bokl Опубликовано 9 февраля, 2011 · Жалоба Добрый день! Пытаюсь разобраться в ISG, но в самом начале возникла проблема. вот конфиг: aaa authentication login VTY_LOGIN group tacacs+ local aaa authentication enable default enable aaa authentication ppp default group radius aaa authorization exec default group tacacs+ local aaa authorization network default group radius aaa accounting update periodic 2 aaa accounting network default action-type start-stop group radius ! ! ! ! ! ! aaa session-id common ip source-route ! ! ! ! ip cef no ipv6 cef ! ! redirect server-group PORTAL server ip 178.207.18.202 ! multilink bundle-name authenticated ! ! username admin privilege 15 password ****** ! ! class-map type traffic match-any media match access-group input name media ! policy-map type service media service local class type traffic media redirect to group PORTAL police input 8000 1000 1000 police output 8000 1000 1000 ! ! policy-map type control test class type control always event session-start 1 authorize aaa password cisco identifier authenticated-username 2 service-policy type service name media (*) ! class type control always event service-stop 1 service-policy type service unapply identifier service-name 2 service-policy type service unapply identifier service-name ! ! ! ! interface Virtual-Template1 ip unnumbered Loopback3 no ip redirects no ip proxy-arp no keepalive ppp authentication pap chap service-policy type control test ! проблема в помеченой звездочкой строчке. если её убрать - абонент по pppoe конектится нормально. если с ней, то не подключается pppoe. собственно не могу понять что за безобразие. во всех примерах по ISG подобные настройки и у всех все работает. что я сделал не так? помогите плиз. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vovan-pmr Опубликовано 9 февраля, 2011 · Жалоба debug radius что говорит?? и попробуйте дописать: aaa authorization subscriber-service default local group ...... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bokl Опубликовано 9 февраля, 2011 · Жалоба debug radius что говорит?? и попробуйте дописать: aaa authorization subscriber-service default local group ...... не знаю что я сделал(вроде просто сходил пообедать=) но подключаться pppoe стал. но такая вот проблема вышла: redirect server-group PORTAL server ip 178.207.18.202 class-map type traffic match-any media match access-group output name REDIRECT_OUT match access-group input name REDIRECT_IN ! policy-map type service media service local class type traffic media redirect to group PORTAL ! ! ip access-list extended REDIRECT_IN permit ip any any ip access-list extended REDIRECT_OUT permit ip any any как я понял этот сервис должен редирект делать для трафика. у меня вообще трафик не ходит. я так понимаю он весь дропается. я должен разрешить ходить какому-то трафику в ACL ? пытался прописывать строчки deny ip any any, та же фигня... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
triam Опубликовано 9 февраля, 2011 · Жалоба У тебя не работает строчка выше звёздочки =) Она ВСЕГДА присылает REJECT Все обязательные сервисы должны быть до authorize aaa password cisco identifier authenticated-username Помогает debug radius в этих случаях. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bokl Опубликовано 9 февраля, 2011 (изменено) · Жалоба У тебя не работает строчка выше звёздочки =)Она ВСЕГДА присылает REJECT Все обязательные сервисы должны быть до authorize aaa password cisco identifier authenticated-username Помогает debug radius в этих случаях. Тоесть я должен строчку со * поставить перед authorize ? Для начала я решил самую простую задачу реализовать. весь трафик редиректить. попробовал переставлять, не помогло. *Feb 9 02:30:17.860: [48]PPPoE 36: AAA get dynamic attrs *Feb 9 02:30:17.864: RADIUS/ENCODE(00000053):Orig. component type = PPPoE *Feb 9 02:30:17.864: RADIUS(00000053): Config NAS IP: 192.168.1.10 *Feb 9 02:30:17.864: RADIUS: Attribute 55 not sent, as system clock is not set *Feb 9 02:30:17.864: RADIUS(00000053): Config