Den4ikArgv Posted August 8, 2024 Posted August 8, 2024 (edited) Добрый день, коллеги! Пытаюсь создать нормальную схему работы и взаимодействия компонент в виртуальной среде. Есть Lanbilling+Radius+BRASes(Cisco ASR 1001 и Linux-Accel-ppp). Пытаюсь сделать CoA запросы для следующих задач: Смена тарифного плана (С Mikrotik всё выходит замечательно): echo "Acct-Session-Id=<session_id_from_database>,Mikrotik-Rate-Limit=\"скорость\" | radclient -r1 -t1 -x <nas_ip>:<nas_coa_port> coa <password>, А вот с Cisco не всё так замечательно: Скрытый текст policy-map policy_out_10m class class-default police cir 10485500 bc 1048576 be 2097152 conform-action transmit exceed-action drop policy-map policy_out_100m class class-default police cir 104857500 bc 10485760 be 20971760 conform-action transmit exceed-action drop policy-map policy_in_100m class class-default police cir 104857500 bc 10485760 be 20971760 conform-action transmit exceed-action drop policy-map policy_in_10m class class-default police cir 10485500 bc 1048576 be 2097152 conform-action transmit exceed-action drop На кошке созданы политики, которые замечательно выдаются при авторизации пользователей на Radius-Server, а вот при попытке сменить через запрос получаю CoA-NAK: Скрытый текст echo "User-Name=${LOGIN},Acct-Session-Id=\"0/0/0/1000_00000AE4\",Cisco-AVPair+=\"ip:sub-qos-policy-in=policy_in_10m\",Cisco-AVPair=\"ip:sub-qos-policy-out=policy_out_10m\"" | radclient -r1 -t1 -x 10.5.5.3:3799 coa superpassword Sent CoA-Request Id 224 from 0.0.0.0:41382 to 10.5.5.3:3799 length 137 User-Name = "02-00001" Acct-Session-Id = "0/0/0/1000_00000AE4" Cisco-AVPair += "ip:sub-qos-policy-in=policy_in_10m" Cisco-AVPair = "ip:sub-qos-policy-out=policy_out_10m" Received CoA-NAK Id 224 from 10.5.5.3:3799 to 10.5.5.2:41382 length 26 Error-Cause = 200 (0) -: Expected CoA-ACK got CoA-NAK Пробовал без политик через rate-limit, но тоже NAK. Связываю с тем, что Virtual-Access порт нельзя конфигурировать из конфига. Со сменой IP проблема в обоих случаях. Запрос: echo "User-Name=${LOGIN},Acct-Session-Id=\"0/0/0/1000_00000AEA\",Framed-IP-Address=\"<IP_address>\"" | radclient -r1 -t1 -x <nas_ip>:<nas_coa_port> coa <password> Может кто-нибудь подсказать, как правильно и что я не так делаю? Постоянно убивать сессии при каких-либо изменениях не очень хочется. Edited August 8, 2024 by Den4ikArgv Вставить ник Quote
alibek Posted August 9, 2024 Posted August 9, 2024 Вряд ли IP-адрес можно сменить без переподклюения. Для управления скоростью можно использовать Cisco-Account-Info="QU;xxx;D;xxx", они через CoA работают. Вставить ник Quote
Den4ikArgv Posted August 14, 2024 Author Posted August 14, 2024 (edited) Коллеги, добрый день! Подскажите, как можно навесить 2 policy-map type service на один виртуальный интерфейс Virtual-Access ручками и атрибуты для radius? Скрытый текст redirect server-group BLOCKED server ip 100.63.0.3 port 80 policy-map type service important_resources class type traffic important_resources police input 65000 1000 1500 police output 65000 1000 1500 policy-map type service BLOCK class type traffic REDIRECT redirect to group BLOCKED Две вот такие вот политики, под них соответственно созданы acl и class Edited August 14, 2024 by Den4ikArgv Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.