[alibek]

Так уж получилось, что с Cisco уже лет 10 особо общаться не доводилось.

Ранее использовал в качестве ISG Cisco 7201, где-то даже конфиг остался, но не думаю, что он будет актуален.

Сейчас используется несколько Ericsson SE100.

Скрытый текст

Примерная конфигурация:

aaa last-resort context local 
service multiple-contexts
service inter-context routing
!
context local
!
 interface LINK
  ip address 10.1.3.10/30
!
 interface MGMT loopback
  ip address 10.1.255.252/32
!
 ip route 10.1.0.0/16 10.1.3.9
 ip route 10.1.255.0/32 10.1.3.9
 ip route 10.255.255.212/32 context PPPOE
!
context PPPOE
!
 interface CLIENT-WAN multibind lastresort
  ip unnumbered LOOP-PPP
  ip pool aa.aa.aa.0/21 name CLIENT-PPP
!
 interface LOOP-PPP loopback
  ip address 10.255.255.212/32
!
 ppp keepalive check-interval seconds 10 response-timeout 35 data-check
!
 http-redirect profile PORTAL-PROFILE
  url "http://provider.ru/limit/"
!
 aaa authentication subscriber radius  
 aaa accounting subscriber radius
 aaa update subscriber 10
 radius accounting server 10.1.128.2 ...
 radius coa server 10.1.128.13 ...
 radius server 10.1.128.2 ...
 radius max-retries 5
 radius timeout 30
 radius attribute nas-ip-address interface MGMT
 radius attribute calling-station-id format hostname agent-circuit-id agent-remote-id 
 radius attribute acct-session-id access-request 
 radius accounting algorithm round-robin
 radius attribute nas-port format session-info
 radius attribute nas-port-id format all
 no radius accounting send-acct-on-off 
 radius attribute nas-identifier BRAS12-SE100
!
 subscriber profile PPPOE 
   ip address pool name CLIENT-PPP
   ip access-group PPPOE-WAN-IN in
   timeout idle 2
   port-limit 1
   ip source-validation
   ip interface name CLIENT-WAN
   dns primary aa.aa.aa.1
   dns secondary aa.aa.aa.124
!
 ip route 0.0.0.0/0 context UPLINK
 ip route 10.1.0.0/16 context local
 ip route 10.1.255.0/24 context local
 ip route aa.aa.aa.0/21 null0
!
context UPLINK
!
 interface UPLINK
  ip address aa.aa.aa.243/28
  ip access-group UPLINK_IN in count
!
 ip route 0.0.0.0/0 aa.aa.aa.241
 ip route aa.aa.aa.0/21 context PPPOE
!
! ** End Context **
service load-balance ip layer-4
service load-balance link-group bridging layer-4
!
link-group WAN ether
 bind interface UPLINK UPLINK
!
port ethernet 1/1 
 bind interface LINK local
!
port ethernet 2/1, 2/2, 2/15
 link-group WAN
!
port ethernet 2/3, 2/4, 2/16
 encapsulation dot1q
 dot1q pvc 4xx encapsulation pppoe 
  bind authentication pap chap context PPPOE maximum 8000

Биллинг после авторизации передает параметры тарифа (скорость доступа) в qos-dynamic-param.

Хотелось бы с минимальными изменениями сделать такое же на ASR.

И параллельно, хотелось бы начать миграцию на IPoE (QinQ), и соответственно, эту часть на ASR тоже настроить.

 

Может быть у кого есть готовые примеры по настройке, которыми он готов поделиться?

На примерах обычно разобраться проще.

 

И сразу косметический вопрос.

Аплинк и абоненты будут на портах 10G.

Сервисная сеть, RADIUS и управление будут на отдельном интерфейсе.

Может ли этим интерфейсом быть mgmt?

Или RADIUS лучше на отдельный интерфейс вынести?

[YuryD]

 Можно тупой вопрос ? Нахрена городить vlan-per-user и соотв qinq, только потому что это модно и прогрессивно ? ppoe и ipoe - одно и то-же гуано. Или для совместимости, или в сети мокротики завелись ? дустом их! :) qinq заведет вас в дебри замены кучи коммутаторов на местах, если вы еще сумеете их купить.... Про манагемент интерфейс - вопрос (хотя у некоторых железяк аж отдельный интерфейс есть, но не приветствуется трафик на нем, ибо он сразу на cpu)

[alibek]

Не потому, что модно, а потому, что удобно.

