sirmax Опубликовано 24 ноября, 2009 · Жалоба Проипалсяковырялся вечер... это просто праздник какой-то. Решил собрать ВПН (pptp) сервер на cisco 7201. Из тех ИОСов, что есть в наличии, мне только один удалось заставить нормально работать, у остальных или не работает rate-limit или не посылается Nas-Port-Id (который нужен для rlm_sqlippool) Конечно, можно вы***вернутьcя c радиусом, сделать реврайт атрибутам или еще что то... но блин с одним и тем же конфигом, без ругани на конфиг, на c7200p-adventerprisek9-mz.122-33.SRC5.bin - работает на других разных - нет ( Скажите, коллеги, или я где-то по крупному косячу... или что то не то тут? У кого какие ИОСы используются на такой железке? PS НЕ работа rate-limit выглядит как-то так sh interfaces virtual-access 3 rate-limit Virtual-Access3 Input matches: all traffic params: 4096000 bps, 512000 limit, 512000 extended limit conformed 13240 packets, 10099446 bytes; action: transmit exceeded 58 packets, 81096 bytes; action: drop last packet: 40892ms ago, current burst: 0 bytes last cleared 00:08:49 ago, conformed 152701 bps, exceeded 1226 bps Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pliskinsad Опубликовано 25 ноября, 2009 (изменено) · Жалоба radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU c7200p-adventerprisek9-mz.124-15.T1.bin Как именно навешиваете rate-limit? Без радиуса будет плохо, так что видимо "извратится" всеж придется :) Изменено 25 ноября, 2009 пользователем pliskinsad Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kt Опубликовано 25 ноября, 2009 · Жалоба у меня на 7206 7200p-spservicesk9-mz.122-33.SRD3.bin NAS-Port = 518 NAS-Port-Id = "Virtual-Access518" Virtual-Access518 Input matches: all traffic params: 1024000 bps, 184320 limit, 368640 extended limit conformed 678 packets, 92711 bytes; action: transmit exceeded 0 packets, 0 bytes; action: drop last packet: 112ms ago, current burst: 855 bytes last cleared 00:04:22 ago, conformed 2823 bps, exceeded 0 bps Output matches: all traffic params: 1024000 bps, 184320 limit, 368640 extended limit conformed 618 packets, 194506 bytes; action: transmit exceeded 0 packets, 0 bytes; action: drop last packet: 112ms ago, current burst: 0 bytes last cleared 00:04:22 ago, conformed 5922 bps, exceeded 0 bps раньше стоял c7200p-spservicesk9-mz.124-11.T.bin, проблем тоже не было. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pliskinsad Опубликовано 25 ноября, 2009 · Жалоба Предпочел для своих абонентов сделать разграничение по скоростям (внутренние ресурсы на полной скорости, интернет по тарифу). В зависимости от тарифа выдается на логин радиусом avpair вида: cisco-avpair=lcp:interface-config=rate-limit input access-group 2057 576000 54000 108000 conform-action transmit exceed-action drop cisco-avpair=lcp:interface-config=rate-limit output access-group 2067 576000 54000 108000 conform-action transmit exceed-action drop где 2057 и 2067 это списки доступа на cisco: access-list 2057 deny ip any [сеть с серверами] wildcard access-list 2057 permit ip any any access-list 2067 deny ip [сеть с серверами] wildcard any access-list 2067 permit ip any any попробуйте :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 25 ноября, 2009 · Жалоба radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU Так и делаю c7200p-adventerprisek9-mz.124-15.T1.bin Reason for Software Advisory: DDTS No(s): CSCek65374 Headline: PRE3 startup-config parse failed on post sync4 exodus image CSCek73053 Headline: Crash/Traceback seen @ crypto_pki_unlock_cert_database CSCek76288 Headline: Router crashes on show ppp multilink after OIR CSCek77424 Headline: Bus error crash in NAT code CSCsi82166 Headline: BEEP Router crashes at user_pw_lookup with 12.4(13.13)T1 image Это только часть... rate-limit навешиваю простейшим способом... Cisco-AVPair | += | lcp:interface-config=rate-limit output access-group 101 64000 2000 2000 conform-action transmit exceed-action drop Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 25 ноября, 2009 · Жалоба Предпочел для своих абонентов сделать разграничение по скоростям (внутренние ресурсы на полной скорости, интернет по тарифу).В зависимости от тарифа выдается на логин радиусом avpair вида: cisco-avpair=lcp:interface-config=rate-limit input access-group 2057 576000 54000 108000 conform-action transmit exceed-action drop cisco-avpair=lcp:interface-config=rate-limit output access-group 2067 576000 54000 108000 conform-action transmit exceed-action drop где 2057 и 2067 это списки доступа на cisco: access-list 2057 deny ip any [сеть с серверами] wildcard access-list 2057 permit ip any any access-list 2067 deny ip [сеть с серверами] wildcard any access-list 2067 permit ip any any Не совсем понятно, как этот паровоз летает.Вижу - output на свои сервера шейпится, и input - на все остальное. Или чего-то не понимаю? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pliskinsad Опубликовано 26 ноября, 2009 · Жалоба Предпочел для своих абонентов сделать разграничение по скоростям (внутренние ресурсы на полной скорости, интернет по тарифу).В зависимости от тарифа выдается на логин радиусом avpair вида: cisco-avpair=lcp:interface-config=rate-limit input access-group 2057 576000 54000 108000 conform-action transmit exceed-action drop cisco-avpair=lcp:interface-config=rate-limit output access-group 2067 576000 54000 108000 conform-action transmit exceed-action drop где 2057 и 2067 это списки доступа на cisco: access-list 2057 deny ip any [сеть с серверами] wildcard access-list 2057 permit ip any any access-list 2067 deny ip [сеть с серверами] wildcard any access-list 2067 permit ip any any Не совсем понятно, как этот паровоз летает.Вижу - output на свои сервера шейпится, и input - на все остальное. Или чего-то не понимаю? Эта конструкция дает полную скорость на сервера перечисленные в ([сеть с серверами] wildcard), а остальной трафик режется согласно 576000 54000 108000 c7200p-adventerprisek9-mz.124-15.T1.bin Reason for Software Advisory: DDTS No(s): CSCek65374 Headline: PRE3 startup-config parse failed on post sync4 exodus image CSCek73053 Headline: Crash/Traceback seen @ crypto_pki_unlock_cert_database CSCek76288 Headline: Router crashes on show ppp multilink after OIR CSCek77424 Headline: Bus error crash in NAT code CSCsi82166 Headline: BEEP Router crashes at user_pw_lookup with 12.4(13.13)T1 image Это только часть... У меня была проблема с этим иосом только на бордере, при включеном cef. Там я обновился до 124-22.T.bin, а на bras этот ios шуршит и не падет уже как полтора года без остановки :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 6 декабря, 2009 · Жалоба advipservises 124-15.T9 используем на бордерах. Полёт нормальный ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...