[allexch]

ЗА весь день что ли?

Те 3 строчки выше, он выводит как только я clear Virtual1 делаю.

После ковыряния конфига стал писать:

Sep 23 14:38:35 dpi1-galerny ISG[18187]: Session '84.x.y.34' on 'Virtual1' finished

Sep 23 14:38:35 dpi1-galerny ISG[18187]: Service 'SSERVER' is not defined in configuration, ignoring

Sep 23 14:38:35 dpi1-galerny ISG[18187]: Service 'INET-10MBIT' is not defined in configuration, ignoring

Sep 23 14:38:35 dpi1-galerny ISG[18187]: Session '84.x.y.34' on 'Virtual1' accepted by '172.17.41.9:1812'

----------

config.pl сейчас выглядит так:

 

$cfg{srv}{"INET-1MBIT"}{download_rate} = "1000000;1500000";

$cfg{srv}{"INET-1MBIT"}{upload_rate} = "1000000;1500000";

$cfg{srv}{"INET-1MBIT"}{traffic_classes} = [ "ALL_OTHER" ];

 

$cfg{srv}{"INET-10MBIT"}{download_rate} = "10000000;15000000";

$cfg{srv}{"INET-10MBIT"}{upload_rate} = "10000000;15000000";

$cfg{srv}{"INET-10MBIT"}{traffic_classes} = [ "ALL_OTHER" ];

 

$cfg{srv}{"SSERVER"}{download_rate} = "0;0";

$cfg{srv}{"SSERVER"}{upload_rate} = "0;0";

$cfg{srv}{"SSERVER"}{traffic_classes} = [ "SPECIFIC" ];

 

 

[Умник]

allexch, больше интересует что он пишет сразу после запуска.

 

[allexch]

После перезагрузки сервера, запуска rc.ISGd и clear Virtual1, что бы перзапустить сессию получились след логи:

Sep 23 14:58:49 dpi1-galerny ISG[17752]: Refreshing traffic classification table

Sep 23 14:58:49 dpi1-galerny ISG[17752]: 4 prefixes loaded to TC table

Sep 23 14:58:49 dpi1-galerny kernel: ipt_ISG: Listener daemon with pid 17755 registered

Sep 23 14:58:49 dpi1-galerny ISG[17755]: ISG job initialization done for NAS '172.17.41.9', entering main loop

Sep 23 14:58:57 dpi1-galerny ISG[17755]: Service 'SSERVER' is not defined in configuration, ignoring

Sep 23 14:58:57 dpi1-galerny ISG[17755]: Service 'INET-10MBIT' is not defined in configuration, ignoring

Sep 23 14:58:57 dpi1-galerny ISG[17755]: Session '84.x.y.34' on 'Virtual1' accepted by '172.17.41.9:1812'

Sep 23 14:58:57 dpi1-galerny ISG[17755]: Session '84.x.y.34' on 'Virtual1' finished

Sep 23 14:58:58 dpi1-galerny ISG[17755]: Service 'SSERVER' is not defined in configuration, ignoring

Sep 23 14:58:58 dpi1-galerny ISG[17755]: Service 'INET-10MBIT' is not defined in configuration, ignoring

Sep 23 14:58:58 dpi1-galerny ISG[17755]: Session '84.52.103.34' on 'Virtual1' accepted by '172.17.41.9:1812'

 

 

tc.conf

--------------------------------

RFC1918 10.0.0.0/8

RFC1918 192.168.0.0/16

RFC1918 172.16.0.0/12

SPECIFIC 84.52.109.37/32

 

# All other traffic EXCEPT for RFC1918, OUR_LOCAL, PEERING and SPECIFIC classes

# falls here. PLEASE NOTE THIS! All OTHER traffic, NOT JUST ALL traffic!

 

ALL_OTHER 0.0.0.0/0

--------------------------------

config.pl

--------------------------------

$cfg{srv}{"INET-1MBIT"}{download_rate} = "1000000;1500000";

$cfg{srv}{"INET-1MBIT"}{upload_rate} = "1000000;1500000";

$cfg{srv}{"INET-1MBIT"}{traffic_classes} = [ "ALL_OTHER" ];

 

$cfg{srv}{"INET-10MBIT"}{download_rate} = "10000000;15000000";

$cfg{srv}{"INET-10MBIT"}{upload_rate} = "10000000;15000000";

$cfg{srv}{"INET-10MBIT"}{traffic_classes} = [ "ALL_OTHER" ];

 

$cfg{srv}{"SSERVER"}{download_rate} = "0;0";

$cfg{srv}{"SSERVER"}{upload_rate} = "0;0";

$cfg{srv}{"SSERVER"}{traffic_classes} = [ "SPECIFIC" ];

--------------------------------

radius

--------------------------------

84.x.y.34 Cleartext-Password := "84.x.y.34"

Auth-Type := Local,

Cisco-Account-Info = ASSERVER,

Cisco-Account-Info += AINET-10MBIT

 

[Умник]

tc.conf

Почему lISG говорит, что загрузил 4 префикса, а в приведенном Вами файле их 5? tc.conf точно лежит там где нужно?