99% абонентских роутеров, которые продаются сейчас, настроены под получение настроек по DHCP.

И в случае IPoE они начинают работать из коробки, их не нужно как-то настраивать.

Ну и qinq лучше изолирует и контролирует сеть, чем изоляция портов и асимметричные VLAN.

 

 

[YuryD]

>Не потому, что модно, а потому, что удобно.

 

  Согласен, можно минимизировать расходы на монтаж-настройку, 10 минут работы подключателя.

 

>Ну и qinq лучше изолирует и контролирует сеть, чем изоляция портов и асимметричные VLAN.

 

 А вот это вряд-ли. От железа сильно зависит.

 

 Кроме всех легкостей - добавляются накладные расходы на погоны, при dhcp.

[alibek]

1 час назад, YuryD сказал:

но не приветствуется трафик на нем, ибо он сразу на cpu

Кстати, да, про это не подумал.

Тогда конечно сервисную сеть лучше заводить на обычный интерфейс.

[fractal]

1 час назад, YuryD сказал:

Про манагемент интерфейс - вопрос (хотя у некоторых железяк аж отдельный интерфейс есть, но не приветствуется трафик на нем, ибо он сразу на cpu)

не получится, он отвязан от CP и DP, mngt там out-of-band

 

1 час назад, YuryD сказал:

если вы еще сумеете их купить

С этим конечно проблем 0, но, зачем что то перепиливать если старое и так работает? Вам правильно говорят:

 

1 час назад, YuryD сказал:

добавляются накладные расходы на погоны

 

[alibek]

5 минут назад, fractal сказал:

не получится, он отвязан от CP и DP, mngt там out-of-band

Понятно. Значит тем более сервисную сеть нужно будет выводить на обычный интерфейс.

 

6 минут назад, fractal сказал:

зачем что то перепиливать если старое и так работает?

PPPoE удобен в небольших сетях.

В больших сетях обращения, связанные с неправильной настройкой или со сбросом настроек, начинают занимать значимый объем.

Ну и неприхотливость PPPoE играет в сторону того, что не требуется строгого учета портов и, как следствие, есть ошибки и неточности (абонент подключен не в тот порт, который отмечен в ИС).

[jffulcrum]

4 часа назад, alibek сказал:

Сервисная сеть, RADIUS и управление будут на отдельном интерфейсе.

Может ли этим интерфейсом быть mgmt?

Или RADIUS лучше на отдельный интерфейс вынести?

По-уму это все вешается на Loopback, и подсеть отдается с двух или более ног

[alibek]

IP-интерфейс да, на loopback.

А на порту будет линкрвый интерфейс.

[sirmax]

Присоединюсь к вопросу про qinq 

 

[alibek]

Пока набросал такой каркас:

bba-group pppoe global
 virtual-template 1
!
interface Loopback0
 description SELF
 vrf forwarding CORE
 ip address 10.1.255.255 255.255.255.255
!
interface Loopback1
 description LOOP-PPP
 ip address 10.255.255.215 255.255.255.255
!
interface TenGigabitEthernet0/0/0
 description UPLINK
 ...
!
interface TenGigabitEthernet0/0/1
 description SUBS
 no ip address
 service instance 400 ethernet
  encapsulation default
  bridge-domain 400
 !
!
interface Virtual-Template1
 ip unnumbered Loopback1
 peer default ip address pool CLIENT-PPP
 ppp authentication pap
!
interface BDI400
 no ip address
 vlan-range dot1q 400 499
  pppoe enable group global
 !
 pppoe enable group global
!
ip local pool CLIENT-PPP ...

Пока что без qinq, абоненты в VLAN 400-499.

Направление правильное? Или сейчас делают по другому?

