Перейти к содержимому
Калькуляторы

ISG помогите разобраться с ISG

Добрый день!

 

Пытаюсь разобраться в ISG, но в самом начале возникла проблема.

 

 

вот конфиг:

aaa authentication login VTY_LOGIN group tacacs+ local

aaa authentication enable default enable

aaa authentication ppp default group radius

aaa authorization exec default group tacacs+ local

aaa authorization network default group radius

aaa accounting update periodic 2

aaa accounting network default

action-type start-stop

group radius

!

!

!

!

!

!

aaa session-id common

ip source-route

!

!

!

!

ip cef

no ipv6 cef

!

!

redirect server-group PORTAL

server ip 178.207.18.202

!

multilink bundle-name authenticated

!

!

username admin privilege 15 password ******

!

!

class-map type traffic match-any media

match access-group input name media

!

policy-map type service media

service local

class type traffic media

redirect to group PORTAL

police input 8000 1000 1000

police output 8000 1000 1000

!

!

policy-map type control test

class type control always event session-start

1 authorize aaa password cisco identifier authenticated-username

2 service-policy type service name media (*)

!

class type control always event service-stop

1 service-policy type service unapply identifier service-name

2 service-policy type service unapply identifier service-name

!

!

!

!

interface Virtual-Template1

ip unnumbered Loopback3

no ip redirects

no ip proxy-arp

no keepalive

ppp authentication pap chap

service-policy type control test

!

 

 

проблема в помеченой звездочкой строчке.

если её убрать - абонент по pppoe конектится нормально.

если с ней, то не подключается pppoe.

 

собственно не могу понять что за безобразие.

во всех примерах по ISG подобные настройки и у всех все работает.

 

что я сделал не так? помогите плиз.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

debug radius что говорит??

 

и попробуйте дописать:

aaa authorization subscriber-service default local group ......

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

debug radius что говорит??

 

и попробуйте дописать:

aaa authorization subscriber-service default local group ......

не знаю что я сделал(вроде просто сходил пообедать=) но подключаться pppoe стал.

 

но такая вот проблема вышла:

 

redirect server-group PORTAL

server ip 178.207.18.202

 

class-map type traffic match-any media

match access-group output name REDIRECT_OUT

match access-group input name REDIRECT_IN

!

policy-map type service media

service local

class type traffic media

redirect to group PORTAL

!

!

ip access-list extended REDIRECT_IN

permit ip any any

ip access-list extended REDIRECT_OUT

permit ip any any

 

 

 

как я понял этот сервис должен редирект делать для трафика.

у меня вообще трафик не ходит. я так понимаю он весь дропается.

я должен разрешить ходить какому-то трафику в ACL ? пытался прописывать строчки deny ip any any, та же фигня...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У тебя не работает строчка выше звёздочки =)

Она ВСЕГДА присылает REJECT

Все обязательные сервисы должны быть до authorize aaa password cisco identifier authenticated-username

 

Помогает debug radius в этих случаях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У тебя не работает строчка выше звёздочки =)

Она ВСЕГДА присылает REJECT

Все обязательные сервисы должны быть до authorize aaa password cisco identifier authenticated-username

 

Помогает debug radius в этих случаях.

 

Тоесть я должен строчку со * поставить перед authorize ?

 

Для начала я решил самую простую задачу реализовать. весь трафик редиректить.

попробовал переставлять, не помогло.

