Andrei Опубликовано 3 апреля, 2020 · Жалоба 2 минуты назад, ShyLion сказал: Это что? AV-Pair? Это не то. В свойствах агента в словаре радиус-атрибутов для НАСа создал запись: Потом ее в радиус-атрибутах привязал к тарифу, который имеет тестируемая учетка: AV-Pair нигде не фигурирует Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 3 апреля, 2020 · Жалоба откуда взялся номер 26? 250 надо! Ну и кавычки там лишние, в гуе-то. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 3 апреля, 2020 · Жалоба 6 минут назад, ShyLion сказал: откуда взялся номер 26? 250 надо! 26 всегда у меня был для цисок. А откуда 250 ? Поставил 250, убрал кавычки, сработало! :) Сам не знаю сколько бы это искал. Для меня вещи неочевидные. :) ASR1002_core#show subscriber session username var_bee Type: VPDN, UID: 240, State: authen, Identity: var_bee IPv4 Address: 172.21.40.3 Session Up-time: 00:02:19, Last Changed: 00:02:19 Interface: Virtual-Access3.6 Switch-ID: 1107255 Policy information: Authentication status: authen Classifiers: Class-id Dir Packets Bytes Pri. Definition 0 In 63 15639 0 Match Any 1 Out 0 0 0 Match Any Features: IP Config: M=Mandatory, T=Tag, Mp=Mandatory pool Flags Peer IP Address Pool Name Interface 172.21.40.3 [None] [None] :: [None] [None] Absolute Timeout: Class-id Timeout Value Time Remaining Source 0 386405 4d11h Peruser Policing: Class-id Dir Avg. Rate Normal Burst Excess Burst Source 0 In 30000000 5625000 11250000 Peruser 1 Out 30000000 5625000 11250000 Peruser Configuration Sources: Type Active Time AAA Service ID Name USR 00:02:19 - Peruser INT 00:02:19 - Virtual-Template1 Ваш вышеприведенный пример со скриптами попробую осмыслить. Пока не понятно что там к чему. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 3 апреля, 2020 · Жалоба 37 minutes ago, Andrei said: Ваш вышеприведенный пример со скриптами попробую осмыслить. Пока не понятно что там к чему. ланбиллинг для радиус агента на всякие события запускает скрипт rad_handler.sh Там можно дополнительно управлять сеансами всяко. Например у меня на SCATе создаются и удаляются учетки для аккаунтинга и ната, делается шейп на АСРке. Лепить атрибуты в ланбилинге для каждого сочетания скорости неудобно. Проще через CoA, при старте сеанса. 41 minutes ago, Andrei said: 26 всегда у меня был для цисок. А откуда 250 ? /usr/share/freeradius/dictionary.cisco Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 3 апреля, 2020 · Жалоба 1 час назад, ShyLion сказал: Лепить атрибуты в ланбилинге для каждого сочетания скорости неудобно. 1 атрибут для каждой скорости (или тарифа) - по-моему не так уж и много и неудобно. 1 час назад, ShyLion сказал: Проще через CoA, при старте сеанса. Атрибут и применяется при старте сеанса. 1 час назад, ShyLion сказал: /usr/share/freeradius/dictionary.cisco Не стоит ни на одном из серверов :) Но посмотрел тут https://github.com/redBorder/freeradius/blob/master/share/dictionary.cisco 1 час назад, ShyLion сказал: rad_handler.sh Не нашел такого на сервере с ЛБ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 4 апреля, 2020 · Жалоба Это самый простой вариант. Продвинутый через сервисы. Но тут логику сложнее описать, если билинг под такие сценарии не заточен. https://ntwrk.today/2019/06/17/cisco-isg.html тут есть примеры как сделать разные сервисы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 4 апреля, 2020 · Жалоба В процессе гугления по проблеме нашел, что вот тут https://www.opennet.ru/openforum/vsluhforumID6/1554.html ShyLion тоже делился своими наработками еще 6 лет назад. