lemut Опубликовано 5 мая, 2008 · Жалоба Cisco 7206VXR (NPE-G1) IOS c7200-is-mz.122-31.SB11.bin vpdn enable ! vpdn-group HOMENETS ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 class-map type traffic match-any traffic_local match access-group output 130 match access-group input 120 ! class-map type traffic match-any traffic_world match access-group input 140 match access-group output 150 ! class-map type control match-all PPP_SESSION match protocol vpdn ! class-map type control match-all PPP_UP available authenticated-username ! policy-map type service VPDN service vpdn group HOMENETS sg-service-type primary ! policy-map type service traffic_local class type traffic traffic_local accounting aaa list ISG ! class type traffic default in-out drop ! ! policy-map type service traffic_world class type traffic traffic_world accounting aaa list ISG ! class type traffic default in-out drop ! ! policy-map type control L2_ACCESS class type control PPP_SESSION event session-start 5 authenticate aaa list ISG 10 authorize aaa list ISG identifier authenticated-username 15 service-policy type service name traffic_local 20 service-policy type service name traffic_world ! ! ! ! class-map match-any ftp match access-group 126 access-list 126 permit ip host 10.10.4.18 any access-list 126 permit ip 10.10.15.0 0.0.0.255 any policy-map 128K class ftp shape average 2000000 *May 5 01:17:54.158: RADIUS: Cisco AVpair [1] 27 "ip:sub-qos-policy-in=128K" *May 5 01:17:54.158: RADIUS: Vendor, Cisco [26] 34 *May 5 01:17:54.158: RADIUS: Cisco AVpair [1] 28 "ip:sub-qos-policy-out=128K" *May 5 01:17:54.170: %SW_MGR-3-CM_ERROR_FEATURE_CLASS: Connection Manager Feature Error: Class SSS: (QoS) - install error, ignore. -Traceback= 6106434C 610744BC 61F32564 61F32624 61074744 6107492C 61074D00 61062D78 610630C0 610631B0 6105EC64 6105F080 При такой настройкие шэйпинга вылизает подобная ошибка, может я где то ошибся??? Пробывал policy-map 128K class ftp police cir 2000000 exceed-action drop при такой настройке трафик идет всплесками, и не соответсвует скорости указаной в настрйке попытки измениея размеров буфера, всплесков не превело к желаем результатом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 5 мая, 2008 · Жалоба shape там только в class class-default может работать. но и то пакеты дропаются без превышения очередей под нагрузкой необъяснимо. выделить этот трафик в отдельный сервис и навесить CAR там с burst и exceed - не вариант? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lemut Опубликовано 5 мая, 2008 · Жалоба To Bambuk Хотелось бы на каждого абонента выделять полосы, разных велечин и в зависимости от напровлений. Если выделить трафик в сервис, то получится труба. То есть вы хотите сказать что это *May 5 01:17:54.170: %SW_MGR-3-CM_ERROR_FEATURE_CLASS: Connection Manager Feature Error: Class SSS: (QoS) - install error, ignore вызвано не правельной настройкой? На cisco.com не нашел информацию по этой ошибке Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 5 мая, 2008 · Жалоба мы все-таки вот так давали на впн-кошку, так наиболее четко было с точки зрения резания скорости ''lcp:interface-config#1=rate-limit input XXX 12000 12000 conform-action continue exceed-action drop \n rate-limit output XXX 12000 12000 conform-action continue exceed-action drop Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 5 мая, 2008 · Жалоба lemut, еще на EFT 3 года назад мы наступили на эти грабли. Выглядело примерно так же. Вот нашел переписку с cisco: Dec 7 15:05:25.443 MSK: %SW_MGR-3-CM_ERROR_FEATURE_CLASS: Connection Manager Feature Error: Class SSS: (QoS) - install error, ignore.