*Feb  9 02:30:17.860: [48]PPPoE 36: AAA get dynamic attrs
*Feb  9 02:30:17.864: RADIUS/ENCODE(00000053):Orig. component type = PPPoE
*Feb  9 02:30:17.864: RADIUS(00000053): Config NAS IP: 192.168.1.10
*Feb  9 02:30:17.864: RADIUS: Attribute 55 not sent, as system clock is not set
*Feb  9 02:30:17.864: RADIUS(00000053): Config NAS IP: 192.168.1.10
*Feb  9 02:30:17.864: RADIUS(00000053): sending
*Feb  9 02:30:17.864: RADIUS(00000053): Send Accounting-Request to 192.168.121.18:1813 id 1646/143, len 161
*Feb  9 02:30:17.864: RADIUS:  authenticator 44 7A 42 D3 1E 7F B0 EC - 0D 3F 21 FD 1E 4B 75 43
*Feb  9 02:30:17.864: RADIUS:  Acct-Session-Id     [44]  10  "0000005A"
*Feb  9 02:30:17.864: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
*Feb  9 02:30:17.864: RADIUS:  Framed-IP-Address   [8]   6   10.13.0.1                 
*Feb  9 02:30:17.864: RADIUS:  User-Name           [1]   14  "isg_test_isg"
*Feb  9 02:30:17.864: RADIUS:  Acct-Authentic      [45]  6   RADIUS                    [1]
*Feb  9 02:30:17.864: RADIUS:  Acct-Session-Time   [46]  6   917                       
*Feb  9 02:30:17.864: RADIUS:  Acct-Input-Octets   [42]  6   5793                      
*Feb  9 02:30:17.864: RADIUS:  Acct-Output-Octets  [43]  6   496                       
*Feb  9 02:30:17.864: RADIUS:  Acct-Input-Packets  [47]  6   86                        
*Feb  9 02:30:17.864: RADIUS:  Acct-Output-Packets [48]  6   19                        
*Feb  9 02:30:17.864: RADIUS:  Acct-Terminate-Cause[49]  6   user-request              [1]
*Feb  9 02:30:17.864: RADIUS:  Acct-Status-Type    [40]  6   Stop                      [2]
*Feb  9 02:30:17.864: RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
*Feb  9 02:30:17.864: RADIUS:  NAS-Port            [5]   6   0                         
*Feb  9 02:30:17.864: RADIUS:  NAS-Port-Id         [87]  11  "0/0/0/800"
*Feb  9 02:30:17.864: RADIUS:  Service-Type        [6]   6   Framed                    [2]
*Feb  9 02:30:17.864: RADIUS:  NAS-IP-Address      [4]   6   192.168.1.10              
*Feb  9 02:30:17.868: RADIUS:  Nas-Identifier      [32]  16  "brass-isg-test"
*Feb  9 02:30:17.868: RADIUS:  Acct-Delay-Time     [41]  6   0                         
*Feb  9 02:30:17.868: RADIUS(00000053): Started 5 sec timeout
*Feb  9 02:30:17.876: RADIUS: Received from id 1646/143 192.168.121.18:1813, Accounting-response, len 20
*Feb  9 02:30:17.876: RADIUS:  authenticator F4 63 65 40 C4 59 1B F7 - AB EE B6 67 0F 9B DB 55
*Feb  9 02:30:17.952: PPPoE 36: I PADT  R:0090.f52b.2492 L:000e.8330.4d08 800 Fa0/0.800
contiguous pak, size 64
         00 0E 83 30 4D 08 00 90 F5 2B 24 92 81 00 03 20
         88 63 11 A7 00 24 00 00 00 00 00 00 00 00 00 00
         00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
         00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
*Feb  9 02:30:17.952: [48]PPPoE 36: Destroying  R:0090.f52b.2492 L:000e.8330.4d08 800 Fa0/0.800
*Feb  9 02:30:17.952: PPPoE: Returning Vaccess Virtual-Access1.2
*Feb  9 02:30:17.952: [48]PPPoE 36: AAA get dynamic attrs
*Feb  9 02:30:17.952: [48]PPPoE 36: AAA account stopped
*Feb  9 02:30:17.956: SVM [54000013/media]: [FM-Bind:9A000055] unlocked 2->1
*Feb  9 02:30:17.956: SVM [D7000014/CHILD/media]: [FM-Bind:69000056] unlocked 2->1