 

По qinq дали такие ссылки:
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/lanswitch/configuration/xe-16-8/lanswitch-xe-16-8-book/lnsw-ieee-qvlan.html

https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/bbdsl/configuration/xe-16-8/bba-xe-16-8-book/bba-pppoe-qinq-xe.html

но с ними я буду разбираться после того, как запущу обычный PPPoE и адаптирую биллинг.

[zhenya`]

Конфиг вроде и выглядит красиво, но мои попытки такое завести не увенчались успехом. Попробуй на тестовом стенде.

[Diman_xxxx]

если будет полезно, к примеру наш "IPOE" интерфейс выглядит так
!
interface TenGigabitEthernet0/1/0.2222
 description PD_2222
 encapsulation dot1Q 2222
 ip address 185.44.99.33 255.255.255.128 secondary
 ip address 185.44.22.33 255.255.255.128
 ip helper-address x.x.x.x
 ip verify unicast source reachable-via any
 ip access-group 101 out
 service-policy type control ISG-CUSTOMERS-POLICY
 ip subscriber routed
  initiator unclassified ip-address
!

[alibek]

Сейчас конфигурация такая:

vrf definition CORE
!
aaa new-model
!
aaa group server radius BM6-PPPOE
 server xx.xx.xx.2
 ip vrf forwarding CORE
 ip radius source-interface Loopback0
!
aaa authentication login default local
aaa authentication ppp PPPOE group BM6-PPPOE
aaa authorization network PPPOE group BM6-PPPOE 
aaa accounting network PPPOE start-stop group BM6-PPPOE
!
aaa server radius dynamic-author
 client xx.xx.xx.2 server-key xxx
 server-key xxx
 auth-type any
!
aaa session-id common
aaa policy interface-config allow-subinterface
!
bba-group pppoe global
 virtual-template 1
 sessions per-mac limit 1
 sessions auto cleanup
!
interface Loopback0
 description SELF
 vrf forwarding CORE
 ip address 10.1.255.255 255.255.255.255
!
interface Loopback1
 description LOOP-PPP
 ip address 10.255.255.215 255.255.255.255
!         
interface TenGigabitEthernet0/0/0
 description UPLINK
!
interface TenGigabitEthernet0/0/1
 description SUBS
 no ip address
 history BPS
 service instance 400 ethernet
  encapsulation default
  bridge-domain 400
 !
!
interface GigabitEthernet0/0/0
 description CORE
 vrf forwarding CORE
 no ip address
 negotiation auto
!
interface GigabitEthernet0/0/0.205
 encapsulation dot1Q 205
 vrf forwarding CORE
 ip address xx.xx.xx.26 255.255.255.252
!
interface GigabitEthernet0
 description MGMT
 vrf forwarding Mgmt-intf
 ip address xx.xx.xx.254 255.255.255.0
 negotiation auto
!
interface Virtual-Template1
 ip unnumbered Loopback1
 no peer default ip address
 ppp authentication pap PPPOE
 ppp authorization PPPOE
 ppp accounting PPPOE
!
interface BDI400
 no ip address
 vlan-range dot1q 400 499
  pppoe enable group global
 !
 pppoe enable group global
!
ip local pool STATIC-PPP AA.AA.AA.1 AA.AA.AA.200
ip local pool CLIENT-PPP BB.BB.BB.0 BB.BB.BB.255
ip route AA.AA.AA.0 255.255.255.0 Null0 255
ip route BB.BB.BB.0 255.255.255.0 Null0 255
ip route vrf Mgmt-intf 10.1.0.0 255.255.0.0 xx.xx.xx.250 10
ip route vrf CORE 10.1.0.0 255.255.0.0 xx.xx.xx.25

Вроде бы правильно. Но не работает.

Биллинг не получает запросов.

Не подскажите, что неправильно?

 

В дебаге ошибки, с одной стороны понятны. А с другой - непонятно, с чего начать.

