zoro Опубликовано 10 февраля, 2009 · Жалоба ios какой использовали? и проверяли на ***линках... просто руки до них доходят только на выходных... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 10 февраля, 2009 · Жалоба c7200-k91p-mz.122-28.SB13.bin вроде этот для начала. А ***линков у меня нет, проверял на 3560-8РС в качестве свича агрегации, и 2960 и 2900XL в роли свичей доступа. Биллинг - Abills (но это не принципиально). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 11 февраля, 2009 · Жалоба На самом деле я имел ввиду ленивый способ - тупо копирование всего, что у вас там есть касательно этой лабы для dynamips'а. ) Но намёк понял - сам разберусь. )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 11 февраля, 2009 (изменено) · Жалоба Вот по этой ссылке все конфиги выложены: http://ciscovod.blogspot.com/2009/02/cisco-isg.html Изменено 11 февраля, 2009 пользователем Stak Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 11 февраля, 2009 · Жалоба Да не, не то. ) Это я понял. Спасибо. Как руки дойдут, сделаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 16 марта, 2009 (изменено) · Жалоба В продолжение темы: Собрал посложнее топологию, с двумя брасами и двумя или более свичами на агрегации, с полным резервированием. Потестил, всё работает как запланировано) Может кому пригодится))) Все картинки и конфиги по ссылке: http://ciscovod.blogspot.com/2009/03/cisco...dhcp-opt82.html П.С. Описанное в этой теме будет работать только при цисках или аналогичном железе (мне такое не известно...) на агрегации. Обязательные фичи: ip unnumbered on SVI dhcp snooping witn option 82 Vlan-acl ( VACL или vlan-map acl) Желательные фичи: UBRL (позволит заполисить локалку) Масштабируемость ограничена числом привязок dhcp snooping на железку; 8К для 6500+суп720; 64К для 7600+суп720. На мелких (3550-3750-3560...) число привязок мне неизвестно(((( П.П.С. Если кто внедрит, отпишите пожалуйста о результатах))) Изменено 11 апреля, 2009 пользователем Stak Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fozz Опубликовано 16 апреля, 2009 (изменено) · Жалоба Можно привести пример юзернейма, отдаваемый в radius, который получается при такой схеме? Просто в ваших примерах это выглядит как обычный mac ###User-Profile### Tariff ISG-128K username 0004000a0102 passwd TESTPASSWD Cisco-Account-Info="Aisg-128k", Work#3-end В плюс еще скажите ИОС для 3550 (если знаете), на котором точно есть ip unnumbered на первом попавшемся с C3550-IPSERVICESK9-M), Version 12.2(25)SEE этого нет Изменено 16 апреля, 2009 пользователем fozz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 16 апреля, 2009 · Жалоба Похож, но это не мак, а circuit-id. class type control always event session-start 20 authorize aaa list SUBS-AUTHORIZE-LIST password TESTPASSWD identifier circuit-id Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fozz Опубликовано 16 апреля, 2009 · Жалоба А этот circuit-id поддается разбору по частям? Что бы заранее вбить в биллинг, а не ловить потом по логам абонентов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 16 апреля, 2009 · Жалоба http://www.cisco.com/en/US/docs/routers/76....html#wp1108657 тут формат описан... Но какая то фигня получается: опт 82 - циркут ид: 0004000a0102 hex 10000000000000010100000000100000010 bin 100 00000000 00001010 00000001 00000010 segmented bin 4 0 10 1 2 dec длина4:влан10:модуль1:порт2 расшифровка Тест2: 0004000a0103 hex 10000000000000101000000000100000011 bin 100 00000000 00010100 00000001 00000011 segmented bin 4 0 20 1 3 dec длина4:влан20:модуль1:порт3 ???? расшифровка Всё зашибись с виду, только не было там порта 3, да и модуль должен быть 0 (((((((((((((((( Значения 0004000a0103,0004000a0102 - из логов билинга... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fozz Опубликовано 16 апреля, 2009 · Жалоба А еще вопрос - зачем время лизы сделано 2 минуты? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 16 апреля, 2009 · Жалоба Для реаутентификации не аутентифицированных абонентов, если политики в биллинге поменялись, т.к исг ломится на радиус только при получении дхцп-реквест. И в случае если один брас отвалится, то через второй пойдёт аутентификация только через истечение времени аренды. Можно конечно и побольше сделать, это не принципиально... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fozz Опубликовано 16 апреля, 2009 · Жалоба А как выдать абоненту статический адрес? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 16 апреля, 2009 · Жалоба А как выдать абоненту статический адрес?Другими средствами)Исг это позволяет только для Л2 коннектед абонентов) Самый простой путь - отдельным вланом со своим svi. И для таких сделать на ИСГ авторизацию по сурс-ip-адресу... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