*Feb  9 02:30:17.956: SVM [54000013/media]: [PM-Info:66A25924] unlocked 2->1
*Feb  9 02:30:17.956: SVM [54000013/media]: [PM-Service:66AAF51C] unlocked 2->1
*Feb  9 02:30:17.956: SVM [D7000014/CHILD/media]: [SM-SIP-Apply:D7000014] unlocked 2->1
*Feb  9 02:30:17.956: [48]PPPoE 36: Segment (SSS class): UNBOUND
*Feb  9 02:30:17.960: [48]PPPoE 36: Vi1.2 Block vaccess from being freed.
*Feb  9 02:30:17.960: [48]PPPoE 36: Vi1.2 Block vaccess from being freed.
*Feb  9 02:30:17.960: [48]PPPoE 36: Segment (SSS class): UNPROVISION
*Feb  9 02:30:17.964: RADIUS: Removing all radius source-int. pointing to Virtual-Access1.2
*Feb  9 02:30:21.912: PPPoE 0: I PADI  R:0090.f52b.2492 L:ffff.ffff.ffff 800 Fa0/0.800
contiguous pak, size 64
         FF FF FF FF FF FF 00 90 F5 2B 24 92 81 00 03 20
         88 63 11 09 00 00 00 10 01 01 00 00 01 03 00 08
         0D 00 00 00 19 00 00 00 00 00 00 00 00 00 00 00
         00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
*Feb  9 02:30:21.912:  Service tag: NULL Tag
*Feb  9 02:30:21.912: PPPoE 0: O PADO, R:000e.8330.4d08 L:0090.f52b.2492 800 Fa0/0.800
*Feb  9 02:30:21.912:  Service tag: NULL Tag
contiguous pak, size 78
         00 90 F5 2B 24 92 00 0E 83 30 4D 08 81 00 03 20
         88 63 11 07 00 00 00 36 01 01 00 00 01 03 00 08
         0D 00 00 00 19 00 00 00 01 02 00 0E 62 72 61 73
         73 2D 69 73 67 2D 74 65 73 74 01 04 00 10 0E AC
         60 F4 A2 81 D9 39 F8 E0 ...
*Feb  9 02:30:21.912: PPPoE 0: I PADR  R:0090.f52b.2492 L:000e.8330.4d08 800 Fa0/0.800
contiguous pak, size 64
         00 0E 83 30 4D 08 00 90 F5 2B 24 92 81 00 03 20
         88 63 11 19 00 00 00 24 01 01 00 00 01 03 00 08
         0D 00 00 00 1A 00 00 00 01 04 00 10 0E AC 60 F4
         A2 81 D9 39 F8 E0 A9 B4 16 8A 67 7B 00 00 00 00
*Feb  9 02:30:21.912:  Service tag: NULL Tag
*Feb  9 02:30:21.912: PPPoE : encap string prepared
*Feb  9 02:30:21.912: [50]PPPoE 37: Access IE handle allocated
*Feb  9 02:30:21.912: [50]PPPoE 37: AAA get retrieved attrs
*Feb  9 02:30:21.912: [50]PPPoE 37: AAA get nas port details
*Feb  9 02:30:21.912: AAA/BIND(00000054): Bind i/f Virtual-Template1 
*Feb  9 02:30:21.912: [50]PPPoE 37: AAA get dynamic attrs
*Feb  9 02:30:21.912: [50]PPPoE 37: AAA unique ID allocated
*Feb  9 02:30:21.912: [50]PPPoE 37: AAA method list  set
*Feb  9 02:30:21.916: [50]PPPoE 37: Service request sent to SSS
*Feb  9 02:30:21.916: [50]PPPoE 37: Created, Service: None R:000e.8330.4d08 L:0090.f52b.2492 800 Fa0/0.800
*Feb  9 02:30:21.916: SVM [54000013/media]: already downloaded; sharing
*Feb  9 02:30:21.916: SVM [54000013/media]: [93000054]: client download ok
*Feb  9 02:30:21.916: SVM [54000013/media]: [SVM-to-client-msg:93000054] locked 0->1
*Feb  9 02:30:21.916: SVM [54000013/media]: [PM-Download:93000054] locked 0->1
*Feb  9 02:30:21.916: SVM [54000013/media]: alloc feature info
*Feb  9 02:30:21.916: SVM [54000013/media]: [SVM-Feature-Info:66AD0DD4] locked 0->1
*Feb  9 02:30:21.916: SVM [54000013/media]: has Policy info
*Feb  9 02:30:21.916: SVM [54000013/media]: [PM-Info:66A258F0] locked 1->2
*Feb  9 02:30:21.916: SVM [54000013/media]: populated client
*Feb  9 02:30:21.916: SVM [54000013/media]: [PM-Download:93000054] unlocked 1->0
*Feb  9 02:30:21.916: SVM [54000013/media]: [SVM-to-client-msg:93000054] unlocked 1->0
