[lemut]

Cisco 7206VXR (NPE-G1)

IOS c7200-is-mz.122-31.SB11.bin

vpdn enable

!

vpdn-group HOMENETS

! Default PPTP VPDN group

accept-dialin

protocol pptp

virtual-template 1

 

class-map type traffic match-any traffic_local

match access-group output 130

match access-group input 120

!

class-map type traffic match-any traffic_world

match access-group input 140

match access-group output 150

!

class-map type control match-all PPP_SESSION

match protocol vpdn

!

class-map type control match-all PPP_UP

available authenticated-username

!

 

policy-map type service VPDN

service vpdn group HOMENETS

sg-service-type primary

!

policy-map type service traffic_local

class type traffic traffic_local

accounting aaa list ISG

!

class type traffic default in-out

drop

!

!

policy-map type service traffic_world

class type traffic traffic_world

accounting aaa list ISG

!

class type traffic default in-out

drop

!

!

policy-map type control L2_ACCESS

class type control PPP_SESSION event session-start

5 authenticate aaa list ISG

10 authorize aaa list ISG identifier authenticated-username

15 service-policy type service name traffic_local

20 service-policy type service name traffic_world

!

!

!

 

!

class-map match-any ftp

match access-group 126

 

access-list 126 permit ip host 10.10.4.18 any

access-list 126 permit ip 10.10.15.0 0.0.0.255 any

 

policy-map 128K

class ftp

shape average 2000000

 

*May 5 01:17:54.158: RADIUS: Cisco AVpair [1] 27 "ip:sub-qos-policy-in=128K"

*May 5 01:17:54.158: RADIUS: Vendor, Cisco [26] 34

*May 5 01:17:54.158: RADIUS: Cisco AVpair [1] 28 "ip:sub-qos-policy-out=128K"

*May 5 01:17:54.170: %SW_MGR-3-CM_ERROR_FEATURE_CLASS: Connection Manager Feature Error: Class SSS: (QoS) - install error, ignore.

-Traceback= 6106434C 610744BC 61F32564 61F32624 61074744 6107492C 61074D00 61062D78 610630C0 610631B0 6105EC64 6105F080

При такой настройкие шэйпинга вылизает подобная ошибка, может я где то ошибся???

 

Пробывал

policy-map 128K

class ftp

police cir 2000000

exceed-action drop

 

при такой настройке трафик идет всплесками, и не соответсвует скорости указаной в настрйке попытки измениея размеров буфера,

всплесков не превело к желаем результатом.

 

 

[Bambuk]

shape там только в class class-default может работать. но и то пакеты дропаются без превышения очередей под нагрузкой необъяснимо.

выделить этот трафик в отдельный сервис и навесить CAR там с burst и exceed - не вариант?

[lemut]

To Bambuk Хотелось бы на каждого абонента выделять полосы, разных велечин и в зависимости от напровлений. Если выделить трафик в сервис, то получится труба. То есть вы хотите сказать что это

*May 5 01:17:54.170: %SW_MGR-3-CM_ERROR_FEATURE_CLASS: Connection Manager Feature Error: Class SSS: (QoS) - install error, ignore

вызвано не правельной настройкой? На cisco.com не нашел информацию по этой ошибке

[cmhungry]

мы все-таки вот так давали на впн-кошку, так наиболее четко было с точки зрения резания скорости

 

''lcp:interface-config#1=rate-limit input XXX 12000 12000 conform-action continue exceed-action drop \n

rate-limit output XXX 12000 12000 conform-action continue exceed-action drop

 

 

[Bambuk]

lemut, еще на EFT 3 года назад мы наступили на эти грабли. Выглядело примерно так же. Вот нашел переписку с cisco:

 

Dec 7 15:05:25.443 MSK: %SW_MGR-3-CM_ERROR_FEATURE_CLASS: Connection Manager Feature Error: Class SSS: (QoS) - install error, ignore.

