minimyaf Опубликовано 24 мая, 2016 · Жалоба Добрый день. В связи с модернизацией сети IPoE и переходом на 10g, которая уже построена по схеме vlan per user (терминация ip unnumbered на BRAS), появилась необходимость в смене пограничного маршрутизатора. Выпал пал именно на ASR, представление о том как все должно работать есть прекрасное, но как оказалось не хватает практического опыта общения с: Cisco IOS XE Software, Version 03.12.00.S - Standard Support Release Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-ADVENTERPRISEK9-M), Version 15.4(2)S Покурив форумы с примерами реализации удалось добиться рабочей схемы в виде: В порт доступа включается тестовый абонент, аплинковый порт коммутатора уходит в qinq tunnel, который тянется по кольцу агрегации до ASR, на ASR распаковывается до Second dot1q и терминируется ip unnumbered интерфейс абонента, затем заворачиваем на него статический маршрут. Скорость режем по средствам policy-map и все это в тестовой связке работает! Осталось несколько не закрытых тем: 1. Как и чем блокировать абонента? - необходим l4redirect, при отрицательном балансе, как реализовать не совсем понятно. 2. Как к этой схеме прикрутить Radius или Tacacs+ и как вообще происходит их взаимодействие с BRAS 3. Не до конца в policy расшифровал строку вида: police cir 5500000 bc 1100000 pir 10000000 be 160000 а точнее какими единицами измерения считают каждое число и что оно значит, поэтому просто меняю пропорционально. В связи с этим прошу поделиться опытом форумчан, а так же по возможности рабочими конфигами (ASR+RADIUS), людей у кого данная схема уже в работе. Полная схема такова: Интернет - ASR1004 - CAT6506 - C3750E - DES3200-Х - Абонент. Больше пока ничего не прикручено. В качестве биллинга используется LBilling 2.0. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
evgenich Опубликовано 24 мая, 2016 · Жалоба сегодня не день ответов :)видимо из-за того, что сто раз обсасывалось. >1. Как и чем блокировать абонента? - необходим l4redirect, при отрицательном балансе, как реализовать не совсем понятно. L4 редирект делайте, через coa >2. Как к этой схеме прикрутить Radius или Tacacs+ и как вообще происходит их взаимодействие с BRAS по протоколу радиус, брасс шлет access-request, радиус отвечает access-accept + кучку параметров,включая сервис. в сервисе описываете скорости и т.д. http://www.gt.lsi.ru/docroot/filesup/u/Cisco/Cisco_ISG_segusaro.pdf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
minimyaf Опубликовано 25 мая, 2016 (изменено) · Жалоба Спасибо за ссылку. Тему и вправду обсасывали не раз, но все же хочется увидеть рабочую модель, например в виде: http://wiki.bitel.ru/index.php/ISG,_%D1%81%D1%85%D0%B5%D0%BC%D0%B0_%D1%81%D0%BE_%D1%81%D1%82%D0%B0%D1%80%D1%82%D0%BE%D0%BC_%D1%81%D0%B5%D1%81%D1%81%D0%B8%D0%B8_%D0%B8_%D0%B5%D0%B5_%D0%B0%D0%B2%D1%82%D0%BE%D1%80%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D0%B5%D0%B9_%D0%BF%D0%BE_IP,_%D0%B2%D1%8B%D0%B4%D0%B0%D1%87%D0%B0_%D0%B0%D0%B4%D1%80%D0%B5%D1%81%D0%BE%D0%B2_%D0%BD%D0%B0_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D0%B5_option82_%28%D0%9A%D0%BE%D0%BD%D1%84%D0%B8%D0%B3%D1%83%D1%80%D0%B0%D1%86%D0%B8%D1%8F_%D1%81%D0%B5%D1%82%D0%B8%29 Все таки бывают немного непонятные моменты, и не у всех рядом есть человек у которого можно попросить поделиться опытом. Изменено 25 мая, 2016 пользователем minimyaf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
evgenich Опубликовано 25 мая, 2016 · Жалоба А чем приведенная вами не рабочая ? https://www.lanbilling.ru/lanbilling-cisco-isg - вот ещё одна. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
furai Опубликовано 25 мая, 2016 (изменено) · Жалоба В дополнение: по двум последним ссылкам сессия зажигается по IP. Если терминацию делать на брасе c vlan per user, лучше будет зажигать по маку или интерфейсу. Использование unclassified ip-address в вашей модели чревато проблемами. Например, в одной из версий IOSа на unclassified ip-address в radius стал отправляться нулевой calling station id (мак абонента), потому что циска считает, что unclassified ip-address будет использоваться только если абоненты терминируются где-то ниже браса, на агрегации. Изменено 25 мая, 2016 пользователем furai Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
minimyaf Опубликовано 27 мая, 2016 · Жалоба Может кто подскажет, почему для нарезки скоростей используют policy, а не shape? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehmeh Опубликовано 27 мая, 2016 · Жалоба shape у вас на исход, например, и не получится повесить, да и не эффективно это. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
minimyaf Опубликовано 27 мая, 2016 · Жалоба Может все таки есть у кого кусок конфига с редиректом при отрицательном балансе. Никак не понимаю как его вообще прикрутить. Создал access-list. Создал class-map. И теперь я так понимаю его надо прикрутить к политике. Но что то никуда он там не крутиться. И не совсем понимаю как использовать: redirect server-group NO-MONEY server ip 10.10.10.1 port 80 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehmeh Опубликовано 27 мая, 2016 · Жалоба В гугле cisco isg configuration, в официальной документации всё с примерами достаточно подробно описывается. В выдаче так же будут ссылки на готовые конфиги в блогах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...