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 4 апреля, 2020 · Жалоба 14 hours ago, Andrei said: 1 атрибут для каждой скорости (или тарифа) - по-моему не так уж и много и неудобно. Для изменения текущей скорости придется сбросить сеанс принудительно. 14 hours ago, Andrei said: Не нашел такого на сервере с ЛБ За поддержку не платите? Можно у них спросить. Я уж и не помню, откуда скрипт взялся. Но в настройках агента он упоминается точно. Впрочем, если и так все устраивает, то дело ваше. Просто знай что есть возможность. Может понадобится например при внедрении СКАТа и т.п. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 4 апреля, 2020 · Жалоба 21 минуту назад, ShyLion сказал: Для изменения текущей скорости придется сбросить сеанс принудительно. На 72й циске я для этого пользовался time-range, там все срабатывало без сброса сессии. Впрочем у нас сейчас нет тарифов в разной скоростью день/ночь. 22 минуты назад, ShyLion сказал: За поддержку не платите? Сейчас нет. Месяца 3 назад закончился пакет поддержки. 23 минуты назад, ShyLion сказал: Просто знай что есть возможность. Спасибо! :) Так же как и за все советы в этой ветке! :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 4 апреля, 2020 · Жалоба В 03.04.2020 в 13:23, ShyLion сказал: Cisco-Account-Info="QU;BPS_UP;D;BPS_DOWN" Поясните еще как эти BPS рассчитываются. Всегда считал так: normal burst = configured rate * (1 byte)/(8 bits) * 1.5 seconds extended burst = 2 * normal burst На 72й циске для 30Мбит/сек например было: lcp:interface-config#1=rate-limit input 31457280 5898240 11796480 conform-action transmit exceed-action drop lcp:interface-config#2=rate-limit output 31457280 5898240 11796480 conform-action transmit exceed-action drop и скорость нарезалась совершенно корректно. Сейчас для 30Мбит/сек сделал так: QU;31457280;D;31457280 pppoe-сессия поднялась, видно, что BPS назначились вобщем-то как задумано (есть мелкое расхождение): ASR1002_core#sh subscriber session username var_ttk Type: PPPoE, UID: 331, State: authen, Identity: var_ttk IPv4 Address: 172.21.43.1 Session Up-time: 00:01:56, Last Changed: 00:01:56 Interface: Virtual-Access2.49 Switch-ID: 227285 ... Policing: Class-id Dir Avg. Rate Normal Burst Excess Burst Source 0 In 31457000 5898187 11796374 Peruser 1 Out 31457000 5898187 11796374 Peruser Configuration Sources: Type Active Time AAA Service ID Name USR 00:01:56 - Peruser INT 00:01:56 - Virtual-Template1 speedtest или ovh.net показывают download максимум 15-17 Мбит/сек, а upload (уж обратный-то канал свободен) так вообще 3-4 Мбит/сек. Или в ситуации с глобальным карантином и самоизоляцией эти пузомерки ничего корректного не показывают? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 4 апреля, 2020 · Жалоба У нас 2 тысячи сеансов, еще никто не жаловался что сокрость не та. Вероятно причина в другом месте. Еще одному провайдеру делал, те же аттрибуты, тоже 1002-х , также тысячи сеансов, никто не жалуется. Делайте замеры на своей сети сперва. iperf3 и т.п. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 4 апреля, 2020 · Жалоба ОК. Значит не в циске дело. Попробовал iperf3 до своего сервера - замерить не получилось. На сервере с дебиан запустил: iperf -s -p 9200 ------------------------------------------------------------ Server listening on TCP port 9200 TCP window size: 85.3 KByte (default) ------------------------------------------------------------ С домашнего компа, с которого поднят pppoe до циски: iperf3 -c 188.130.171.1 -p 9200 -P 5 -R и тишина. Прерываю по ctrl+c. Результат на компе: iperf3 -c 188.130.171.1 -p 9200 -P 5 -R - - - - - - - - - - - - - - - - - - - - - - - - - [ ID] Interval Transfer Bandwidth [SUM] 0.00-0.00 sec 0.00 Bytes 0.00 bits/sec sender [SUM] 0.00-0.00 sec 0.00 Bytes 0.00 bits/sec receiver iperf3: interrupt - the client has terminated Результат на сервере: [ 4] local 188.130.171.1 port 9200 connected with 188.130.171.34 port 9700 [ ID] Interval Transfer Bandwidth [ 4] 0.0-124.5 sec 14.0 Bytes 0.90 bits/sec 188.130.171.34 - это НАТ на циске. Снифером на сервере видно 1 0.000000 Cisco_e5:cc:01 -> SLL 80 Unicast to us 2 0.000000 188.130.171.34 -> 188.130.171.1 TCP 76 5217→9200 [SYN] Seq=0 Win=65535 Len=0 MSS=1432 WS=4 SACK_PERM=1 TSval=151493187 TSecr=0 3 0.000031 188.130.171.1 -> 188.130.171.34 TCP 76 9200→5217 [SYN, ACK] Seq=0 Ack=1 Win=14480 Len=0 MSS=1460 SACK_PERM=1 TSval=2206513877 TSecr=151493187 WS=512 4 0.000033 Hewlett-_9a:d2:f0 -> SLL 80 Sent by us 5 0.001778 Cisco_e5:cc:01 -> SLL 72 Unicast to us 6 0.001778 188.130.171.34 -> 188.130.171.1 TCP 68 5217→9200 [ACK] Seq=1 Ack=1 Win=212992 Len=0 TSval=151493187 TSecr=2206513877 7 0.002255 Cisco_e5:cc:01 -> SLL 109 Unicast to us 8 0.002255 188.130.171.34 -> 188.130.171.1 TCP 105 5217→9200 [PSH, ACK] Seq=1 Ack=1 Win=212992 Len=37 TSval=151493187 TSecr=2206513877 9 0.002291 188.130.171.1 -> 188.130.171.34 TCP 68 9200→5217 [ACK] Seq=1 Ack=38 Win=14848 Len=0 TSval=2206513878 TSecr=151493187 10 0.002295 Hewlett-_9a:d2:f0 -> SLL 72 Sent by us и больше ничего Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 5 апреля, 2020 · Жалоба iperf и iperf3 используют разные протоколы, это разные программы. ну и фаервол еще Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 5 апреля, 2020 · Жалоба Нашел iperf для винды. Из дома получилось хоть по wifi, хоть по кабелю: iperf -s ------------------------------------------------------------ Server listening on TCP port 5001 TCP window size: 85.3 KByte (default) ------------------------------------------------------------ [ 4] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 11568 [ 5] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 11569 [ 6] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 11570 [ 7] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 11571 [ 8] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 11572 [ ID] Interval Transfer Bandwidth [ 7] 0.0-10.1 sec 3.22 MBytes 2.67 Mbits/sec [ 5] 0.0-10.1 sec 5.21 MBytes 4.31 Mbits/sec [ 8] 0.0-10.3 sec 3.99 MBytes 3.24 Mbits/sec [ 6] 0.0-10.5 sec 4.09 MBytes 3.28 Mbits/sec [ 4] 0.0-10.5 sec 4.41 MBytes 3.51 Mbits/sec [SUM] 0.0-10.5 sec 20.9 MBytes 16.7 Mbits/sec [ 9] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 9952 [ 4] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 9954 [ 5] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 8179 [ 6] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 8180 [ 7] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 8181 [ 6] 0.0-60.2 sec 19.9 MBytes 2.78 Mbits/sec [ 9] 0.0-60.2 sec 21.6 MBytes 3.01 Mbits/sec [ 4] 0.0-60.5 sec 20.5 