NAS IP: 192.168.1.10 *Feb 9 02:30:17.864: RADIUS(00000053): sending *Feb 9 02:30:17.864: RADIUS(00000053): Send Accounting-Request to 192.168.121.18:1813 id 1646/143, len 161 *Feb 9 02:30:17.864: RADIUS: authenticator 44 7A 42 D3 1E 7F B0 EC - 0D 3F 21 FD 1E 4B 75 43 *Feb 9 02:30:17.864: RADIUS: Acct-Session-Id [44] 10 "0000005A" *Feb 9 02:30:17.864: RADIUS: Framed-Protocol [7] 6 PPP [1] *Feb 9 02:30:17.864: RADIUS: Framed-IP-Address [8] 6 10.13.0.1 *Feb 9 02:30:17.864: RADIUS: User-Name [1] 14 "isg_test_isg" *Feb 9 02:30:17.864: RADIUS: Acct-Authentic [45] 6 RADIUS [1] *Feb 9 02:30:17.864: RADIUS: Acct-Session-Time [46] 6 917 *Feb 9 02:30:17.864: RADIUS: Acct-Input-Octets [42] 6 5793 *Feb 9 02:30:17.864: RADIUS: Acct-Output-Octets [43] 6 496 *Feb 9 02:30:17.864: RADIUS: Acct-Input-Packets [47] 6 86 *Feb 9 02:30:17.864: RADIUS: Acct-Output-Packets [48] 6 19 *Feb 9 02:30:17.864: RADIUS: Acct-Terminate-Cause[49] 6 user-request [1] *Feb 9 02:30:17.864: RADIUS: Acct-Status-Type [40] 6 Stop [2] *Feb 9 02:30:17.864: RADIUS: NAS-Port-Type [61] 6 Virtual [5] *Feb 9 02:30:17.864: RADIUS: NAS-Port [5] 6 0 *Feb 9 02:30:17.864: RADIUS: NAS-Port-Id [87] 11 "0/0/0/800" *Feb 9 02:30:17.864: RADIUS: Service-Type [6] 6 Framed [2] *Feb 9 02:30:17.864: RADIUS: NAS-IP-Address [4] 6 192.168.1.10 *Feb 9 02:30:17.868: RADIUS: Nas-Identifier [32] 16 "brass-isg-test" *Feb 9 02:30:17.868: RADIUS: Acct-Delay-Time [41] 6 0 *Feb 9 02:30:17.868: RADIUS(00000053): Started 5 sec timeout *Feb 9 02:30:17.876: RADIUS: Received from id 1646/143 192.168.121.18:1813, Accounting-response, len 20 *Feb 9 02:30:17.876: RADIUS: authenticator F4 63 65 40 C4 59 1B F7 - AB EE B6 67 0F 9B DB 55 *Feb 9 02:30:17.952: PPPoE 36: I PADT R:0090.f52b.2492 L:000e.8330.4d08 800 Fa0/0.800 contiguous pak, size 64 00 0E 83 30 4D 08 00 90 F5 2B 24 92 81 00 03 20 88 63 11 A7 00 24 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 *Feb 9 02:30:17.952: [48]PPPoE 36: Destroying R:0090.f52b.2492 L:000e.8330.4d08 800 Fa0/0.800 *Feb 9 02:30:17.952: PPPoE: Returning Vaccess Virtual-Access1.2 *Feb 9 02:30:17.952: [48]PPPoE 36: AAA get dynamic attrs *Feb 9 02:30:17.952: [48]PPPoE 36: AAA account stopped *Feb 9 02:30:17.956: SVM [54000013/media]: [FM-Bind:9A000055] unlocked 2->1 *Feb 9 02:30:17.956: SVM [D7000014/CHILD/media]: [FM-Bind:69000056] unlocked 2->1 *Feb 9 02:30:17.956: SVM [54000013/media]: [PM-Info:66A25924] unlocked 2->1 *Feb 9 02:30:17.956: SVM [54000013/media]: [PM-Service:66AAF51C] unlocked 2->1 *Feb 9 02:30:17.956: SVM [D7000014/CHILD/media]: [SM-SIP-Apply:D7000014] unlocked 2->1 *Feb 9 02:30:17.956: [48]PPPoE 36: Segment (SSS class): UNBOUND *Feb 9 02:30:17.960: [48]PPPoE 36: Vi1.2 Block vaccess from being freed. *Feb 9 02:30:17.960: [48]PPPoE 36: Vi1.2 Block vaccess from being freed. *Feb 9 02:30:17.960: [48]PPPoE 36: Segment (SSS class): UNPROVISION *Feb 9 02:30:17.964: RADIUS: Removing all radius source-int. pointing to Virtual-Access1.2 *Feb 9 02:30:21.912: PPPoE 0: I PADI R:0090.f52b.2492 L:ffff.ffff.ffff 800 Fa0/0.800 contiguous pak, size 64 FF FF FF FF FF FF 00 90 F5 2B 24 92 81 00 03 20 88 63 11 09 00 00 00 10 01 01 00 00 01 03 00 08 0D 00 00 00 19 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 *Feb 9 02:30:21.912: Service tag: NULL Tag *Feb 9 02:30:21.912: PPPoE 0: O PADO, R:000e.8330.4d08 L:0090.f52b.2492 800 Fa0/0.800 *Feb 9 02:30:21.912: Service tag: NULL Tag contiguous pak, size 78 00 90 F5 2B 24 92 00 0E 83 30 4D 08 81 00 03 20 88 63 11 07 00 00 00 36 01 01 00 00 01 03 00 08 0D 00 00 00 19 00 00 00 01 02 00 0E 62 72 61 73 73 2D 69 73 67 2D 74 65 73 74 01 04 00 10 0E AC 60 F4 A2 81 D9 39 F8 E0 ... *Feb 9 02:30:21.912: PPPoE 0: I PADR R:0090.f52b.2492 L:000e.8330.4d08 800 Fa0/0.800 contiguous pak, size 64 00 0E 83 30 4D 08 00 90 F5 2B 24 92 81 00 03 20 88 63 11 19 00 00 00 24 01 01 00 00 01 03 00 08 0D 00 00 00 1A 00 00 00 01 04 00 10 0E AC 60 F4 A2 81 D9 39 F8 E0 A9 B4 16 8A 67 7B 00 00 00 00 *Feb 9 02:30:21.912: Service tag: NULL Tag *Feb 9 02:30:21.912: PPPoE : encap