Перейти к содержимому
Калькуляторы

7200+ISG+PPPoE+Accounting Нужна помощь в настройке

Мучаю тут виртуальную цыску (dynamips+dynagen). Если безе service-policy в Virtual-Template 1, то PPPoE завязывается. Если с ним, то нет. Цыска в сторону RADIUS-сервера ничего не шлёт. Значит, ей не нравится настройка ISG, смысл которой в отдаче через RADIUS Accounting значений трафика локального (Local) и глобального (Internet). ИОС: c7200-a3jk91s-mz.122-31.SB9.bin

 

Вот конфиг:

version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Emulated7201
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa group server radius AAA-RADIUS-SERVERS
server-private <IP-адрес RADIUS-сервера> auth-port 1812 acct-port 1813 key <ключ>
!
aaa authentication ppp dialin group AAA-RADIUS-SERVERS
aaa authentication ppp PPPoE group AAA-RADIUS-SERVERS
aaa authorization network PPPoE group AAA-RADIUS-SERVERS
aaa accounting update periodic 2
aaa accounting network PPPoE start-stop group AAA-RADIUS-SERVERS
aaa accounting network ISG_ACCT start-stop group AAA-RADIUS-SERVERS
!
!
!
aaa session-id common
clock timezone KRAT 8
ip subnet-zero
!
!
no ip dhcp use vrf connected
!
!
ip cef
!
!
call rsvp-sync
no virtual-template subinterface
no scripting tcl init
no scripting tcl encdir
!
!
!
!
!
!
!
no file verify auto
!
class-map type traffic match-any Internet
match access-group output name Internet-out
match access-group input name Internet-in
!
class-map type traffic match-any Local
match access-group output name Local-out
match access-group input name Local-in
!
policy-map type service Local-Acct
class type traffic Local
  accounting aaa list ISG_ACCT
!
class type traffic default in-out
  drop
!
!
policy-map type service Internet-Acct
class type traffic Internet
  accounting aaa list ISG_ACCT
!
class type traffic default in-out
  drop
!
!
policy-map type control ACCT_POLICY
class type control always event session-start
  10 service-policy type service name Internet-Acct
  20 service-policy type service name Local-Acct
!
!
!
bba-group pppoe global
virtual-template 1
sessions max limit 8000
ac name TEST_ITG
!
!
interface Loopback0
ip address <ip-адрес> <маска подсети>
!
interface FastEthernet0/0
ip address <ip-адрес> <маска подсети>
duplex full
pppoe enable group global
!
interface FastEthernet1/0
ip address <ip-адрес> <маска подсети>
speed auto
duplex auto
!
interface FastEthernet1/1
no ip address
speed auto
duplex auto
pppoe enable group global
!
interface Virtual-Template1
description "PPPoE"
ip unnumbered Loopback0
no ip redirects
no ip proxy-arp
ip accounting output-packets
ip flow ingress
rate-limit input 7000000 1250000 2500000 conform-action transmit exceed-action drop
no peer default ip address
keepalive 5
ppp authentication pap PPPoE
ppp authorization PPPoE
ppp accounting PPPoE
ppp ipcp address unique
service-policy type control ACCT_POLICY
!
!
router eigrp <ID>
redistribute connected
network <сеть> <wildcard mask>
no auto-summary
!
ip classless
ip flow-export source Loopback0
ip flow-export version 5 peer-as
ip flow-export destination <ip-адрес> <порт>
!
no ip http server
!
!
!
ip access-list extended Internet-in
deny   ip any 62.231.160.0 0.0.31.255
deny   ip any 80.83.192.0 0.0.15.255
deny   ip any 212.36.224.0 0.0.31.255
permit ip any any
ip access-list extended Internet-out
deny   ip 62.231.160.0 0.0.31.255 any
deny   ip 80.83.192.0 0.0.15.255 any
deny   ip 212.36.224.0 0.0.31.255 any
permit ip any any
ip access-list extended Local-in
permit ip any 62.231.160.0 0.0.31.255
permit ip any 80.83.192.0 0.0.15.255
permit ip any 212.36.224.0 0.0.31.255
ip access-list extended Local-out
permit ip 62.231.160.0 0.0.31.255 any
permit ip 80.83.192.0 0.0.15.255 any
permit ip 212.36.224.0 0.0.31.255 any
ip radius source-interface FastEthernet1/1 vrf default
!
!
!
!
!
!
!
!
!
!
radius-server retransmit 10
radius-server vsa send accounting
!
control-plane
!
!
!
dial-peer cor custom
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
logging synchronous
stopbits 1
line aux 0
stopbits 1
line vty 0 4
!
ntp clock-period 17180448
ntp server <ip-адрес>

 

У меня винда выдаёт сообщение "Ошибка 651: Модем или другое устройство связи сообщило об ошибке". Думается, что где-то в конфиге что-то упустил. Помогите разобраться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кое-что вяснил.

policy-map type control ACCT_POLICY
class type control always event session-start
 10 service-policy type service name Internet-Acct
 20 service-policy type service name Local-Acct

Если "убить" правила 10 и 20, то работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кое-что вяснил.

policy-map type control ACCT_POLICY
class type control always event session-start
  10 service-policy type service name Internet-Acct
  20 service-policy type service name Local-Acct

Если "убить" правила 10 и 20, то работает.