-Traceback= 607209C4 60D848EC 60D94430 622DA7BC 622DA87C 60D946B8 60D948A0 60D94C74 60D83340 60D83660 60D83750 60D7F348 60D7F750 Было сказано: You cannot define a shaping under a user-defined class map. Traffic Shaping feature is not supported in user defined class of parent level policy cmhungry, lcp:interface-config для навешивания QoS - устаревшая конструкция, для масштабируемости надо применять ip:sub-qos-policy-in/out. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cr_net Опубликовано 5 мая, 2008 · Жалоба lemut, еще на EFT 3 года назад мы наступили на эти грабли. Выглядело примерно так же. Вот нашел переписку с cisco:Dec 7 15:05:25.443 MSK: %SW_MGR-3-CM_ERROR_FEATURE_CLASS: Connection Manager Feature Error: Class SSS: (QoS) - install error, ignore.-Traceback= 607209C4 60D848EC 60D94430 622DA7BC 622DA87C 60D946B8 60D948A0 60D94C74 60D83340 60D83660 60D83750 60D7F348 60D7F750 Было сказано:You cannot define a shaping under a user-defined class map. Traffic Shaping feature is not supported in user defined class of parent level policycmhungry, lcp:interface-config для навешивания QoS - устаревшая конструкция, для масштабируемости надо применять ip:sub-qos-policy-in/out. Для масштабируемости, учитывая что у них c7200-is-mz.122-31.SB11 лучше применять rate-limit в профилях конкретного сервиса ISG, а не вешать на всю сессию. Опять же в этом иос работает вот такая конструкция с CBWFQ, а не CAR, назначаемая через av-pair "ip:sub-qos-policy-out=256K".policy-map do_256K class world-out bandwidth percent 80 policy-map do_inet_256K class world-out shape average 256000 service-policy do_256K class local-out bandwidth percent 80 policy-map 256K class class-default shape average 10485760 service-policy do_inet_256K Но применять её не надо, так как под нагрузкой на 72xx у небольшого, но достаточного количества пользователей policy-map применяется, но нифига не отрабатывает, счётчики попаданий по нулям, (кейс открыт, но на проблему забито с обеих сторон, хотя интересно если такой баг на ESR 10К) . К тому же применение CAR по сравнению с CBWFQ даёт экономию cpu примерно 30%. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 5 мая, 2008 · Жалоба На 10К/PRE2 вообще shape нельзя, даже в class-default :( Поэтому мы заказали парочку 1004 на пробу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 5 мая, 2008 · Жалоба cmhungry, lcp:interface-config для навешивания QoS - устаревшая конструкция, для масштабируемости надо применять ip:sub-qos-policy-in/out. Наверное да. Ибо мы для 71хх ее пользовали Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lemut Опубликовано 6 мая, 2008 (изменено) · Жалоба To Cr_net Вы предлаегаете вещать конструкцию с ограничением CBWFQ на виртуальный интрефес, получаем у всех одинаковое ограничение скорости