string prepared *Feb 9 02:30:21.912: [50]PPPoE 37: Access IE handle allocated *Feb 9 02:30:21.912: [50]PPPoE 37: AAA get retrieved attrs *Feb 9 02:30:21.912: [50]PPPoE 37: AAA get nas port details *Feb 9 02:30:21.912: AAA/BIND(00000054): Bind i/f Virtual-Template1 *Feb 9 02:30:21.912: [50]PPPoE 37: AAA get dynamic attrs *Feb 9 02:30:21.912: [50]PPPoE 37: AAA unique ID allocated *Feb 9 02:30:21.912: [50]PPPoE 37: AAA method list set *Feb 9 02:30:21.916: [50]PPPoE 37: Service request sent to SSS *Feb 9 02:30:21.916: [50]PPPoE 37: Created, Service: None R:000e.8330.4d08 L:0090.f52b.2492 800 Fa0/0.800 *Feb 9 02:30:21.916: SVM [54000013/media]: already downloaded; sharing *Feb 9 02:30:21.916: SVM [54000013/media]: [93000054]: client download ok *Feb 9 02:30:21.916: SVM [54000013/media]: [SVM-to-client-msg:93000054] locked 0->1 *Feb 9 02:30:21.916: SVM [54000013/media]: [PM-Download:93000054] locked 0->1 *Feb 9 02:30:21.916: SVM [54000013/media]: alloc feature info *Feb 9 02:30:21.916: SVM [54000013/media]: [SVM-Feature-Info:66AD0DD4] locked 0->1 *Feb 9 02:30:21.916: SVM [54000013/media]: has Policy info *Feb 9 02:30:21.916: SVM [54000013/media]: [PM-Info:66A258F0] locked 1->2 *Feb 9 02:30:21.916: SVM [54000013/media]: populated client *Feb 9 02:30:21.916: SVM [54000013/media]: [PM-Download:93000054] unlocked 1->0 *Feb 9 02:30:21.916: SVM [54000013/media]: [SVM-to-client-msg:93000054] unlocked 1->0 *Feb 9 02:30:21.916: SVM [54000013/media]: [PM-Service:66AAF51C] locked 1->2 *Feb 9 02:30:21.916: [50]PPPoE 37: State NAS_PORT_POLICY_INQUIRY Event SSS MORE KEYS *Feb 9 02:30:21.920: [50]PPPoE 37: data path set to PPP *Feb 9 02:30:21.920: [50]PPPoE 37: Segment (SSS class): PROVISION *Feb 9 02:30:21.920: [50]PPPoE 37: State PROVISION_PPP Event SSM PROVISIONED *Feb 9 02:30:21.920: [50]PPPoE 37: O PADS R:0090.f52b.2492 L:000e.8330.4d08 Fa0/0.800 contiguous pak, size 64 00 90 F5 2B 24 92 00 0E 83 30 4D 08 81 00 03 20 88 63 11 65 00 25 00 24 01 01 00 00 01 03 00 08 0D 00 00 00 1A 00 00 00 01 04 00 10 0E AC 60 F4 A2 81 D9 39 F8 E0 A9 B4 16 8A 67 7B 00 00 00 00 *Feb 9 02:30:21.964: AAA/AUTHEN/PPP (00000054): Pick method list 'default' *Feb 9 02:30:21.964: RADIUS/ENCODE(00000054):Orig. component type = PPPoE *Feb 9 02:30:21.964: RADIUS: AAA Unsupported Attr: interface [204] 9 *Feb 9 02:30:21.964: RADIUS: 30 2F 30 2F 30 2F 38 [ 0/0/0/8] *Feb 9 02:30:21.964: RADIUS: AAA Unsupported Attr: client-mac-address[45] 14 *Feb 9 02:30:21.964: RADIUS: 30 30 39 30 2E 66 35 32 62 2E 32 34 [ 0090.f52b.24] *Feb 9 02:30:21.964: RADIUS(00000054): Config NAS IP: 192.168.1.10 *Feb 9 02:30:21.964: RADIUS/ENCODE: No idb found! Framed IP Addr might not be included *Feb 9 02:30:21.964: RADIUS/ENCODE(00000054): acct_session_id: 92 *Feb 9 02:30:21.964: RADIUS(00000054): Config NAS IP: 192.168.1.10 *Feb 9 02:30:21.964: RADIUS: Attribute 55 not sent, as system clock is not set *Feb 9 02:30:21.964: RADIUS(00000054): sending *Feb 9 02:30:21.964: RADIUS(00000054): Send Access-Request to 192.168.121.18:1812 id 1645/82, len 119 *Feb 9 02:30:21.964: RADIUS: authenticator D1 83 D2 FE 45 A4 90 E2 - 0B 6D DF AC 6E 72 81 2F *Feb 9 02:30:21.964: RADIUS: Framed-Protocol [7] 6 PPP [1] *Feb 9 02:30:21.964: RADIUS: User-Name [1] 14 "isg_test_isg" *Feb 9 02:30:21.964: RADIUS: User-Password [2] 18 * *Feb 9 02:30:21.964: RADIUS: NAS-Port-Type [61] 6 Virtual [5] *Feb 9 02:30:21.968: RADIUS: NAS-Port [5] 6 0 *Feb 9 02:30:21.968: RADIUS: NAS-Port-Id [87] 11 "0/0/0/800" *Feb 9 02:30:21.968: RADIUS: Service-Type [6] 6 Framed [2] *Feb 9 02:30:21.968: RADIUS: NAS-IP-Address [4] 6 192.168.1.10 *Feb 9 02:30:21.968: RADIUS: Acct-Session-Id [44] 10 "0000005C" *Feb 9 02:30:21.968: RADIUS: Nas-Identifier [32] 16 "brass-isg-test" *Feb 9 02:30:21.968: RADIUS(00000054): Started 5 sec timeout *Feb 9 02:30:21.984: RADIUS: Received from id 1645/82 192.168.121.18:1812, Access-Accept, len 38 *Feb 9 02:30:21.984: RADIUS: authenticator D4 CC 77 AB 19 14 35 D5 - 31 30 49 2D FB FE D3 06 *Feb 9 02:30:21.984: RADIUS: Service-Type [6] 6 Framed [2] *Feb 9 02:30:21.984: RADIUS: Framed-Protocol [7] 6 PPP [1] *Feb 9 02:30:21.984: RADIUS: Framed-IP-Address [8] 6 10.13.0.1 *Feb 9 02:30:21.984: RADIUS(00000054): Received from id 1645/82 *Feb 9 02:30:21.988: RADIUS/ENCODE(00000054):Orig. component type = PPPoE *Feb 9 02:30:21.988: RADIUS: AAA Unsupported Attr: interface [204] 9 *Feb 9 02:30:21.988: RADIUS: 30 2F 30 2F 30 2F 38 [ 0/0/0/8] *Feb 9 02:30:21.988: RADIUS: AAA Unsupported Attr: client-mac-address[45] 14 *Feb 9 02:30:21.988: RADIUS: 30 30 39 30 2E 66 35 32 62 2E 32 34 [ 0090.f52b.24] *Feb 9 02:30:21.988: RADIUS(00000054): Config NAS IP: 192.168.1.10 *Feb 9 02:30:21.988: RADIUS/ENCODE(00000054): acct_session_id: 92 *Feb 9 02:30:21.988: RADIUS(00000054): Config NAS IP: 192.168.1.10 *Feb 9 02:30:21.988: RADIUS: Attribute 55 not sent, as system clock is not set *Feb 9 02:30:21.988: RADIUS(00000054): sending *Feb 9 02:30:21.992: RADIUS(00000054): Send Access-Request to 192.168.121.18:1812 id 1645/83, len 113 *Feb 9 02:30:21.992: RADIUS: authenticator EF 9E 65 70 1F 28 3D 42 - 00 0F 3C 6A 19 74 7F 63 *Feb 9 02:30:21.992: RADIUS: User-Name [1] 14 "isg_test_isg" *Feb 9 02:30:21.992: RADIUS: User-Password [2] 18 * *Feb 9 02:30:21.992: RADIUS: NAS-Port-Type [61] 6 Virtual [5] *Feb 9 02:30:21.992: RADIUS: NAS-Port [5] 6 0 *Feb 9 02:30:21.992: RADIUS: NAS-Port-Id [87] 11 "0/0/0/800" *Feb 9 02:30:21.992: RADIUS: Service-Type [6] 6 Outbound [5] *Feb 9 02:30:21.992: RADIUS: NAS-IP-Address [4] 6 192.168.1.10 *Feb 9 02:30:21.992: RADIUS: Acct-Session-Id [44] 10 "0000005C" *Feb 9 02:30:21.992: RADIUS: Nas-Identifier [32] 16 "brass-isg-test" *Feb 9 02:30:21.992: RADIUS(00000054): Started 5 sec timeout *Feb 9 02:30:22.992: RADIUS: Received from id 1645/83 192.168.121.18:1812, Access-Reject, len 38 *Feb 9 02:30:22.996: RADIUS: authenticator 99 97 BB 6D F1 0B 51 3D - 4A 43 97 AE 82 80 8C D9 *Feb 9 02:30:22.996: RADIUS: Service-Type [6] 6 Framed [2] *Feb 9 02:30:22.996: RADIUS: Framed-Protocol [7] 6 PPP [1] *Feb 9 02:30:22.996: RADIUS: Framed-IP-Address [8] 6 10.13.0.1 *Feb 9 02:30:22.996: RADIUS(00000054): Received from id 1645/83 *Feb 9 02:30:23.000: SVM [D7000014/CHILD/media]: [SM-SIP-Apply:D7000014] locked 1->2 *Feb 9 02:30:23.000: SVM [54000013/media]: [FM-Bind:00000058] locked 1->2 *Feb 9 02:30:23.000: SVM [54000013/media]: [SVM-Feature-Info:66AD0DD4] unlocked 1->0 *Feb 9 02:30:23.000: SVM [D7000014/CHILD/media]: alloc feature info *Feb 9 02:30:23.000: SVM [D7000014/CHILD/media]: [SVM-Feature-Info:66AD0DD4] locked 0->1 *Feb 9 02:30:23.004: [50]PPPoE 37: State LCP_NEGOTIATION Event SSS CONNECT LOCAL *Feb 9 02:30:23.004: [50]PPPoE 37: Segment (SSS class): UPDATED *Feb 9 02:30:23.004: [50]PPPoE 37: Segment (SSS class): BOUND *Feb 9 02:30:23.004: [50]PPPoE 37: data path set to Virtual Acess *Feb 9 02:30:23.004: [50]PPPoE 37: State LCP_NEGOTIATION Event SSM UPDATED *Feb 9 02:30:23.004: SVM [D7000014/CHILD/media]: [FM-Bind:91000059] locked 1->2 *Feb 9 02:30:23.004: SVM [D7000014/CHILD/media]: [SVM-Feature-Info:66AD0DD4] unlocked 1->0 *Feb 9 02:30:23.004: AAA/BIND(00000054): Bind i/f Virtual-Access1.2 *Feb 9 02:30:23.008: [50]PPPoE 37: AAA get dynamic attrs *Feb 9 02:30:23.008: RADIUS/ENCODE(00000054):Orig. component type = PPPoE *Feb 9 02:30:23.008: RADIUS(00000054): Config NAS IP: 192.168.1.10 *Feb 9 02:30:23.008: RADIUS: Attribute 55 not sent, as system clock is not set *Feb 9 02:30:23.008: RADIUS(00000054): Config NAS IP: 192.168.1.10 *Feb 9 02:30:23.008: RADIUS(00000054): sending *Feb 9 02:30:23.008: [50]PPPoE 37: State PTA_BINDING Event STATIC BIND RESPONSE *Feb 9 02:30:23.008: [50]PPPoE 37: Connected PTA *Feb 9 02:30:23.008: RADIUS(00000054): Send Accounting-Request to 192.168.121.18:1813 id 1646/144, len 119 *Feb 9 02:30:23.008: RADIUS: authenticator A6 D1 FE EA 9A E5 4F 8F - 9F 94 F5 52 8D DE 2E 82 *Feb 9 02:30:23.008: RADIUS: Acct-Session-Id [44] 10 "0000005C" *Feb 9 02:30:23.008: RADIUS: Framed-Protocol [7] 6 PPP [1] *Feb 9 02:30:23.012: RADIUS: User-Name [1] 14 "isg_test_isg" *Feb 