Не включена авторизация ISG-сервисов:

 

aaa authorization subscriber-service default local

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Больше спасибо, всё заработало. А где про это можно прочесть (конкретное место интересует)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот аккаунтинг:

Thu Jul 30 01:51:53 2009
        Acct-Session-Id = "00000003"
        Framed-Protocol = PPP
        Cisco-Service-Info = "NInternet-Acct"
        Cisco-AVPair = "parent-session-id=00000002"
        Framed-IP-Address = <Client IP-address>
        User-Name = "testuser"
        Acct-Terminate-Cause = User-Request
        Cisco-AVPair = "disc-cause-ext=PPP Receive Term"
        Acct-Input-Packets = 360902
        Acct-Output-Packets = 406229
        Acct-Input-Octets = 121789532
        Acct-Output-Octets = 382281268
        Acct-Session-Time = 1320
        Acct-Status-Type = Stop
        NAS-Port-Type = Virtual
        NAS-Port = 0
        NAS-Port-Id = "0/0/0/0"
        Service-Type = Framed-User
        NAS-IP-Address = <NAS IP-address>
        Acct-Delay-Time = 0
        Acct-Unique-Session-Id = "861de22413615bb1"
        Timestamp = 1248889913
        Request-Authenticator = Verified

Thu Jul 30 01:51:53 2009
        Acct-Session-Id = "00000004"
        Framed-Protocol = PPP
        Cisco-Service-Info = "NLocal-Acct"
        Cisco-AVPair = "parent-session-id=00000002"
        Framed-IP-Address = <Client IP-address>
        User-Name = "testuser"
        Acct-Terminate-Cause = User-Request
        Cisco-AVPair = "disc-cause-ext=PPP Receive Term"
        Acct-Input-Packets = 8742
        Acct-Output-Packets = 16176
        Acct-Input-Octets = 357194
        Acct-Output-Octets = 21629913
        Acct-Session-Time = 1320
        Acct-Status-Type = Stop
        NAS-Port-Type = Virtual
        NAS-Port = 0
        NAS-Port-Id = "0/0/0/0"
        Service-Type = Framed-User
        NAS-IP-Address = <NAS IP-address>
        Acct-Delay-Time = 0
        Acct-Unique-Session-Id = "ce5c7da61e3ba430"
        Timestamp = 1248889913
        Request-Authenticator = Verified

Thu Jul 30 01:51:53 2009
        Acct-Session-Id = "00000002"
        Cisco-AVPair = "client-mac-address=000f.ea8e.2370"
        Framed-Protocol = PPP
        Framed-IP-Address = <Client IP-address>
        Cisco-AVPair = "ppp-disconnect-cause=Received LCP TERMREQ from peer"
        User-Name = "testuser"
        Acct-Authentic = RADIUS
        Cisco-AVPair = "connect-progress=LAN Ses Up"
        Cisco-AVPair = "nas-tx-speed=100000000"
        Cisco-AVPair = "nas-rx-speed=100000000"
        Acct-Session-Time = 1320
        Acct-Input-Octets = 122889722
        Acct-Output-Octets = 404759843
        Acct-Input-Packets = 369909
        Acct-Output-Packets = 422677
        Acct-Terminate-Cause = User-Request
        Cisco-AVPair = "disc-cause-ext=PPP Receive Term"
        Acct-Status-Type = Stop
        NAS-Port-Type = Virtual
        NAS-Port = 0
        NAS-Port-Id = "0/0/0/0"
        Service-Type = Framed-User
        NAS-IP-Address = <NAS IP-address>
        Acct-Delay-Time = 0
        Acct-Unique-Session-Id = "d09d613c54529791"
        Timestamp = 1248889913
        Request-Authenticator = Verified

 

Проблема в том, что 382281268 + 21629913 - 404759843 = -848662. То есть, не сходится в ноль. Как так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Проблема в том, что 382281268 + 21629913 - 404759843 = -848662. То есть, не сходится в ноль. Как так?
Cisco 7200 учитывает трафик ISG _после_ работы policer (rate-limit). Указанная разница, видимо, была дропнута rate-limit.

 

Почитать о работе isg надо на Cisco.com :)

 

PS: Описания сервисов лучше держать на RADIUS. Априори.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Почему поля Acct-Unique-Session-Id и Acct-Session-Id не совпадают? Можно ли как-нибудь это поправить - не понятен алгоритм привязывания аккаунтинга к пользователю (разве что IP-адрес)?

 

И у меня periodic update приходят только общие. Отдельных по сервисам не приходит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Почему поля Acct-Unique-Session-Id и Acct-Session-Id не совпадают? Можно ли как-нибудь это поправить - не понятен алгоритм привязывания аккаунтинга к пользователю (разве что IP-адрес)?

 

И у меня periodic update приходят только общие. Отдельных по сервисам не приходит.

Acct-Unique-Session-Id - это вообще-то атрибут, генерируемый freeradius. Представляет собой хеш значений. Смотреть в конфиге по слову uniq. Соответственно теплое с мягким совпасть никак не может.

 

Interim-update для сервисов - не настроить для каждого из сервисов по отдельности, если профайлы сервиса указываются локально. Это одна из причин держать профайлы сервисов на RADIUS. Указываются RADIUS-атрибутом Acct-Interim-Interval (85). Об этом написано в ISG Configuration Guide на Cisco.com.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ага. Прочитал. Буду теперь пробовать с RADIUS'а передавать всё необходимое. С "привязыванием" тоже разобрался. Спасибо за подсказки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.