Перейти к содержимому
Калькуляторы

Cisco ASR 1002 как брас с pppoe и NAT

2 минуты назад, ShyLion сказал:

Это что? AV-Pair? Это не то.

В свойствах агента в словаре радиус-атрибутов для НАСа создал запись:

Cisco-Account-Info.thumb.png.b279e113ae380479d686081f5313c6e7.png

Потом ее в радиус-атрибутах привязал к тарифу, который имеет тестируемая учетка:

1088037722_-.thumb.png.a67dd8a6faadea871fc073f21a74a83e.png

 

AV-Pair нигде не фигурирует

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

откуда взялся номер 26? 250 надо!

 

Ну и кавычки там лишние, в гуе-то.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 минут назад, ShyLion сказал:

откуда взялся номер 26? 250 надо!

26 всегда у меня был для цисок. А откуда 250 ?

Поставил 250, убрал кавычки, сработало! :) Сам не знаю сколько бы это искал. Для меня вещи неочевидные. :)

ASR1002_core#show subscriber session username var_bee
Type: VPDN, UID: 240, State: authen, Identity: var_bee
IPv4 Address: 172.21.40.3
Session Up-time: 00:02:19, Last Changed: 00:02:19
Interface: Virtual-Access3.6
Switch-ID: 1107255

Policy information:
  Authentication status: authen

Classifiers:
Class-id    Dir   Packets    Bytes                  Pri.  Definition
0           In    63         15639                  0    Match Any
1           Out   0          0                      0    Match Any

Features:

IP Config:
M=Mandatory, T=Tag, Mp=Mandatory pool
Flags  Peer IP Address                  Pool Name             Interface
       172.21.40.3                      [None]                [None]
       ::                               [None]                [None]

Absolute Timeout:
Class-id   Timeout Value    Time Remaining       Source
0          386405           4d11h                Peruser

Policing:
Class-id   Dir  Avg. Rate   Normal Burst  Excess Burst Source
0          In   30000000    5625000       11250000     Peruser
1          Out  30000000    5625000       11250000     Peruser

Configuration Sources:
Type  Active Time  AAA Service ID  Name
USR   00:02:19     -               Peruser
INT   00:02:19     -               Virtual-Template1

 

Ваш вышеприведенный пример со скриптами попробую осмыслить. Пока не понятно что там  к чему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

37 minutes ago, Andrei said:

Ваш вышеприведенный пример со скриптами попробую осмыслить. Пока не понятно что там  к чему.

ланбиллинг для радиус агента на всякие события запускает скрипт rad_handler.sh

Там можно дополнительно управлять сеансами всяко. Например у меня на SCATе создаются и удаляются учетки для аккаунтинга и ната, делается шейп на АСРке.

Лепить атрибуты в ланбилинге для каждого сочетания скорости неудобно. Проще через CoA, при старте сеанса.

 

41 minutes ago, Andrei said:

26 всегда у меня был для цисок. А откуда 250 ?

/usr/share/freeradius/dictionary.cisco

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, ShyLion сказал:

Лепить атрибуты в ланбилинге для каждого сочетания скорости неудобно.

1 атрибут для каждой скорости (или тарифа) - по-моему не так уж и много и неудобно.

 

1 час назад, ShyLion сказал:

Проще через CoA, при старте сеанса.

Атрибут и применяется при старте сеанса.

 

1 час назад, ShyLion сказал:

/usr/share/freeradius/dictionary.cisco

Не стоит ни на одном из серверов :) Но посмотрел тут https://github.com/redBorder/freeradius/blob/master/share/dictionary.cisco

 

 

1 час назад, ShyLion сказал:

rad_handler.sh

Не нашел такого на сервере с ЛБ

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это самый простой вариант. Продвинутый через сервисы. Но тут логику сложнее описать, если билинг под такие сценарии не заточен.

https://ntwrk.today/2019/06/17/cisco-isg.html тут есть примеры как сделать разные сервисы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В процессе гугления по проблеме нашел, что вот тут https://www.opennet.ru/openforum/vsluhforumID6/1554.html  ShyLion тоже делился своими наработками еще 6 лет назад.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

14 hours ago, Andrei said:

1 атрибут для каждой скорости (или тарифа) - по-моему не так уж и много и неудобно.

Для изменения текущей скорости придется сбросить сеанс принудительно.

 

14 hours ago, Andrei said:

Не нашел такого на сервере с ЛБ

За поддержку не платите? Можно у них спросить. Я уж и не помню, откуда скрипт взялся. Но в настройках агента он упоминается точно.

image.png.a451ebe6e35d2350b789646175a81de0.png

 

Впрочем, если и так все устраивает, то дело ваше. Просто знай что есть возможность.

