Jump to content

Nas-Port-Id на Cisco или крик души.

sirmax
 Share

Recommended Posts

sirmax

sirmax

Posted
Posted

Проипалсяковырялся вечер... это просто праздник какой-то.

 

Решил собрать ВПН (pptp) сервер на cisco 7201.

Из тех ИОСов, что есть в наличии, мне только один удалось заставить нормально работать, у остальных или не работает rate-limit или не посылается Nas-Port-Id (который нужен для rlm_sqlippool)

Конечно, можно вы***вернутьcя c радиусом, сделать реврайт атрибутам или еще что то... но блин

с одним и тем же конфигом, без ругани на конфиг, на

c7200p-adventerprisek9-mz.122-33.SRC5.bin - работает

на других разных - нет (

 

 

Скажите, коллеги, или я где-то по крупному косячу... или что то не то тут?

У кого какие ИОСы используются на такой железке?

 

PS

НЕ работа rate-limit выглядит как-то так

sh interfaces virtual-access 3 rate-limit
Virtual-Access3
  Input
    matches: all traffic
      params:  4096000 bps, 512000 limit, 512000 extended limit
      conformed 13240 packets, 10099446 bytes; action: transmit
      exceeded 58 packets, 81096 bytes; action: drop
      last packet: 40892ms ago, current burst: 0 bytes
      last cleared 00:08:49 ago, conformed 152701 bps, exceeded 1226 bps

 

pliskinsad

pliskinsad

Posted
Posted (edited) 

radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU

 

c7200p-adventerprisek9-mz.124-15.T1.bin

 

Как именно навешиваете rate-limit?

 

Без радиуса будет плохо, так что видимо "извратится" всеж придется :)

Edited by pliskinsad
kt

kt

Posted
Posted

у меня на 7206 7200p-spservicesk9-mz.122-33.SRD3.bin

 

NAS-Port = 518

NAS-Port-Id = "Virtual-Access518"

 

Virtual-Access518

Input

matches: all traffic

params: 1024000 bps, 184320 limit, 368640 extended limit

conformed 678 packets, 92711 bytes; action: transmit

exceeded 0 packets, 0 bytes; action: drop

last packet: 112ms ago, current burst: 855 bytes

last cleared 00:04:22 ago, conformed 2823 bps, exceeded 0 bps

Output

matches: all traffic

params: 1024000 bps, 184320 limit, 368640 extended limit

conformed 618 packets, 194506 bytes; action: transmit

exceeded 0 packets, 0 bytes; action: drop

last packet: 112ms ago, current burst: 0 bytes

last cleared 00:04:22 ago, conformed 5922 bps, exceeded 0 bps

 

раньше стоял c7200p-spservicesk9-mz.124-11.T.bin, проблем тоже не было.

pliskinsad

pliskinsad

Posted
Posted

Предпочел для своих абонентов сделать разграничение по скоростям (внутренние ресурсы на полной скорости, интернет по тарифу).

В зависимости от тарифа выдается на логин радиусом avpair вида:

 

cisco-avpair=lcp:interface-config=rate-limit input access-group 2057 576000 54000 108000 conform-action transmit exceed-action drop

cisco-avpair=lcp:interface-config=rate-limit output access-group 2067 576000 54000 108000 conform-action transmit exceed-action drop

 

где 2057 и 2067 это списки доступа на cisco:

 

access-list 2057 deny ip any [сеть с серверами] wildcard

access-list 2057 permit ip any any

 

 

access-list 2067 deny ip [сеть с серверами] wildcard any

access-list 2067 permit ip any any

 

 

попробуйте :)

 

sirmax

sirmax

Posted
  • Author
Posted 

radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU

Так и делаю

 

 

c7200p-adventerprisek9-mz.124-15.T1.bin

Reason for Software Advisory:

DDTS No(s):

CSCek65374 Headline: PRE3 startup-config parse failed on post sync4 exodus image

CSCek73053 Headline: Crash/Traceback seen @ crypto_pki_unlock_cert_database

CSCek76288 Headline: Router crashes on show ppp multilink after OIR

CSCek77424 Headline: Bus error crash in NAT code

CSCsi82166 Headline: BEEP Router crashes at user_pw_lookup with 12.4(13.13)T1 image

Это только часть...

 

rate-limit навешиваю простейшим способом...

Cisco-AVPair    | += | lcp:interface-config=rate-limit output access-group 101 64000 2000 2000 conform-action transmit exceed-action drop

 

Andrei

Andrei

Posted
Posted
Предпочел для своих абонентов сделать разграничение по скоростям (внутренние ресурсы на полной скорости, интернет по тарифу).

В зависимости от тарифа выдается на логин радиусом avpair вида:

 

cisco-avpair=lcp:interface-config=rate-limit input access-group 2057 576000 54000 108000 conform-action transmit exceed-action drop

cisco-avpair=lcp:interface-config=rate-limit output access-group 2067 576000 54000 108000 conform-action transmit exceed-action drop

 

где 2057 и 2067 это списки доступа на cisco:

 

access-list 2057 deny ip any [сеть с серверами] wildcard

access-list 2057 permit ip any any

 

 

access-list 2067 deny ip [сеть с серверами] wildcard any

access-list 2067 permit ip any any

Не совсем понятно, как этот паровоз летает.

Вижу - output на свои сервера шейпится, и input - на все остальное. Или чего-то не понимаю?

pliskinsad

pliskinsad

Posted
Posted
Предпочел для своих абонентов сделать разграничение по скоростям (внутренние ресурсы на полной скорости, интернет по тарифу).

В зависимости от тарифа выдается на логин радиусом avpair вида:

 

cisco-avpair=lcp:interface-config=rate-limit input access-group 2057 576000 54000 108000 conform-action transmit exceed-action drop

cisco-avpair=lcp:interface-config=rate-limit output access-group 2067 576000 54000 108000 conform-action transmit exceed-action drop

 

где 2057 и 2067 это списки доступа на cisco:

 

access-list 2057 deny ip any [сеть с серверами] wildcard

access-list 2057 permit ip any any

 

 

access-list 2067 deny ip [сеть с серверами] wildcard any

access-list 2067 permit ip any any

Не совсем понятно, как этот паровоз летает.

Вижу - output на свои сервера шейпится, и input - на все остальное. Или чего-то не понимаю?

Эта конструкция дает полную скорость на сервера перечисленные в ([сеть с серверами] wildcard), а остальной трафик режется согласно 576000 54000 108000

 

c7200p-adventerprisek9-mz.124-15.T1.bin

Reason for Software Advisory:

DDTS No(s):

CSCek65374 Headline: PRE3 startup-config parse failed on post sync4 exodus image

CSCek73053 Headline: Crash/Traceback seen @ crypto_pki_unlock_cert_database

CSCek76288 Headline: Router crashes on show ppp multilink after OIR

CSCek77424 Headline: Bus error crash in NAT code

CSCsi82166 Headline: BEEP Router crashes at user_pw_lookup with 12.4(13.13)T1 image

Это только часть...

 

У меня была проблема с этим иосом только на бордере, при включеном cef. Там я обновился до 124-22.T.bin, а на bras этот ios шуршит и не падет уже как полтора года без остановки :)

  • 2 weeks later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.