-Traceback= 607209C4 60D848EC 60D94430 622DA7BC 622DA87C 60D946B8 60D948A0 60D94C74 60D83340 60D83660 60D83750 60D7F348 60D7F750

Было сказано:

You cannot define a shaping under a user-defined class map. Traffic Shaping feature is not supported in user defined class of parent level policy

cmhungry, lcp:interface-config для навешивания QoS - устаревшая конструкция, для масштабируемости надо применять ip:sub-qos-policy-in/out.

[Cr_net]

lemut, еще на EFT 3 года назад мы наступили на эти грабли. Выглядело примерно так же. Вот нашел переписку с cisco:

Dec 7 15:05:25.443 MSK: %SW_MGR-3-CM_ERROR_FEATURE_CLASS: Connection Manager Feature Error: Class SSS: (QoS) - install error, ignore.

-Traceback= 607209C4 60D848EC 60D94430 622DA7BC 622DA87C 60D946B8 60D948A0 60D94C74 60D83340 60D83660 60D83750 60D7F348 60D7F750

Было сказано:

You cannot define a shaping under a user-defined class map. Traffic Shaping feature is not supported in user defined class of parent level policy

cmhungry, lcp:interface-config для навешивания QoS - устаревшая конструкция, для масштабируемости надо применять ip:sub-qos-policy-in/out.

Для масштабируемости, учитывая что у них c7200-is-mz.122-31.SB11 лучше применять rate-limit в профилях конкретного сервиса ISG, а не вешать на всю сессию. Опять же в этом иос работает вот такая конструкция с CBWFQ, а не CAR, назначаемая через av-pair "ip:sub-qos-policy-out=256K".

policy-map do_256K

class world-out

bandwidth percent 80

policy-map do_inet_256K

class world-out

shape average 256000

service-policy do_256K

class local-out

bandwidth percent 80

policy-map 256K

class class-default

shape average 10485760

service-policy do_inet_256K

Но применять её не надо, так как под нагрузкой на 72xx у небольшого, но достаточного количества пользователей policy-map применяется, но нифига не отрабатывает, счётчики попаданий по нулям, (кейс открыт, но на проблему забито с обеих сторон, хотя интересно если такой баг на ESR 10К) . К тому же применение CAR по сравнению с CBWFQ даёт экономию cpu примерно 30%.

 

[Bambuk]

На 10К/PRE2 вообще shape нельзя, даже в class-default :( Поэтому мы заказали парочку 1004 на пробу.

[cmhungry]

cmhungry, lcp:interface-config для навешивания QoS - устаревшая конструкция, для масштабируемости надо применять ip:sub-qos-policy-in/out.

Наверное да. Ибо мы для 71хх ее пользовали

[lemut]

To Cr_net Вы предлаегаете вещать конструкцию с ограничением CBWFQ на виртуальный интрефес, получаем у всех одинаковое ограничение скорости в зависимости от направления. Хотелось бы ограничивать в зависимости от типа клиента, и направления, но как я понял ни чего у меня не получится???

 

Инетересно кстати была вот такая версия для 122-31.SB11, а теперь 12.2(33)SB только для 10К. А для 7200 только 12.2(33)SRC....

Изменено 6 мая, 2008 пользователем lemut

[Bambuk]

Если направлений и типов клиентов не так много, то заведи соответствующее количество сервисов и включай их через RADIUS профиль, а не через policy-map type control железно в конфиге. Каждому клиенту собственный набор сервисов.

[lemut]

To Bambuk то есть service-policy передавать по CiscoAVPair? Подскажите пожалуйста радиус CiscoAVPair для передачи этого параметра...

[Cr_net]

To Cr_net Вы предлаегаете вещать конструкцию с ограничением CBWFQ на виртуальный интрефес, получаем у всех одинаковое ограничение скорости в зависимости от направления.