Скрытый текст

Jan 18 08:39:15.565: PPPoE 0: I PADI  R:001e.c952.8277 L:ffff.ffff.ffff 499 BD400
contiguous pak, size 83
Jan 18 08:39:15.566:  Service tag: NULL Tag
Jan 18 08:39:15.566: PPPoE 0: O PADO, R:e4aa.5d82.a63f L:001e.c952.8277 499 BD400
Jan 18 08:39:15.566:  Service tag: NULL Tag
contiguous pak, size 122
Jan 18 08:39:15.578: PPPoE 0: I PADR  R:001e.c952.8277 L:e4aa.5d82.a63f 499 BD400
contiguous pak, size 103
Jan 18 08:39:15.578:  Service tag: NULL Tag
contiguous pak, size 24
Jan 18 08:39:15.578: [8]PPPoE 8: Access IE handle allocated
Jan 18 08:39:15.578: [8]PPPoE 8: AAA get retrieved attrs
Jan 18 08:39:15.578: [8]PPPoE 8: AAA get nas port details
Jan 18 08:39:15.579: [8]PPPoE 8: Error adjusting nas port format did 
Jan 18 08:39:15.579: AAA/BIND(00000023): Bind i/f Virtual-Template1 
Jan 18 08:39:15.579: dyn_attrs->xmit_rate: 1000000000 dyn_attrs->rcv_rate: 1000000000
Jan 18 08:39:15.579: [8]PPPoE 8: AAA get dynamic attrs
Jan 18 08:39:15.579: [8]PPPoE 8: AAA unique ID 23 allocated
Jan 18 08:39:15.579: [8]PPPoE 8: No AAA accounting method list 
Jan 18 08:39:15.579: [8]PPPoE 8: Service request sent to SSS
Jan 18 08:39:15.579: [8]PPPoE 8: Created, Service: None R:e4aa.5d82.a63f L:001e.c952.8277 499 BD400
Jan 18 08:39:15.579: [8]PPPoE 8: State NAS_PORT_POLICY_INQUIRY    Event SSS MORE KEYS
Jan 18 08:39:15.580: [8]PPPoE 8: data path set to PPP
Jan 18 08:39:15.580: [8]PPPoE 8: Segment (SSS class): PROVISION
Jan 18 08:39:15.580: [8]PPPoE 8: State PROVISION_PPP    Event SSM PROVISIONED
Jan 18 08:39:15.580: [8]PPPoE 8: O PADS  R:001e.c952.8277 L:e4aa.5d82.a63f BD400
contiguous pak, size 103
Jan 18 08:39:15.580: [8]PPPoE 8 <BD400:499>: Unable to add line attributes from ANCP
Jan 18 08:39:15.580: [8]PPPoE 8: Unable to Add ANCP Line attributes to the PPPoE Authen attributes
Jan 18 08:39:15.592: [8]PPPoE 8: O 
contiguous pak, size 64
Jan 18 08:39:15.592: [8]PPPoE 8: O 
contiguous pak, size 64
Jan 18 08:39:15.595: [8]PPPoE 8: O 
contiguous pak, size 64
Jan 18 08:39:15.611: [8]PPPoE 8: O 
contiguous pak, size 64
Jan 18 08:39:15.626: [8]PPPoE 8: O 
contiguous pak, size 64
Jan 18 08:39:15.648: AAA/AUTHEN/PPP (00000023): Pick method list 'PPPOE' 
Jan 18 08:39:15.649: [8]PPPoE 8: O 
contiguous pak, size 64
Jan 18 08:39:15.649: dyn_attrs->xmit_rate: 1000000000 dyn_attrs->rcv_rate: 1000000000
Jan 18 08:39:15.649: [8]PPPoE 8: AAA get dynamic attrs
Jan 18 08:39:15.649: dyn_attrs->xmit_rate: 1000000000 dyn_attrs->rcv_rate: 1000000000
Jan 18 08:39:15.649: [8]PPPoE 8: AAA get dynamic attrs
Jan 18 08:39:15.649: [8]PPPoE 8: O 
contiguous pak, size 64
Jan 18 08:39:15.658: [8]PPPoE 8: State LCP_NEGOTIATION    Event PPP DISCONNECT
Jan 18 08:39:15.658: [8]PPPoE 8: O PADT  R:001e.c952.8277 L:e4aa.5d82.a63f BD400
contiguous pak, size 60
Jan 18 08:39:15.659: [8]PPPoE 8: Destroying  R:001e.c952.8277 L:e4aa.5d82.a63f 499 BD400
Jan 18 08:39:15.659: dyn_attrs->xmit_rate: 1000000000 dyn_attrs->rcv_rate: 1000000000
Jan 18 08:39:15.659: [8]PPPoE 8: AAA get dynamic attrs
Jan 18 08:39:15.659: [8]PPPoE 8: AAA account stopped
Jan 18 08:39:15.659: [8]PPPoE 8: Segment (SSS class): UNPROVISION
Jan 18 08:39:15.667: PPPoE 8: I PADT  R:001e.c952.8277 L:e4aa.5d82.a63f 499 BD400
contiguous pak, size 67

