leveler Posted July 29, 2009 Posted July 29, 2009 Мучаю тут виртуальную цыску (dynamips+dynagen). Если безе service-policy в Virtual-Template 1, то PPPoE завязывается. Если с ним, то нет. Цыска в сторону RADIUS-сервера ничего не шлёт. Значит, ей не нравится настройка ISG, смысл которой в отдаче через RADIUS Accounting значений трафика локального (Local) и глобального (Internet). ИОС: c7200-a3jk91s-mz.122-31.SB9.bin Вот конфиг: version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Emulated7201 ! boot-start-marker boot-end-marker ! ! aaa new-model ! ! aaa group server radius AAA-RADIUS-SERVERS server-private <IP-адрес RADIUS-сервера> auth-port 1812 acct-port 1813 key <ключ> ! aaa authentication ppp dialin group AAA-RADIUS-SERVERS aaa authentication ppp PPPoE group AAA-RADIUS-SERVERS aaa authorization network PPPoE group AAA-RADIUS-SERVERS aaa accounting update periodic 2 aaa accounting network PPPoE start-stop group AAA-RADIUS-SERVERS aaa accounting network ISG_ACCT start-stop group AAA-RADIUS-SERVERS ! ! ! aaa session-id common clock timezone KRAT 8 ip subnet-zero ! ! no ip dhcp use vrf connected ! ! ip cef ! ! call rsvp-sync no virtual-template subinterface no scripting tcl init no scripting tcl encdir ! ! ! ! ! ! ! no file verify auto ! class-map type traffic match-any Internet match access-group output name Internet-out match access-group input name Internet-in ! class-map type traffic match-any Local match access-group output name Local-out match access-group input name Local-in ! policy-map type service Local-Acct class type traffic Local accounting aaa list ISG_ACCT ! class type traffic default in-out drop ! ! policy-map type service Internet-Acct class type traffic Internet accounting aaa list ISG_ACCT ! class type traffic default in-out drop ! ! policy-map type control ACCT_POLICY class type control always event session-start 10 service-policy type service name Internet-Acct 20 service-policy type service name Local-Acct ! ! ! bba-group pppoe global virtual-template 1 sessions max limit 8000 ac name TEST_ITG ! ! interface Loopback0 ip address <ip-адрес> <маска подсети> ! interface FastEthernet0/0 ip address <ip-адрес> <маска подсети> duplex full pppoe enable group global ! interface FastEthernet1/0 ip address <ip-адрес> <маска подсети> speed auto duplex auto ! interface FastEthernet1/1 no ip address speed auto duplex auto pppoe enable group global ! interface Virtual-Template1 description "PPPoE" ip unnumbered Loopback0 no ip redirects no ip proxy-arp ip accounting output-packets ip flow ingress rate-limit input 7000000 1250000 2500000 conform-action transmit exceed-action drop no peer default ip address keepalive 5 ppp authentication pap PPPoE ppp authorization PPPoE ppp accounting PPPoE ppp ipcp address unique service-policy type control ACCT_POLICY ! ! router eigrp <ID> redistribute connected network <сеть> <wildcard mask> no auto-summary ! ip classless ip flow-export source Loopback0 ip flow-export version 5 peer-as ip flow-export destination <ip-адрес> <порт> ! no ip http server ! ! ! ip access-list extended Internet-in deny ip any 62.231.160.0 0.0.31.255 deny ip any 80.83.192.0 0.0.15.255 deny ip any 212.36.224.0 0.0.31.255 permit ip any any ip access-list extended Internet-out deny ip 62.231.160.0 0.0.31.255 any deny ip 80.83.192.0 0.0.15.255 any deny ip 212.36.224.0 0.0.31.255 any permit ip any any ip access-list extended Local-in permit ip any 62.231.160.0 0.0.31.255 permit ip any 80.83.192.0 0.0.15.255 permit ip any 212.36.224.0 0.0.31.255 ip access-list extended Local-out permit ip 62.231.160.0 0.0.31.255 any permit ip 80.83.192.0 0.0.15.255 any permit ip 212.36.224.0 0.0.31.255 any ip radius source-interface FastEthernet1/1 vrf default ! ! ! ! ! ! ! ! ! ! radius-server retransmit 10 radius-server vsa send accounting ! control-plane ! ! ! dial-peer cor custom ! ! ! ! gatekeeper shutdown ! ! line con 0 exec-timeout 0 0 logging synchronous stopbits 1 line aux 0 stopbits 1 line vty 0 4 ! ntp clock-period 17180448 ntp server <ip-адрес> У меня винда выдаёт сообщение "Ошибка 651: Модем или другое устройство связи сообщило об ошибке". Думается, что где-то в конфиге что-то упустил. Помогите разобраться. Вставить ник Quote
leveler Posted July 29, 2009 Author Posted July 29, 2009 Кое-что вяснил. policy-map type control ACCT_POLICY class type control always event session-start 10 service-policy type service name Internet-Acct 20 service-policy type service name Local-Acct Если "убить" правила 10 и 20, то работает. Вставить ник Quote