Кто мешает завести необходимое количество policy-map? Вряд ли вы в ограничение упрётесь. Проблема в другом, CBWFQ на 72xx не работает так как должно, поэтому применять его не надо. Можете применять CAR по классам так же через ip:sub-qos-policy-out= , но лучше CAR непосредственно в сервисе.

Хотелось бы ограничивать в зависимости от типа клиента, и направления, но как я понял ни чего у меня не получится???

http://www.cisco.com/en/US/docs/ios/12_2sb...uide/isg_c.html

http://www.cisco.com/en/US/docs/ios/12_2sb...ide/isg_ig.html

[Bambuk]

lemut, сами service-policy можно прописать и в конфиге. Если их там не будет, то они будут загружены с RADIUS. В качестве UserName будет имя сервиса, в качестве пароля то что вы в конфиге укажете для загрузки профилей.

А в пользовательских профилях сервисы включаются с помощью атрибутов:

Cisco-Account-Info = "Aимя_сервиса_1"

Cisco-Account-Info = "Aимя_сервиса_2"

и т.д.

 

при этом ваш policy-map type control L2_ACCESS можно вообще убрать и рулить всем с RADIUS.

[lemut]

Передаю

 

 

Cisco: Account-Info = "Atraffic_local"

Cisco: Account-Info = "Atraffic_world"

 

*May 12 01:29:30.392: RADIUS: Vendor, Cisco [26] 22

*May 12 01:29:30.392: RADIUS: ssg-account-info [250] 16 "Atraffic_local"

*May 12 01:29:30.392: RADIUS: Vendor, Cisco [26] 22

*May 12 01:29:30.392: RADIUS: ssg-account-info [250] 16 "Atraffic_world"

 

 

policy-map type service traffic_local

class type traffic traffic_local

accounting aaa list ISG

!

class type traffic default in-out

drop

!

!

policy-map type service traffic_world

class type traffic traffic_world

accounting aaa list ISG

!

class type traffic default in-out

drop

!

!

Сесия поднимается, а трафик не попадает под правила... Подскажите пойжалуства в чем дело???

На виртуал темплете сервисов не весит...

Изменено 12 мая, 2008 пользователем lemut

[Bambuk]

Оно не знает в каком порядке их просматривать. Добавьте приоритет. Например чтоб сначала просматривался локальный, а затем весь надо сделать так:

 

policy-map type service traffic_local

100 class type traffic traffic_local

accounting aaa list ISG

!

class type traffic default in-out

drop

!

!

policy-map type service traffic_world

200 class type traffic traffic_world

accounting aaa list ISG

!

class type traffic default in-out

drop

!

 

Что после этого будет в sh subscriber session username ... detailed ?

[lemut]

vpn_7206VXR#sh subscriber session username *** detailed

Unique Session ID: 141

Identifier: lem

SIP subscriber access type(s): VPDN/PPP

Current SIP options: Req Fwding/Req Fwded

Session Up-time: 00:00:26, Last Changed: 00:00:26

Interface: Virtual-Access2.1

 

Policy information:

Context 65094B7C: Handle A70000F8

AAA_id 0000005D: Flow_handle 0

Authentication status: authen

Downloaded User profile, excluding services:

sub-qos-policy-in "128K"

ssg-account-info "Atraffic_local"

ssg-account-info "Atraffic_world"

Downloaded User profile, including services:

sub-qos-policy-in "128K"

ssg-account-info "Atraffic_local"

ssg-account-info "Atraffic_world"

Config history for session (recent to oldest):

Access-type: PPP Client: SM

Policy event: Process Config Connecting

Profile name: apply-config-only, 2 references

sub-qos-policy-in "128K"

ssg-account-info "Atraffic_local"

ssg-account-info "Atraffic_world"

 

Session inbound features:

Feature: QoS Policy Map

Input Policy Map: 128K

 

Configuration sources associated with this session:

Interface: Virtual-Template1, Active Time = 00:00:26

По ACL не видно что бы пакеты попадали под правила

 

 

*May 12 02:41:33.080: RADIUS/ENCODE: Best Local IP-Address 217.*.*.* for Radius-Server 10.10.8.254