в зависимости от направления. Хотелось бы ограничивать в зависимости от типа клиента, и направления, но как я понял ни чего у меня не получится??? Инетересно кстати была вот такая версия для 122-31.SB11, а теперь 12.2(33)SB только для 10К. А для 7200 только 12.2(33)SRC.... Изменено 6 мая, 2008 пользователем lemut Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 6 мая, 2008 · Жалоба Если направлений и типов клиентов не так много, то заведи соответствующее количество сервисов и включай их через RADIUS профиль, а не через policy-map type control железно в конфиге. Каждому клиенту собственный набор сервисов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lemut Опубликовано 6 мая, 2008 · Жалоба To Bambuk то есть service-policy передавать по CiscoAVPair? Подскажите пожалуйста радиус CiscoAVPair для передачи этого параметра... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cr_net Опубликовано 6 мая, 2008 · Жалоба To Cr_net Вы предлаегаете вещать конструкцию с ограничением CBWFQ на виртуальный интрефес, получаем у всех одинаковое ограничение скорости в зависимости от направления.Кто мешает завести необходимое количество policy-map? Вряд ли вы в ограничение упрётесь. Проблема в другом, CBWFQ на 72xx не работает так как должно, поэтому применять его не надо. Можете применять CAR по классам так же через ip:sub-qos-policy-out= , но лучше CAR непосредственно в сервисе.Хотелось бы ограничивать в зависимости от типа клиента, и направления, но как я понял ни чего у меня не получится??? http://www.cisco.com/en/US/docs/ios/12_2sb...uide/isg_c.htmlhttp://www.cisco.com/en/US/docs/ios/12_2sb...ide/isg_ig.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 6 мая, 2008 · Жалоба lemut, сами service-policy можно прописать и в конфиге. Если их там не будет, то они будут загружены с RADIUS. В качестве UserName будет имя сервиса, в качестве пароля то что вы в конфиге укажете для загрузки профилей. А в пользовательских профилях сервисы включаются с помощью атрибутов: Cisco-Account-Info = "Aимя_сервиса_1" Cisco-Account-Info = "Aимя_сервиса_2" и т.д. при этом ваш policy-map type control L2_ACCESS можно вообще убрать и рулить всем с RADIUS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lemut Опубликовано 12 мая, 2008 (изменено) · Жалоба Передаю Cisco: Account-Info = "Atraffic_local" Cisco: Account-Info = "Atraffic_world" *May 12 01:29:30.392: RADIUS: Vendor, Cisco [26] 22 *May 12 01:29:30.392: RADIUS: ssg-account-info [250] 16 "Atraffic_local" *May 12 01:29:30.392: RADIUS: Vendor, Cisco [26] 22 *May 12 01:29:30.392: RADIUS: ssg-account-info [250] 16 "Atraffic_world" policy-map type service traffic_local class type traffic traffic_local accounting aaa list ISG ! class type traffic default in-out drop ! ! policy-map type service traffic_world class type traffic traffic_world accounting aaa list ISG ! class type traffic default in-out drop ! ! Сесия поднимается, а трафик не попадает под правила... Подскажите пойжалуства в чем дело??? На виртуал темплете сервисов не весит... Изменено 12 мая, 2008 пользователем lemut Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 12 мая, 2008 · Жалоба Оно не знает в каком порядке их просматривать. Добавьте