*Feb  9 02:30:21.916: SVM [54000013/media]: [PM-Service:66AAF51C] locked 1->2
*Feb  9 02:30:21.916: [50]PPPoE 37: State NAS_PORT_POLICY_INQUIRY    Event SSS MORE KEYS
*Feb  9 02:30:21.920: [50]PPPoE 37: data path set to PPP
*Feb  9 02:30:21.920: [50]PPPoE 37: Segment (SSS class): PROVISION
*Feb  9 02:30:21.920: [50]PPPoE 37: State PROVISION_PPP    Event SSM PROVISIONED
*Feb  9 02:30:21.920: [50]PPPoE 37: O PADS  R:0090.f52b.2492 L:000e.8330.4d08 Fa0/0.800
contiguous pak, size 64
         00 90 F5 2B 24 92 00 0E 83 30 4D 08 81 00 03 20
         88 63 11 65 00 25 00 24 01 01 00 00 01 03 00 08
         0D 00 00 00 1A 00 00 00 01 04 00 10 0E AC 60 F4
         A2 81 D9 39 F8 E0 A9 B4 16 8A 67 7B 00 00 00 00
*Feb  9 02:30:21.964: AAA/AUTHEN/PPP (00000054): Pick method list 'default' 
*Feb  9 02:30:21.964: RADIUS/ENCODE(00000054):Orig. component type = PPPoE
*Feb  9 02:30:21.964: RADIUS:  AAA Unsupported Attr: interface         [204] 9   
*Feb  9 02:30:21.964: RADIUS:   30 2F 30 2F 30 2F 38           [ 0/0/0/8]
*Feb  9 02:30:21.964: RADIUS:  AAA Unsupported Attr: client-mac-address[45]  14  
*Feb  9 02:30:21.964: RADIUS:   30 30 39 30 2E 66 35 32 62 2E 32 34      [ 0090.f52b.24]
*Feb  9 02:30:21.964: RADIUS(00000054): Config NAS IP: 192.168.1.10
*Feb  9 02:30:21.964: RADIUS/ENCODE: No idb found! Framed IP Addr might not be included
*Feb  9 02:30:21.964: RADIUS/ENCODE(00000054): acct_session_id: 92
*Feb  9 02:30:21.964: RADIUS(00000054): Config NAS IP: 192.168.1.10
*Feb  9 02:30:21.964: RADIUS: Attribute 55 not sent, as system clock is not set
*Feb  9 02:30:21.964: RADIUS(00000054): sending
*Feb  9 02:30:21.964: RADIUS(00000054): Send Access-Request to 192.168.121.18:1812 id 1645/82, len 119
*Feb  9 02:30:21.964: RADIUS:  authenticator D1 83 D2 FE 45 A4 90 E2 - 0B 6D DF AC 6E 72 81 2F
*Feb  9 02:30:21.964: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
*Feb  9 02:30:21.964: RADIUS:  User-Name           [1]   14  "isg_test_isg"
*Feb  9 02:30:21.964: RADIUS:  User-Password       [2]   18  *
*Feb  9 02:30:21.964: RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
*Feb  9 02:30:21.968: RADIUS:  NAS-Port            [5]   6   0                         
*Feb  9 02:30:21.968: RADIUS:  NAS-Port-Id         [87]  11  "0/0/0/800"
*Feb  9 02:30:21.968: RADIUS:  Service-Type        [6]   6   Framed                    [2]
*Feb  9 02:30:21.968: RADIUS:  NAS-IP-Address      [4]   6   192.168.1.10              
*Feb  9 02:30:21.968: RADIUS:  Acct-Session-Id     [44]  10  "0000005C"
*Feb  9 02:30:21.968: RADIUS:  Nas-Identifier      [32]  16  "brass-isg-test"
*Feb  9 02:30:21.968: RADIUS(00000054): Started 5 sec timeout
*Feb  9 02:30:21.984: RADIUS: Received from id 1645/82 192.168.121.18:1812, Access-Accept, len 38
*Feb  9 02:30:21.984: RADIUS:  authenticator D4 CC 77 AB 19 14 35 D5 - 31 30 49 2D FB FE D3 06
*Feb  9 02:30:21.984: RADIUS:  Service-Type        [6]   6   Framed                    [2]
*Feb  9 02:30:21.984: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
*Feb  9 02:30:21.984: RADIUS:  Framed-IP-Address   [8]   6   10.13.0.1                 
*Feb  9 02:30:21.984: RADIUS(00000054): Received from id 1645/82
*Feb  9 02:30:21.988: RADIUS/ENCODE(00000054):Orig. component type = PPPoE
*Feb  9 02:30:21.988: RADIUS:  AAA Unsupported Attr: interface         [204] 9   
