISG-GROUP 20 service local ! Но, кроме удачной аутентификации надо же предусмотреть еще кучу нюансов, к примеру. 1. Пользователь не смог осилить буквы, неправильный пароль, поэтому ему надо разрешить пользоваться местным сервером ДНС и сервером статистики. 2. Первого числа у пользователя не хватило денег на следующий месяц, у него необходимо отобрать текущую услугу доступа в Интернет и оповестить, перекинув на страничку "дай денег". 3. Отвалился биллинг. Ну, мало ли. А очередной пользователь ломится и жаждит приобщиться к тайнам Интернета... Ему надо дать доступ, но "временный", скажем со скоростью 4 Мбит/сек. Просто прочел то я много, но например так и не достиг понимания в таких вещах как credit-exhausted, quota-depleted... (Это скорее всего относится к помегабайтной оплате, которой у нас нет) Из того что я описал выше, на мой взгляд, конфиг вырисовывается следующий: policy-map type control ISG-CONTROL class type control ISG-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event session-start 10 authenticate aaa list ISG-GROUP 20 service local 30 set-timer UNAUTH-TIMER 3 40 service-policy type service name SERVICE-TRUSTED 50 service-policy type service name REDIRECTION ! class type control always event radius-timeout 1 service-policy type service name SERVICE-TRUSTED 2 service-policy type service name REDIRECTION ! ! !!!!!!!!!!!!!! Сервис редиректа в случае окончания средств !!!!!!!!!!!!!!!!!!! ! redirect server-group REDIRECT_NOPAY server ip xxx.xx.xx.xx port 80 ! ! policy-map type service REDIRECTION 1 class type traffic CLASS-TO-REDIRECT redirect to group REDIRECT_NOPAY ! class type traffic default input drop ! ! class-map type traffic match-any CLASS-TO-REDIRECT match access-group input 197 match access-group output 197 ! ! access-list 197 remark --Redirect-Portal-- access-list 197 permit tcp any any eq www access-list 197 permit udp any any eq domain access-list 197 permit udp any eq domain any access-list 197 permit tcp any eq www any access-list 197 deny ip any any ! !!!!!!!!!!!!!!!!!!!!!! Конец сервиса !!!!!!!!!!!!!!!!!!!!!!!!!!!! ! ! ! !!!!!!!!!!!!!!!! Куда разрешено ходить пользователям у которых кончилась денежка !!!!!!!!!!!!!!!!!!! policy-map type service SERVICE-TRUSTED 1 class type traffic CLASS-TRUSTED police input 64000 8000 16000 police output 64000 8000 16000 ! class type traffic default input drop ! ! class-map type traffic match-any CLASS-TRUSTED match access-group input 198 match access-group output 198 ! ! access-list 198 remark --BLOCKED Clients-- ! Разрешаем пользователю ДНС access-list 198 permit udp any any eq domain access-list 198 permit udp any eq domain any ! Разрешаем пользователю сервер статистики и наш сайт access-list 198 permit tcp any host xxx.xx.xx.23 eq www access-list 198 permit tcp any host xxx.xx.xx.23 eq 443 ! Разрешаем пользователю доступ в систему PayOnline, вдруг он решился заплатить? access-list 198 permit tcp any host 66.11.130.100 eq 443 ! Разрешаем пользователю пинги access-list 198 permit icmp any any ! Если ничего не забыл, то всё. access-list 198 deny ip any any ! !!!!!!!!!!!!!!!!! Конец сервиса !!!!!!!!!!!!!!!!!!!!!!!!! Вопрос звучит следующим образом. Многие ведь используют PPPoE+ISG. Подскажите, какие сервисы вы юзаете, хотя бы обзорно, внутри этой самой основной policy control. Edited August 3, 2015 by siddkharta Вставить ник Quote
siddkharta Posted August 24, 2015 Author Posted August 24, 2015 Управились мы с "аутентификацией сервиса". Всё оказалось просто, как всегда. Но! Раньше, когда аутентифицировались и авторизовались пользователи в Ланбиллинге, было всё достаточно просто: на каждый тарифный план создавались 2 радиус-аттрибута типа lcp:cisco-config, на вход и на выход. При переходе с тарифного плана на тарифный план мы с помощью POD или SNMP v2 скидывали сессию пользователя на Cisco 7201. С переходом на ISG всё несколько не так. Нам необходимо передать во внешний скрипт несколько параметров: session_id, login, service_old, NAS_ip, NAS_port, NAS_pod. echo "Acct-Session-Id='$session_id',User-Name='$login', cisco-avpair = 'subscriber:service-name=$service_old', cisco-avpair = 'subscriber:command=deactivate-service'" | radclient -t1 - r1 -c1 -x $NAS_ip:$NAS_port coa $NAS_pod; И тут возникает проблемка - все параметры мы получаем, некоторые мы получаем из Биллинга, некоторые реализуем внутри скрипта. Единственный параметр, который не удалось отловить - service_old/service_new, этот же параметр отвечает за скорость. Вот она то у нас всегда равна 0. И вопрос в следующем - парни, кто как реализовал Тарифный план (например, основываясь на скорости, или на Агенте), чтобы вовне в качестве параметра передавалось не нулевое значение скорости, то есть в идеале посылалось некое значение символьное, к примеру SERVICE-10M? Вставить ник Quote