MBytes 2.84 Mbits/sec [ 7] 0.0-60.5 sec 20.2 MBytes 2.80 Mbits/sec [ 5] 0.0-61.0 sec 19.5 MBytes 2.68 Mbits/sec [SUM] 0.0-61.0 sec 102 MBytes 14.0 Mbits/sec [ 4] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 9480 [ 5] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 8257 [ 6] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 8258 [ 7] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 8259 [ 8] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 8261 [ ID] Interval Transfer Bandwidth [ 8] 0.0-10.1 sec 4.18 MBytes 3.47 Mbits/sec [ 4] 0.0-10.3 sec 4.03 MBytes 3.27 Mbits/sec [ 6] 0.0-10.4 sec 5.22 MBytes 4.21 Mbits/sec [ 7] 0.0-10.4 sec 5.01 MBytes 4.03 Mbits/sec [ 5] 0.0-11.1 sec 5.35 MBytes 4.06 Mbits/sec [SUM] 0.0-11.1 sec 23.8 MBytes 18.1 Mbits/sec На циске: sh subscriber session username var_ttk Type: PPPoE, UID: 550, State: authen, Identity: var_ttk IPv4 Address: 172.21.43.1 ... Policing: Class-id Dir Avg. Rate Normal Burst Excess Burst Source 0 In 31457000 5898187 11796374 Peruser 1 Out 31457000 5898187 11796374 Peruser Надо будет попробовать при случае откуда-то по-ближе к циске. Может у меня "домашний инет" поломался :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 5 апреля, 2020 · Жалоба Без ограничения сколько? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 6 апреля, 2020 · Жалоба В 04.04.2020 в 21:35, ShyLion сказал: еще никто не жаловался что сокрость не та Все ОК, режет скорость корректно. Еще раз спасибо за помощь! :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 18 апреля, 2020 · Жалоба Подскажите по поводу ньюанса в работе ASR-1002 Хочу посмотреть таблицу трансляций на ней для какого-то клиента: ASR1002_core#sh user | i lev Vi2.204 lev PPPoE - 172.21.40.52 ASR1002_core#sh ip nat tr | i 172.21.40.52 udp 62.141.99.90:6513 172.21.40.52:38459 188.130.171.1:53 188.130.171.1:53 udp 62.141.99.90:4641 172.21.40.52:37432 188.130.171.1:53 188.130.171.1:53 udp 62.141.99.90:6520 172.21.40.52:39856 188.130.171.1:53 188.130.171.1:53 udp 62.141.99.90:6057 172.21.40.52:44164 188.130.171.1:53 188.130.171.1:53 Так вот результат работы команды "sh ip nat tr | i 172.21.40.52" выводится убийственно медленно, раз в 10 медленней, чем на прежней 7204. При том, что таблица трансляций не большая, не больше чем раньше: ASR1002_core#sh ip nat st | i Total Total active translations: 14301 (0 static, 14301 dynamic; 14301 extended) От чего зависит такой медленный вывод? Проц вобщем-то не нагружен: ASR1002_core#sh proc cpu s | e 0% CPU utilization for five seconds: 5%/1%; one minute: 5%; five minutes: 5% ... ASR1002_core#sh proc cpu plat sort | e 0% Core 0: CPU utilization for five seconds: 11%, one minute: 14%, five minutes: 29% Pid PPid 5Sec 1Min 5Min Status Size Name -------------------------------------------------------------------------------- 2564 1750 8% 7% 8% S 2086891520 linux_iosd-imag 1567 32747 1% 1% 1% R 49451008 hman Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 18 апреля, 2020 · Жалоба 1 час назад, Andrei сказал: Подскажите по поводу ньюанса в работе ASR-1002 Хочу посмотреть таблицу трансляций на ней для какого-то клиента: ASR1002_core#sh user | i lev Vi2.204 lev PPPoE - 172.21.40.52 ASR1002_core#sh ip nat tr | i 172.21.40.52 udp 62.141.99.90:6513 172.21.40.52:38459 188.130.171.1:53 188.130.171.1:53 udp 62.141.99.90:4641 172.21.40.52:37432 188.130.171.1:53 188.130.171.1:53 