*Feb  9 02:30:21.988: RADIUS:   30 2F 30 2F 30 2F 38           [ 0/0/0/8]
*Feb  9 02:30:21.988: RADIUS:  AAA Unsupported Attr: client-mac-address[45]  14  
*Feb  9 02:30:21.988: RADIUS:   30 30 39 30 2E 66 35 32 62 2E 32 34      [ 0090.f52b.24]
*Feb  9 02:30:21.988: RADIUS(00000054): Config NAS IP: 192.168.1.10
*Feb  9 02:30:21.988: RADIUS/ENCODE(00000054): acct_session_id: 92
*Feb  9 02:30:21.988: RADIUS(00000054): Config NAS IP: 192.168.1.10
*Feb  9 02:30:21.988: RADIUS: Attribute 55 not sent, as system clock is not set
*Feb  9 02:30:21.988: RADIUS(00000054): sending
*Feb  9 02:30:21.992: RADIUS(00000054): Send Access-Request to 192.168.121.18:1812 id 1645/83, len 113
*Feb  9 02:30:21.992: RADIUS:  authenticator EF 9E 65 70 1F 28 3D 42 - 00 0F 3C 6A 19 74 7F 63
*Feb  9 02:30:21.992: RADIUS:  User-Name           [1]   14  "isg_test_isg"
*Feb  9 02:30:21.992: RADIUS:  User-Password       [2]   18  *
*Feb  9 02:30:21.992: RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
*Feb  9 02:30:21.992: RADIUS:  NAS-Port            [5]   6   0                         
*Feb  9 02:30:21.992: RADIUS:  NAS-Port-Id         [87]  11  "0/0/0/800"
*Feb  9 02:30:21.992: RADIUS:  Service-Type        [6]   6   Outbound                  [5]
*Feb  9 02:30:21.992: RADIUS:  NAS-IP-Address      [4]   6   192.168.1.10              
*Feb  9 02:30:21.992: RADIUS:  Acct-Session-Id     [44]  10  "0000005C"
*Feb  9 02:30:21.992: RADIUS:  Nas-Identifier      [32]  16  "brass-isg-test"
*Feb  9 02:30:21.992: RADIUS(00000054): Started 5 sec timeout
*Feb  9 02:30:22.992: RADIUS: Received from id 1645/83 192.168.121.18:1812, Access-Reject, len 38
*Feb  9 02:30:22.996: RADIUS:  authenticator 99 97 BB 6D F1 0B 51 3D - 4A 43 97 AE 82 80 8C D9
*Feb  9 02:30:22.996: RADIUS:  Service-Type        [6]   6   Framed                    [2]
*Feb  9 02:30:22.996: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
*Feb  9 02:30:22.996: RADIUS:  Framed-IP-Address   [8]   6   10.13.0.1                 
*Feb  9 02:30:22.996: RADIUS(00000054): Received from id 1645/83
*Feb  9 02:30:23.000: SVM [D7000014/CHILD/media]: [SM-SIP-Apply:D7000014] locked 1->2
*Feb  9 02:30:23.000: SVM [54000013/media]: [FM-Bind:00000058] locked 1->2
*Feb  9 02:30:23.000: SVM [54000013/media]: [SVM-Feature-Info:66AD0DD4] unlocked 1->0
*Feb  9 02:30:23.000: SVM [D7000014/CHILD/media]: alloc feature info
*Feb  9 02:30:23.000: SVM [D7000014/CHILD/media]: [SVM-Feature-Info:66AD0DD4] locked 0->1
*Feb  9 02:30:23.004: [50]PPPoE 37: State LCP_NEGOTIATION    Event SSS CONNECT LOCAL
*Feb  9 02:30:23.004: [50]PPPoE 37: Segment (SSS class): UPDATED
*Feb  9 02:30:23.004: [50]PPPoE 37: Segment (SSS class): BOUND
*Feb  9 02:30:23.004: [50]PPPoE 37: data path set to Virtual Acess
*Feb  9 02:30:23.004: [50]PPPoE 37: State LCP_NEGOTIATION    Event SSM UPDATED
*Feb  9 02:30:23.004: SVM [D7000014/CHILD/media]: [FM-Bind:91000059] locked 1->2
*Feb  9 02:30:23.004: SVM [D7000014/CHILD/media]: [SVM-Feature-Info:66AD0DD4] unlocked 1->0
*Feb  9 02:30:23.004: AAA/BIND(00000054): Bind i/f Virtual-Access1.2 
*Feb  9 02:30:23.008: [50]PPPoE 37: AAA get dynamic attrs
*Feb  9 02:30:23.008: RADIUS/ENCODE(00000054):Orig. component type = PPPoE
*Feb  9 02:30:23.008: RADIUS(00000054): Config NAS IP: 192.168.1.10
