leveler Опубликовано 29 июля, 2009 · Жалоба Мучаю тут виртуальную цыску (dynamips+dynagen). Если безе service-policy в Virtual-Template 1, то PPPoE завязывается. Если с ним, то нет. Цыска в сторону RADIUS-сервера ничего не шлёт. Значит, ей не нравится настройка ISG, смысл которой в отдаче через RADIUS Accounting значений трафика локального (Local) и глобального (Internet). ИОС: c7200-a3jk91s-mz.122-31.SB9.bin Вот конфиг: version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Emulated7201 ! boot-start-marker boot-end-marker ! ! aaa new-model ! ! aaa group server radius AAA-RADIUS-SERVERS server-private <IP-адрес RADIUS-сервера> auth-port 1812 acct-port 1813 key <ключ> ! aaa authentication ppp dialin group AAA-RADIUS-SERVERS aaa authentication ppp PPPoE group AAA-RADIUS-SERVERS aaa authorization network PPPoE group AAA-RADIUS-SERVERS aaa accounting update periodic 2 aaa accounting network PPPoE start-stop group AAA-RADIUS-SERVERS aaa accounting network ISG_ACCT start-stop group AAA-RADIUS-SERVERS ! ! ! aaa session-id common clock timezone KRAT 8 ip subnet-zero ! ! no ip dhcp use vrf connected ! ! ip cef ! ! call rsvp-sync no virtual-template subinterface no scripting tcl init no scripting tcl encdir ! ! ! ! ! ! ! no file verify auto ! class-map type traffic match-any Internet match access-group output name Internet-out match access-group input name Internet-in ! class-map type traffic match-any Local match access-group output name Local-out match access-group input name Local-in ! policy-map type service Local-Acct class type traffic Local accounting aaa list ISG_ACCT ! class type traffic default in-out drop ! ! policy-map type service Internet-Acct class type traffic Internet accounting aaa list ISG_ACCT ! class type traffic default in-out drop ! ! policy-map type control ACCT_POLICY class type control always event session-start 10 service-policy type service name Internet-Acct 20 service-policy type service name Local-Acct ! ! ! bba-group pppoe global virtual-template 1 sessions max limit 8000 ac name TEST_ITG ! ! interface Loopback0 ip address <ip-адрес> <маска подсети> ! interface FastEthernet0/0 ip address <ip-адрес> <маска подсети> duplex full pppoe enable group global ! interface FastEthernet1/0 ip address <ip-адрес> <маска подсети> speed auto duplex auto ! interface FastEthernet1/1 no ip address speed auto duplex auto pppoe enable group global ! interface Virtual-Template1 description "PPPoE" ip unnumbered Loopback0 no ip redirects no ip proxy-arp ip accounting output-packets ip flow ingress rate-limit input 7000000 1250000 2500000 conform-action transmit exceed-action drop no peer default ip address keepalive 5 ppp authentication pap PPPoE ppp authorization PPPoE ppp accounting PPPoE ppp ipcp address unique service-policy type control ACCT_POLICY ! ! router eigrp <ID> redistribute connected network <сеть> <wildcard mask> no auto-summary ! ip classless ip flow-export source Loopback0 ip flow-export version 5 peer-as ip flow-export destination <ip-адрес> <порт> ! no ip http server ! ! ! ip access-list extended Internet-in deny ip any 62.231.160.0 0.0.31.255 deny ip any 80.83.192.0 0.0.15.255 deny ip any 212.36.224.0 0.0.31.255 permit ip any any ip access-list extended Internet-out deny ip 62.231.160.0 0.0.31.255 any deny ip 80.83.192.0 0.0.15.255 any deny ip 212.36.224.0 0.0.31.255 any permit ip any any ip access-list extended Local-in permit ip any 62.231.160.0 0.0.31.255 permit ip any 80.83.192.0 0.0.15.255 permit ip any 212.36.224.0 0.0.31.255 ip access-list extended Local-out permit ip 62.231.160.0 0.0.31.255 any permit ip 80.83.192.0 0.0.15.255 any permit ip 212.36.224.0 0.0.31.255 any ip radius source-interface FastEthernet1/1 vrf default ! ! ! ! ! ! ! ! ! ! radius-server retransmit 10 radius-server vsa send accounting ! control-plane ! ! ! dial-peer cor custom ! ! ! ! gatekeeper shutdown ! ! line con 0 exec-timeout 0 0 logging synchronous stopbits 1 line aux 0 stopbits 1 line vty 0 4 ! ntp clock-period 17180448 ntp server <ip-адрес> У меня винда выдаёт сообщение "Ошибка 651: Модем или другое устройство связи сообщило об ошибке". Думается, что где-то в конфиге что-то упустил. Помогите разобраться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 29 июля, 2009 · Жалоба Кое-что вяснил. policy-map type control ACCT_POLICY class type control always event session-start 10 service-policy type service name Internet-Acct 20 service-policy type service name Local-Acct Если "убить" правила 10 и 20, то работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilgizk Опубликовано 29 июля, 2009 · Жалоба Кое-что вяснил. policy-map type control ACCT_POLICY class type control always event session-start 10 service-policy type service name Internet-Acct 20 service-policy type service name Local-Acct Если "убить" правила 10 и 20, то работает. Не включена авторизация ISG-сервисов: aaa authorization subscriber-service default local Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 29 июля, 2009 · Жалоба Больше спасибо, всё заработало. А где про это можно прочесть (конкретное место интересует)? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 29 июля, 2009 · Жалоба Вот аккаунтинг: Thu Jul 30 01:51:53 2009 Acct-Session-Id = "00000003" Framed-Protocol = PPP Cisco-Service-Info = "NInternet-Acct" Cisco-AVPair = "parent-session-id=00000002" Framed-IP-Address = <Client IP-address> User-Name = "testuser" Acct-Terminate-Cause = User-Request Cisco-AVPair = "disc-cause-ext=PPP Receive Term" Acct-Input-Packets = 360902 Acct-Output-Packets = 406229 Acct-Input-Octets = 121789532 Acct-Output-Octets = 382281268 Acct-Session-Time = 1320 Acct-Status-Type = Stop NAS-Port-Type = Virtual NAS-Port = 0 NAS-Port-Id = "0/0/0/0" Service-Type = Framed-User NAS-IP-Address = <NAS IP-address> Acct-Delay-Time = 0 Acct-Unique-Session-Id = "861de22413615bb1" Timestamp = 1248889913 Request-Authenticator = Verified Thu Jul 30 01:51:53 2009 Acct-Session-Id = "00000004" Framed-Protocol = PPP Cisco-Service-Info = "NLocal-Acct" Cisco-AVPair = "parent-session-id=00000002" Framed-IP-Address = <Client IP-address> User-Name = "testuser" Acct-Terminate-Cause = User-Request Cisco-AVPair = "disc-cause-ext=PPP Receive Term" Acct-Input-Packets = 8742 Acct-Output-Packets = 16176 Acct-Input-Octets = 357194 Acct-Output-Octets = 21629913 Acct-Session-Time = 1320 Acct-Status-Type = Stop NAS-Port-Type = Virtual NAS-Port = 0 NAS-Port-Id = "0/0/0/0" Service-Type = Framed-User NAS-IP-Address = <NAS IP-address> Acct-Delay-Time = 0 Acct-Unique-Session-Id = "ce5c7da61e3ba430" Timestamp = 1248889913 Request-Authenticator = Verified Thu Jul 30 01:51:53 2009 Acct-Session-Id = "00000002" Cisco-AVPair = "client-mac-address=000f.ea8e.2370" Framed-Protocol = PPP Framed-IP-Address = <Client IP-address> Cisco-AVPair = "ppp-disconnect-cause=Received LCP TERMREQ from peer" User-Name = "testuser" Acct-Authentic = RADIUS Cisco-AVPair = "connect-progress=LAN Ses Up" Cisco-AVPair = "nas-tx-speed=100000000" Cisco-AVPair = "nas-rx-speed=100000000" Acct-Session-Time = 1320 Acct-Input-Octets = 122889722 Acct-Output-Octets = 404759843 Acct-Input-Packets = 369909 Acct-Output-Packets = 422677 Acct-Terminate-Cause = User-Request Cisco-AVPair = "disc-cause-ext=PPP Receive Term" Acct-Status-Type = Stop NAS-Port-Type = Virtual NAS-Port = 0 NAS-Port-Id = "0/0/0/0" Service-Type = Framed-User NAS-IP-Address = <NAS IP-address> Acct-Delay-Time = 0 Acct-Unique-Session-Id = "d09d613c54529791" Timestamp = 1248889913 Request-Authenticator = Verified Проблема в том, что 382281268 + 21629913 - 404759843 = -848662. То есть, не сходится в ноль. Как так? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilgizk Опубликовано 30 июля, 2009 · Жалоба Проблема в том, что 382281268 + 21629913 - 404759843 = -848662. То есть, не сходится в ноль. Как так? Cisco 7200 учитывает трафик ISG _после_ работы policer (rate-limit). Указанная разница, видимо, была дропнута rate-limit. Почитать о работе isg надо на Cisco.com :) PS: Описания сервисов лучше держать на RADIUS. Априори. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 30 июля, 2009 · Жалоба Почему поля Acct-Unique-Session-Id и Acct-Session-Id не совпадают? Можно ли как-нибудь это поправить - не понятен алгоритм привязывания аккаунтинга к пользователю (разве что IP-адрес)? И у меня periodic update приходят только общие. Отдельных по сервисам не приходит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilgizk Опубликовано 31 июля, 2009 · Жалоба Почему поля Acct-Unique-Session-Id и Acct-Session-Id не совпадают? Можно ли как-нибудь это поправить - не понятен алгоритм привязывания аккаунтинга к пользователю (разве что IP-адрес)? И у меня periodic update приходят только общие. Отдельных по сервисам не приходит. Acct-Unique-Session-Id - это вообще-то атрибут, генерируемый freeradius. Представляет собой хеш значений. Смотреть в конфиге по слову uniq. Соответственно теплое с мягким совпасть никак не может. Interim-update для сервисов - не настроить для каждого из сервисов по отдельности, если профайлы сервиса указываются локально. Это одна из причин держать профайлы сервисов на RADIUS. Указываются RADIUS-атрибутом Acct-Interim-Interval (85). Об этом написано в ISG Configuration Guide на Cisco.com. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 2 августа, 2009 · Жалоба Ага. Прочитал. Буду теперь пробовать с RADIUS'а передавать всё необходимое. С "привязыванием" тоже разобрался. Спасибо за подсказки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...