Andrei Posted August 25, 2015 Posted August 25, 2015 И вопрос в следующем - парни, кто как реализовал Тарифный план (например, основываясь на скорости, или на Агенте), чтобы вовне в качестве параметра передавалось не нулевое значение скорости, то есть в идеале посылалось некое значение символьное, к примеру SERVICE-10M? Я делал вот так (но не ISG) - http://forums.lanbilling.ru/board/viewtopic.php?p=10147&sid=9bfaf63062a6ccb52d08b3c8eea9053e#p10147 Вставить ник Quote
siddkharta Posted August 31, 2015 Author Posted August 31, 2015 Спасибо за совет. Да, раньше так и было. Но переходим на понятие "Сервис", а это именно связка Cisco ISG с Ланбиллингом2. Вставить ник Quote
breusovok Posted November 9, 2023 Posted November 9, 2023 Коллеги, понимаю, что поднимаю очень старую тему, но может кто-то поделится конфигом для ASR-1002-X для поднятия PPPOE сервера в связке с radius lbarcd Lanbilling, ну или с любым другим RADIUS? Вставить ник Quote
Andrei Posted November 10, 2023 Posted November 10, 2023 14 часов назад, breusovok сказал: Коллеги, понимаю, что поднимаю очень старую тему, но может кто-то поделится конфигом для ASR-1002-X для поднятия PPPOE сервера в связке с radius lbarcd Lanbilling, ну или с любым другим RADIUS? aaa new-model ! ! aaa group server radius rad_lanbilling server-private 172.21.36.233 auth-port 34009 acct-port 34008 key 7 ххххххххххххх ! aaa authentication login default local aaa authentication ppp via_lb group rad_lanbilling aaa authorization exec default local aaa authorization network via_lb group rad_lanbilling aaa accounting update periodic 1 aaa accounting network via_lb start-stop group rad_lanbilling aaa session-id common aaa policy interface-config allow-subinterface ppp packet throttle 30 1 30 vpdn-group 1 accept-dialin protocol any virtual-template 1 session-limit 300 local name vpn ip pmtu ip mtu adjust bba-group pppoe global virtual-template 1 sessions max limit 8000 sessions per-mac limit 1 sessions per-vlan limit 1000 sessions per-mac throttle 1 30 31 interface Virtual-Template1 description PPTP VPN template interface mtu 1492 ip unnumbered Loopback0 no ip redirects ip nat inside ip tcp adjust-mss 1432 no logging event link-status no peer default ip address keepalive 30 7 ppp authentication pap chap callin via_lb ppp authorization via_lb ppp accounting via_lb ppp ipcp dns 188.xxx.xxxx.xxx 8.8.8.8 ppp ipcp address required ppp ipcp address unique no ip virtual-reassembly Примерно так, правда у меня ASR-1002 Вставить ник Quote
breusovok Posted November 10, 2023 Posted November 10, 2023 а как "прибить" pppoe server к vlan? и еще, какой конфиг у Loopback0 Вставить ник Quote
Andrei Posted November 10, 2023 Posted November 10, 2023 11 минут назад, breusovok сказал: а как "прибить" pppoe server к vlan? Не понял вопрос. По поводу Loopback0 - там нет практически ничего: interface Loopback0 ip address 10.1.1.1 255.255.255.0 Вставить ник Quote
breusovok Posted November 10, 2023 Posted November 10, 2023 interface FastEthernet0/0 description --To local-- ip address 192.168.11.241 255.255.254.0 ip broadcast-address 192.168.11.255 no ip redirects no ip unreachables ip virtual-reassembly no ip mroute-cache duplex auto speed auto pppoe enable group global no cdp enable arp timeout 240 Жирным выделен ключевой момент, у вас так же? Вставить ник Quote
Andrei Posted November 10, 2023 Posted November 10, 2023 8 часов назад, breusovok сказал: у вас так же А... Ну да. на всех интерфейсах, куда приходят pppoe-запросы от клиентов, это включено, типа вот такого interface GigabitEthernet0/0/1.21 encapsulation dot1Q 21 ip address 192.168.21.1 255.255.255.0 pppoe enable group global Вставить ник Quote
breusovok Posted November 15, 2023 Posted November 15, 2023 Спасибо, все получилось. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.