ilgizk Posted July 29, 2009 Posted July 29, 2009 Кое-что вяснил. policy-map type control ACCT_POLICY class type control always event session-start 10 service-policy type service name Internet-Acct 20 service-policy type service name Local-Acct Если "убить" правила 10 и 20, то работает. Не включена авторизация ISG-сервисов: aaa authorization subscriber-service default local Вставить ник Quote
leveler Posted July 29, 2009 Author Posted July 29, 2009 Больше спасибо, всё заработало. А где про это можно прочесть (конкретное место интересует)? Вставить ник Quote
leveler Posted July 29, 2009 Author Posted July 29, 2009 Вот аккаунтинг: Thu Jul 30 01:51:53 2009 Acct-Session-Id = "00000003" Framed-Protocol = PPP Cisco-Service-Info = "NInternet-Acct" Cisco-AVPair = "parent-session-id=00000002" Framed-IP-Address = <Client IP-address> User-Name = "testuser" Acct-Terminate-Cause = User-Request Cisco-AVPair = "disc-cause-ext=PPP Receive Term" Acct-Input-Packets = 360902 Acct-Output-Packets = 406229 Acct-Input-Octets = 121789532 Acct-Output-Octets = 382281268 Acct-Session-Time = 1320 Acct-Status-Type = Stop NAS-Port-Type = Virtual NAS-Port = 0 NAS-Port-Id = "0/0/0/0" Service-Type = Framed-User NAS-IP-Address = <NAS IP-address> Acct-Delay-Time = 0 Acct-Unique-Session-Id = "861de22413615bb1" Timestamp = 1248889913 Request-Authenticator = Verified Thu Jul 30 01:51:53 2009 Acct-Session-Id = "00000004" Framed-Protocol = PPP Cisco-Service-Info = "NLocal-Acct" Cisco-AVPair = "parent-session-id=00000002" Framed-IP-Address = <Client IP-address> User-Name = "testuser" Acct-Terminate-Cause = User-Request Cisco-AVPair = "disc-cause-ext=PPP Receive Term" Acct-Input-Packets = 8742 Acct-Output-Packets = 16176 Acct-Input-Octets = 357194 Acct-Output-Octets = 21629913 Acct-Session-Time = 1320 Acct-Status-Type = Stop NAS-Port-Type = Virtual NAS-Port = 0 NAS-Port-Id = "0/0/0/0" Service-Type = Framed-User NAS-IP-Address = <NAS IP-address> Acct-Delay-Time = 0 Acct-Unique-Session-Id = "ce5c7da61e3ba430" Timestamp = 1248889913 Request-Authenticator = Verified Thu Jul 30 01:51:53 2009 Acct-Session-Id = "00000002" Cisco-AVPair = "client-mac-address=000f.ea8e.2370" Framed-Protocol = PPP Framed-IP-Address = <Client IP-address> Cisco-AVPair = "ppp-disconnect-cause=Received LCP TERMREQ from peer" User-Name = "testuser" Acct-Authentic = RADIUS Cisco-AVPair = "connect-progress=LAN Ses Up" Cisco-AVPair = "nas-tx-speed=100000000" Cisco-AVPair = "nas-rx-speed=100000000" Acct-Session-Time = 1320 Acct-Input-Octets = 122889722 Acct-Output-Octets = 404759843 Acct-Input-Packets = 369909 Acct-Output-Packets = 422677 Acct-Terminate-Cause = User-Request Cisco-AVPair = "disc-cause-ext=PPP Receive Term" Acct-Status-Type = Stop NAS-Port-Type = Virtual NAS-Port = 0 NAS-Port-Id = "0/0/0/0" Service-Type = Framed-User NAS-IP-Address = <NAS IP-address> Acct-Delay-Time = 0 Acct-Unique-Session-Id = "d09d613c54529791" Timestamp = 1248889913 Request-Authenticator = Verified Проблема в том, что 382281268 + 21629913 - 404759843 = -848662. То есть, не сходится в ноль. Как так? Вставить ник Quote
ilgizk Posted July 30, 2009 Posted July 30, 2009 Проблема в том, что 382281268 + 21629913 - 404759843 = -848662. То есть, не сходится в ноль. Как так? Cisco 7200 учитывает трафик ISG _после_ работы policer (rate-limit). Указанная разница, видимо, была дропнута rate-limit. Почитать о работе isg надо на Cisco.com :) PS: Описания сервисов лучше держать на RADIUS. Априори. Вставить ник Quote
leveler Posted July 30, 2009 Author Posted July 30, 2009 Почему поля Acct-Unique-Session-Id и Acct-Session-Id не совпадают? Можно ли как-нибудь это поправить - не понятен алгоритм привязывания аккаунтинга к пользователю (разве что IP-адрес)? И у меня periodic update приходят только общие. Отдельных по сервисам не приходит. Вставить ник Quote
ilgizk Posted July 31, 2009 Posted July 31, 2009 Почему поля Acct-Unique-Session-Id и Acct-Session-Id не совпадают? Можно ли как-нибудь это поправить - не понятен алгоритм привязывания аккаунтинга к пользователю (разве что IP-адрес)? И у меня periodic update приходят только общие. Отдельных по сервисам не приходит. Acct-Unique-Session-Id - это вообще-то атрибут, генерируемый freeradius. Представляет собой хеш значений. Смотреть в конфиге по слову uniq. Соответственно теплое с мягким совпасть никак не может. Interim-update для сервисов - не настроить для каждого из сервисов по отдельности, если профайлы сервиса указываются локально. Это одна из причин держать профайлы сервисов на RADIUS. Указываются RADIUS-атрибутом Acct-Interim-Interval (85). Об этом написано в ISG Configuration Guide на Cisco.com. Вставить ник Quote
leveler Posted August 2, 2009 Author Posted August 2, 2009 Ага. Прочитал. Буду теперь пробовать с RADIUS'а передавать всё необходимое. С "привязыванием" тоже разобрался. Спасибо за подсказки. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.