alibek Posted December 10, 2022 Posted December 10, 2022 Так уж получилось, что с Cisco уже лет 10 особо общаться не доводилось. Ранее использовал в качестве ISG Cisco 7201, где-то даже конфиг остался, но не думаю, что он будет актуален. Сейчас используется несколько Ericsson SE100. Скрытый текст Примерная конфигурация: aaa last-resort context local service multiple-contexts service inter-context routing ! context local ! interface LINK ip address 10.1.3.10/30 ! interface MGMT loopback ip address 10.1.255.252/32 ! ip route 10.1.0.0/16 10.1.3.9 ip route 10.1.255.0/32 10.1.3.9 ip route 10.255.255.212/32 context PPPOE ! context PPPOE ! interface CLIENT-WAN multibind lastresort ip unnumbered LOOP-PPP ip pool aa.aa.aa.0/21 name CLIENT-PPP ! interface LOOP-PPP loopback ip address 10.255.255.212/32 ! ppp keepalive check-interval seconds 10 response-timeout 35 data-check ! http-redirect profile PORTAL-PROFILE url "http://provider.ru/limit/" ! aaa authentication subscriber radius aaa accounting subscriber radius aaa update subscriber 10 radius accounting server 10.1.128.2 ... radius coa server 10.1.128.13 ... radius server 10.1.128.2 ... radius max-retries 5 radius timeout 30 radius attribute nas-ip-address interface MGMT radius attribute calling-station-id format hostname agent-circuit-id agent-remote-id radius attribute acct-session-id access-request radius accounting algorithm round-robin radius attribute nas-port format session-info radius attribute nas-port-id format all no radius accounting send-acct-on-off radius attribute nas-identifier BRAS12-SE100 ! subscriber profile PPPOE ip address pool name CLIENT-PPP ip access-group PPPOE-WAN-IN in timeout idle 2 port-limit 1 ip source-validation ip interface name CLIENT-WAN dns primary aa.aa.aa.1 dns secondary aa.aa.aa.124 ! ip route 0.0.0.0/0 context UPLINK ip route 10.1.0.0/16 context local ip route 10.1.255.0/24 context local ip route aa.aa.aa.0/21 null0 ! context UPLINK ! interface UPLINK ip address aa.aa.aa.243/28 ip access-group UPLINK_IN in count ! ip route 0.0.0.0/0 aa.aa.aa.241 ip route aa.aa.aa.0/21 context PPPOE ! ! ** End Context ** service load-balance ip layer-4 service load-balance link-group bridging layer-4 ! link-group WAN ether bind interface UPLINK UPLINK ! port ethernet 1/1 bind interface LINK local ! port ethernet 2/1, 2/2, 2/15 link-group WAN ! port ethernet 2/3, 2/4, 2/16 encapsulation dot1q dot1q pvc 4xx encapsulation pppoe bind authentication pap chap context PPPOE maximum 8000 Биллинг после авторизации передает параметры тарифа (скорость доступа) в qos-dynamic-param. Хотелось бы с минимальными изменениями сделать такое же на ASR. И параллельно, хотелось бы начать миграцию на IPoE (QinQ), и соответственно, эту часть на ASR тоже настроить. Может быть у кого есть готовые примеры по настройке, которыми он готов поделиться? На примерах обычно разобраться проще. И сразу косметический вопрос. Аплинк и абоненты будут на портах 10G. Сервисная сеть, RADIUS и управление будут на отдельном интерфейсе. Может ли этим интерфейсом быть mgmt? Или RADIUS лучше на отдельный интерфейс вынести? Вставить ник Quote