 

 

[alibek]

Наконец сдвинулось с мертвой точки.

Главное — в настройке группы RADIUS-серверов нужно было указывать не server, а server-private.

Текущая конфигурация такая:

Скрытый текст

hostname BRAS15-ASR1001X
!
vrf definition CORE
 address-family ipv4
 exit-address-family
!
vrf definition MGMT
 address-family ipv4
 exit-address-family
!
aaa new-model
!
aaa group server radius BM6-PPPOE
 server-private XX.XX.XX.2 key ********
 ip vrf forwarding CORE
 ip radius source-interface Loopback1
!
aaa authentication login default local
aaa authentication ppp PPPOE group BM6-PPPOE
aaa authorization network PPPOE group BM6-PPPOE
aaa accounting delay-start
aaa accounting jitter maximum 10
aaa accounting update periodic 10
aaa accounting network PPPOE start-stop group BM6-PPPOE
!
aaa nas port extended
!
aaa server radius dynamic-author
 client XX.XX.XX.2 server-key ********
 server-key ********
 auth-type any
!
aaa session-id common
aaa policy interface-config allow-subinterface
!
subscriber templating
subscriber authorization enable
multilink bundle-name authenticated
!
class-map type traffic match-any INTERNET
 match access-group input name PUBLIC-IN
 match access-group output name PUBLIC-OUT
!
class-map type traffic match-any LOCAL
 match access-group input name LOCAL-IN
 match access-group output name LOCAL-OUT
!
policy-map type service LOCAL-ACCT
 class type traffic LOCAL
  accounting aaa list PPPOE
 !
 class type traffic default in-out
  drop
 !
!
policy-map type service INTERNET-ACCT
 class type traffic INTERNET
  accounting aaa list PPPOE
 !
 class type traffic default in-out
  drop
 !
!
bba-group pppoe global
 virtual-template 1
 sessions per-mac limit 1
 sessions auto cleanup
!
interface Loopback0
 vrf forwarding CORE
 ip address 10.1.255.255 255.255.255.255
!
interface Loopback1
 vrf forwarding CORE
 ip address 10.255.255.215 255.255.255.255
!
interface TenGigabitEthernet0/0/0
 description UPLINK
 ...
!
interface TenGigabitEthernet0/0/1
 description SUBS
 ...
 service instance 400 ethernet
  encapsulation default
  bridge-domain 400
 !
!
interface GigabitEthernet0/0/0
!
interface GigabitEthernet0/0/0.205
 encapsulation dot1Q 205
 vrf forwarding CORE
 ip address 10.1.3.26 255.255.255.252
!
interface Virtual-Template1
 mtu 1492
 ip unnumbered Loopback1
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 peer default ip address pool CLIENT-PPP
 ppp authentication pap PPPOE
 ppp authorization PPPOE
 ppp accounting PPPOE
 ppp ipcp dns AA.AA.AA.1 AA.AA.AA.124
 ppp timeout idle 60
!
interface BDI400
 no ip address
 vlan-range dot1q 400 499
  pppoe enable group global
 !
!
ip local pool STATIC-PPP BB.BB.BB.1 BB.BB.BB.200
ip local pool CLIENT-PPP CC.CC.CC.0 CC.CC.CC.255
ip local pool CLIENT-PPP DD.DD.DD.0 DD.DD.DD.255
ip local pool CLIENT-PPP EE.EE.EE.0 EE.EE.EE.255
ip tftp source-interface GigabitEthernet0
ip route BB.BB.BB.0/BB Null0 255
ip route CC.CC.CC.0/CC Null0 255
ip route DD.DD.DD.0/DD Null0 255
ip route EE.EE.EE.0/EE Null0 255
ip route vrf CORE 10.1.0.0 255.255.0.0 10.1.3.25
!
ip access-list standard NET-OWN
 permit AA.AA.AA.AA
 permit BB.BB.BB.BB
 permit CC.CC.CC.CC
 permit DD.DD.DD.DD
 permit EE.EE.EE.EE
!
ip access-list extended LOCAL-IN
 permit icmp any AA.AA.AA.0 0.0.0.127
 permit tcp any host AA.AA.AA.1 eq domain
 permit tcp any host AA.AA.AA.124 eq domain
 permit tcp any host AA.AA.AA.100 eq www 443 8080
ip access-list extended LOCAL-OUT
 permit ip AA.AA.AA.0 0.0.0.127 any
ip access-list extended PUBLIC-IN
 deny   ip any 10.0.0.0 0.255.255.255
 deny   ip any 172.16.0.0 0.15.255.255
 deny   ip any 192.168.0.0 0.0.255.255
 permit ip any any
ip access-list extended PUBLIC-OUT
 deny   ip 10.0.0.0 0.255.255.255 any
 deny   ip 172.16.0.0 0.15.255.255 any
 deny   ip 192.168.0.0 0.0.255.255 any
 permit ip any any
!
radius-server attribute 44 include-in-access-req default-vrf
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-access-req
radius-server attribute 32 include-in-accounting-req
radius-server attribute 55 include-in-acct-req
radius-server attribute 55 access-request include
radius-server attribute 25 access-request include
radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
radius-server attribute 31 mac format unformatted
radius-server retransmit 5
radius-server timeout 30
radius-server deadtime 1
radius-server key ********