приоритет. Например чтоб сначала просматривался локальный, а затем весь надо сделать так: policy-map type service traffic_local 100 class type traffic traffic_local accounting aaa list ISG ! class type traffic default in-out drop ! ! policy-map type service traffic_world 200 class type traffic traffic_world accounting aaa list ISG ! class type traffic default in-out drop ! Что после этого будет в sh subscriber session username ... detailed ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lemut Опубликовано 12 мая, 2008 (изменено) · Жалоба vpn_7206VXR#sh subscriber session username *** detailed Unique Session ID: 141 Identifier: lem SIP subscriber access type(s): VPDN/PPP Current SIP options: Req Fwding/Req Fwded Session Up-time: 00:00:26, Last Changed: 00:00:26 Interface: Virtual-Access2.1 Policy information: Context 65094B7C: Handle A70000F8 AAA_id 0000005D: Flow_handle 0 Authentication status: authen Downloaded User profile, excluding services: sub-qos-policy-in "128K" ssg-account-info "Atraffic_local" ssg-account-info "Atraffic_world" Downloaded User profile, including services: sub-qos-policy-in "128K" ssg-account-info "Atraffic_local" ssg-account-info "Atraffic_world" Config history for session (recent to oldest): Access-type: PPP Client: SM Policy event: Process Config Connecting Profile name: apply-config-only, 2 references sub-qos-policy-in "128K" ssg-account-info "Atraffic_local" ssg-account-info "Atraffic_world" Session inbound features: Feature: QoS Policy Map Input Policy Map: 128K Configuration sources associated with this session: Interface: Virtual-Template1, Active Time = 00:00:26 По ACL не видно что бы пакеты попадали под правила *May 12 02:41:33.080: RADIUS/ENCODE: Best Local IP-Address 217.*.*.* for Radius-Server 10.10.8.254 *May 12 02:41:33.080: RADIUS(0000005D): Send Access-Request to 10.10.8.254:1812 id 1645/87, len 91 *May 12 02:41:33.080: RADIUS: authenticator CD 1B 26 96 DC 2F 2A D7 - 07 5D EF 35 74 2C A0 22 *May 12 02:41:33.080: RADIUS: Framed-Protocol [7] 6 PPP [1] *May 12 02:41:33.080: RADIUS: User-Name [1] 5 "***" *May 12 02:41:33.080: RADIUS: CHAP-Password [3] 19 * *May 12 02:41:33.080: RADIUS: NAS-Port-Type [61] 6 Virtual [5] *May 12 02:41:33.080: RADIUS: NAS-Port [5] 6 141 *May 12 02:41:33.080: RADIUS: NAS-Port-Id [87] 17 "Uniq-Sess-ID141" *May 12 02:41:33.080: RADIUS: Service-Type [6] 6 Framed [2] *May 12 02:41:33.080: RADIUS: NAS-IP-Address [4] 6 217.*.*.* *May 12 02:41:33.368: RADIUS: Received from id 1645/87 10.10.8.254:1812, Access-Accept, len 97 *May 12 02:41:33.368: RADIUS: authenticator 42 0F F5 B5 34 15 FF CC - 40 86 FC 2A 96 2C 47 83 *May 12 02:41:33.368: RADIUS: Vendor, Cisco [26] 33 *May 12 02:41:33.368: RADIUS: Cisco AVpair [1] 27 "ip:sub-qos-policy-in=128K" *May 12 02:41:33.368: RADIUS: Vendor, Cisco [26] 22 *May 12 02:41:33.368: RADIUS: ssg-account-info [250] 16 "Atraffic_local" *May 12 02:41:33.368: RADIUS: Vendor, Cisco [26] 22 *May 12 02:41:33.368: RADIUS: ssg-account-info [250] 16 "Atraffic_world" *May 12 02:41:33.372: RADIUS(0000005D): Received from id 1645/87 *May 12 02:41:33.372: RADIUS/ENCODE(0000005D):Orig. component type = VPDN *May 12 02:41:33.372: RADIUS(0000005D): Config NAS IP: 0.0.0.0 *May 12 02:41:33.372: RADIUS/ENCODE(0000005D): acct_session_id: 151 *May 12 02:41:33.372: RADIUS(0000005D): sending *May 12 02:41:33.372: RADIUS/ENCODE(0000005D):Orig. component type = VPDN *May 12 02:41:33.372: RADIUS(0000005D): Config NAS IP: 0.0.0.0 *May 12 02:41:33.372: RADIUS/ENCODE(0000005D): acct_session_id: 151 *May 12 02:41:33.372: RADIUS(0000005D): sending *May 12 02:41:33.372: RADIUS/ENCODE: Best Local IP-Address 217.