YuryD Posted December 10, 2022 Posted December 10, 2022 Можно тупой вопрос ? Нахрена городить vlan-per-user и соотв qinq, только потому что это модно и прогрессивно ? ppoe и ipoe - одно и то-же гуано. Или для совместимости, или в сети мокротики завелись ? дустом их! :) qinq заведет вас в дебри замены кучи коммутаторов на местах, если вы еще сумеете их купить.... Про манагемент интерфейс - вопрос (хотя у некоторых железяк аж отдельный интерфейс есть, но не приветствуется трафик на нем, ибо он сразу на cpu) Вставить ник Quote
alibek Posted December 10, 2022 Author Posted December 10, 2022 Не потому, что модно, а потому, что удобно. 99% абонентских роутеров, которые продаются сейчас, настроены под получение настроек по DHCP. И в случае IPoE они начинают работать из коробки, их не нужно как-то настраивать. Ну и qinq лучше изолирует и контролирует сеть, чем изоляция портов и асимметричные VLAN. Вставить ник Quote
YuryD Posted December 10, 2022 Posted December 10, 2022 >Не потому, что модно, а потому, что удобно. Согласен, можно минимизировать расходы на монтаж-настройку, 10 минут работы подключателя. >Ну и qinq лучше изолирует и контролирует сеть, чем изоляция портов и асимметричные VLAN. А вот это вряд-ли. От железа сильно зависит. Кроме всех легкостей - добавляются накладные расходы на погоны, при dhcp. Вставить ник Quote
alibek Posted December 10, 2022 Author Posted December 10, 2022 1 час назад, YuryD сказал: но не приветствуется трафик на нем, ибо он сразу на cpu Кстати, да, про это не подумал. Тогда конечно сервисную сеть лучше заводить на обычный интерфейс. Вставить ник Quote
fractal Posted December 10, 2022 Posted December 10, 2022 1 час назад, YuryD сказал: Про манагемент интерфейс - вопрос (хотя у некоторых железяк аж отдельный интерфейс есть, но не приветствуется трафик на нем, ибо он сразу на cpu) не получится, он отвязан от CP и DP, mngt там out-of-band 1 час назад, YuryD сказал: если вы еще сумеете их купить С этим конечно проблем 0, но, зачем что то перепиливать если старое и так работает? Вам правильно говорят: 1 час назад, YuryD сказал: добавляются накладные расходы на погоны Вставить ник Quote
alibek Posted December 10, 2022 Author Posted December 10, 2022 5 минут назад, fractal сказал: не получится, он отвязан от CP и DP, mngt там out-of-band Понятно. Значит тем более сервисную сеть нужно будет выводить на обычный интерфейс. 6 минут назад, fractal сказал: зачем что то перепиливать если старое и так работает? PPPoE удобен в небольших сетях. В больших сетях обращения, связанные с неправильной настройкой или со сбросом настроек, начинают занимать значимый объем. Ну и неприхотливость PPPoE играет в сторону того, что не требуется строгого учета портов и, как следствие, есть ошибки и неточности (абонент подключен не в тот порт, который отмечен в ИС). Вставить ник Quote
jffulcrum Posted December 10, 2022 Posted December 10, 2022 4 часа назад, alibek сказал: Сервисная сеть, RADIUS и управление будут на отдельном интерфейсе. Может ли этим интерфейсом быть mgmt? Или RADIUS лучше на отдельный интерфейс вынести? По-уму это все вешается на Loopback, и подсеть отдается с двух или более ног Вставить ник Quote
alibek Posted December 10, 2022 Author Posted December 10, 2022 IP-интерфейс да, на loopback. А на порту будет линкрвый интерфейс. Вставить ник Quote
sirmax Posted December 10, 2022 Posted December 10, 2022 Присоединюсь к вопросу про qinq Вставить ник Quote