Здесь AA.AA.AA.1 и AA.AA.AA.124 это операторские DNS, AA.AA.AA.100 это личный кабинет, а AA.AA.AA.0/25 это в целом служебная сеть.

Клиентам выдаются публичные IP, NAT не используется.

В целом при такой конфигурации подключение PPPoE выполняется успешно.

Но сильно подозреваю, что в конфигурации у меня много избыточного и не совсем правильного.

Не посоветуете, что убрать или улучшить?

 

И главное — не дадите пример, что нужно по RADIUS отдавать?

В биллинге RADIUS-атрибуты прописаны в тарифах, сейчас они адаптированы под Ericsson SE100. При успешной авторизации он отдает (и получает) примерно такое:

Скрытый текст

         (4) NAS-IP-Address = 10.255.255.212
        (55) Event-Timestamp = 2023-01-20@14:00:34
   (2352:88) RBN-QoS_Metering = "DEMO-POLICY-OUT"
   (2352:87) RBN-QoS_Policing = "DEMO-POLICY-IN"
        (28) Idle-Timeout = 120
        (11) Filter-Id = "in:PPPOE-WAN-IN"
  (2352:196) RBN-Dynamic_QoS_Param = "meter-circuit-burst 6250000"
  (2352:196) RBN-Dynamic_QoS_Param = "meter-circuit-excess-burst 12500000"
  (2352:196) RBN-Dynamic_QoS_Param = "meter-circuit-rate rate-absolute 50000"
  (2352:196) RBN-Dynamic_QoS_Param = "police-circuit-burst 6250000"
  (2352:196) RBN-Dynamic_QoS_Param = "police-circuit-excess-burst 12500000"
  (2352:196) RBN-Dynamic_QoS_Param = "police-circuit-rate rate-absolute 50000"
        (27) Session-Timeout = 35967
         (9) Framed-IP-Netmask = 255.255.255.255
         (8) Framed-IP-Address = **.**.**.**
    (2352:2) RBN-Client_DNS_Sec = **.**.**.124
    (2352:1) RBN-Client_DNS_Pri = **.**.**.1
  (2352:104) RBN-IP_Interface_Name = "CLIENT-WAN"
   (2352:14) RBN-Source_Validation = TRUE
        (62) Port-Limit = 1
   (2352:36) RBN-Ip_Address_Pool_Name = "CLIENT-PPP"
   (2352:91) RBN-Sub_Profile_Name = "PPPOE"
    (2352:4) RBN-Context_Name = "local"
        (45) Acct-Authentic = RADIUS
   (2352:97) RBN-Agent_Circuit_Id = "f8-f0-82-10-**-** eth 00/027:0456"
   (2352:96) RBN-Agent_Remote_Id = "f8-f0-82-10-**-**"
  (2352:112) RBN-OS_Version = "12.1.1.12p12"
   (2352:98) RBN-Platform_Type = 4
        (31) Calling-Station-Id = "BRAS12-SE100#f8-f0-82-10-**-** eth 00/027:0456#f8-f0-82-10-**-**"
  (2352:145) RBN-Mac-Addr = "98-da-c4-b0-**-**"
   (2352:38) RBN-Medium_Type = 11
        (87) NAS-Port-Id = "2/3 vlan-id 456 pppoe 15744"
        (61) NAS-Port-Type = Virtual
   (2352:62) RBN-NAS_Real_Port = 587203016
         (5) NAS-Port = 587218304
        (32) NAS-Identifier = "BRAS12-SE100"
  (2352:144) RBN-Acct_Reason = AAA_LOAD_ACCT_SESSION_UP
         (7) Framed-Protocol = PPP
         (6) Service-Type = Framed-User
        (44) Acct-Session-Id = "0102FFFF6800F8D6-63CA7451"
        (40) Acct-Status-Type = Start
         (1) User-Name = "******"

