Cisco ASR 100X, dot1q+Second dot1q, L4redirect, Vlan per user с терминацией на ASR

[minimyaf]

Добрый день.

В связи с модернизацией сети IPoE и переходом на 10g, которая уже построена по схеме vlan per user (терминация ip unnumbered на BRAS), появилась необходимость в смене пограничного маршрутизатора.

Выпал пал именно на ASR, представление о том как все должно работать есть прекрасное, но как оказалось не хватает практического опыта общения с:

 

Cisco IOS XE Software, Version 03.12.00.S - Standard Support Release

Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-ADVENTERPRISEK9-M), Version 15.4(2)S

 

Покурив форумы с примерами реализации удалось добиться рабочей схемы в виде:

В порт доступа включается тестовый абонент, аплинковый порт коммутатора уходит в qinq tunnel, который тянется по кольцу агрегации до ASR, на ASR распаковывается до Second dot1q и терминируется ip unnumbered интерфейс абонента, затем заворачиваем на него статический маршрут.

 

Скорость режем по средствам policy-map и все это в тестовой связке работает!

 

Осталось несколько не закрытых тем:

1. Как и чем блокировать абонента? - необходим l4redirect, при отрицательном балансе, как реализовать не совсем понятно.

2. Как к этой схеме прикрутить Radius или Tacacs+ и как вообще происходит их взаимодействие с BRAS

 

3. Не до конца в policy расшифровал строку вида:

police cir 5500000 bc 1100000 pir 10000000 be 160000

а точнее какими единицами измерения считают каждое число и что оно значит, поэтому просто меняю пропорционально.

 

В связи с этим прошу поделиться опытом форумчан, а так же по возможности рабочими конфигами (ASR+RADIUS), людей у кого данная схема уже в работе.

 

Полная схема такова: Интернет - ASR1004 - CAT6506 - C3750E - DES3200-Х - Абонент. Больше пока ничего не прикручено.

В качестве биллинга используется LBilling 2.0.

[evgenich]

сегодня не день ответов :)видимо из-за того, что сто раз обсасывалось.

>1. Как и чем блокировать абонента? - необходим l4redirect, при отрицательном балансе, как реализовать не совсем понятно.

L4 редирект делайте, через coa

>2. Как к этой схеме прикрутить Radius или Tacacs+ и как вообще происходит их взаимодействие с BRAS

по протоколу радиус, брасс шлет access-request, радиус отвечает access-accept + кучку параметров,включая сервис.

в сервисе описываете скорости и т.д.

 

http://www.gt.lsi.ru/docroot/filesup/u/Cisco/Cisco_ISG_segusaro.pdf

[minimyaf]

Спасибо за ссылку.

Тему и вправду обсасывали не раз, но все же хочется увидеть рабочую модель, например в виде:

 

http://wiki.bitel.ru/index.php/ISG,_%D1%81%D1%85%D0%B5%D0%BC%D0%B0_%D1%81%D0%BE_%D1%81%D1%82%D0%B0%D1%80%D1%82%D0%BE%D0%BC_%D1%81%D0%B5%D1%81%D1%81%D0%B8%D0%B8_%D0%B8_%D0%B5%D0%B5_%D0%B0%D0%B2%D1%82%D0%BE%D1%80%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D0%B5%D0%B9_%D0%BF%D0%BE_IP,_%D0%B2%D1%8B%D0%B4%D0%B0%D1%87%D0%B0_%D0%B0%D0%B4%D1%80%D0%B5%D1%81%D0%BE%D0%B2_%D0%BD%D0%B0_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D0%B5_option82_%28%D0%9A%D0%BE%D0%BD%D1%84%D0%B8%D0%B3%D1%83%D1%80%D0%B0%D1%86%D0%B8%D1%8F_%D1%81%D0%B5%D1%82%D0%B8%29

 

Все таки бывают немного непонятные моменты, и не у всех рядом есть человек у которого можно попросить поделиться опытом.

Edited May 25, 2016 by minimyaf

[evgenich]

А чем приведенная вами не рабочая ? https://www.lanbilling.ru/lanbilling-cisco-isg - вот ещё одна.

[furai]

В дополнение: по двум последним ссылкам сессия зажигается по IP. Если терминацию делать на брасе c vlan per user, лучше будет зажигать по маку или интерфейсу.

 

Использование unclassified ip-address в вашей модели чревато проблемами. Например, в одной из версий IOSа на unclassified ip-address в radius стал отправляться нулевой calling station id (мак абонента), потому что циска считает, что unclassified ip-address будет использоваться только если абоненты терминируются где-то ниже браса, на агрегации.

Edited May 25, 2016 by furai

[minimyaf]

Может кто подскажет, почему для нарезки скоростей используют policy, а не shape?

[tehmeh]

shape у вас на исход, например, и не получится повесить, да и не эффективно это.

[minimyaf]

Может все таки есть у кого кусок конфига с редиректом при отрицательном балансе.

Никак не понимаю как его вообще прикрутить.

Создал access-list.

Создал class-map.

И теперь я так понимаю его надо прикрутить к политике.

Но что то никуда он там не крутиться.

И не совсем понимаю как использовать:

 

redirect server-group NO-MONEY

server ip 10.10.10.1 port 80

[tehmeh]

В гугле cisco isg configuration, в официальной документации всё с примерами достаточно подробно описывается.

В выдаче так же будут ссылки на готовые конфиги в блогах.