*May 12 02:41:33.080: RADIUS(0000005D): Send Access-Request to 10.10.8.254:1812 id 1645/87, len 91

*May 12 02:41:33.080: RADIUS: authenticator CD 1B 26 96 DC 2F 2A D7 - 07 5D EF 35 74 2C A0 22

*May 12 02:41:33.080: RADIUS: Framed-Protocol [7] 6 PPP [1]

*May 12 02:41:33.080: RADIUS: User-Name [1] 5 "***"

*May 12 02:41:33.080: RADIUS: CHAP-Password [3] 19 *

*May 12 02:41:33.080: RADIUS: NAS-Port-Type [61] 6 Virtual [5]

*May 12 02:41:33.080: RADIUS: NAS-Port [5] 6 141

*May 12 02:41:33.080: RADIUS: NAS-Port-Id [87] 17 "Uniq-Sess-ID141"

*May 12 02:41:33.080: RADIUS: Service-Type [6] 6 Framed [2]

*May 12 02:41:33.080: RADIUS: NAS-IP-Address [4] 6 217.*.*.*

*May 12 02:41:33.368: RADIUS: Received from id 1645/87 10.10.8.254:1812, Access-Accept, len 97

*May 12 02:41:33.368: RADIUS: authenticator 42 0F F5 B5 34 15 FF CC - 40 86 FC 2A 96 2C 47 83

*May 12 02:41:33.368: RADIUS: Vendor, Cisco [26] 33

*May 12 02:41:33.368: RADIUS: Cisco AVpair [1] 27 "ip:sub-qos-policy-in=128K"

*May 12 02:41:33.368: RADIUS: Vendor, Cisco [26] 22

*May 12 02:41:33.368: RADIUS: ssg-account-info [250] 16 "Atraffic_local"

*May 12 02:41:33.368: RADIUS: Vendor, Cisco [26] 22

*May 12 02:41:33.368: RADIUS: ssg-account-info [250] 16 "Atraffic_world"

*May 12 02:41:33.372: RADIUS(0000005D): Received from id 1645/87

*May 12 02:41:33.372: RADIUS/ENCODE(0000005D):Orig. component type = VPDN

*May 12 02:41:33.372: RADIUS(0000005D): Config NAS IP: 0.0.0.0

*May 12 02:41:33.372: RADIUS/ENCODE(0000005D): acct_session_id: 151

*May 12 02:41:33.372: RADIUS(0000005D): sending

*May 12 02:41:33.372: RADIUS/ENCODE(0000005D):Orig. component type = VPDN

*May 12 02:41:33.372: RADIUS(0000005D): Config NAS IP: 0.0.0.0

*May 12 02:41:33.372: RADIUS/ENCODE(0000005D): acct_session_id: 151

*May 12 02:41:33.372: RADIUS(0000005D): sending

*May 12 02:41:33.372: RADIUS/ENCODE: Best Local IP-Address 217.*.*.* for Radius-Server 10.10.8.254

*May 12 02:41:33.372: RADIUS(0000005D): Send Access-Request to 10.10.8.254:1812 id 1645/88, len 94

*May 12 02:41:33.372: RADIUS: authenticator 90 3D 36 14 8D C4 9F DC - E7 7D 13 C5 5C 63 83 EC

*May 12 02:41:33.372: RADIUS: User-Name [1] 15 "traffic_world"

*May 12 02:41:33.372: RADIUS: User-Password [2] 18 *

*May 12 02:41:33.372: RADIUS: NAS-Port-Type [61] 6 Virtual [5]

*May 12 02:41:33.372: RADIUS: NAS-Port [5] 6 141

*May 12 02:41:33.372: RADIUS: NAS-Port-Id [87] 17 "Uniq-Sess-ID141"

*May 12 02:41:33.372: RADIUS: Service-Type [6] 6 Outbound [5]