alibek Posted January 4, 2023 Author Posted January 4, 2023 Пока набросал такой каркас: bba-group pppoe global virtual-template 1 ! interface Loopback0 description SELF vrf forwarding CORE ip address 10.1.255.255 255.255.255.255 ! interface Loopback1 description LOOP-PPP ip address 10.255.255.215 255.255.255.255 ! interface TenGigabitEthernet0/0/0 description UPLINK ... ! interface TenGigabitEthernet0/0/1 description SUBS no ip address service instance 400 ethernet encapsulation default bridge-domain 400 ! ! interface Virtual-Template1 ip unnumbered Loopback1 peer default ip address pool CLIENT-PPP ppp authentication pap ! interface BDI400 no ip address vlan-range dot1q 400 499 pppoe enable group global ! pppoe enable group global ! ip local pool CLIENT-PPP ... Пока что без qinq, абоненты в VLAN 400-499. Направление правильное? Или сейчас делают по другому? По qinq дали такие ссылки: https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/lanswitch/configuration/xe-16-8/lanswitch-xe-16-8-book/lnsw-ieee-qvlan.html https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/bbdsl/configuration/xe-16-8/bba-xe-16-8-book/bba-pppoe-qinq-xe.html но с ними я буду разбираться после того, как запущу обычный PPPoE и адаптирую биллинг. Вставить ник Quote
zhenya` Posted January 8, 2023 Posted January 8, 2023 Конфиг вроде и выглядит красиво, но мои попытки такое завести не увенчались успехом. Попробуй на тестовом стенде. Вставить ник Quote
Diman_xxxx Posted January 10, 2023 Posted January 10, 2023 если будет полезно, к примеру наш "IPOE" интерфейс выглядит так ! interface TenGigabitEthernet0/1/0.2222 description PD_2222 encapsulation dot1Q 2222 ip address 185.44.99.33 255.255.255.128 secondary ip address 185.44.22.33 255.255.255.128 ip helper-address x.x.x.x ip verify unicast source reachable-via any ip access-group 101 out service-policy type control ISG-CUSTOMERS-POLICY ip subscriber routed initiator unclassified ip-address ! Вставить ник Quote
alibek Posted January 18, 2023 Author Posted January 18, 2023 Сейчас конфигурация такая: vrf definition CORE ! aaa new-model ! aaa group server radius BM6-PPPOE server xx.xx.xx.2 ip vrf forwarding CORE ip radius source-interface Loopback0 ! aaa authentication login default local aaa authentication ppp PPPOE group BM6-PPPOE aaa authorization network PPPOE group BM6-PPPOE aaa accounting network PPPOE start-stop group BM6-PPPOE ! aaa server radius dynamic-author client xx.xx.xx.2 server-key xxx server-key xxx auth-type any ! aaa session-id common aaa policy interface-config allow-subinterface ! bba-group pppoe global virtual-template 1 sessions per-mac limit 1 sessions auto cleanup ! interface Loopback0 description SELF vrf forwarding CORE ip address 10.1.255.255 255.255.255.255 ! interface Loopback1 description LOOP-PPP ip address 10.255.255.215 255.255.255.255 ! interface TenGigabitEthernet0/0/0 description UPLINK ! interface TenGigabitEthernet0/0/1 description SUBS no ip address history BPS service instance 400 ethernet encapsulation default bridge-domain 400 ! ! interface GigabitEthernet0/0/0 description CORE vrf forwarding CORE no ip address negotiation auto ! interface GigabitEthernet0/0/0.205 encapsulation dot1Q 205 vrf forwarding CORE ip address xx.xx.xx.26 255.255.255.252 ! interface GigabitEthernet0 description MGMT vrf forwarding Mgmt-intf ip address xx.xx.xx.254 255.255.255.0 negotiation auto ! interface Virtual-Template1 ip unnumbered Loopback1 no peer default ip address ppp authentication pap PPPOE ppp authorization PPPOE ppp accounting PPPOE ! interface BDI400 no ip address vlan-range dot1q 