*Feb  9 02:30:23.008: RADIUS: Attribute 55 not sent, as system clock is not set
*Feb  9 02:30:23.008: RADIUS(00000054): Config NAS IP: 192.168.1.10
*Feb  9 02:30:23.008: RADIUS(00000054): sending
*Feb  9 02:30:23.008: [50]PPPoE 37: State PTA_BINDING    Event STATIC BIND RESPONSE
*Feb  9 02:30:23.008: [50]PPPoE 37: Connected PTA
*Feb  9 02:30:23.008: RADIUS(00000054): Send Accounting-Request to 192.168.121.18:1813 id 1646/144, len 119
*Feb  9 02:30:23.008: RADIUS:  authenticator A6 D1 FE EA 9A E5 4F 8F - 9F 94 F5 52 8D DE 2E 82
*Feb  9 02:30:23.008: RADIUS:  Acct-Session-Id     [44]  10  "0000005C"
*Feb  9 02:30:23.008: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
*Feb  9 02:30:23.012: RADIUS:  User-Name           [1]   14  "isg_test_isg"
*Feb  9 02:30:23.012: RADIUS:  Acct-Authentic      [45]  6   RADIUS                    [1]
*Feb  9 02:30:23.012: RADIUS:  Acct-Status-Type    [40]  6   Start                     [1]
*Feb  9 02:30:23.012: RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
*Feb  9 02:30:23.012: RADIUS:  NAS-Port            [5]   6   0                         
*Feb  9 02:30:23.012: RADIUS:  NAS-Port-Id         [87]  11  "0/0/0/800"
*Feb  9 02:30:23.012: RADIUS:  Service-Type        [6]   6   Framed                    [2]
*Feb  9 02:30:23.012: RADIUS:  NAS-IP-Address      [4]   6   192.168.1.10              
*Feb  9 02:30:23.012: RADIUS:  Nas-Identifier      [32]  16  "brass-isg-test"
*Feb  9 02:30:23.012: RADIUS:  Acct-Delay-Time     [41]  6   0                         
*Feb  9 02:30:23.012: RADIUS(00000054): Started 5 sec timeout
*Feb  9 02:30:23.024: RADIUS: Received from id 1646/144 192.168.121.18:1813, Accounting-response, len 20
*Feb  9 02:30:23.024: RADIUS:  authenticator 2D 14 38 A7 53 DB E2 FB - 6C 04 E4 00 98 F7 60 77
*Feb  9 02:32:03.512: [25]PPPoE 24: AAA get dynamic attrs
*Feb  9 02:32:03.512: RADIUS/ENCODE(00000045):Orig. component type = PPPoE
*Feb  9 02:32:03.512: RADIUS(00000045): Config NAS IP: 192.168.1.10
*Feb  9 02:32:03.512: RADIUS: Attribute 55 not sent, as system clock is not set
*Feb  9 02:32:03.512: RADIUS(00000045): Config NAS IP: 192.168.1.10
*Feb  9 02:32:03.512: RADIUS(00000045): sending
*Feb  9 02:32:03.512: RADIUS(00000045): Send Accounting-Request to 192.168.121.18:1813 id 1646/145, len 155
*Feb  9 02:32:03.512: RADIUS:  authenticator 04 4B 65 F1 B3 A9 D5 9E - 3C 7B 76 F8 9A 0E 2A 82
*Feb  9 02:32:03.512: RADIUS:  Acct-Session-Id     [44]  10  "00000041"
*Feb  9 02:32:03.512: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
*Feb  9 02:32:03.512: RADIUS:  Framed-IP-Address   [8]   6   10.13.0.1                 
*Feb  9 02:32:03.512: RADIUS:  User-Name           [1]   14  "isg_test_isg"
*Feb  9 02:32:03.512: RADIUS:  Acct-Session-Time   [46]  6   6726                      
*Feb  9 02:32:03.512: RADIUS:  Acct-Input-Octets   [42]  6   128640                    
*Feb  9 02:32:03.512: RADIUS:  Acct-Output-Octets  [43]  6   1039172                   
*Feb  9 02:32:03.512: RADIUS:  Acct-Input-Packets  [47]  6   959                       
*Feb  9 02:32:03.512: RADIUS:  Acct-Output-Packets [48]  6   2071                      
*Feb  9 02:32:03.512: RADIUS:  Acct-Authentic      [45]  6   Local                     [2]
