Jump to content
Калькуляторы

CoA запросы для Cisco/Mikrotik

Добрый день, коллеги!

Пытаюсь создать нормальную схему работы и взаимодействия компонент в виртуальной среде.

Есть Lanbilling+Radius+BRASes(Cisco ASR 1001 и Linux-Accel-ppp).

 

Пытаюсь сделать CoA запросы для следующих задач:

Смена тарифного плана (С Mikrotik всё выходит замечательно):

echo "Acct-Session-Id=<session_id_from_database>,Mikrotik-Rate-Limit=\"скорость\" | radclient -r1 -t1 -x <nas_ip>:<nas_coa_port> coa <password>,
А вот с Cisco не всё так замечательно:

Скрытый текст

policy-map policy_out_10m
 class class-default
  police cir 10485500 bc 1048576 be 2097152
   conform-action transmit
   exceed-action drop
policy-map policy_out_100m
 class class-default
  police cir 104857500 bc 10485760 be 20971760
   conform-action transmit
   exceed-action drop
policy-map policy_in_100m
 class class-default
  police cir 104857500 bc 10485760 be 20971760
   conform-action transmit
   exceed-action drop
policy-map policy_in_10m
 class class-default
  police cir 10485500 bc 1048576 be 2097152
   conform-action transmit
   exceed-action drop


На кошке созданы политики, которые замечательно выдаются при авторизации пользователей на Radius-Server, а вот при попытке сменить через запрос получаю CoA-NAK:
 

Скрытый текст

echo "User-Name=${LOGIN},Acct-Session-Id=\"0/0/0/1000_00000AE4\",Cisco-AVPair+=\"ip:sub-qos-policy-in=policy_in_10m\",Cisco-AVPair=\"ip:sub-qos-policy-out=policy_out_10m\"" | radclient -r1 -t1 -x 10.5.5.3:3799 coa superpassword
Sent CoA-Request Id 224 from 0.0.0.0:41382 to 10.5.5.3:3799 length 137
    User-Name = "02-00001"
    Acct-Session-Id = "0/0/0/1000_00000AE4"
    Cisco-AVPair += "ip:sub-qos-policy-in=policy_in_10m"
    Cisco-AVPair = "ip:sub-qos-policy-out=policy_out_10m"
Received CoA-NAK Id 224 from 10.5.5.3:3799 to 10.5.5.2:41382 length 26
    Error-Cause = 200
(0) -: Expected CoA-ACK got CoA-NAK

 

 

Пробовал без политик через rate-limit, но тоже NAK. Связываю с тем, что Virtual-Access порт нельзя конфигурировать из конфига.


Со сменой IP проблема в обоих случаях. Запрос:

 

echo "User-Name=${LOGIN},Acct-Session-Id=\"0/0/0/1000_00000AEA\",Framed-IP-Address=\"<IP_address>\"" | radclient -r1 -t1 -x <nas_ip>:<nas_coa_port> coa <password>

 

Может кто-нибудь подсказать, как правильно и что я не так делаю?

 

Постоянно убивать сессии при каких-либо изменениях не очень хочется.

Edited by Den4ikArgv

Share this post


Link to post
Share on other sites

Вряд ли IP-адрес можно сменить без переподклюения.

 

Для управления скоростью можно использовать Cisco-Account-Info="QU;xxx;D;xxx", они через CoA работают.

Share this post


Link to post
Share on other sites

Коллеги, добрый день!

Подскажите, как можно навесить 2 policy-map type service на один виртуальный интерфейс Virtual-Access ручками и атрибуты для radius?

Скрытый текст

redirect server-group BLOCKED
 server ip 100.63.0.3 port 80

policy-map type service important_resources
 class type traffic important_resources
  police input 65000 1000 1500
  police output 65000 1000 1500

 

policy-map type service BLOCK
 class type traffic REDIRECT
  redirect to group BLOCKED

Две вот такие вот политики, под них соответственно созданы acl и class

Edited by Den4ikArgv

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.