400 499 pppoe enable group global ! pppoe enable group global ! ip local pool STATIC-PPP AA.AA.AA.1 AA.AA.AA.200 ip local pool CLIENT-PPP BB.BB.BB.0 BB.BB.BB.255 ip route AA.AA.AA.0 255.255.255.0 Null0 255 ip route BB.BB.BB.0 255.255.255.0 Null0 255 ip route vrf Mgmt-intf 10.1.0.0 255.255.0.0 xx.xx.xx.250 10 ip route vrf CORE 10.1.0.0 255.255.0.0 xx.xx.xx.25 Вроде бы правильно. Но не работает. Биллинг не получает запросов. Не подскажите, что неправильно? В дебаге ошибки, с одной стороны понятны. А с другой - непонятно, с чего начать. Скрытый текст Jan 18 08:39:15.565: PPPoE 0: I PADI R:001e.c952.8277 L:ffff.ffff.ffff 499 BD400 contiguous pak, size 83 Jan 18 08:39:15.566: Service tag: NULL Tag Jan 18 08:39:15.566: PPPoE 0: O PADO, R:e4aa.5d82.a63f L:001e.c952.8277 499 BD400 Jan 18 08:39:15.566: Service tag: NULL Tag contiguous pak, size 122 Jan 18 08:39:15.578: PPPoE 0: I PADR R:001e.c952.8277 L:e4aa.5d82.a63f 499 BD400 contiguous pak, size 103 Jan 18 08:39:15.578: Service tag: NULL Tag contiguous pak, size 24 Jan 18 08:39:15.578: [8]PPPoE 8: Access IE handle allocated Jan 18 08:39:15.578: [8]PPPoE 8: AAA get retrieved attrs Jan 18 08:39:15.578: [8]PPPoE 8: AAA get nas port details Jan 18 08:39:15.579: [8]PPPoE 8: Error adjusting nas port format did Jan 18 08:39:15.579: AAA/BIND(00000023): Bind i/f Virtual-Template1 Jan 18 08:39:15.579: dyn_attrs->xmit_rate: 1000000000 dyn_attrs->rcv_rate: 1000000000 Jan 18 08:39:15.579: [8]PPPoE 8: AAA get dynamic attrs Jan 18 08:39:15.579: [8]PPPoE 8: AAA unique ID 23 allocated Jan 18 08:39:15.579: [8]PPPoE 8: No AAA accounting method list Jan 18 08:39:15.579: [8]PPPoE 8: Service request sent to SSS Jan 18 08:39:15.579: [8]PPPoE 8: Created, Service: None R:e4aa.5d82.a63f L:001e.c952.8277 499 BD400 Jan 18 08:39:15.579: [8]PPPoE 8: State NAS_PORT_POLICY_INQUIRY Event SSS MORE KEYS Jan 18 08:39:15.580: [8]PPPoE 8: data path set to PPP Jan 18 08:39:15.580: [8]PPPoE 8: Segment (SSS class): PROVISION Jan 18 08:39:15.580: [8]PPPoE 8: State PROVISION_PPP Event SSM PROVISIONED Jan 18 08:39:15.580: [8]PPPoE 8: O PADS R:001e.c952.8277 L:e4aa.5d82.a63f BD400 contiguous pak, size 103 Jan 18 08:39:15.580: [8]PPPoE 8 <BD400:499>: Unable to add line attributes from ANCP Jan 18 08:39:15.580: [8]PPPoE 8: Unable to Add ANCP Line attributes to the PPPoE Authen attributes Jan 18 08:39:15.592: [8]PPPoE 8: O contiguous pak, size 64 Jan 18 08:39:15.592: [8]PPPoE 8: O contiguous pak, size 64 Jan 18 08:39:15.595: [8]PPPoE 8: O contiguous pak, size 64 Jan 18 08:39:15.611: [8]PPPoE 8: O contiguous pak, size 64 Jan 18 08:39:15.626: [8]PPPoE 8: O contiguous pak, size 64 Jan 18 08:39:15.648: AAA/AUTHEN/PPP (00000023): Pick method list 'PPPOE' Jan 18 08:39:15.649: [8]PPPoE 8: O contiguous pak, size 64 Jan 18 08:39:15.649: dyn_attrs->xmit_rate: 1000000000 dyn_attrs->rcv_rate: 1000000000 Jan 18 08:39:15.649: [8]PPPoE 8: AAA get dynamic attrs Jan 18 08:39:15.649: dyn_attrs->xmit_rate: 1000000000 dyn_attrs->rcv_rate: 1000000000 Jan 18 08:39:15.649: [8]PPPoE 8: AAA get dynamic attrs Jan 18 08:39:15.649: [8]PPPoE 8: O contiguous pak, size 64 Jan 18 08:39:15.658: [8]PPPoE 8: State LCP_NEGOTIATION Event PPP DISCONNECT Jan 18 08:39:15.658: [8]PPPoE 8: O PADT R:001e.c952.8277 L:e4aa.5d82.a63f BD400 contiguous pak, size 60 Jan 18 08:39:15.659: [8]PPPoE 8: Destroying R:001e.c952.8277 L:e4aa.5d82.a63f 499 BD400 Jan 18 08:39:15.659: dyn_attrs->xmit_rate: 1000000000 dyn_attrs->rcv_rate: 1000000000 Jan 18 08:39:15.659: [8]PPPoE 8: AAA get dynamic attrs Jan 18 08:39:15.659: [8]PPPoE 8: AAA account stopped Jan 18 08:39:15.659: [8]PPPoE 8: Segment (SSS class): UNPROVISION Jan 18 08:39:15.667: PPPoE 8: I PADT R:001e.c952.8277 L:e4aa.5d82.a63f 499 BD400 contiguous pak, size 67 Вставить ник Quote
