[zoro]

ios какой использовали? и проверяли на ***линках... просто руки до них доходят только на выходных...

[Stak]

c7200-k91p-mz.122-28.SB13.bin вроде этот для начала. А ***линков у меня нет, проверял на 3560-8РС в качестве свича агрегации, и 2960 и 2900XL в роли свичей доступа. Биллинг - Abills (но это не принципиально).

[leveler]

На самом деле я имел ввиду ленивый способ - тупо копирование всего, что у вас там есть касательно этой лабы для dynamips'а. )

 

Но намёк понял - сам разберусь. ))

[Stak]

Вот по этой ссылке все конфиги выложены: http://ciscovod.blogspot.com/2009/02/cisco-isg.html

Изменено 11 февраля, 2009 пользователем Stak

[leveler]

Да не, не то. ) Это я понял. Спасибо. Как руки дойдут, сделаю.

[Stak]

В продолжение темы:

Собрал посложнее топологию, с двумя брасами и двумя или более свичами на агрегации, с полным резервированием. Потестил, всё работает как запланировано) Может кому пригодится)))

 

Все картинки и конфиги по ссылке:

http://ciscovod.blogspot.com/2009/03/cisco...dhcp-opt82.html

 

 

П.С. Описанное в этой теме будет работать только при цисках или аналогичном железе (мне такое не известно...) на агрегации.

Обязательные фичи:

ip unnumbered on SVI

dhcp snooping witn option 82

Vlan-acl ( VACL или vlan-map acl)

Желательные фичи:

UBRL (позволит заполисить локалку)

 

Масштабируемость ограничена числом привязок dhcp snooping на железку; 8К для 6500+суп720; 64К для 7600+суп720. На мелких (3550-3750-3560...) число привязок мне неизвестно((((

 

П.П.С. Если кто внедрит, отпишите пожалуйста о результатах)))

Изменено 11 апреля, 2009 пользователем Stak

[fozz]

Можно привести пример юзернейма, отдаваемый в radius, который получается при такой схеме?

Просто в ваших примерах это выглядит как обычный mac

###User-Profile###
Tariff ISG-128K
username 0004000a0102 passwd TESTPASSWD
Cisco-Account-Info="Aisg-128k",
Work#3-end

В плюс еще скажите ИОС для 3550 (если знаете), на котором точно есть ip unnumbered

на первом попавшемся с C3550-IPSERVICESK9-M), Version 12.2(25)SEE этого нет

Изменено 16 апреля, 2009 пользователем fozz

[Stak]

Похож, но это не мак, а circuit-id.

class type control always event session-start
20 authorize aaa list SUBS-AUTHORIZE-LIST password TESTPASSWD identifier circuit-id

[fozz]

А этот circuit-id поддается разбору по частям?

Что бы заранее вбить в биллинг, а не ловить потом по логам абонентов

[Stak]

http://www.cisco.com/en/US/docs/routers/76....html#wp1108657 тут формат описан...

Но какая то фигня получается:

опт 82 - циркут ид:

 

0004000a0102 hex

10000000000000010100000000100000010 bin

100 00000000 00001010 00000001 00000010 segmented bin

4 0 10 1 2 dec

длина4:влан10:модуль1:порт2 расшифровка

 

Тест2:

0004000a0103 hex

10000000000000101000000000100000011 bin

100 00000000 00010100 00000001 00000011 segmented bin

4 0 20 1 3 dec

длина4:влан20:модуль1:порт3 ???? расшифровка

 

Всё зашибись с виду, только не было там порта 3, да и модуль должен быть 0 ((((((((((((((((

 

Значения 0004000a0103,0004000a0102 - из логов билинга...

[fozz]

А еще вопрос - зачем время лизы сделано 2 минуты?

[Stak]

Для реаутентификации не аутентифицированных абонентов, если политики в биллинге поменялись, т.к исг ломится на радиус только при получении дхцп-реквест. И в случае если один брас отвалится, то через второй пойдёт аутентификация только через истечение времени аренды. Можно конечно и побольше сделать, это не принципиально...

[fozz]

А как выдать абоненту статический адрес?

[Stak]

А как выдать абоненту статический адрес?

Другими средствами)

Исг это позволяет только для Л2 коннектед абонентов)

 

Самый простой путь - отдельным вланом со своим svi. И для таких сделать на ИСГ авторизацию по сурс-ip-адресу...

[packetizer]

А как выдать абоненту статический адрес?