*May 12 02:41:33.372: RADIUS: NAS-IP-Address [4] 6 217.*.*.*

*May 12 02:41:33.372: RADIUS/ENCODE: Best Local IP-Address 217.*.*.* for Radius-Server 10.10.8.254

*May 12 02:41:33.372: RADIUS(0000005D): Send Access-Request to 10.10.8.254:1812 id 1645/89, len 94

*May 12 02:41:33.372: RADIUS: authenticator C7 2B 3E 29 71 15 78 0D - A2 D0 18 7A 48 07 1A 71

*May 12 02:41:33.372: RADIUS: User-Name [1] 15 "traffic_local"

*May 12 02:41:33.376: RADIUS: User-Password [2] 18 *

*May 12 02:41:33.376: RADIUS: NAS-Port-Type [61] 6 Virtual [5]

*May 12 02:41:33.376: RADIUS: NAS-Port [5] 6 141

*May 12 02:41:33.376: RADIUS: NAS-Port-Id [87] 17 "Uniq-Sess-ID141"

*May 12 02:41:33.376: RADIUS: Service-Type [6] 6 Outbound [5]

*May 12 02:41:33.376: RADIUS: NAS-IP-Address [4] 6 217.*.*.*

*May 12 02:41:33.688: RADIUS: Received from id 1645/88 10.10.8.254:1812, Access-Reject, len 36

*May 12 02:41:33.688: RADIUS: authenticator 6C 71 53 74 86 D8 7A 4E - E7 15 A6 17 9F 9C A6 21

*May 12 02:41:33.688: RADIUS: Reply-Message [18] 16

*May 12 02:41:33.688: RADIUS: 52 65 71 75 65 73 74 20 44 65 6E 69 65 64 [ Request Denied]

*May 12 02:41:33.688: RADIUS(0000005D): Received from id 1645/88

vpn_7206VXR#

*May 12 02:41:33.688: RADIUS/DECODE: Reply-Message fragments, 14, total 14 bytes

*May 12 02:41:33.728: RADIUS: Received from id 1645/89 10.10.8.254:1812, Access-Reject, len 36

*May 12 02:41:33.728: RADIUS: authenticator 2F D4 09 28 0C 9A 86 12 - 94 42 F6 04 1B 12 66 48

*May 12 02:41:33.728: RADIUS: Reply-Message [18] 16

*May 12 02:41:33.728: RADIUS: 52 65 71 75 65 73 74 20 44 65 6E 69 65 64 [ Request Denied]

*May 12 02:41:33.728: RADIUS(0000005D): Received from id 1645/89

*May 12 02:41:33.728: RADIUS/DECODE: Reply-Message fragments, 14, total 14 bytes

 

 

Читаю пример конфигурации, в котором сервисы передаются через радиус, это не обязательный вариант создания

сервисов???

Изменено 12 мая, 2008 пользователем lemut

[Cr_net]

vpn_7206VXR#sh subscriber session username *** detailed

Unique Session ID: 141

Identifier: lem

SIP subscriber access type(s): VPDN/PPP

Current SIP options: Req Fwding/Req Fwded

Session Up-time: 00:00:26, Last Changed: 00:00:26

Interface: Virtual-Access2.1

 

Policy information:

Context 65094B7C: Handle A70000F8

AAA_id 0000005D: Flow_handle 0

Authentication status: authen

Downloaded User profile, excluding services:

sub-qos-policy-in "128K"

ssg-account-info "Atraffic_local"

ssg-account-info "Atraffic_world"

Downloaded User profile, including services:

sub-qos-policy-in "128K"

ssg-account-info "Atraffic_local"

ssg-account-info "Atraffic_world"

Config history for session (recent to oldest):

Access-type: PPP Client: SM

Policy event: Process Config Connecting

Profile name: apply-config-only, 2 references

sub-qos-policy-in "128K"

ssg-account-info "Atraffic_local"

ssg-account-info "Atraffic_world"

 

Session inbound features:

Feature: QoS Policy Map

Input Policy Map: 128K

 

Configuration sources associated with this session:

Interface: Virtual-Template1, Active Time = 00:00:26

По ACL не видно что бы пакеты попадали под правила

 

 

*May 12 02:41:33.080: RADIUS/ENCODE: Best Local IP-Address 217.*.*.* for Radius-Server 10.10.8.254

*May 12 02:41:33.080: RADIUS(0000005D): Send Access-Request to 10.10.8.254:1812 id 1645/87, len 91

*May 12 02:41:33.080: RADIUS: authenticator CD 1B 26 96 DC 2F 2A D7 - 07 5D EF 35 74 2C A0 22

*May 12 02:41:33.080: RADIUS: Framed-Protocol [7] 6 PPP [1]

*May 12 02:41:33.080: RADIUS: User-Name [1] 5 "***"

*May 12 02:41:33.080: RADIUS: CHAP-Password [3] 19 *

*May 12 02:41:33.080: RADIUS: NAS-Port-Type [61] 6 Virtual [5]

*May 12 02:41:33.080: RADIUS: NAS-Port [5] 6 141

*May 12 02:41:33.080: RADIUS: NAS-Port-Id [87] 17 "Uniq-Sess-ID141"

*May 12 02:41:33.080: RADIUS: Service-Type [6] 6 Framed [2]

*May 12 02:41:33.080: RADIUS: NAS-IP-Address [4] 6 217.*.*.*

*May 12 02:41:33.368: RADIUS: Received from id 1645/87 10.10.8.254:1812, Access-Accept, len 97

*May 12 02:41:33.368: RADIUS: authenticator 42 0F F5 B5 34 15 FF CC - 40 86 FC 2A 96 2C 47 83

*May 12 02:41:33.368: RADIUS: Vendor, Cisco [26] 33

*May 12 02:41:33.368: RADIUS: Cisco AVpair [1] 27 "ip:sub-qos-policy-in=128K"

*May 12 02:41:33.368: RADIUS: Vendor, Cisco [26] 22

*May 12 02:41:33.368: RADIUS: ssg-account-info [250] 16 "Atraffic_local"

*May 12 02:41:33.368: RADIUS: Vendor, Cisco [26] 22

*May 12 02:41:33.368: RADIUS: ssg-account-info [250] 16 "Atraffic_world"

*May 12 02:41:33.372: RADIUS(0000005D): Received from id 1645/87

*May 12 02:41:33.372: RADIUS/ENCODE(0000005D):Orig. component type = VPDN

*May 12 02:41:33.372: RADIUS(0000005D): Config NAS IP: 0.0.0.0

*May 12 02:41:33.372: RADIUS/ENCODE(0000005D): acct_session_id: 151

*May 12 02:41:33.372: RADIUS(0000005D): sending

*May 12 02:41:33.372: RADIUS/ENCODE(0000005D):Orig. component type = VPDN

*May 12 02:41:33.372: RADIUS(0000005D): Config NAS IP: 0.0.0.0

*May 12 02:41:33.372: RADIUS/ENCODE(0000005D): acct_session_id: 151

*May 12 02:41:33.372: RADIUS(0000005D): sending

*May 12 02:41:33.372: RADIUS/ENCODE: Best Local IP-Address 217.*.*.* for Radius-Server 10.10.8.254

*May 12 02:41:33.372: RADIUS(0000005D): Send Access-Request to 10.10.8.254:1812 id 1645/88, len 94

*May 12 02:41:33.372: RADIUS: authenticator 90 3D 36 14 8D C4 9F DC - E7 7D 13 C5 5C 63 83 EC

*May 12 02:41:33.372: RADIUS: User-Name [1] 15 "traffic_world"

*May 12 02:41:33.372: RADIUS: User-Password [2] 18 *

*May 12 02:41:33.372: RADIUS: NAS-Port-Type [61] 6 Virtual [5]