9 02:30:23.012: RADIUS: Acct-Authentic [45] 6 RADIUS [1] *Feb 9 02:30:23.012: RADIUS: Acct-Status-Type [40] 6 Start [1] *Feb 9 02:30:23.012: RADIUS: NAS-Port-Type [61] 6 Virtual [5] *Feb 9 02:30:23.012: RADIUS: NAS-Port [5] 6 0 *Feb 9 02:30:23.012: RADIUS: NAS-Port-Id [87] 11 "0/0/0/800" *Feb 9 02:30:23.012: RADIUS: Service-Type [6] 6 Framed [2] *Feb 9 02:30:23.012: RADIUS: NAS-IP-Address [4] 6 192.168.1.10 *Feb 9 02:30:23.012: RADIUS: Nas-Identifier [32] 16 "brass-isg-test" *Feb 9 02:30:23.012: RADIUS: Acct-Delay-Time [41] 6 0 *Feb 9 02:30:23.012: RADIUS(00000054): Started 5 sec timeout *Feb 9 02:30:23.024: RADIUS: Received from id 1646/144 192.168.121.18:1813, Accounting-response, len 20 *Feb 9 02:30:23.024: RADIUS: authenticator 2D 14 38 A7 53 DB E2 FB - 6C 04 E4 00 98 F7 60 77 *Feb 9 02:32:03.512: [25]PPPoE 24: AAA get dynamic attrs *Feb 9 02:32:03.512: RADIUS/ENCODE(00000045):Orig. component type = PPPoE *Feb 9 02:32:03.512: RADIUS(00000045): Config NAS IP: 192.168.1.10 *Feb 9 02:32:03.512: RADIUS: Attribute 55 not sent, as system clock is not set *Feb 9 02:32:03.512: RADIUS(00000045): Config NAS IP: 192.168.1.10 *Feb 9 02:32:03.512: RADIUS(00000045): sending *Feb 9 02:32:03.512: RADIUS(00000045): Send Accounting-Request to 192.168.121.18:1813 id 1646/145, len 155 *Feb 9 02:32:03.512: RADIUS: authenticator 04 4B 65 F1 B3 A9 D5 9E - 3C 7B 76 F8 9A 0E 2A 82 *Feb 9 02:32:03.512: RADIUS: Acct-Session-Id [44] 10 "00000041" *Feb 9 02:32:03.512: RADIUS: Framed-Protocol [7] 6 PPP [1] *Feb 9 02:32:03.512: RADIUS: Framed-IP-Address [8] 6 10.13.0.1 *Feb 9 02:32:03.512: RADIUS: User-Name [1] 14 "isg_test_isg" *Feb 9 02:32:03.512: RADIUS: Acct-Session-Time [46] 6 6726 *Feb 9 02:32:03.512: RADIUS: Acct-Input-Octets [42] 6 128640 *Feb 9 02:32:03.512: RADIUS: Acct-Output-Octets [43] 6 1039172 *Feb 9 02:32:03.512: RADIUS: Acct-Input-Packets [47] 6 959 *Feb 9 02:32:03.512: RADIUS: Acct-Output-Packets [48] 6 2071 *Feb 9 02:32:03.512: RADIUS: Acct-Authentic [45] 6 Local [2] *Feb 9 02:32:03.512: RADIUS: Acct-Status-Type [40] 6 Watchdog [3] *Feb 9 02:32:03.512: RADIUS: NAS-Port-Type [61] 6 Virtual [5] *Feb 9 02:32:03.512: RADIUS: NAS-Port [5] 6 0 *Feb 9 02:32:03.512: RADIUS: NAS-Port-Id [87] 11 "0/0/0/800" *Feb 9 02:32:03.512: RADIUS: Service-Type [6] 6 Framed [2] *Feb 9 02:32:03.512: RADIUS: NAS-IP-Address [4] 6 192.168.1.10 *Feb 9 02:32:03.512: RADIUS: Nas-Identifier [32] 16 "brass-isg-test" *Feb 9 02:32:03.512: RADIUS: Acct-Delay-Time [41] 6 0 *Feb 9 02:32:03.516: RADIUS(00000045): Started 5 sec timeout *Feb 9 02:32:03.544: RADIUS: Received from id 1646/145 192.168.121.18:1813, Accounting-response, len 20 *Feb 9 02:32:03.544: RADIUS: authenticator 51 3F F9 CF 7B BE FB 39 - E5 5C 66 81 36 40 7D 1A *Feb 9 02:32:34.684: [50]PPPoE 37: AAA get dynamic attrs *Feb 9 02:32:34.684: RADIUS/ENCODE(00000054):Orig. component type = PPPoE *Feb 9 02:32:34.684: RADIUS(00000054): Config NAS IP: 192.168.1.10 *Feb 9 02:32:34.684: RADIUS: Attribute 55 not sent, as system clock is not set *Feb 9 02:32:34.684: RADIUS(00000054): Config NAS IP: 192.168.1.10 *Feb 9 02:32:34.684: RADIUS(00000054): sending *Feb 9 02:32:34.684: RADIUS(00000054): Send Accounting-Request to 192.168.121.18:1813 id 1646/146, len 155 *Feb 9 02:32:34.684: RADIUS: authenticator 16 E1 27 E1 5A 36 2A BA - 81 78 44 70 BA 77 2F 01 *Feb 9 02:32:34.684: RADIUS: Acct-Session-Id [44] 10 "0000005C" *Feb 9 02:32:34.684: RADIUS: Framed-Protocol [7] 6 PPP [1] *Feb 9 02:32:34.684: RADIUS: Framed-IP-Address [8] 6 10.13.0.1 *Feb 9 02:32:34.684: RADIUS: User-Name [1] 14 "isg_test_isg" *Feb 9 02:32:34.684: RADIUS: Acct-Session-Time [46] 6 131 *Feb 9 02:32:34.684: RADIUS: Acct-Input-Octets [42] 6 2237 *Feb 9 02:32:34.684: RADIUS: Acct-Output-Octets [43] 6 270 *Feb 9 02:32:34.684: RADIUS: Acct-Input-Packets [47] 6 26 *Feb 9 02:32:34.684: RADIUS: Acct-Output-Packets [48] 6 8 *Feb 9 02:32:34.684: RADIUS: Acct-Authentic [45] 6 RADIUS [1] *Feb 9 02:32:34.684: RADIUS: Acct-Status-Type [40] 6 Watchdog [3] *Feb 9 02:32:34.684: RADIUS: NAS-Port-Type [61] 6 Virtual [5] *Feb 9 02:32:34.684: RADIUS: NAS-Port [5] 6 0 *Feb 9 02:32:34.684: RADIUS: NAS-Port-Id [87] 11 "0/0/0/800" *Feb 9 02:32:34.684: RADIUS: Service-Type [6] 6 Framed [2] *Feb 9 02:32:34.684: RADIUS: NAS-IP-Address [4] 6 192.168.1.10 *Feb 9 02:32:34.684: RADIUS: Nas-Identifier [32] 16 "brass-isg-test" *Feb 9 02:32:34.684: RADIUS: Acct-Delay-Time [41] 6 0 *Feb 9 02:32:34.688: RADIUS(00000054): Started 5 sec timeout *Feb 9 02:32:34.696: RADIUS: Received from id 1646/146 192.168.121.18:1813, Accounting-response, len 20 *Feb 9 02:32:34.696: RADIUS: authenticator A0 F6 3B 17 EE D0 DF 7F - B4 06 D5 23 05 25 E4 43 есть идеи? Изменено 9 февраля, 2011 пользователем bokl Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bokl Опубликовано 10 февраля, 2011 · Жалоба Совсем у меня что-то ничего не выходит. Решил настроить полисинг, так оно не фурычит. трафик не шейпится. В чем дело никак не пойму.... class-map type traffic match-any media match access-group input 197 match access-group output 197 ! policy-map type service media service local ip access-group 197 in ip access-group 197 out 1 class type traffic media police input 64000 12000 24000 police output 64000 12000 24000 ! ! policy-map type control test class type control always event session-start 2 service-policy type service name media 3 authorize aaa password cisco identifier authenticated-username ! class type control always event service-stop 1 service-policy type service unapply identifier service-name 2 service-policy type service unapply identifier service-name ! ! Current Subscriber Information: Total sessions 1 -------------------------------------------------- Unique Session ID: 56 Identifier: isg_test_isg SIP subscriber access type(s): PPPoE/PPP Current SIP options: Req Fwding/Req Fwded Session Up-time: 00:02:14, Last Changed: 00:02:14 Interface: Virtual-Access1.1 Policy information: Authentication status: authen Active services associated with session: name "media", applied before account logon Rules, actions and conditions executed: subscriber rule-map test condition always event session-start 2 service-policy type service name media 3 authorize identifier authenticated-username Session inbound features: Traffic classes: Traffic class session ID: 57 ACL Name: 197, Packets = 174, Bytes = 13502 Unmatched Packets = 4579, Re-classified packets (redirected) = 0 Session outbound features: Traffic classes: Traffic class session ID: 57 ACL Name: 197, Packets = 310, Bytes = 410214 Unmatched Packets = 8200, Re-classified packets (redirected) = 0 Non-datapath features: Feature: IP Config Peer IP Address: 10.13.0.1 (F/F) Address Pool: [None] (F) Unnumbered Intf: [None] Configuration sources associated with this session: Service: media, Active Time = 00:02:14 Interface: Virtual-Template1, Active Time = 00:02:14 -------------------------------------------------- Unique Session ID: 57 Identifier: SIP subscriber access type(s): Traffic-Class Current SIP options: None Session Up-time: 00:02:14, Last Changed: 00:02:14 Policy information: Authentication status: unauthen Session inbound features: Feature: Access lists Active IP access list: 197 Feature: Policing Upstream Params: Average rate = 64000, Normal burst = 12000, Excess burst = 24000 Config level = Service Profile Session outbound features: Feature: Access lists Active IP access list: 197 Feature: Policing Dnstream Params: Average rate = 64000, Normal burst = 12000, Excess burst = 24000 Config level = Service Profile Configuration sources associated with this session: Service: media, Active Time = 00:02:14 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zzeka Опубликовано 10 февраля, 2011 · Жалоба А что за access-list 197? Что в нем? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bokl Опубликовано 10 февраля, 2011 · Жалоба А что за access-list 197? Что в нем? Extended IP access list 197 (Compiled) 10 permit tcp any any eq www (4576 matches) 20 permit tcp any eq www any (6030 matches) 40 permit ip any any (90 matches) 50 deny ip any any странно то, что как только на клиенте пытаюсь что-то открыть, циска сразу умирает. Хотя не перезагружвается(brass-isg-test uptime is 5 days, 22 hours, 49 minutes) такое ощущение что просто виснет и на пинги не отвечает пару минут. brass-isg-test#show version Cisco IOS Software, 7200 Software (C7200-ADVIPSERVICESK9-M), Version 12.2(33)SRE1, RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright © 1986-2010 by Cisco Systems, Inc. Compiled Mon 29-Mar-10 14:54 by prod_rel_team ROM: System Bootstrap, Version 12.2(4r)B2, RELEASE SOFTWARE (fc2) brass-isg-test uptime is 5 days, 22 hours, 49 minutes System returned to ROM by power-on System image file is "disk0:c7200-advipservicesk9-mz.122-33.SRE1.bin" Last reload type: Normal Reload A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. Cisco 7204VXR (NPE400) processor (revision A) with 491520K/32768K bytes of memory. Processor board ID 30928946 R7000 CPU at 350MHz, Implementation 39, Rev 3.3, 256KB L2 Cache 4 slot VXR midplane, Version 2.7 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bokl Опубликовано 10 февраля, 2011 · Жалоба вдруг зависания прекратились и полисинг стал работать. совсем ничего не понимаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bokl Опубликовано 10 февраля, 2011 · Жалоба вообщем разобрался я с сервисами на циске, завел теперь сервисы на радиусе. получаю: *Feb 9 21:06:13.724: RADIUS: Received from id 1645/135 192.168.121.18:1812, Access-Accept, len 260 *Feb 9 21:06:13.724: RADIUS: authenticator 09 07 27 E7 BE 85 68 6A - DF DE 51 7A 43 B3 2C 71 *Feb 9 21:06:13.724: RADIUS: Vendor, Cisco [26] 55 *Feb 9 21:06:13.724: RADIUS: Cisco AVpair [1] 49 "traffic-class=input access-group 198 priority 1" *Feb 9 21:06:13.724: RADIUS: Vendor, Cisco [26] 56 *Feb 9 21:06:13.724: RADIUS: Cisco AVpair [1] 50 "traffic-class=output access-group 198 priority 1" *Feb 9 21:06:13.724: RADIUS: Vendor, Cisco [26] 41 *Feb 9 21:06:13.724: RADIUS: Cisco AVpair [1] 35 "ip:traffic-class=out default drop" *Feb 9 21:06:13.724: RADIUS: Vendor, Cisco [26] 40 *Feb 9 21:06:13.724: RADIUS: Cisco AVpair [1] 34 "ip:traffic-class=in default drop" *Feb 9 21:06:13.724: RADIUS: Vendor, Cisco [26] 48 *Feb 9 21:06:13.724: RADIUS: ssg-account-info [250] 42 "QU;64000;12000;24000;D;64000;12000;24000" в итоге аксесслисты навешиваются, а ssg-account-info [250] 42 "QU;64000;12000;24000;D;64000;12000;24000" не работает. трафик не шейпится. профайл такой: FTP Password == "cisco" Cisco-AVpair += "traffic-class=input access-group 198 priority 1", Cisco-AVpair += "traffic-class=output access-group 198 priority 1", Cisco-AVPair += "ip:traffic-class=out default drop", Cisco-AVPair += "ip:traffic-class=in default drop", Cisco-Account-Info += "QU;64000;12000;24000;D;64000;12000;24000", может как-то подругому надо? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SkyCaster Опубликовано 10 февраля, 2011 · Жалоба в итоге аксесслисты навешиваются, а ssg-account-info [250] 42 "QU;64000;12000;24000;D;64000;12000;24000" не работает. трафик не шейпится.профайл такой: FTP Password == "cisco" Cisco-AVpair += "traffic-class=input access-group 198 priority 1", Cisco-AVpair += "traffic-class=output access-group 198 priority 1", Cisco-AVPair += "ip:traffic-class=out default drop", Cisco-AVPair += "ip:traffic-class=in default drop", Cisco-Account-Info += "QU;64000;12000;24000;D;64000;12000;24000", может как-то подругому надо? Cisco-Service-Info в итоге аксесслисты навешиваются, а ssg-account-info [250] 42 "QU;64000;12000;24000;D;64000;12000;24000" не работает. трафик не шейпится.профайл такой: FTP Password == "cisco" Cisco-AVpair += "traffic-class=input access-group 198 priority 1", Cisco-AVpair += "traffic-class=output access-group 198 priority 1", Cisco-AVPair += "ip:traffic-class=out default drop", Cisco-AVPair += "ip:traffic-class=in default drop", Cisco-Account-Info += "QU;64000;12000;24000;D;64000;12000;24000", может как-то подругому надо? Cisco-Service-Info Ой, сорри - не заметил что речь о 7200 - я думал про ASR - хотя попробуйте, может поможет на самом деле вместо Cisco-Account-Info надо Cisco-Service-Info Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bokl Опубликовано 18 февраля, 2011 · Жалоба Ребят, возникли некоторые вопросы с которыми сейчас пытаюсь разобраться. 