*Feb  9 02:32:03.512: RADIUS:  Acct-Status-Type    [40]  6   Watchdog                  [3]
*Feb  9 02:32:03.512: RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
*Feb  9 02:32:03.512: RADIUS:  NAS-Port            [5]   6   0                         
*Feb  9 02:32:03.512: RADIUS:  NAS-Port-Id         [87]  11  "0/0/0/800"
*Feb  9 02:32:03.512: RADIUS:  Service-Type        [6]   6   Framed                    [2]
*Feb  9 02:32:03.512: RADIUS:  NAS-IP-Address      [4]   6   192.168.1.10              
*Feb  9 02:32:03.512: RADIUS:  Nas-Identifier      [32]  16  "brass-isg-test"
*Feb  9 02:32:03.512: RADIUS:  Acct-Delay-Time     [41]  6   0                         
*Feb  9 02:32:03.516: RADIUS(00000045): Started 5 sec timeout
*Feb  9 02:32:03.544: RADIUS: Received from id 1646/145 192.168.121.18:1813, Accounting-response, len 20
*Feb  9 02:32:03.544: RADIUS:  authenticator 51 3F F9 CF 7B BE FB 39 - E5 5C 66 81 36 40 7D 1A
*Feb  9 02:32:34.684: [50]PPPoE 37: AAA get dynamic attrs
*Feb  9 02:32:34.684: RADIUS/ENCODE(00000054):Orig. component type = PPPoE
*Feb  9 02:32:34.684: RADIUS(00000054): Config NAS IP: 192.168.1.10
*Feb  9 02:32:34.684: RADIUS: Attribute 55 not sent, as system clock is not set
*Feb  9 02:32:34.684: RADIUS(00000054): Config NAS IP: 192.168.1.10
*Feb  9 02:32:34.684: RADIUS(00000054): sending
*Feb  9 02:32:34.684: RADIUS(00000054): Send Accounting-Request to 192.168.121.18:1813 id 1646/146, len 155
*Feb  9 02:32:34.684: RADIUS:  authenticator 16 E1 27 E1 5A 36 2A BA - 81 78 44 70 BA 77 2F 01
*Feb  9 02:32:34.684: RADIUS:  Acct-Session-Id     [44]  10  "0000005C"
*Feb  9 02:32:34.684: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
*Feb  9 02:32:34.684: RADIUS:  Framed-IP-Address   [8]   6   10.13.0.1                 
*Feb  9 02:32:34.684: RADIUS:  User-Name           [1]   14  "isg_test_isg"
*Feb  9 02:32:34.684: RADIUS:  Acct-Session-Time   [46]  6   131                       
*Feb  9 02:32:34.684: RADIUS:  Acct-Input-Octets   [42]  6   2237                      
*Feb  9 02:32:34.684: RADIUS:  Acct-Output-Octets  [43]  6   270                       
*Feb  9 02:32:34.684: RADIUS:  Acct-Input-Packets  [47]  6   26                        
*Feb  9 02:32:34.684: RADIUS:  Acct-Output-Packets [48]  6   8                         
*Feb  9 02:32:34.684: RADIUS:  Acct-Authentic      [45]  6   RADIUS                    [1]
*Feb  9 02:32:34.684: RADIUS:  Acct-Status-Type    [40]  6   Watchdog                  [3]
*Feb  9 02:32:34.684: RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
*Feb  9 02:32:34.684: RADIUS:  NAS-Port            [5]   6   0                         
*Feb  9 02:32:34.684: RADIUS:  NAS-Port-Id         [87]  11  "0/0/0/800"
*Feb  9 02:32:34.684: RADIUS:  Service-Type        [6]   6   Framed                    [2]
*Feb  9 02:32:34.684: RADIUS:  NAS-IP-Address      [4]   6   192.168.1.10              
*Feb  9 02:32:34.684: RADIUS:  Nas-Identifier      [32]  16  "brass-isg-test"
*Feb  9 02:32:34.684: RADIUS:  Acct-Delay-Time     [41]  6   0                         
*Feb  9 02:32:34.688: RADIUS(00000054): Started 5 sec timeout
*Feb  9 02:32:34.696: RADIUS: Received from id 1646/146 192.168.121.18:1813, Accounting-response, len 20
*Feb  9 02:32:34.696: RADIUS:  authenticator A0 F6 3B 17 EE D0 DF 7F - B4 06 D5 23 05 25 E4 43