 

Можно ли настроить RADIUS и BRAS так, чтобы параметры сервиса (скорость доступа) отдавались непосредственно атрибутами, без сервисов и субсервисов?

[Andrei]

4 часа назад, alibek сказал:

Можно ли настроить RADIUS и BRAS так, чтобы параметры сервиса (скорость доступа) отдавались непосредственно атрибутами, без сервисов и субсервисов?

У меня правда Cisco ASR-1002... Скорость отдается из биллинга атрибутом Cisco-Account-Info, например для скорости 70 Мбит/сек: "QU;702545920;D;702545920"

[alibek]

А не поделитесь полным набором передаваемых атрибутов и конфигурацией шаблона?

Ранее у меня в качестве BRAS использовалась Cisco 7201, тогда я передавал следующие атрибуты:

Service-Type = Outbound-User
Cisco-Service-Info = inet_access
Cisco-Service-Info = QU;128000;0;D;128000;0
Cisco-Service-Info = MC
Cisco-AVPair = subscriber:accounting-list=PPP_ACC
Cisco-AVPair = prepaid-config=conf-prepaid
Cisco-AVPair = ip:traffic-class=out default drop
Cisco-AVPair = ip:traffic-class=out access-group name OUT_INTERNET priority 20
Cisco-AVPair = ip:traffic-class=in access-group name IN_INTERNET priority 20
Cisco-AVPair = ip:traffic-class=in default drop

Но это были атрибуты для технологических тарифов (сервисов), а на основной услуге передавалось что-то вроде Cisco-Account-Info=Ainet_access, и как раз от такой схемы я бы хотел уйти.

ip:traffic-class у меня прописан в шаблоне и полиси, он вероятно не нужен.

subscriber:accounting-list вероятно можно перекрыть настройками aaa в конфигурации.

[Andrei]

52 минуты назад, alibek сказал:

А не поделитесь полным набором передаваемых атрибутов и конфигурацией шаблона?

Атрибутов больше никаких из биллинга не передаю.

До 1002 стояла 7204 (до сих пор лежит в серверной), там тоже были только атрибуты для нарезки скорости типа:

lcp:interface-config#1=rate-limit input 41943040 7864320 15728640 conform-action transmit exceed-action drop
lcp:interface-config#2=rate-limit output 41943040 7864320 15728640 conform-action transmit exceed-action drop

 

Шаблон:

interface Virtual-Template1
 description  VPN template interface
 mtu 1492
 ip unnumbered Loopback0
 no ip redirects
 ip nat inside
 ip tcp adjust-mss 1432
 ip policy route-map nat_to_sovintel
 no logging event link-status
 no peer default ip address
 keepalive 30 7
 ppp authentication pap chap callin via_lb
 ppp authorization via_lb
 ppp accounting via_lb
 ppp ipcp dns 188.xxx.xxx.xxx 8.8.8.8
 ppp ipcp address required
 ppp ipcp address unique
 no ip virtual-reassembly

 

[alibek]

Прописал на тарифе Cisco-Account-Info=QU;702545920;D;702545920.