alibek Posted January 20, 2023 Author Posted January 20, 2023 Наконец сдвинулось с мертвой точки. Главное — в настройке группы RADIUS-серверов нужно было указывать не server, а server-private. Текущая конфигурация такая: Скрытый текст hostname BRAS15-ASR1001X ! vrf definition CORE address-family ipv4 exit-address-family ! vrf definition MGMT address-family ipv4 exit-address-family ! aaa new-model ! aaa group server radius BM6-PPPOE server-private XX.XX.XX.2 key ******** ip vrf forwarding CORE ip radius source-interface Loopback1 ! aaa authentication login default local aaa authentication ppp PPPOE group BM6-PPPOE aaa authorization network PPPOE group BM6-PPPOE aaa accounting delay-start aaa accounting jitter maximum 10 aaa accounting update periodic 10 aaa accounting network PPPOE start-stop group BM6-PPPOE ! aaa nas port extended ! aaa server radius dynamic-author client XX.XX.XX.2 server-key ******** server-key ******** auth-type any ! aaa session-id common aaa policy interface-config allow-subinterface ! subscriber templating subscriber authorization enable multilink bundle-name authenticated ! class-map type traffic match-any INTERNET match access-group input name PUBLIC-IN match access-group output name PUBLIC-OUT ! class-map type traffic match-any LOCAL match access-group input name LOCAL-IN match access-group output name LOCAL-OUT ! policy-map type service LOCAL-ACCT class type traffic LOCAL accounting aaa list PPPOE ! class type traffic default in-out drop ! ! policy-map type service INTERNET-ACCT class type traffic INTERNET accounting aaa list PPPOE ! class type traffic default in-out drop ! ! bba-group pppoe global virtual-template 1 sessions per-mac limit 1 sessions auto cleanup ! interface Loopback0 vrf forwarding CORE ip address 10.1.255.255 255.255.255.255 ! interface Loopback1 vrf forwarding CORE ip address 10.255.255.215 255.255.255.255 ! interface TenGigabitEthernet0/0/0 description UPLINK ... ! interface TenGigabitEthernet0/0/1 description SUBS ... service instance 400 ethernet encapsulation default bridge-domain 400 ! ! interface GigabitEthernet0/0/0 ! interface GigabitEthernet0/0/0.205 encapsulation dot1Q 205 vrf forwarding CORE ip address 10.1.3.26 255.255.255.252 ! interface Virtual-Template1 mtu 1492 ip unnumbered Loopback1 no ip redirects no ip unreachables no ip proxy-arp peer default ip address pool CLIENT-PPP ppp authentication pap PPPOE ppp authorization PPPOE ppp accounting PPPOE ppp ipcp dns AA.AA.AA.1 AA.AA.AA.124 ppp timeout idle 60 ! interface BDI400 no ip address vlan-range dot1q 400 499 pppoe enable group global ! ! ip local pool STATIC-PPP BB.BB.BB.1 BB.BB.BB.200 ip local pool CLIENT-PPP CC.CC.CC.0 CC.CC.CC.255 ip local pool CLIENT-PPP DD.DD.DD.0 DD.DD.DD.255 ip local pool CLIENT-PPP EE.EE.EE.0 EE.EE.EE.255 ip tftp source-interface GigabitEthernet0 ip route BB.BB.BB.0/BB Null0 255 ip route CC.CC.CC.0/CC Null0 255 ip route DD.DD.DD.0/DD Null0 255 ip route EE.EE.EE.0/EE Null0 255 ip route vrf CORE 10.1.0.0 255.255.0.0 10.1.3.25 ! ip access-list standard NET-OWN permit AA.AA.AA.AA permit BB.BB.BB.BB permit CC.CC.CC.CC permit DD.DD.DD.DD permit EE.EE.EE.EE ! ip access-list extended LOCAL-IN permit icmp any AA.AA.AA.0 0.0.0.127 permit tcp any host AA.AA.AA.1 eq domain permit tcp any host AA.AA.AA.124 eq domain permit tcp any host AA.AA.AA.100 eq www 443 8080 ip access-list extended LOCAL-OUT permit ip AA.AA.AA.0 0.0.0.127 any ip access-list extended PUBLIC-IN deny ip any 10.0.0.0 0.255.255.255 deny ip any 172.16.0.0 0.15.255.255 deny ip any 192.168.0.0 0.0.255.255 permit ip any any ip access-list extended PUBLIC-OUT deny ip 10.0.0.0 0.255.255.255 any deny ip 172.16.0.0 0.15.255.255 any deny ip 192.168.0.0 0.0.255.255 any permit ip any any ! radius-server attribute 44 include-in-access-req default-vrf radius-server attribute 6 on-for-login-auth radius-server attribute 8 include-in-access-req radius-server attribute 32 include-in-access-req radius-server attribute 32 include-in-accounting-req radius-server attribute 55 include-in-acct-req radius-server attribute 55 access-request include radius-server attribute 25 access-request include radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU radius-server attribute 31 mac format unformatted radius-server retransmit 5 radius-server timeout 30 radius-server deadtime 1 radius-server key ******** Здесь AA.AA.AA.1 и AA.AA.AA.124 это операторские DNS, AA.AA.AA.100 это личный кабинет, а AA.AA.AA.0/25 это в целом служебная сеть. Клиентам выдаются публичные IP, NAT не используется. В целом при такой конфигурации подключение PPPoE выполняется успешно. Но сильно подозреваю, что в конфигурации у меня много избыточного и не совсем правильного. Не посоветуете, что убрать или улучшить? И главное — не дадите пример, что нужно по RADIUS отдавать? В биллинге RADIUS-атрибуты прописаны в тарифах, сейчас они адаптированы под Ericsson SE100. При успешной авторизации он отдает (и получает) примерно такое: Скрытый текст (4) NAS-IP-Address = 10.255.255.212 (55) Event-Timestamp = 2023-01-20@14:00:34 (2352:88) RBN-QoS_Metering = "DEMO-POLICY-OUT" (2352:87) RBN-QoS_Policing = "DEMO-POLICY-IN" (28) Idle-Timeout = 120 (11) Filter-Id = "in:PPPOE-WAN-IN" (2352:196) RBN-Dynamic_QoS_Param = "meter-circuit-burst 6250000" (2352:196) RBN-Dynamic_QoS_Param = "meter-circuit-excess-burst 12500000" (2352:196) RBN-Dynamic_QoS_Param = "meter-circuit-rate rate-absolute 50000" (2352:196) RBN-Dynamic_QoS_Param = "police-circuit-burst 6250000" (2352:196) RBN-Dynamic_QoS_Param = "police-circuit-excess-burst 12500000" (2352:196) RBN-Dynamic_QoS_Param = "police-circuit-rate rate-absolute 50000" (27) Session-Timeout = 35967 (9) Framed-IP-Netmask = 255.255.255.255 (8) Framed-IP-Address = **.**.**.** (2352:2) RBN-Client_DNS_Sec = **.**.**.124 (2352:1) RBN-Client_DNS_Pri = **.**.**.1 (2352:104) RBN-IP_Interface_Name = "CLIENT-WAN" (2352:14) RBN-Source_Validation = TRUE (62) Port-Limit = 1 (2352:36) RBN-Ip_Address_Pool_Name = "CLIENT-PPP" (2352:91) RBN-Sub_Profile_Name = "PPPOE" (2352:4) RBN-Context_Name = "local" (45) Acct-Authentic = RADIUS (2352:97) RBN-Agent_Circuit_Id = "f8-f0-82-10-**-** eth 00/027:0456" (2352:96) RBN-Agent_Remote_Id = "f8-f0-82-10-**-**" (2352:112) RBN-OS_Version = "12.1.1.12p12" (2352:98) RBN-Platform_Type = 4 (31) Calling-Station-Id = "BRAS12-SE100#f8-f0-82-10-**-** eth 00/027:0456#f8-f0-82-10-**-**" (2352:145) RBN-Mac-Addr = "98-da-c4-b0-**-**" (2352:38) RBN-Medium_Type = 11 (87) NAS-Port-Id = "2/3 vlan-id 456 pppoe 15744" (61) NAS-Port-Type = Virtual (2352:62) RBN-NAS_Real_Port = 587203016 (5) NAS-Port = 587218304 (32) NAS-Identifier = "BRAS12-SE100" (2352:144) RBN-Acct_Reason = AAA_LOAD_ACCT_SESSION_UP (7) Framed-Protocol = PPP (6) Service-Type = Framed-User (44) Acct-Session-Id = "0102FFFF6800F8D6-63CA7451" (40) Acct-Status-Type = Start (1) User-Name = "******" Можно ли настроить RADIUS и BRAS так, чтобы параметры сервиса (скорость доступа) отдавались непосредственно атрибутами, без сервисов и субсервисов? Вставить ник Quote
Andrei Posted January 20, 2023 Posted January 20, 2023 4 часа назад, alibek сказал: Можно ли настроить RADIUS и BRAS так, чтобы параметры сервиса (скорость доступа) отдавались непосредственно атрибутами, без сервисов и субсервисов? У меня правда Cisco ASR-1002... Скорость отдается из биллинга атрибутом Cisco-Account-Info, например для скорости 70 Мбит/сек: "QU;702545920;D;702545920" Вставить ник Quote
alibek Posted January 21, 2023 Author Posted January 21, 2023 А не поделитесь полным набором передаваемых атрибутов и конфигурацией шаблона? Ранее у меня в качестве BRAS использовалась Cisco 7201, тогда я передавал следующие атрибуты: Service-Type = Outbound-User Cisco-Service-Info = inet_access Cisco-Service-Info = QU;128000;0;D;128000;0 Cisco-Service-Info = MC Cisco-AVPair = subscriber:accounting-list=PPP_ACC Cisco-AVPair = prepaid-config=conf-prepaid Cisco-AVPair = ip:traffic-class=out default drop Cisco-AVPair = ip:traffic-class=out access-group name OUT_INTERNET priority 20 Cisco-AVPair = ip:traffic-class=in access-group name IN_INTERNET priority 20 Cisco-AVPair = ip:traffic-class=in default drop Но это были атрибуты для технологических тарифов (сервисов), а на основной услуге передавалось что-то вроде Cisco-Account-Info=Ainet_access, и как раз от такой схемы я бы хотел уйти. ip:traffic-class у меня прописан в шаблоне и полиси, он вероятно не нужен. subscriber:accounting-list вероятно можно перекрыть настройками aaa в конфигурации. Вставить ник Quote
Andrei Posted January 21, 2023 Posted January 21, 2023 52 минуты назад, alibek сказал: А не поделитесь полным набором передаваемых атрибутов и конфигурацией шаблона? Атрибутов больше никаких из биллинга не передаю. До 1002 стояла 7204 (до сих пор лежит в серверной), там тоже были только атрибуты для нарезки скорости типа: lcp:interface-config#1=rate-limit input 41943040 7864320 15728640 conform-action transmit exceed-action drop lcp:interface-config#2=rate-limit output 41943040 7864320 15728640 conform-action transmit exceed-action drop Шаблон: interface Virtual-Template1 description VPN template interface mtu 1492 ip unnumbered Loopback0 no ip redirects ip nat inside ip tcp adjust-mss 1432 ip policy route-map nat_to_sovintel no logging event link-status no peer default ip address keepalive 30 7 ppp authentication pap chap callin via_lb ppp authorization via_lb ppp accounting via_lb ppp ipcp dns 188.xxx.xxx.xxx 8.8.8.8 ppp ipcp address required ppp ipcp address unique no ip virtual-reassembly Вставить ник Quote