packetizer Опубликовано 17 апреля, 2009 · Жалоба А как выдать абоненту статический адрес? У меня есть следующее предложение (см. ниже), немного усложняется конфигурация но это делается на ISG и свичах агрегации на доступе ничего не меняется только нужно вставлять Opt82 затем нужно каждому абоненту который захочет статику прописывать лупбек + статический маршрут Сесии стартуют по DHCP запросу или по unclassified ip-address Еще необходимо иметь сеть для выдачи статики Раздавать сети как предложил Stack, только на отдельных SVI. два инстанса радиус сервера, один (AAA-RADIUS-SERVERS1) смотрит логин пользователя который remote-id + circuit-id, прописан при подключении пользователя, вставляется свичем доступа как DHCP Opt82. Второй (AAA-LIST-STATICIP) смотрит IP адрес пользователя который прописан ему На ISG aaa authorization network AAA-LIST-OPT82 group AAA-RADIUS-SERVERS1 aaa authorization network AAA-LIST-STATICIP group AAA-RADIUS-SERVERS2 ... !к примеру это сетка для раздачи статики, ее прийдется разрезать на части и отдать части !на свичи агрегации, держать по одному лупбеку на свиче агрегации из этой сетки ! class-map type control match-all CM-C-STATICIP match source-ip-address 10.0.0.0 255.255.255.0 ! ... !добавляем свичи доступа, возможно просто можно проверять наличие remote-id class-map type control match-all CM-C-OPT82 match nas-port remote-id ACC1 match nas-port remote-id ACC2 ... ! ... !так будут стартовать сессии policy-map type control PM-SUBSCRIBER-RULE-L3 class type control CM-C-OPT82 event session-start 10 authorize aaa list AAA-LIST-OPT82 password RADIUSPW identifier remote-id plus circuit-id ... ! class type control CM-C-STATICIP event session-start 10 authorize aaa list AAA-LIST-STATICIP password RADIUSPW identifier source-ip-address ... ! ... !так мы прицепим полиси к интерфейсу который идет к агрегации interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 duplex full service-policy type control PM-C-SUBSCRIBER-RULE-L3 ip subscriber routed initiator unclassified ip-address initiator dhcp ! На агрегаторе нужно будет сделать так ! interface Loopback3 ! лупбек для статики ip address 10.0.0.1 255.255.255.224 ! interface Vlan210 ! абонент который хочет статику - прийдется прописывать руками ip unnumbered Loopback3 ip proxy-arp ! interface FastEthernet0/10 switchport access vlan 210 switchport mode access ! ! абонент который хочет статику - прийдется прописывать руками ip route 10.0.0.2 255.255.255.255 Vlan210 ! у абонента 10.0.0.2 255.255.255.224 gw 10.0.0.1 в лабе схему не пробовал Незнаю что делать с временем жизни IP-сессии инициированной по source-ip-address. Просто давать 5-10 минут как в DHCP ? после истечения времени неактивности сесии она будет умирать на ISG и в биллинге, если из интернета пойдет пакет на стат адрес абонента у которого нет сесии (например TCP SYN на абонента у которого сессия умерла по таймауту) ISG его пропустит а обратный пакет инициирует сессию, есть деньги - пакет будет пропущен сессия поднимется,нет денег - обратные пакеты будут дропатся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 21 мая, 2009 · Жалоба http://www.cisco.com/en/US/docs/routers/76....html#wp1108657 тут формат описан...Но какая то фигня получается: 0004000a0103 hex 10000000000000101000000000100000011 bin 100 00000000 00010100 00000001 00000011 segmented bin 4 0 20 1 3 dec длина4:влан20:модуль1:порт3 ???? расшифровка Всё зашибись с виду, только не было там порта 3, да и модуль должен быть 0 (((((((((((((((( Значения 0004000a0103,0004000a0102 - из логов билинга... Вот нашёл кое-что по расшифровке значений: http://www.mycisco.cn/post/205.html In the port field of the circuit ID suboption, the port numbers start at 3. For example, on a switch with 24 10/100 ports and small form-factor pluggable (SFP) module slots, port 3 is the Fast Ethernet 0/1 port, port 4 is the Fast Ethernet 0/2 port, and so forth. Port 27 is the SFP module slot 0/1, and so forth. Т.е. порт 3 на самом деле порт 1) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 21 мая, 2009 · Жалоба Мля, всё ещё веселее, ещё и на разных платформах по разному: The port numbers in the port field of the circuit ID suboption start at 0. For example, on a Catalyst 2950G-24-EI switch, port 0 is the Fast Ethernet 0/1 port, port 1 is the Fast Ethernet 0/2 port, port 2 is the Fast Ethernet 0/3 port, and so on. Port 24 is the Gigabit Interface Converter (GBIC)-based Gigabit module slot 0/1, and port 25 is the GBIC-based Gigabit module slot 0/2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 19 июня, 2009 · Жалоба Схема зашла в тупик :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 19 июня, 2009 · Жалоба Можно также не ставить в качестве BRAS -а 7206 циску? у меня просто их нет. жду комментарий Stak-а Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