Ну и плюс на тестовой услуге добавил еще Framed-IP-Address, чтобы проще было тестирование делать.

Подключаюсь успешно, на BRAS подключение выглядит так:

#sh subscriber session detailed 
Current Subscriber Information: Total sessions 1
--------------------------------------------------
Type: PPPoE, UID: 13, State: authen, Identity: test123
IPv4 Address: AA.AA.AA.222 
Session Up-time: 00:00:21, Last Changed: 00:00:21
Interface: Virtual-Access2.1
Switch-ID: 4140

Policy information:
  Context 7FC545E77158: Handle 5900000D
  AAA_id 00000023: Flow_handle 0
  Authentication status: authen

Classifiers:
Class-id    Dir   Packets    Bytes                  Pri.  Definition
0           In    18         2137                   0    Match Any
1           Out   4          168                    0    Match Any

Features:

IP Config:
M=Mandatory, T=Tag, Mp=Mandatory pool
Flags  Peer IP Address                  Pool Name             Interface      
       AA.AA.AA.222                     [None]                [None]         
       ::                               [None]                [None]         

Static Routes:
Class-id  Configuration Status           Source
0          This feature is enabled       Peruser

Absolute Timeout:
Class-id   Timeout Value    Time Remaining       Source
0          604800           6d23h                Peruser

Idle Timeout:
Class-id   Dir  Timeout value   Idle-Time            Source
1          Out  60              00:00:01             Virtual-Template1

Policing:
Class-id   Dir  Avg. Rate   Normal Burst  Excess Burst Source
0          In   702544000   131727000     263454000    Peruser
1          Out  702544000   131727000     263454000    Peruser

Configuration Sources:
Type  Active Time  AAA Service ID  Name
USR   00:00:21     -               Peruser
INT   00:00:21     -               Virtual-Template1

Вроде бы все правильно, интернет есть.

Но почему-то не ограничивается скорость, speedtest показывает от 110 до 140 Мбит/с.

Хотя в профиле явно видно, что политики применились.

[Andrei]

Сорри, мой косяк, неправильно скопировал настройку. Правильно: "QU;73400320;D;73400320"

[alibek]

А я даже не пересчитывал.

Решил, что в Cisco-Account-Info полисинг не работает, только в Cisco-Service-Info.

Завтра попробую с другими значениями, посмотрю как скорость ограничивается.

Но мы для скоростей используем десятичную основу, то есть 70 Мбит/с это будет 70000000 бит/с (а не 73400320).

Раньше добавляли 10% сверху (на оверхед, служебный трафик и запас), но последние года три ничего не добавляем, все строго по тарифу.

[Andrei]

8 часов назад, alibek сказал:

70 Мбит/с

70*1024*1024

[alibek]

Я про это и говорю.

Двоичные множители (1024) обычно используют применительно к размеру (файлов) и ОЗУ.

А для скоростей и дисковой ёмкости используют десятичные множители (1000).

[alibek]

А кто как делает перенаправление на заглушку при неоплаченной услуге?

У меня гуглится только через l4redirect.

Но такая переадресация делается только на IP-адрес и веб-сервер должен игнорировать передаваемый hostname.

На платформе Redback есть директива http-redirect и там можно указывать именно URL; при выполнении этой директивы маршрутизатор сам подсовывает клиенту код 302 с перенаправлением на указанный адрес.

Можно ли такое сделать на Cisco?

[Andrei]

1 час назад, alibek сказал:

перенаправление на заглушку при неоплаченной услуге?

У меня из биллинга для заблокированных абонентов выдается гостевая сеть типа 10.10.10.0/24, для которой на циске прописан роут до сервера, где стоит заглушка "Дай денег"