*.*.* for Radius-Server 10.10.8.254 *May 12 02:41:33.372: RADIUS(0000005D): Send Access-Request to 10.10.8.254:1812 id 1645/88, len 94 *May 12 02:41:33.372: RADIUS: authenticator 90 3D 36 14 8D C4 9F DC - E7 7D 13 C5 5C 63 83 EC *May 12 02:41:33.372: RADIUS: User-Name [1] 15 "traffic_world" *May 12 02:41:33.372: RADIUS: User-Password [2] 18 * *May 12 02:41:33.372: RADIUS: NAS-Port-Type [61] 6 Virtual [5] *May 12 02:41:33.372: RADIUS: NAS-Port [5] 6 141 *May 12 02:41:33.372: RADIUS: NAS-Port-Id [87] 17 "Uniq-Sess-ID141" *May 12 02:41:33.372: RADIUS: Service-Type [6] 6 Outbound [5] *May 12 02:41:33.372: RADIUS: NAS-IP-Address [4] 6 217.*.*.* *May 12 02:41:33.372: RADIUS/ENCODE: Best Local IP-Address 217.*.*.* for Radius-Server 10.10.8.254 *May 12 02:41:33.372: RADIUS(0000005D): Send Access-Request to 10.10.8.254:1812 id 1645/89, len 94 *May 12 02:41:33.372: RADIUS: authenticator C7 2B 3E 29 71 15 78 0D - A2 D0 18 7A 48 07 1A 71 *May 12 02:41:33.372: RADIUS: User-Name [1] 15 "traffic_local" *May 12 02:41:33.376: RADIUS: User-Password [2] 18 * *May 12 02:41:33.376: RADIUS: NAS-Port-Type [61] 6 Virtual [5] *May 12 02:41:33.376: RADIUS: NAS-Port [5] 6 141 *May 12 02:41:33.376: RADIUS: NAS-Port-Id [87] 17 "Uniq-Sess-ID141" *May 12 02:41:33.376: RADIUS: Service-Type [6] 6 Outbound [5] *May 12 02:41:33.376: RADIUS: NAS-IP-Address [4] 6 217.*.*.* *May 12 02:41:33.688: RADIUS: Received from id 1645/88 10.10.8.254:1812, Access-Reject, len 36 *May 12 02:41:33.688: RADIUS: authenticator 6C 71 53 74 86 D8 7A 4E - E7 15 A6 17 9F 9C A6 21 *May 12 02:41:33.688: RADIUS: Reply-Message [18] 16 *May 12 02:41:33.688: RADIUS: 52 65 71 75 65 73 74 20 44 65 6E 69 65 64 [ Request Denied] *May 12 02:41:33.688: RADIUS(0000005D): Received from id 1645/88 vpn_7206VXR# *May 12 02:41:33.688: RADIUS/DECODE: Reply-Message fragments, 14, total 14 bytes *May 12 02:41:33.728: RADIUS: Received from id 1645/89 10.10.8.254:1812, Access-Reject, len 36 *May 12 02:41:33.728: RADIUS: authenticator 2F D4 09 28 0C 9A 86 12 - 94 42 F6 04 1B 12 66 48 *May 12 02:41:33.728: RADIUS: Reply-Message [18] 16 *May 12 02:41:33.728: RADIUS: 52 65 71 75 65 73 74 20 44 65 6E 69 65 64 [ Request Denied] *May 12 02:41:33.728: RADIUS(0000005D): Received from id 1645/89 *May 12 02:41:33.728: RADIUS/DECODE: Reply-Message fragments, 14, total 14 bytes Читаю пример конфигурации, в котором сервисы передаются через радиус, это не обязательный вариант создания сервисов??? Изменено 12 мая, 2008 пользователем lemut Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cr_net Опубликовано 12 мая, 2008 · Жалоба vpn_7206VXR#sh subscriber session username *** detailedUnique Session ID: 141 Identifier: lem SIP subscriber access type(s): VPDN/PPP Current SIP options: Req Fwding/Req Fwded