У меня есть следующее предложение (см. ниже), немного усложняется конфигурация но это делается

на ISG и свичах агрегации на доступе ничего не меняется только нужно вставлять Opt82

затем нужно каждому абоненту который захочет статику

прописывать лупбек + статический маршрут

Сесии стартуют по DHCP запросу или по unclassified ip-address

Еще необходимо иметь сеть для выдачи статики

 

Раздавать сети как предложил Stack, только на отдельных SVI.

 

два инстанса радиус сервера, один (AAA-RADIUS-SERVERS1) смотрит логин пользователя

который remote-id + circuit-id, прописан при подключении пользователя, вставляется свичем доступа как DHCP Opt82.

Второй (AAA-LIST-STATICIP) смотрит IP адрес пользователя который прописан ему

 

На ISG

aaa authorization network AAA-LIST-OPT82 group AAA-RADIUS-SERVERS1
aaa authorization network AAA-LIST-STATICIP group AAA-RADIUS-SERVERS2
...
!к примеру это сетка для раздачи статики, ее прийдется разрезать на части и отдать части 
!на свичи агрегации, держать по одному лупбеку на свиче агрегации из этой сетки
!
class-map type control match-all CM-C-STATICIP
  match source-ip-address 10.0.0.0 255.255.255.0
!
...
!добавляем свичи доступа, возможно просто можно проверять наличие remote-id
class-map type control match-all CM-C-OPT82
  match nas-port remote-id ACC1
  match nas-port remote-id ACC2
...
!
...
!так будут стартовать сессии 
policy-map type control PM-SUBSCRIBER-RULE-L3
  class type control CM-C-OPT82 event session-start
   10 authorize aaa list AAA-LIST-OPT82 password RADIUSPW identifier remote-id plus circuit-id
   ...
  !
  class type control  CM-C-STATICIP event session-start
   10 authorize aaa list AAA-LIST-STATICIP password RADIUSPW identifier source-ip-address
   ...
!
...
!так мы прицепим полиси к интерфейсу который идет к агрегации
interface FastEthernet0/0
  ip address 192.168.1.1 255.255.255.0
  duplex full
  service-policy type control PM-C-SUBSCRIBER-RULE-L3
  ip subscriber routed
    initiator unclassified ip-address
    initiator dhcp
!

 

На агрегаторе нужно будет сделать так

!
interface Loopback3  ! лупбек для статики
  ip address 10.0.0.1 255.255.255.224 
!
interface Vlan210 ! абонент который хочет статику - прийдется прописывать руками
  ip unnumbered Loopback3
  ip proxy-arp  
!
interface FastEthernet0/10
  switchport access vlan 210
  switchport mode access
!
! абонент который хочет статику - прийдется прописывать руками
ip route 10.0.0.2 255.255.255.255 Vlan210
!

 

у абонента 10.0.0.2 255.255.255.224 gw 10.0.0.1

 

в лабе схему не пробовал

 

Незнаю что делать с временем жизни IP-сессии инициированной по source-ip-address.

Просто давать 5-10 минут как в DHCP ?

после истечения времени неактивности сесии она будет умирать на ISG и в биллинге,

если из интернета пойдет пакет на стат адрес абонента у которого нет сесии

(например TCP SYN на абонента у которого сессия умерла по таймауту)

ISG его пропустит

а обратный пакет инициирует сессию, есть деньги - пакет будет пропущен

сессия поднимется,нет денег - обратные пакеты будут дропатся.

[Stak]

http://www.cisco.com/en/US/docs/routers/76....html#wp1108657 тут формат описан...

Но какая то фигня получается:

 

0004000a0103 hex

10000000000000101000000000100000011 bin

100 00000000 00010100 00000001 00000011 segmented bin

4 0 20 1 3 dec

длина4:влан20:модуль1:порт3 ???? расшифровка

 

Всё зашибись с виду, только не было там порта 3, да и модуль должен быть 0 ((((((((((((((((

Значения 0004000a0103,0004000a0102 - из логов билинга...

Вот нашёл кое-что по расшифровке значений:

http://www.mycisco.cn/post/205.html

In the port field of the circuit ID suboption, the port numbers start at 3. For example, on a switch with 24 10/100 ports and small form-factor pluggable (SFP) module slots, port 3 is the Fast Ethernet 0/1 port, port 4 is the Fast Ethernet 0/2 port, and so forth. Port 27 is the SFP module slot 0/1, and so forth.