udp 62.141.99.90:6520 172.21.40.52:39856 188.130.171.1:53 188.130.171.1:53 udp 62.141.99.90:6057 172.21.40.52:44164 188.130.171.1:53 188.130.171.1:53 Так вот результат работы команды "sh ip nat tr | i 172.21.40.52" выводится убийственно медленно, раз в 10 медленней, чем на прежней 7204. При том, что таблица трансляций не большая, не больше чем раньше: ASR1002_core#sh ip nat st | i Total Total active translations: 14301 (0 static, 14301 dynamic; 14301 extended) От чего зависит такой медленный вывод? Проц вобщем-то не нагружен: ASR1002_core#sh proc cpu s | e 0% CPU utilization for five seconds: 5%/1%; one minute: 5%; five minutes: 5% ... ASR1002_core#sh proc cpu plat sort | e 0% Core 0: CPU utilization for five seconds: 11%, one minute: 14%, five minutes: 29% Pid PPid 5Sec 1Min 5Min Status Size Name -------------------------------------------------------------------------------- 2564 1750 8% 7% 8% S 2086891520 linux_iosd-imag 1567 32747 1% 1% 1% R 49451008 hman sh ip nat translation inside <IP> Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Login_sbl Опубликовано 7 мая, 2020 · Жалоба Никак не могу поднять PPPoE сервер на cisco. При этом на 1001-х все работало. НА какой версии все работает корректно? Cisco IOS XE Software, Version 16.06.07 Cisco IOS Software [Everest], ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 16.6.7, RELEASE SOFTWARE (fc2) Сейчас 16.06.07. при попытке установить соединении в логах вот что: chap failed to authenticate ourselves to peer конфиг interface Virtual-Template1 description LocalPPPoE mtu 1492 ip unnumbered Loopback0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip verify unicast reverse-path ip access-group 103 in no logging event link-status peer default ip address pool inet ppp authentication pap chap callin ppp ipcp dns 8.8.8.8 77.88.8.8 ip virtual-reassembly max-fragments 64 max-reassemblies 128 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 7 мая, 2020 · Жалоба У меня работает на Cisco IOS XE Software, Version 03.16.10.S - Extended Support Release Cisco IOS Software, ASR1000 Software (PPC_LINUX_IOSD-ADVENTERPRISEK9-M), Version 15.5(3)S10, RELEASE SOFTWARE (fc3) System image file is "bootflash:asr1000rp1-adventerprisek9.03.16.10.S.155-3.S10-ext.bin" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Login_sbl Опубликовано 7 мая, 2020 · Жалоба понял, буду шиться на 16.9.6, а там посмотрим Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 6 октября, 2020 · Жалоба В 22.02.2020 в 07:51, zhenya` сказал: Pptp на Аср1к не работает. Хоть сессия и поднимается, но трафик не будет ходить. л2тп онли. А l2tp как настраивается на ASR-1002? Просто еще один vpdn-group vpdn enable vpdn-group L2TP ! Default L2TP VPDN group accept-dialin protocol l2tp virtual-template 2 и еще один virtual-template в добавление к pppoe-шным? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 16 октября, 2020 · Жалоба Да, как-то так Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TRIada Опубликовано 6 ноября, 2020 · Жалоба В 08.05.2020 в 00:35, Andrei сказал: System image file is "bootflash:asr1000rp1-adventerprisek9.03.16.10.S.155-3.S10-ext.bin" Пожалуйста, можете поделиться, а то не могу найти рабочей ссылки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 6 ноября, 2020 · Жалоба https://yadi.sk/d/OUOQuS3bbhesTw Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...