Jump to content
Калькуляторы

7200+ISG+PPPoE+Accounting Нужна помощь в настройке

Мучаю тут виртуальную цыску (dynamips+dynagen). Если безе service-policy в Virtual-Template 1, то PPPoE завязывается. Если с ним, то нет. Цыска в сторону RADIUS-сервера ничего не шлёт. Значит, ей не нравится настройка ISG, смысл которой в отдаче через RADIUS Accounting значений трафика локального (Local) и глобального (Internet). ИОС: c7200-a3jk91s-mz.122-31.SB9.bin

 

Вот конфиг:

version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Emulated7201
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa group server radius AAA-RADIUS-SERVERS
server-private <IP-адрес RADIUS-сервера> auth-port 1812 acct-port 1813 key <ключ>
!
aaa authentication ppp dialin group AAA-RADIUS-SERVERS
aaa authentication ppp PPPoE group AAA-RADIUS-SERVERS
aaa authorization network PPPoE group AAA-RADIUS-SERVERS
aaa accounting update periodic 2
aaa accounting network PPPoE start-stop group AAA-RADIUS-SERVERS
aaa accounting network ISG_ACCT start-stop group AAA-RADIUS-SERVERS
!
!
!
aaa session-id common
clock timezone KRAT 8
ip subnet-zero
!
!
no ip dhcp use vrf connected
!
!
ip cef
!
!
call rsvp-sync
no virtual-template subinterface
no scripting tcl init
no scripting tcl encdir
!
!
!
!
!
!
!
no file verify auto
!
class-map type traffic match-any Internet
match access-group output name Internet-out
match access-group input name Internet-in
!
class-map type traffic match-any Local
match access-group output name Local-out
match access-group input name Local-in
!
policy-map type service Local-Acct
class type traffic Local
  accounting aaa list ISG_ACCT
!
class type traffic default in-out
  drop
!
!
policy-map type service Internet-Acct
class type traffic Internet
  accounting aaa list ISG_ACCT
!
class type traffic default in-out
  drop
!
!
policy-map type control ACCT_POLICY
class type control always event session-start
  10 service-policy type service name Internet-Acct
  20 service-policy type service name Local-Acct
!
!
!
bba-group pppoe global
virtual-template 1
sessions max limit 8000
ac name TEST_ITG
!
!
interface Loopback0
ip address <ip-адрес> <маска подсети>
!
interface FastEthernet0/0
ip address <ip-адрес> <маска подсети>
duplex full
pppoe enable group global
!
interface FastEthernet1/0
ip address <ip-адрес> <маска подсети>
speed auto
duplex auto
!
interface FastEthernet1/1
no ip address
speed auto
duplex auto
pppoe enable group global
!
interface Virtual-Template1
description "PPPoE"
ip unnumbered Loopback0
no ip redirects
no ip proxy-arp
ip accounting output-packets
ip flow ingress
rate-limit input 7000000 1250000 2500000 conform-action transmit exceed-action drop
no peer default ip address
keepalive 5
ppp authentication pap PPPoE
ppp authorization PPPoE
ppp accounting PPPoE
ppp ipcp address unique
service-policy type control ACCT_POLICY
!
!
router eigrp <ID>
redistribute connected
network <сеть> <wildcard mask>
no auto-summary
!
ip classless
ip flow-export source Loopback0
ip flow-export version 5 peer-as
ip flow-export destination <ip-адрес> <порт>
!
no ip http server
!
!
!
ip access-list extended Internet-in
deny   ip any 62.231.160.0 0.0.31.255
deny   ip any 80.83.192.0 0.0.15.255
deny   ip any 212.36.224.0 0.0.31.255
permit ip any any
ip access-list extended Internet-out
deny   ip 62.231.160.0 0.0.31.255 any
deny   ip 80.83.192.0 0.0.15.255 any
deny   ip 212.36.224.0 0.0.31.255 any
permit ip any any
ip access-list extended Local-in
permit ip any 62.231.160.0 0.0.31.255
permit ip any 80.83.192.0 0.0.15.255
permit ip any 212.36.224.0 0.0.31.255
ip access-list extended Local-out
permit ip 62.231.160.0 0.0.31.255 any
permit ip 80.83.192.0 0.0.15.255 any
permit ip 212.36.224.0 0.0.31.255 any
ip radius source-interface FastEthernet1/1 vrf default
!
!
!
!
!
!
!
!
!
!
radius-server retransmit 10
radius-server vsa send accounting
!
control-plane
!
!
!
dial-peer cor custom
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
logging synchronous
stopbits 1
line aux 0
stopbits 1
line vty 0 4
!
ntp clock-period 17180448
ntp server <ip-адрес>

 

У меня винда выдаёт сообщение "Ошибка 651: Модем или другое устройство связи сообщило об ошибке". Думается, что где-то в конфиге что-то упустил. Помогите разобраться.

Share this post


Link to post
Share on other sites

Кое-что вяснил.

policy-map type control ACCT_POLICY
class type control always event session-start
 10 service-policy type service name Internet-Acct
 20 service-policy type service name Local-Acct

Если "убить" правила 10 и 20, то работает.

Share this post


Link to post
Share on other sites
Кое-что вяснил.

policy-map type control ACCT_POLICY
class type control always event session-start
  10 service-policy type service name Internet-Acct
  20 service-policy type service name Local-Acct

Если "убить" правила 10 и 20, то работает.

Не включена авторизация ISG-сервисов:

 

aaa authorization subscriber-service default local

 

 

Share this post


Link to post
Share on other sites

Больше спасибо, всё заработало. А где про это можно прочесть (конкретное место интересует)?