1. Возможно ли снимать акаунтинг с разными интервалами для разных сервисов? 2. Возможно ли передавать циске от радиуса профиль с параметрами. Чтобы можно например профиль интернета сделать один, а скорость доступа подставлялась в зависимости от параметра. Если у кого есть что сказать, буду благодарен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tsolodov Опубликовано 22 февраля, 2011 · Жалоба Ребят, возникли некоторые вопросы с которыми сейчас пытаюсь разобраться. 1. Возможно ли снимать акаунтинг с разными интервалами для разных сервисов? 2. Возможно ли передавать циске от радиуса профиль с параметрами. Чтобы можно например профиль интернета сделать один, а скорость доступа подставлялась в зависимости от параметра. Если у кого есть что сказать, буду благодарен. 1) хз, тоже инетерсно 2) я сделал вот так Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zzeka Опубликовано 24 февраля, 2011 · Жалоба 1. Возможно ли снимать акаунтинг с разными интервалами для разных сервисов? В RADIUS профиле сервиса можно отдавать: Acct-Interim-Interval=300 и cisco-avpair=subscriber:accounting-list=AAALIST соответственно аккаунтинг для каждого сервиса можно включать с определенным интервалом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Oleg Gawriloff Опубликовано 25 февраля, 2011 · Жалоба В RADIUS профиле сервиса можно отдавать:Acct-Interim-Interval=300 и cisco-avpair=subscriber:accounting-list=AAALIST соответственно аккаунтинг для каждого сервиса можно включать с определенным интервалом И что, у кого-то работает? У меня в этом случае все сервисы отдают с одним и тем же интервалом равным переданному в последний прогруженный сервис. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bokl Опубликовано 2 марта, 2011 · Жалоба ребят, вообщем я сподобился вот на такую конфигурацию на циске. class-map type traffic match-any TC_INET_NIGHT match access-group output name TCL_INET_NIGHT_OUT match access-group input name TCL_INET_NIGHT_IN ! class-map type traffic match-any TC_INET match access-group output name TCL_INET_OUT match access-group input name TCL_INET_IN ! class-map type traffic match-any TC_LOCAL match access-group output name TCL_LOCAL_OUT match access-group input name TCL_LOCAL_IN ! class-map type traffic match-any TC_MEDIA match access-group output name TCL_MEDIA_OUT match access-group input name TCL_MEDIA_IN ! policy-map type service SRV_INET class type traffic TC_INET police input 10000 10000 1000 police output 10000 10000 1000 ! ! policy-map type service SRV_INET_NIGHT class type traffic TC_INET_NIGHT police input 20000 20000 1000 police output 20000 20000 1000 ! ! policy-map type service SRV_MEDIA class type traffic TC_MEDIA ! ! policy-map type service SRV_LOCAL class type traffic TC_LOCAL ! ! policy-map type control PCM class type control always event session-start 1 service-policy type service name SRV_MEDIA 2 service-policy type service name SRV_LOCAL 3 service-policy type service name SRV_INET_NIGHT 4 service-policy type service name SRV_INET ! class type control always event service-stop 1 service-policy type service unapply identifier service-name 2 service-policy type service unapply identifier service-name 3 service-policy type service unapply identifier service-name 4 service-policy type service unapply identifier service-name ! ! Как я предполагаю трафик будет полиситься в следующем порядке: 1. Медиа 2. Локал 3. Ночной(использую тайм рэйндж ацл). 4. Интернет. и получится разная скорость соответственно на медиа/локал/инет ночной/инет обычный. Я прав? теперь хотелось бы её передавать через радиус. Какие AV пары нужно передавать? например каким образом задать порядковый номер сервиса в списке? Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...