alibek Posted January 21, 2023 Author Posted January 21, 2023 Прописал на тарифе Cisco-Account-Info=QU;702545920;D;702545920. Ну и плюс на тестовой услуге добавил еще Framed-IP-Address, чтобы проще было тестирование делать. Подключаюсь успешно, на BRAS подключение выглядит так: #sh subscriber session detailed Current Subscriber Information: Total sessions 1 -------------------------------------------------- Type: PPPoE, UID: 13, State: authen, Identity: test123 IPv4 Address: AA.AA.AA.222 Session Up-time: 00:00:21, Last Changed: 00:00:21 Interface: Virtual-Access2.1 Switch-ID: 4140 Policy information: Context 7FC545E77158: Handle 5900000D AAA_id 00000023: Flow_handle 0 Authentication status: authen Classifiers: Class-id Dir Packets Bytes Pri. Definition 0 In 18 2137 0 Match Any 1 Out 4 168 0 Match Any Features: IP Config: M=Mandatory, T=Tag, Mp=Mandatory pool Flags Peer IP Address Pool Name Interface AA.AA.AA.222 [None] [None] :: [None] [None] Static Routes: Class-id Configuration Status Source 0 This feature is enabled Peruser Absolute Timeout: Class-id Timeout Value Time Remaining Source 0 604800 6d23h Peruser Idle Timeout: Class-id Dir Timeout value Idle-Time Source 1 Out 60 00:00:01 Virtual-Template1 Policing: Class-id Dir Avg. Rate Normal Burst Excess Burst Source 0 In 702544000 131727000 263454000 Peruser 1 Out 702544000 131727000 263454000 Peruser Configuration Sources: Type Active Time AAA Service ID Name USR 00:00:21 - Peruser INT 00:00:21 - Virtual-Template1 Вроде бы все правильно, интернет есть. Но почему-то не ограничивается скорость, speedtest показывает от 110 до 140 Мбит/с. Хотя в профиле явно видно, что политики применились. Вставить ник Quote
Andrei Posted January 21, 2023 Posted January 21, 2023 Сорри, мой косяк, неправильно скопировал настройку. Правильно: "QU;73400320;D;73400320" Вставить ник Quote
alibek Posted January 21, 2023 Author Posted January 21, 2023 А я даже не пересчитывал. Решил, что в Cisco-Account-Info полисинг не работает, только в Cisco-Service-Info. Завтра попробую с другими значениями, посмотрю как скорость ограничивается. Но мы для скоростей используем десятичную основу, то есть 70 Мбит/с это будет 70000000 бит/с (а не 73400320). Раньше добавляли 10% сверху (на оверхед, служебный трафик и запас), но последние года три ничего не добавляем, все строго по тарифу. Вставить ник Quote
Andrei Posted January 22, 2023 Posted January 22, 2023 8 часов назад, alibek сказал: 70 Мбит/с 70*1024*1024 Вставить ник Quote
alibek Posted January 22, 2023 Author Posted January 22, 2023 Я про это и говорю. Двоичные множители (1024) обычно используют применительно к размеру (файлов) и ОЗУ. А для скоростей и дисковой ёмкости используют десятичные множители (1000). Вставить ник Quote
alibek Posted January 22, 2023 Author Posted January 22, 2023 А кто как делает перенаправление на заглушку при неоплаченной услуге? У меня гуглится только через l4redirect. Но такая переадресация делается только на IP-адрес и веб-сервер должен игнорировать передаваемый hostname. На платформе Redback есть директива http-redirect и там можно указывать именно URL; при выполнении этой директивы маршрутизатор сам подсовывает клиенту код 302 с перенаправлением на указанный адрес. Можно ли такое сделать на Cisco? Вставить ник Quote
Andrei Posted January 22, 2023 Posted January 22, 2023 1 час назад, alibek сказал: перенаправление на заглушку при неоплаченной услуге? У меня из биллинга для заблокированных абонентов выдается гостевая сеть типа 10.10.10.0/24, для которой на циске прописан роут до сервера, где стоит заглушка "Дай денег" Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.