Может понадобится например при внедрении СКАТа и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

21 минуту назад, ShyLion сказал:

Для изменения текущей скорости придется сбросить сеанс принудительно.

На 72й циске я для этого пользовался time-range, там все срабатывало без сброса сессии. Впрочем у нас сейчас нет тарифов в разной скоростью день/ночь.

 

22 минуты назад, ShyLion сказал:

За поддержку не платите?

Сейчас нет. Месяца 3 назад закончился пакет поддержки.

23 минуты назад, ShyLion сказал:

Просто знай что есть возможность.

Спасибо! :) Так же как и за все советы в этой ветке! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 03.04.2020 в 13:23, ShyLion сказал:

Cisco-Account-Info="QU;BPS_UP;D;BPS_DOWN"

Поясните еще как эти BPS рассчитываются.

 

Всегда считал так:

normal burst = configured rate * (1 byte)/(8 bits) * 1.5 seconds
extended burst = 2 * normal burst

 

На 72й циске для 30Мбит/сек например было:

lcp:interface-config#1=rate-limit input 31457280 5898240 11796480 conform-action transmit exceed-action drop

lcp:interface-config#2=rate-limit output 31457280 5898240 11796480 conform-action transmit exceed-action drop

и скорость нарезалась совершенно корректно.

  

Сейчас для 30Мбит/сек сделал так: QU;31457280;D;31457280

pppoe-сессия поднялась, видно, что BPS назначились вобщем-то как задумано (есть мелкое расхождение):

ASR1002_core#sh subscriber session username var_ttk
Type: PPPoE, UID: 331, State: authen, Identity: var_ttk
IPv4 Address: 172.21.43.1
Session Up-time: 00:01:56, Last Changed: 00:01:56
Interface: Virtual-Access2.49
Switch-ID: 227285
...
Policing:
Class-id   Dir  Avg. Rate   Normal Burst  Excess Burst Source
0          In   31457000    5898187       11796374     Peruser
1          Out  31457000    5898187       11796374     Peruser

Configuration Sources:
Type  Active Time  AAA Service ID  Name
USR   00:01:56     -               Peruser
INT   00:01:56     -               Virtual-Template1

speedtest или ovh.net показывают download максимум 15-17 Мбит/сек, а upload (уж обратный-то канал свободен) так вообще 3-4 Мбит/сек.

Или в ситуации с глобальным карантином и самоизоляцией эти пузомерки ничего корректного не показывают?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У нас 2 тысячи сеансов, еще никто не жаловался что сокрость не та. Вероятно причина в другом месте.

Еще одному провайдеру делал, те же аттрибуты, тоже 1002-х , также тысячи сеансов, никто не жалуется.

Делайте замеры на своей сети сперва. iperf3 и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ОК. Значит не в циске дело.

Попробовал iperf3 до своего сервера - замерить не получилось.

На сервере с дебиан запустил:

 iperf -s -p 9200
------------------------------------------------------------
Server listening on TCP port 9200
TCP window size: 85.3 KByte (default)
------------------------------------------------------------

 

С домашнего компа, с которого поднят pppoe до циски:

iperf3 -c 188.130.171.1 -p 9200  -P 5 -R

и тишина. Прерываю по ctrl+c.

Результат на компе:


iperf3 -c 188.130.171.1 -p 9200  -P 5 -R
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth
[SUM]   0.00-0.00   sec  0.00 Bytes  0.00 bits/sec                  sender
[SUM]   0.00-0.00   sec  0.00 Bytes  0.00 bits/sec                  receiver
iperf3: interrupt - the client has terminated

 

Результат на сервере:

 

[  4] local 188.130.171.1 port 9200 connected with 188.130.171.34 port 9700
[ ID] Interval       Transfer     Bandwidth
[  4]  0.0-124.5 sec  14.0 Bytes  0.90 bits/sec

188.130.171.34 - это НАТ на циске.

Снифером на сервере видно

  1   0.000000 Cisco_e5:cc:01 ->              SLL 80 Unicast to us
  2   0.000000 188.130.171.34 -> 188.130.171.1 TCP 76 5217→9200 [SYN] Seq=0 Win=65535 Len=0 MSS=1432 WS=4 SACK_PERM=1 TSval=151493187 TSecr=0
  3   0.000031 188.130.171.1 -> 188.130.171.34 TCP 76 9200→5217 [SYN, ACK] Seq=0 Ack=1 Win=14480 Len=0 MSS=1460 SACK_PERM=1 TSval=2206513877 TSecr=151493187 WS=512
  4   0.000033 Hewlett-_9a:d2:f0 ->              SLL 80 Sent by us
  5   0.001778 Cisco_e5:cc:01 ->              SLL 72 Unicast to us
  6   0.001778 188.130.171.34 -> 188.130.171.1 TCP 68 5217→9200 [ACK] Seq=1 Ack=1 Win=212992 Len=0 TSval=151493187 TSecr=2206513877
  7   0.002255 Cisco_e5:cc:01 ->              SLL 109 Unicast to us
  8   0.002255 188.130.171.34 -> 188.130.171.1 TCP 105 5217→9200 [PSH, ACK] Seq=1 Ack=1 Win=212992 Len=37 TSval=151493187 TSecr=2206513877
  9   0.002291 188.130.171.1 -> 188.130.171.34 TCP 68 9200→5217 [ACK] Seq=1 Ack=38 Win=14848 Len=0 TSval=2206513878 TSecr=151493187
 10   0.002295 Hewlett-_9a:d2:f0 ->              SLL 72 Sent by us