Session Up-time: 00:00:26, Last Changed: 00:00:26 Interface: Virtual-Access2.1 Policy information: Context 65094B7C: Handle A70000F8 AAA_id 0000005D: Flow_handle 0 Authentication status: authen Downloaded User profile, excluding services: sub-qos-policy-in "128K" ssg-account-info "Atraffic_local" ssg-account-info "Atraffic_world" Downloaded User profile, including services: sub-qos-policy-in "128K" ssg-account-info "Atraffic_local" ssg-account-info "Atraffic_world" Config history for session (recent to oldest): Access-type: PPP Client: SM Policy event: Process Config Connecting Profile name: apply-config-only, 2 references sub-qos-policy-in "128K" ssg-account-info "Atraffic_local" ssg-account-info "Atraffic_world" Session inbound features: Feature: QoS Policy Map Input Policy Map: 128K Configuration sources associated with this session: Interface: Virtual-Template1, Active Time = 00:00:26 По ACL не видно что бы пакеты попадали под правила *May 12 02:41:33.080: RADIUS/ENCODE: Best Local IP-Address 217.*.*.* for Radius-Server 10.10.8.254 *May 12 02:41:33.080: RADIUS(0000005D): Send Access-Request to 10.10.8.254:1812 id 1645/87, len 91 *May 12 02:41:33.080: RADIUS: authenticator CD 1B 26 96 DC 2F 2A D7 - 07 5D EF 35 74 2C A0 22 *May 12 02:41:33.080: RADIUS: Framed-Protocol [7] 6 PPP [1] *May 12 02:41:33.080: RADIUS: User-Name [1] 5 "***" *May 12 02:41:33.080: RADIUS: CHAP-Password [3] 19 * *May 12 02:41:33.080: RADIUS: NAS-Port-Type [61] 6 Virtual [5] *May 12 02:41:33.080: RADIUS: NAS-Port [5] 6 141 *May 12 02:41:33.080: RADIUS: NAS-Port-Id [87] 17 "Uniq-Sess-ID141" *May 12 02:41:33.080: RADIUS: Service-Type [6] 6 Framed [2] *May 12 02:41:33.080: RADIUS: NAS-IP-Address [4] 6 217.*.*.* *May 12 02:41:33.368: RADIUS: Received from id 1645/87 10.10.8.254:1812, Access-Accept, len 97 *May 12 02:41:33.368: RADIUS: authenticator 42 0F F5 B5 34 15 FF CC - 40 86 FC 2A 96 2C 47 83 *May 12 02:41:33.368: RADIUS: Vendor, Cisco [26] 33 *May 12 02:41:33.368: RADIUS: Cisco AVpair [1] 27 "ip:sub-qos-policy-in=128K" *May 12 02:41:33.368: RADIUS: Vendor, Cisco [26] 22 *May 12 02:41:33.368: RADIUS: ssg-account-info [250] 16 "Atraffic_local" *May 12 02:41:33.368: RADIUS: Vendor, Cisco [26] 22 *May 12 02:41:33.368: RADIUS: ssg-account-info [250] 16 "Atraffic_world" *May 12 02:41:33.372: RADIUS(0000005D): Received from id 1645/87 *May 12 02:41:33.372: RADIUS/ENCODE(0000005D):Orig. component type = VPDN *May 12 02:41:33.372: RADIUS(0000005D): Config NAS IP: 0.0.0.0 *May 12 02:41:33.372: RADIUS/ENCODE(0000005D): acct_session_id: 151 *May 12 02:41:33.372: RADIUS(0000005D): sending *May 12 02:41:33.372: RADIUS/ENCODE(0000005D):Orig. component type = VPDN *May 12 02:41:33.372: RADIUS(0000005D): Config NAS IP: 0.0.0.0 *May 12 02:41:33.372: RADIUS/ENCODE(0000005D): acct_session_id: 151 *May 12 02:41:33.372: RADIUS(0000005D): sending *May 12 02:41:33.372: RADIUS/ENCODE: Best Local IP-Address 217.*.*.