[allexch]

dpi1-galerny etc # pwd

/home/allexch/lISG-0.11.3-alpha/ISG/etc

dpi1-galerny etc # ls

config.pl raddb tc.conf tc.conf.example

 

 

можно как то продебажить какие префиксы он загрузил?

[allexch]

Спасибо! разобрался, он же из /usr/src/ISG тянул tc.conf, а я tc.conf правил в "/home/allexch/lISG-0.11.3-alpha/ISG/etc"

:)

Следующий вопрос, как я понимаю модуль полисит каждый IP отдельно, есть ли возможность заполисить сеть (например /28) ?

[Умник]

allexch, только количество загруженных, о каждом успешном не говорит. Если он что-то не загрузил - скажет.

 

заполисить сеть (например /28) ?

Чтобы считалась сумма по хостам, а не каждый хост отдельно?

[allexch]

Ну да, просто у есть случаи когда клиенту выдается сеть и на сеть накладывается ограничение скорости, например 20Мбит/с на сеть /28.

Те если 1 IP качает то все 20 может дать, если 2 то по 10Мбит разделится, или по необходимости (1+19 или 2+18), те что бы сеть полисилась...

[animage]

Хотелось бы поинтересоватся можно ли будет задавать скорость для сервиса через радиус. Что то вроде:

 

Cisco-Account-Info += "PEERING"

Cisco-Account-Info += "INET"

Cisco-Account-Info += "PEERING in rate 100000"

Cisco-Account-Info += "PEERING in burst 10000"

Cisco-Account-Info += "PEERING out rate 100000"

Cisco-Account-Info += "PEERING out burst 10000"

Cisco-Account-Info += "INET in rate 10000"

Cisco-Account-Info += "INET in burst 1000"

Cisco-Account-Info += "INET out rate 10000"

Cisco-Account-Info += "INET out burst 1000"

 

И так же для CoA.

 

Очень удобная фишка примерно так реализовано в SmartEdge.

Просто например не очень удобно крутить скорость в ночное время. Особено если абонент может сам выбирать одну из 10 возможных скоростей хоть на час хоть на два... и не только ночью. Да и скажем при переделки тарифов не будет нужды постояно лазить в конфиг, а просто изменять параметры тарифов.

 

[Abram]

Хозяйке на заметку: в 2.6.35 поломаны chain-ы в iptables. Баг: http://bugzilla.netfilter.org/show_bug.cgi?id=669 . Лечится патчем (там же ссылка на kerneltrap) либо апгрейдом на 2.6.35.5 (в котором, в свою очередь, поломан Xen).

 

Спасибо Умнику за подсказку.

Изменено 23 сентября, 2010 пользователем Abram

[kww]

А никто не поделиться минимальными настройками FreeRadius для работы с SQL сервером ???

что-то совсем нет понимания в данном вопросе относительно ISG ?

Как правильно добавить/выбрать атрибуты в базу/из базы.

Изменено 25 сентября, 2010 пользователем kww

[pchol]

Вроде бы всё хорошо но заметил одну особенность.

ethstats

total:   691.22 Mb/s In   611.23 Mb/s Out - 125017.0 p/s In  112512.0 p/s Out
  eth0:  407.98 Mb/s In   261.87 Mb/s Out -  66767.0 p/s In   55828.0 p/s Out
  eth1:  283.23 Mb/s In   349.37 Mb/s Out -  58250.0 p/s In   56684.0 p/s Out

 

eth1 - сетевуха смотрящая в мир.

eth0 - в локалку.

На сервере осуществляется NAT средствами NETMAP.

Прописаны blackhole на все диапазоны внешних адресов.

 

Заметил что некоторые пользователи жалуются что "спидтесты" недодают скорости, но при этом торренты качают так как заявлено.

Из особенностей настроек сетевух, лишь то что

ip link set dev eth0 qlen 4096
ip link set dev eth1 qlen 1

В принципе изменение настроек не влияет.

 

Сетевые карты intel 1000PT.

Нагрузка по процам порядка 20%.

 

С чем может быть связано такое различие в трафике ? Куда может "теряться" почти 1/7 трафика.

Изменено 25 сентября, 2010 пользователем pchol

[Abram]

Сетевые карты intel 1000PT.

Точнее? 82576?

[Умник]

Те если 1 IP качает то все 20 может дать, если 2 то по 10Мбит разделится, или по необходимости (1+19 или 2+18), те что бы сеть полисилась...

Как при этом должна происходить аутентификация пользователя? То есть, что должно приходить в User-Name первоначально?

 

Хотелось бы поинтересоватся можно ли будет задавать скорость для сервиса через радиус

Во время аутентификации юзера?

 

Очень удобная фишка примерно так реализовано в SmartEdge.