packetizer Опубликовано 20 июня, 2009 · Жалоба http://www.cisco.com/en/US/docs/routers/76....html#wp1108657 тут формат описан...Но какая то фигня получается: 0004000a0103 hex 10000000000000101000000000100000011 bin 100 00000000 00010100 00000001 00000011 segmented bin 4 0 20 1 3 dec длина4:влан20:модуль1:порт3 ???? расшифровка Всё зашибись с виду, только не было там порта 3, да и модуль должен быть 0 (((((((((((((((( Значения 0004000a0103,0004000a0102 - из логов билинга... Вот нашёл кое-что по расшифровке значений: http://www.mycisco.cn/post/205.html In the port field of the circuit ID suboption, the port numbers start at 3. For example, on a switch with 24 10/100 ports and small form-factor pluggable (SFP) module slots, port 3 is the Fast Ethernet 0/1 port, port 4 is the Fast Ethernet 0/2 port, and so forth. Port 27 is the SFP module slot 0/1, and so forth. Т.е. порт 3 на самом деле порт 1) Да там не все однозначно, но если Option-82 будет вставлять агрегатор (напр. с35) то вроде нормально вот здесь информация Option-82 Data Insertion и вот этот пост про DHCP Option-82 я проверял работает У меня сейчас с этой схемой проблема в биллинге и незнаю как отдавать клиенту сети (что в общем то тоже биллинг :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 21 июня, 2009 · Жалоба <br />Можно также не ставить в качестве BRAS -а 7206 циску? у меня просто их нет. жду комментарий Stak-а<br /><br /><br /><br />Можно и не ставить. Но сессии то где-то надо терминировать с применением пользовательских политик. Схема зашла в тупик :) С чего вы взяли? У меня сейчас с этой схемой проблема в биллинге и незнаю как отдавать клиенту сети (что в общем то тоже биллинг :) Имхо по такой схеме этого просто делать не надо. Свободных вланов отанется много, так что для таких можно выделить персональную подсетку /30 или /32 и статику на него прописать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 12 июля, 2009 · Жалоба BudushiyISP Можно также не ставить в качестве BRAS -а 7206 циску? у меня просто их нет. жду комментарий Stak Можно и не ставить. Но сессии то где-то надо терминировать с применением пользовательских политик. Что за конкретные недостатки я получу применяя ISC DHCP (он умеет работать с Option-82) и FreeBSD/Mikrotik/Vyatta для пропуска трафика в Интернет (заметил на сайте Abills есть модуль управления VLAN-ми похоже он позволяет удалять и создавать VLAN-ы на лету, по необходимости) и ? Схема зашла в тупик :)С чего вы взяли? Я просто так и не увидел окончательного сценария работы схемы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 12 июля, 2009 · Жалоба окончательный сценарий находится в самом начале... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 12 июля, 2009 · Жалоба Я просто так и не увидел окончательного сценария работы схемы.Плохо смотрели похоже... Решение для поставленной задачи - есть, оно работоспособно, что доказывают тесты. Естественно, со своими плюсами и минусами. А подходит оно лично Вам или нет - лично мне по барабану. Не нравится вам циски в качестве браса - придумайте чем заменить если хотите. окончательный сценарий находится в самом начале...Только там не окончательный, а самая суть идеи :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 12 июля, 2009 · Жалоба Я просто так и не увидел окончательного сценария работы схемы.Плохо смотрели похоже... Решение для поставленной задачи - есть, оно работоспособно, что доказывают тесты. Естественно, со своими плюсами и минусами. А подходит оно лично Вам или нет - лично мне по барабану. Не нравится вам циски в качестве браса - придумайте чем заменить если хотите. окончательный сценарий находится в самом начале...Только там не окончательный, а самая суть идеи :) Сразу встал вопрос выдачи Айпи из пула динамически. Установил BGBilling и стал тестировать выяснил, что айпи встроенный DHCP может выдавать по опции 82 только постоянный, иначе не возможно идентифицировать начало и конец сессии и вообще абонента. А как этот вопрос с циской решается, или это проблема и там существует, можно в деталях? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...