siddkharta Posted July 27, 2015 · Report post Добрый день, форумчане! Жарко в Краснодаре, мозг плавится. В общем, надоели нам изыски изделий производства Микротик в качестве BRAS-ов, решили мы заменить несколько CCR-1036G на одну, но очень серьезную железку Cisco ASR1002-X с перспективой роста так сказать. Но грех такое железо использовать в качестве тупого PPPoE-концентратора, руководство поставило задачу использовать связку PPPoE подключений с ISG на территории этой самой железки. Есть один нюанс, мы уже 3 года с переменным успехом используем Ланбиллинг версии 2.0 (2.014 на текущий момент). Предполагаемая стратегия такова: - Cisco ASR1002-X будет держать на себе все сервисы. В данный момент на ней ИОС asr1002x-universalk9.03.13.01.S.154-3.S1-ext.SPA.bin и полные 16 Гб оперативки. - Биллингу почетная роль сообщать Cisco какой(ие) сервис(ы) навешивать пользователю. Ну и аккаунтинг. В итоге. На тестовом биллинг-сервере был создан тестовый же пользователь с логином 0000197. Был создан тарифный план Экспериментальный стоимостью 100 рублей, списание ежедневное, блокировка автоматическая, к тарифному плану привязана внешняя услуга с названием ASERVICE-1M. Сама услуга на территории Cisco звучит как SERVICE-1M, подробности, кому интересно в аттаче прототип конфига Cisco. Да, пользователь аутентифицируется и авторизуется на сервере, ему выдается положенный адрес. А дальше пошли нюансы. Во-первых по непонятной для меня причине Cisco, после получения от ЛБ аттрибутов видит, что необходимо что-то сделать с SERVICE-1M, и кидается его аутентифицировать ((!) Не авторизовать). Естественно аутентификация не проходит, и при наличии гостевой сети сервису (!) выдается гостевой адрес. В этом случае на появившемся Virtual-Access 2.1 появляется гостевой итоговый адрес. Вопрос! Кто сумел таки подружить Cisco ASR с ISG с Ланбиллингом? То невнятное недоразумение в документации я читал и пробовал в разных ипостасях не единожды. Вопрос в принципе можно конкретизировать - как аутентифицировать (а затем и авторизовать) сервис в ЛанБиллинге? TEST-ASR1002.TXT Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted July 27, 2015 · Report post замените aaa authorization network ISG-GROUP group ISG-GROUP на aaa authorization network ISG-GROUP local group ISG-GROUP то что она споросила сервис через радиус.. значит не нашла на железе его. п.с. ацлы у вас выглядят странно. вы хотите давать абонентам доступ только до 10.100.128.0 0.0.31.255 (судя по ацл именно так)? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
siddkharta Posted July 30, 2015 · Report post замените aaa authorization network ISG-GROUP group ISG-GROUP на aaa authorization network ISG-GROUP local group ISG-GROUP то что она споросила сервис через радиус.. значит не нашла на железе его. п.с. ацлы у вас выглядят странно. вы хотите давать абонентам доступ только до 10.100.128.0 0.0.31.255 (судя по ацл именно так)? Спасибо большое за дельные замечания. Да действительно, заработало! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
siddkharta Posted August 3, 2015 (edited) · Report post Вот теперь в голове полная каша... Что имеем? BRAS Cisco ASR1002-X, ПО LanBilling2 (ver. 2.014). LanBilling "знает" и сообщает только о названиях сервисов, ибо все они рулятся локально на Циске. Пользователи. Все подключаются через PPPoE, исключений нет. Гостевой сети также нет, убрана. Вопрос в том, что не могу составить для себя алгоритм подключения пользователя... К примеру. Есть вот такой изначальный конфиг policy-map type control ISG-CONTROL ! class type control always event session-start 10 authenticate aaa list ISG-GROUP 20 service local ! Но, кроме удачной аутентификации надо же предусмотреть еще кучу нюансов, к примеру. 1. Пользователь не смог осилить буквы, неправильный пароль, поэтому ему надо разрешить пользоваться местным сервером ДНС и сервером статистики. 2. Первого числа у пользователя не хватило денег на следующий месяц, у него необходимо отобрать текущую услугу доступа в Интернет и оповестить, перекинув на страничку "дай денег". 