и больше ничего

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

iperf и iperf3 используют разные протоколы, это разные программы.

ну и фаервол еще

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нашел iperf для винды. Из дома получилось хоть по wifi, хоть по кабелю:

 iperf -s
------------------------------------------------------------
Server listening on TCP port 5001
TCP window size: 85.3 KByte (default)
------------------------------------------------------------
[  4] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 11568
[  5] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 11569
[  6] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 11570
[  7] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 11571
[  8] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 11572
[ ID] Interval       Transfer     Bandwidth
[  7]  0.0-10.1 sec  3.22 MBytes  2.67 Mbits/sec
[  5]  0.0-10.1 sec  5.21 MBytes  4.31 Mbits/sec
[  8]  0.0-10.3 sec  3.99 MBytes  3.24 Mbits/sec
[  6]  0.0-10.5 sec  4.09 MBytes  3.28 Mbits/sec
[  4]  0.0-10.5 sec  4.41 MBytes  3.51 Mbits/sec
[SUM]  0.0-10.5 sec  20.9 MBytes  16.7 Mbits/sec
[  9] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 9952
[  4] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 9954
[  5] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 8179
[  6] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 8180
[  7] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 8181
[  6]  0.0-60.2 sec  19.9 MBytes  2.78 Mbits/sec
[  9]  0.0-60.2 sec  21.6 MBytes  3.01 Mbits/sec
[  4]  0.0-60.5 sec  20.5 MBytes  2.84 Mbits/sec
[  7]  0.0-60.5 sec  20.2 MBytes  2.80 Mbits/sec
[  5]  0.0-61.0 sec  19.5 MBytes  2.68 Mbits/sec
[SUM]  0.0-61.0 sec   102 MBytes  14.0 Mbits/sec
[  4] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 9480
[  5] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 8257
[  6] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 8258
[  7] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 8259
[  8] local 188.130.171.1 port 5001 connected with 188.130.171.34 port 8261
[ ID] Interval       Transfer     Bandwidth
[  8]  0.0-10.1 sec  4.18 MBytes  3.47 Mbits/sec
[  4]  0.0-10.3 sec  4.03 MBytes  3.27 Mbits/sec
[  6]  0.0-10.4 sec  5.22 MBytes  4.21 Mbits/sec
[  7]  0.0-10.4 sec  5.01 MBytes  4.03 Mbits/sec
[  5]  0.0-11.1 sec  5.35 MBytes  4.06 Mbits/sec
[SUM]  0.0-11.1 sec  23.8 MBytes  18.1 Mbits/sec

На циске:

sh subscriber session username var_ttk
Type: PPPoE, UID: 550, State: authen, Identity: var_ttk
IPv4 Address: 172.21.43.1
...
Policing:
Class-id   Dir  Avg. Rate   Normal Burst  Excess Burst Source
0          In   31457000    5898187       11796374     Peruser
1          Out  31457000    5898187       11796374     Peruser

Надо будет попробовать при случае откуда-то по-ближе к циске. Может у меня "домашний инет" поломался :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 04.04.2020 в 21:35, ShyLion сказал:

еще никто не жаловался что сокрость не та

Все ОК, режет скорость корректно. Еще раз спасибо за помощь! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите по поводу ньюанса в  работе ASR-1002

Хочу посмотреть таблицу трансляций на ней для какого-то клиента:

ASR1002_core#sh user | i lev
  Vi2.204      lev                PPPoE        -        172.21.40.52
ASR1002_core#sh ip nat tr | i 172.21.40.52
udp  62.141.99.90:6513     172.21.40.52:38459    188.130.171.1:53      188.130.171.1:53
udp  62.141.99.90:4641     172.21.40.52:37432    188.130.171.1:53      188.130.171.1:53
udp  62.141.99.90:6520     172.21.40.52:39856    188.130.171.1:53      188.130.171.1:53
udp  62.141.99.90:6057     172.21.40.52:44164    188.130.171.1:53      188.130.171.1:53

Так вот результат работы команды "sh ip nat tr | i 172.21.40.52"  выводится убийственно медленно, раз в 10 медленней, чем на прежней 7204. При том, что таблица трансляций не большая, не больше чем раньше:

ASR1002_core#sh ip nat st | i Total
Total active translations: 14301 (0 static, 14301 dynamic; 14301 extended)

От чего зависит такой медленный вывод? Проц вобщем-то не нагружен:

ASR1002_core#sh proc cpu s | e 0%
CPU utilization for five seconds: 5%/1%; one minute: 5%; five minutes: 5%
...