Share this post


Link to post
Share on other sites

Вот аккаунтинг:

Thu Jul 30 01:51:53 2009
        Acct-Session-Id = "00000003"
        Framed-Protocol = PPP
        Cisco-Service-Info = "NInternet-Acct"
        Cisco-AVPair = "parent-session-id=00000002"
        Framed-IP-Address = <Client IP-address>
        User-Name = "testuser"
        Acct-Terminate-Cause = User-Request
        Cisco-AVPair = "disc-cause-ext=PPP Receive Term"
        Acct-Input-Packets = 360902
        Acct-Output-Packets = 406229
        Acct-Input-Octets = 121789532
        Acct-Output-Octets = 382281268
        Acct-Session-Time = 1320
        Acct-Status-Type = Stop
        NAS-Port-Type = Virtual
        NAS-Port = 0
        NAS-Port-Id = "0/0/0/0"
        Service-Type = Framed-User
        NAS-IP-Address = <NAS IP-address>
        Acct-Delay-Time = 0
        Acct-Unique-Session-Id = "861de22413615bb1"
        Timestamp = 1248889913
        Request-Authenticator = Verified

Thu Jul 30 01:51:53 2009
        Acct-Session-Id = "00000004"
        Framed-Protocol = PPP
        Cisco-Service-Info = "NLocal-Acct"
        Cisco-AVPair = "parent-session-id=00000002"
        Framed-IP-Address = <Client IP-address>
        User-Name = "testuser"
        Acct-Terminate-Cause = User-Request
        Cisco-AVPair = "disc-cause-ext=PPP Receive Term"
        Acct-Input-Packets = 8742
        Acct-Output-Packets = 16176
        Acct-Input-Octets = 357194
        Acct-Output-Octets = 21629913
        Acct-Session-Time = 1320
        Acct-Status-Type = Stop
        NAS-Port-Type = Virtual
        NAS-Port = 0
        NAS-Port-Id = "0/0/0/0"
        Service-Type = Framed-User
        NAS-IP-Address = <NAS IP-address>
        Acct-Delay-Time = 0
        Acct-Unique-Session-Id = "ce5c7da61e3ba430"
        Timestamp = 1248889913
        Request-Authenticator = Verified

Thu Jul 30 01:51:53 2009
        Acct-Session-Id = "00000002"
        Cisco-AVPair = "client-mac-address=000f.ea8e.2370"
        Framed-Protocol = PPP
        Framed-IP-Address = <Client IP-address>
        Cisco-AVPair = "ppp-disconnect-cause=Received LCP TERMREQ from peer"
        User-Name = "testuser"
        Acct-Authentic = RADIUS
        Cisco-AVPair = "connect-progress=LAN Ses Up"
        Cisco-AVPair = "nas-tx-speed=100000000"
        Cisco-AVPair = "nas-rx-speed=100000000"
        Acct-Session-Time = 1320
        Acct-Input-Octets = 122889722
        Acct-Output-Octets = 404759843
        Acct-Input-Packets = 369909
        Acct-Output-Packets = 422677
        Acct-Terminate-Cause = User-Request
        Cisco-AVPair = "disc-cause-ext=PPP Receive Term"
        Acct-Status-Type = Stop
        NAS-Port-Type = Virtual
        NAS-Port = 0
        NAS-Port-Id = "0/0/0/0"
        Service-Type = Framed-User
        NAS-IP-Address = <NAS IP-address>
        Acct-Delay-Time = 0
        Acct-Unique-Session-Id = "d09d613c54529791"
        Timestamp = 1248889913
        Request-Authenticator = Verified

 

Проблема в том, что 382281268 + 21629913 - 404759843 = -848662. То есть, не сходится в ноль. Как так?

Share this post


Link to post
Share on other sites
Проблема в том, что 382281268 + 21629913 - 404759843 = -848662. То есть, не сходится в ноль. Как так?
Cisco 7200 учитывает трафик ISG _после_ работы policer (rate-limit). Указанная разница, видимо, была дропнута rate-limit.

 

Почитать о работе isg надо на Cisco.com :)

 

PS: Описания сервисов лучше держать на RADIUS. Априори.

Share this post


Link to post
Share on other sites

Почему поля Acct-Unique-Session-Id и Acct-Session-Id не совпадают? Можно ли как-нибудь это поправить - не понятен алгоритм привязывания аккаунтинга к пользователю (разве что IP-адрес)?

 

И у меня periodic update приходят только общие. Отдельных по сервисам не приходит.

Share this post


Link to post
Share on other sites
Почему поля Acct-Unique-Session-Id и Acct-Session-Id не совпадают? Можно ли как-нибудь это поправить - не понятен алгоритм привязывания аккаунтинга к пользователю (разве что IP-адрес)?

 

И у меня periodic update приходят только общие. Отдельных по сервисам не приходит.

Acct-Unique-Session-Id - это вообще-то атрибут, генерируемый freeradius. Представляет собой хеш значений. Смотреть в конфиге по слову uniq. Соответственно теплое с мягким совпасть никак не может.

 

Interim-update для сервисов - не настроить для каждого из сервисов по отдельности, если профайлы сервиса указываются локально. Это одна из причин держать профайлы сервисов на RADIUS. Указываются RADIUS-атрибутом Acct-Interim-Interval (85). Об этом написано в ISG Configuration Guide на Cisco.com.

Share this post


Link to post
Share on other sites

Ага. Прочитал. Буду теперь пробовать с RADIUS'а передавать всё необходимое. С "привязыванием" тоже разобрался. Спасибо за подсказки.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this