 

Т.е. порт 3 на самом деле порт 1)

[Stak]

Мля, всё ещё веселее, ещё и на разных платформах по разному:

 

The port numbers in the port field of the circuit ID suboption start at 0. For example, on a

Catalyst 2950G-24-EI switch, port 0 is the Fast Ethernet 0/1 port, port 1 is the Fast Ethernet 0/2 port,

port 2 is the Fast Ethernet 0/3 port, and so on. Port 24 is the Gigabit Interface Converter (GBIC)-based

Gigabit module slot 0/1, and port 25 is the GBIC-based Gigabit module slot 0/2

[BudushiyISP]

Схема зашла в тупик :)

 

[BudushiyISP]

Можно также не ставить в качестве BRAS -а 7206 циску? у меня просто их нет. жду комментарий Stak-а

[packetizer]

http://www.cisco.com/en/US/docs/routers/76....html#wp1108657 тут формат описан...

Но какая то фигня получается:

 

0004000a0103 hex

10000000000000101000000000100000011 bin

100 00000000 00010100 00000001 00000011 segmented bin

4 0 20 1 3 dec

длина4:влан20:модуль1:порт3 ???? расшифровка

 

Всё зашибись с виду, только не было там порта 3, да и модуль должен быть 0 ((((((((((((((((

Значения 0004000a0103,0004000a0102 - из логов билинга...

Вот нашёл кое-что по расшифровке значений:

http://www.mycisco.cn/post/205.html

In the port field of the circuit ID suboption, the port numbers start at 3. For example, on a switch with 24 10/100 ports and small form-factor pluggable (SFP) module slots, port 3 is the Fast Ethernet 0/1 port, port 4 is the Fast Ethernet 0/2 port, and so forth. Port 27 is the SFP module slot 0/1, and so forth.

 

Т.е. порт 3 на самом деле порт 1)

Да там не все однозначно, но если Option-82 будет вставлять агрегатор (напр. с35) то вроде нормально

вот здесь информация

Option-82 Data Insertion

 

и вот этот пост про DHCP Option-82

я проверял работает

 

У меня сейчас с этой схемой проблема в биллинге и незнаю как отдавать клиенту сети (что в общем то тоже биллинг :)

 

 

[Stak]

<br />Можно также не ставить в качестве BRAS -а 7206 циску? у меня просто их нет. жду комментарий Stak-а<br />

<br /><br /><br />

Можно и не ставить. Но сессии то где-то надо терминировать с применением пользовательских политик.

 

Схема зашла в тупик :)

С чего вы взяли?

 

У меня сейчас с этой схемой проблема в биллинге и незнаю как отдавать клиенту сети (что в общем то тоже биллинг :)

Имхо по такой схеме этого просто делать не надо. Свободных вланов отанется много, так что для таких можно выделить персональную подсетку /30 или /32 и статику на него прописать.

[BudushiyISP]

BudushiyISP

Можно также не ставить в качестве BRAS -а 7206 циску? у меня просто их нет. жду комментарий

Stak

Можно и не ставить. Но сессии то где-то надо терминировать с применением пользовательских политик.

Что за конкретные недостатки я получу применяя ISC DHCP (он умеет работать с Option-82) и FreeBSD/Mikrotik/Vyatta для пропуска трафика в Интернет (заметил на сайте Abills есть модуль управления VLAN-ми похоже он позволяет удалять и создавать VLAN-ы на лету, по необходимости) и ?

 

Схема зашла в тупик :)

С чего вы взяли?

Я просто так и не увидел окончательного сценария работы схемы.

 

[zoro]

окончательный сценарий находится в самом начале...

[Stak]

Я просто так и не увидел окончательного сценария работы схемы.

Плохо смотрели похоже...

Решение для поставленной задачи - есть, оно работоспособно, что доказывают тесты. Естественно, со своими плюсами и минусами.

А подходит оно лично Вам или нет - лично мне по барабану.

Не нравится вам циски в качестве браса - придумайте чем заменить если хотите.

 

окончательный сценарий находится в самом начале...

Только там не окончательный, а самая суть идеи :)

[BudushiyISP]

Я просто так и не увидел окончательного сценария работы схемы.

Плохо смотрели похоже...

Решение для поставленной задачи - есть, оно работоспособно, что доказывают тесты. Естественно, со своими плюсами и минусами.

А подходит оно лично Вам или нет - лично мне по барабану.

Не нравится вам циски в качестве браса - придумайте чем заменить если хотите.

 

 

окончательный сценарий находится в самом начале...

Только там не окончательный, а самая суть идеи :)

Сразу встал вопрос выдачи Айпи из пула динамически. Установил BGBilling и стал тестировать выяснил, что айпи встроенный DHCP может выдавать по опции 82 только постоянный, иначе не возможно идентифицировать начало и конец сессии и вообще абонента. А как этот вопрос с циской решается, или это проблема и там существует, можно в деталях?