ASR1002_core#sh proc cpu plat sort | e 0%
Core 0: CPU utilization for five seconds: 11%, one minute: 14%, five minutes: 29%
   Pid    PPid    5Sec    1Min    5Min  Status        Size  Name
--------------------------------------------------------------------------------
  2564    1750      8%      7%      8%  S       2086891520  linux_iosd-imag
  1567   32747      1%      1%      1%  R         49451008  hman

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, Andrei сказал:

Подскажите по поводу ньюанса в  работе ASR-1002

Хочу посмотреть таблицу трансляций на ней для какого-то клиента:


ASR1002_core#sh user | i lev
  Vi2.204      lev                PPPoE        -        172.21.40.52
ASR1002_core#sh ip nat tr | i 172.21.40.52
udp  62.141.99.90:6513     172.21.40.52:38459    188.130.171.1:53      188.130.171.1:53
udp  62.141.99.90:4641     172.21.40.52:37432    188.130.171.1:53      188.130.171.1:53
udp  62.141.99.90:6520     172.21.40.52:39856    188.130.171.1:53      188.130.171.1:53
udp  62.141.99.90:6057     172.21.40.52:44164    188.130.171.1:53      188.130.171.1:53

Так вот результат работы команды "sh ip nat tr | i 172.21.40.52"  выводится убийственно медленно, раз в 10 медленней, чем на прежней 7204. При том, что таблица трансляций не большая, не больше чем раньше:


ASR1002_core#sh ip nat st | i Total
Total active translations: 14301 (0 static, 14301 dynamic; 14301 extended)

От чего зависит такой медленный вывод? Проц вобщем-то не нагружен:


ASR1002_core#sh proc cpu s | e 0%
CPU utilization for five seconds: 5%/1%; one minute: 5%; five minutes: 5%
...

ASR1002_core#sh proc cpu plat sort | e 0%
Core 0: CPU utilization for five seconds: 11%, one minute: 14%, five minutes: 29%
   Pid    PPid    5Sec    1Min    5Min  Status        Size  Name
--------------------------------------------------------------------------------
  2564    1750      8%      7%      8%  S       2086891520  linux_iosd-imag
  1567   32747      1%      1%      1%  R         49451008  hman

 

sh ip nat translation inside <IP>

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Никак не могу поднять PPPoE сервер на cisco. При этом на 1001-х все работало.

НА какой версии все работает корректно?

 

Cisco IOS XE Software, Version 16.06.07
Cisco IOS Software [Everest], ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 16.6.7, RELEASE SOFTWARE (fc2)
 

Сейчас 16.06.07. при попытке установить соединении в логах вот что:

 

chap failed to authenticate ourselves to peer

конфиг

 

interface Virtual-Template1
 description LocalPPPoE
 mtu 1492
 ip unnumbered Loopback0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip verify unicast reverse-path
 ip access-group 103 in
 no logging event link-status
 peer default ip address pool inet
 ppp authentication pap chap callin
 ppp ipcp dns 8.8.8.8 77.88.8.8
 ip virtual-reassembly max-fragments 64 max-reassemblies 128
 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня работает на

Cisco IOS XE Software, Version 03.16.10.S - Extended Support Release
Cisco IOS Software, ASR1000 Software (PPC_LINUX_IOSD-ADVENTERPRISEK9-M), Version 15.5(3)S10, RELEASE SOFTWARE (fc3)

System image file is "bootflash:asr1000rp1-adventerprisek9.03.16.10.S.155-3.S10-ext.bin"

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

понял, буду шиться на 16.9.6, а там посмотрим

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 22.02.2020 в 07:51, zhenya` сказал:

Pptp на Аср1к не работает. Хоть сессия и поднимается, но трафик не будет ходить.

л2тп онли.

А l2tp как настраивается на ASR-1002?

Просто еще один vpdn-group

vpdn enable
vpdn-group L2TP
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 2

и еще один virtual-template в добавление к pppoe-шным?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 08.05.2020 в 00:35, Andrei сказал:

System image file is "bootflash:asr1000rp1-adventerprisek9.03.16.10.S.155-3.S10-ext.bin" 

Пожалуйста, можете поделиться, а то не могу найти рабочей ссылки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.