В онлайне доки есть?

 

что-то совсем нет понимания в данном вопросе относительно ISG ?

Что именно подсказать? Атрибуты, которые понимает lISG, описаны в README.

 

pchol, lISG использует полисинг. В случае если пакет превышает допустимую полосу, он дропается, и естественно не отображается на "противоположном" интерфейсе. Особенно это заметно на совсем медленных скоростях - например 128 Кбит/с. Не знаю какие у Вас скорости, но не уверен, что 1/7 трафика было убито полисингом.

 

жалуются что "спидтесты" недодают скорости

Как вы задаете скорость? Если не при помощи атрибута Class (то есть используете "сервисы"), то какое значение burst прописано в сервисе?

 

ip link set dev eth1 qlen 1

Почему такая очередь короткая очередь? Какая цель преследуется?

 

[pchol]

Задаю именно с помощью class для каждого пользователя индивидуально, сервисы не используются на данный момент (почему то на стенде заработали а в бою нет...).

При установлении очереди в 4096 (равной ring), на графике трафика наблюдаю синусоиду... Опять же непонятно почему.

По скоростям у меня порядка 50% пользователей это 1мбит/сек, порядка ещё 30% 2 мбита, 10% на 512кб/сек, остальное тарифы со скоростями 2+ мбит.

[Wingman]

... Думаю, что в сентябре. Правда сначала это будет простой редирект (например, для тех кто не оплатил услуги), без возможности запустить сессию на портале после успешной авторизации.

Есть прогресс в эту сторону? ОЧЕНЬ ждём =)

[~pavel~]

У меня есть вопрос по поводу редиректа.

Может проще отправлять пакеты не прошедшие аутентификацию в другую цепочку, а там уже можно делать все что угодно???

[pchol]

У меня ещё был вопрос.

Если к примеру поверх ISG на машине применить "классический" шейпер tc c дисциплиной sfq для каждого абонента, то есть просто создавать очереди и "перемешивать", сделает ли это сёрфинг на мелких скоростях более "плавным" ?

Про дополнительную нагрузку на сервер всё понимаю.

[Умник]

При установлении очереди в 4096 (равной ring), на графике трафика наблюдаю синусоиду... Опять же непонятно почему.

Я бы вообще не трогал txqueuelen. Ошибки есть на интерфейсах? ethtool -S eth0; ethtool -S eth1 ?

 

Может проще отправлять пакеты не прошедшие аутентификацию в другую цепочку, а там уже можно делать все что угодно???

Именно так не получится. Зато подобные пакеты lISG будет помечать. Потом их можно будет в нужных местах ловить при помощи -m mark и делать что угодно. Да, и в любом случае это все будет происходить в таблице iptables nat (-t nat).

 

Если к примеру поверх ISG на машине применить "классический" шейпер tc

Можно, если хотите. В соседней ветке была средство для управления правилами tc. Тогда lISG будет использоваться только для аккаунтинга.

 

Есть прогресс в эту сторону? ОЧЕНЬ ждём =)

Будет через одну версию, в середине октября.

[pchol]

Не не не. Использовать lISG для аккаунтинга и ограничения скорости, а sfq _только_ для "плавного сёрфинга", то есть не резать скорость средствами tc.

Изменено 26 сентября, 2010 пользователем pchol

[SokolovS]

pchol: думаю вряд ли, ведь lISG полисит, а sfq это краевая дисциплина подразумевающая шейпинг!

[pchol]

Подумал.. наверно действительно так. Фактически же нет никаких отдельных очередей для пользователей. Трафик просто рубится а очередь тлько на весь интерфейс...

[allexch]

Те если 1 IP качает то все 20 может дать, если 2 то по 10Мбит разделится, или по необходимости (1+19 или 2+18), те что бы сеть полисилась...

Как при этом должна происходить аутентификация пользователя? То есть, что должно приходить в User-Name первоначально?

Я полагаю, что USER-NAME должен приходить тот который идет от пользователя(ip address), а вот Radius(БД) должен хранить "новый атрибут"-маску подсети для этого IP(для всех IP в этой сети), что бы ISG знала что полисится не только этот IP но и вся сеть(те после 1-го IP уже создать правило для полисинга всей сети).

Далее если приходит новый IP из этой сети, то все тоже самое, на ISG клиент авторизовался, получил атрибут = маске и пошли резаться уже 2 IP, по уже созданному правилу.

[shaytan]

Цепочка stat_nat_dst_skeleton для задачи static 1-to-1 NAT должна автоматически создаваться?

Изменено 27 сентября, 2010 пользователем shaytan

[EvilShadow]

В ридми же написано:

but first you need to reference tree-like structures automatically

created using IPTables::SubnetSkeleton, f.e.:

 

iptables -t nat -I PREROUTING -j stat_nat_dst_skeleton

iptables -t nat -I POSTROUTING -j stat_nat_src_skeleton