* for Radius-Server 10.10.8.254 *May 12 02:41:33.372: RADIUS(0000005D): Send Access-Request to 10.10.8.254:1812 id 1645/88, len 94 *May 12 02:41:33.372: RADIUS: authenticator 90 3D 36 14 8D C4 9F DC - E7 7D 13 C5 5C 63 83 EC *May 12 02:41:33.372: RADIUS: User-Name [1] 15 "traffic_world" *May 12 02:41:33.372: RADIUS: User-Password [2] 18 * *May 12 02:41:33.372: RADIUS: NAS-Port-Type [61] 6 Virtual [5] *May 12 02:41:33.372: RADIUS: NAS-Port [5] 6 141 *May 12 02:41:33.372: RADIUS: NAS-Port-Id [87] 17 "Uniq-Sess-ID141" *May 12 02:41:33.372: RADIUS: Service-Type [6] 6 Outbound [5] *May 12 02:41:33.372: RADIUS: NAS-IP-Address [4] 6 217.*.*.* *May 12 02:41:33.372: RADIUS/ENCODE: Best Local IP-Address 217.*.*.* for Radius-Server 10.10.8.254 *May 12 02:41:33.372: RADIUS(0000005D): Send Access-Request to 10.10.8.254:1812 id 1645/89, len 94 *May 12 02:41:33.372: RADIUS: authenticator C7 2B 3E 29 71 15 78 0D - A2 D0 18 7A 48 07 1A 71 *May 12 02:41:33.372: RADIUS: User-Name [1] 15 "traffic_local" *May 12 02:41:33.376: RADIUS: User-Password [2] 18 * *May 12 02:41:33.376: RADIUS: NAS-Port-Type [61] 6 Virtual [5] *May 12 02:41:33.376: RADIUS: NAS-Port [5] 6 141 *May 12 02:41:33.376: RADIUS: NAS-Port-Id [87] 17 "Uniq-Sess-ID141" *May 12 02:41:33.376: RADIUS: Service-Type [6] 6 Outbound [5] *May 12 02:41:33.376: RADIUS: NAS-IP-Address [4] 6 217.*.*.* *May 12 02:41:33.688: RADIUS: Received from id 1645/88 10.10.8.254:1812, Access-Reject, len 36 *May 12 02:41:33.688: RADIUS: authenticator 6C 71 53 74 86 D8 7A 4E - E7 15 A6 17 9F 9C A6 21 *May 12 02:41:33.688: RADIUS: Reply-Message [18] 16 *May 12 02:41:33.688: RADIUS: 52 65 71 75 65 73 74 20 44 65 6E 69 65 64 [ Request Denied] *May 12 02:41:33.688: RADIUS(0000005D): Received from id 1645/88 vpn_7206VXR# *May 12 02:41:33.688: RADIUS/DECODE: Reply-Message fragments, 14, total 14 bytes *May 12 02:41:33.728: RADIUS: Received from id 1645/89 10.10.8.254:1812, Access-Reject, len 36 *May 12 02:41:33.728: RADIUS: authenticator 2F D4 09 28 0C 9A 86 12 - 94 42 F6 04 1B 12 66 48 *May 12 02:41:33.728: RADIUS: Reply-Message [18] 16 *May 12 02:41:33.728: RADIUS: 52 65 71 75 65 73 74 20 44 65 6E 69 65 64 [ Request Denied] *May 12 02:41:33.728: RADIUS(0000005D): Received from id 1645/89 *May 12 02:41:33.728: RADIUS/DECODE: Reply-Message fragments, 14, total 14 bytes Читаю пример конфигурации, в котором сервисы передаются через радиус, это не обязательный вариант создания сервисов??? У Вас не видно Active services associated with session: В aaa не указано где железка должна брать сервисы локально или с радиуса. aaa authorization network default парампампам или local aaa authorization subscriber-service default group парампампам или local Плясать отсюда: show run | inc aaa debug debug subscriber aaa authorization debug subscriber service debug subscriber error debug subscriber fsm ter monitor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 12 мая, 2008 · Жалоба aaa authorization subscriber-service default local group ... local имеется и стоит на первом месте? Если нет, то оно в конфиг за сервисами смотреть не будет. По вашему дебагу как раз видно, что оно сервисы с RADIUS сервера хочет загрузить. И в RADIUS профиль пользователя я бы еще как минимум добавил: Framed-Protocol = PPP Service-Type = Framed-User Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lemut Опубликовано 12 мая, 2008 · Жалоба Благодарю, таким образом сервисы подключаются Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...