3. Отвалился биллинг. Ну, мало ли. А очередной пользователь ломится и жаждит приобщиться к тайнам Интернета... Ему надо дать доступ, но "временный", скажем со скоростью 4 Мбит/сек. Просто прочел то я много, но например так и не достиг понимания в таких вещах как credit-exhausted, quota-depleted... (Это скорее всего относится к помегабайтной оплате, которой у нас нет) Из того что я описал выше, на мой взгляд, конфиг вырисовывается следующий: policy-map type control ISG-CONTROL class type control ISG-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event session-start 10 authenticate aaa list ISG-GROUP 20 service local 30 set-timer UNAUTH-TIMER 3 40 service-policy type service name SERVICE-TRUSTED 50 service-policy type service name REDIRECTION ! class type control always event radius-timeout 1 service-policy type service name SERVICE-TRUSTED 2 service-policy type service name REDIRECTION ! ! !!!!!!!!!!!!!! Сервис редиректа в случае окончания средств !!!!!!!!!!!!!!!!!!! ! redirect server-group REDIRECT_NOPAY server ip xxx.xx.xx.xx port 80 ! ! policy-map type service REDIRECTION 1 class type traffic CLASS-TO-REDIRECT redirect to group REDIRECT_NOPAY ! class type traffic default input drop ! ! class-map type traffic match-any CLASS-TO-REDIRECT match access-group input 197 match access-group output 197 ! ! access-list 197 remark --Redirect-Portal-- access-list 197 permit tcp any any eq www access-list 197 permit udp any any eq domain access-list 197 permit udp any eq domain any access-list 197 permit tcp any eq www any access-list 197 deny ip any any ! !!!!!!!!!!!!!!!!!!!!!! Конец сервиса !!!!!!!!!!!!!!!!!!!!!!!!!!!! ! ! ! !!!!!!!!!!!!!!!! Куда разрешено ходить пользователям у которых кончилась денежка !!!!!!!!!!!!!!!!!!! policy-map type service SERVICE-TRUSTED 1 class type traffic CLASS-TRUSTED police input 64000 8000 16000 police output 64000 8000 16000 ! class type traffic default input drop ! ! class-map type traffic match-any CLASS-TRUSTED match access-group input 198 match access-group output 198 ! ! access-list 198 remark --BLOCKED Clients-- ! Разрешаем пользователю ДНС access-list 198 permit udp any any eq domain access-list 198 permit udp any eq domain any ! Разрешаем пользователю сервер статистики и наш сайт access-list 198 permit tcp any host xxx.xx.xx.23 eq www access-list 198 permit tcp any host xxx.xx.xx.23 eq 443 ! Разрешаем пользователю доступ в систему PayOnline, вдруг он решился заплатить? access-list 198 permit tcp any host 66.11.130.100 eq 443 ! Разрешаем пользователю пинги access-list 198 permit icmp any any ! Если ничего не забыл, то всё. access-list 198 deny ip any any ! !!!!!!!!!!!!!!!!! Конец сервиса !!!!!!!!!!!!!!!!!!!!!!!!! Вопрос звучит следующим образом. Многие ведь используют PPPoE+ISG. Подскажите, какие сервисы вы юзаете, хотя бы обзорно, внутри этой самой основной policy control. Edited August 3, 2015 by siddkharta Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
siddkharta Posted August 24, 2015 · Report post Управились мы с "аутентификацией сервиса". Всё оказалось просто, как всегда. Но! Раньше, когда аутентифицировались и авторизовались пользователи в Ланбиллинге, было всё достаточно просто: на каждый тарифный план создавались 2 радиус-аттрибута типа lcp:cisco-config, на вход и на выход. При переходе с тарифного плана на тарифный план мы с помощью POD или SNMP v2 скидывали сессию пользователя на Cisco 7201. С переходом на ISG всё несколько не так. Нам необходимо передать во внешний скрипт несколько параметров: session_id, login, service_old, NAS_ip, NAS_port, NAS_pod. echo "Acct-Session-Id='$session_id',User-Name='$login', cisco-avpair = 'subscriber:service-name=$service_old', cisco-avpair = 'subscriber:command=deactivate-service'" | radclient -t1 - r1 -c1 -x $NAS_ip:$NAS_port coa $NAS_pod; И тут возникает проблемка - все параметры мы получаем, некоторые мы получаем из Биллинга, некоторые реализуем внутри скрипта. Единственный параметр, который не удалось отловить - service_old/service_new, этот же параметр отвечает за скорость. Вот она то у нас всегда равна 0. И вопрос в следующем - парни, кто как реализовал Тарифный план (например, основываясь на скорости, или на Агенте), чтобы вовне в качестве параметра передавалось не нулевое значение скорости, то есть в идеале посылалось некое значение символьное, к примеру SERVICE-10M? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Andrei Posted August 25, 2015 · Report post И вопрос в следующем - парни, кто как реализовал Тарифный план (например, основываясь на скорости, или на Агенте), чтобы вовне в качестве параметра передавалось не нулевое значение скорости, то есть в идеале посылалось некое значение символьное, к примеру SERVICE-10M? Я делал вот так (но не ISG) - http://forums.lanbilling.ru/board/viewtopic.php?p=10147&sid=9bfaf63062a6ccb52d08b3c8eea9053e#p10147 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
siddkharta Posted August 31, 2015 · Report post Спасибо за совет. Да, раньше так и было. Но переходим на понятие "Сервис", а это именно связка Cisco ISG с Ланбиллингом2. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
breusovok Posted November 9, 2023 · Report post Коллеги, понимаю, что поднимаю очень старую тему, но может кто-то поделится конфигом для ASR-1002-X для поднятия PPPOE сервера в связке с radius lbarcd Lanbilling, ну или с любым другим RADIUS? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Andrei Posted November 10, 2023 · Report post 14 часов назад, breusovok сказал: Коллеги, понимаю, что поднимаю очень старую тему, но может кто-то поделится конфигом для ASR-1002-X для поднятия PPPOE сервера в связке с radius lbarcd Lanbilling, ну или с любым другим RADIUS? aaa new-model ! ! aaa group server radius rad_lanbilling server-private 172.21.36.233 auth-port 34009 acct-port 34008 key 7 ххххххххххххх ! aaa authentication login default local aaa authentication ppp via_lb group rad_lanbilling aaa authorization exec default local aaa authorization network via_lb group rad_lanbilling aaa accounting update periodic 1 aaa accounting network via_lb start-stop group rad_lanbilling aaa session-id common aaa policy interface-config allow-subinterface ppp packet throttle 30 1 30 vpdn-group 1 accept-dialin protocol any virtual-template 1 session-limit 300 local name vpn ip pmtu ip mtu adjust bba-group pppoe global virtual-template 1 sessions max limit 8000 sessions per-mac limit 1 sessions per-vlan limit 1000 sessions per-mac throttle 1 30 31 interface Virtual-Template1 description PPTP VPN template interface mtu 1492 ip unnumbered Loopback0 no ip redirects ip nat inside ip tcp adjust-mss 1432 no logging event link-status no peer default ip address keepalive 30 7 ppp authentication pap chap callin via_lb ppp authorization via_lb ppp accounting via_lb ppp ipcp dns 188.xxx.xxxx.xxx 8.8.8.8 ppp ipcp address required ppp ipcp address unique no ip virtual-reassembly Примерно так, правда у меня ASR-1002 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
breusovok Posted November 10, 2023 · Report post а как "прибить" pppoe server к vlan? и еще, какой конфиг у Loopback0 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Andrei Posted November 10, 2023 · Report post 11 минут назад, breusovok сказал: а как "прибить" pppoe server к vlan? Не понял вопрос. По поводу Loopback0 - там нет практически ничего: interface Loopback0 ip address 10.1.1.1 255.255.255.0 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
breusovok Posted November 10, 2023 · Report post interface FastEthernet0/0 description --To local-- ip address 192.168.11.241 255.255.254.0 ip broadcast-address 192.168.11.255 no ip redirects no ip unreachables ip virtual-reassembly no ip mroute-cache duplex auto speed auto pppoe enable group global no cdp enable arp timeout 240 Жирным выделен ключевой момент, у вас так же? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Andrei Posted November 10, 2023 · Report post 8 часов назад, breusovok сказал: у вас так же А... Ну да. на всех интерфейсах, куда приходят pppoe-запросы от клиентов, это включено, типа вот такого interface GigabitEthernet0/0/1.21 encapsulation dot1Q 21 ip address 192.168.21.1 255.255.255.0 pppoe enable group global Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
breusovok Posted November 15, 2023 · Report post Спасибо, все получилось. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...