*May 12 02:41:33.372: RADIUS: NAS-Port [5] 6 141

*May 12 02:41:33.372: RADIUS: NAS-Port-Id [87] 17 "Uniq-Sess-ID141"

*May 12 02:41:33.372: RADIUS: Service-Type [6] 6 Outbound [5]

*May 12 02:41:33.372: RADIUS: NAS-IP-Address [4] 6 217.*.*.*

*May 12 02:41:33.372: RADIUS/ENCODE: Best Local IP-Address 217.*.*.* for Radius-Server 10.10.8.254

*May 12 02:41:33.372: RADIUS(0000005D): Send Access-Request to 10.10.8.254:1812 id 1645/89, len 94

*May 12 02:41:33.372: RADIUS: authenticator C7 2B 3E 29 71 15 78 0D - A2 D0 18 7A 48 07 1A 71

*May 12 02:41:33.372: RADIUS: User-Name [1] 15 "traffic_local"

*May 12 02:41:33.376: RADIUS: User-Password [2] 18 *

*May 12 02:41:33.376: RADIUS: NAS-Port-Type [61] 6 Virtual [5]

*May 12 02:41:33.376: RADIUS: NAS-Port [5] 6 141

*May 12 02:41:33.376: RADIUS: NAS-Port-Id [87] 17 "Uniq-Sess-ID141"

*May 12 02:41:33.376: RADIUS: Service-Type [6] 6 Outbound [5]

*May 12 02:41:33.376: RADIUS: NAS-IP-Address [4] 6 217.*.*.*

*May 12 02:41:33.688: RADIUS: Received from id 1645/88 10.10.8.254:1812, Access-Reject, len 36

*May 12 02:41:33.688: RADIUS: authenticator 6C 71 53 74 86 D8 7A 4E - E7 15 A6 17 9F 9C A6 21

*May 12 02:41:33.688: RADIUS: Reply-Message [18] 16

*May 12 02:41:33.688: RADIUS: 52 65 71 75 65 73 74 20 44 65 6E 69 65 64 [ Request Denied]

*May 12 02:41:33.688: RADIUS(0000005D): Received from id 1645/88

vpn_7206VXR#

*May 12 02:41:33.688: RADIUS/DECODE: Reply-Message fragments, 14, total 14 bytes

*May 12 02:41:33.728: RADIUS: Received from id 1645/89 10.10.8.254:1812, Access-Reject, len 36

*May 12 02:41:33.728: RADIUS: authenticator 2F D4 09 28 0C 9A 86 12 - 94 42 F6 04 1B 12 66 48

*May 12 02:41:33.728: RADIUS: Reply-Message [18] 16

*May 12 02:41:33.728: RADIUS: 52 65 71 75 65 73 74 20 44 65 6E 69 65 64 [ Request Denied]

*May 12 02:41:33.728: RADIUS(0000005D): Received from id 1645/89

*May 12 02:41:33.728: RADIUS/DECODE: Reply-Message fragments, 14, total 14 bytes

 

 

Читаю пример конфигурации, в котором сервисы передаются через радиус, это не обязательный вариант создания

сервисов???

У Вас не видно Active services associated with session:

В aaa не указано где железка должна брать сервисы локально или с радиуса.

aaa authorization network default парампампам или local

aaa authorization subscriber-service default group парампампам или local

Плясать отсюда:

show run | inc aaa

debug debug subscriber aaa authorization

debug subscriber service

debug subscriber error

debug subscriber fsm

ter monitor

 

 

[Bambuk]

aaa authorization subscriber-service default local group ...

 

local имеется и стоит на первом месте? Если нет, то оно в конфиг за сервисами смотреть не будет. По вашему дебагу как раз видно, что оно сервисы с RADIUS сервера хочет загрузить.

 

И в RADIUS профиль пользователя я бы еще как минимум добавил:

 

Framed-Protocol = PPP

Service-Type = Framed-User

[lemut]

Благодарю, таким образом сервисы подключаются