 

 

есть идеи?

Изменено пользователем bokl

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Совсем у меня что-то ничего не выходит.

Решил настроить полисинг, так оно не фурычит. трафик не шейпится.

В чем дело никак не пойму....

 

class-map type traffic match-any media
match access-group input 197
match access-group output 197
!
policy-map type service media
service local
ip access-group 197 in
ip access-group 197 out
1 class type traffic media
  police input 64000 12000 24000
  police output 64000 12000 24000
!
!
policy-map type control test
class type control always event session-start
  2 service-policy type service name media
  3 authorize aaa password cisco identifier authenticated-username
!
class type control always event service-stop
  1 service-policy type service unapply identifier service-name
  2 service-policy type service unapply identifier service-name
!
!
Current Subscriber Information: Total sessions 1
--------------------------------------------------
Unique Session ID: 56
Identifier: isg_test_isg
SIP subscriber access type(s): PPPoE/PPP
Current SIP options: Req Fwding/Req Fwded
Session Up-time: 00:02:14, Last Changed: 00:02:14
Interface: Virtual-Access1.1

Policy information:
  Authentication status: authen
  Active services associated with session:
    name "media", applied before account logon
  Rules, actions and conditions executed:
    subscriber rule-map test
      condition always event session-start
        2 service-policy type service name media
        3 authorize identifier authenticated-username

Session inbound features:
Traffic classes:
  Traffic class session ID: 57
   ACL Name: 197, Packets = 174, Bytes = 13502
Unmatched Packets = 4579, Re-classified packets (redirected) = 0

Session outbound features:
Traffic classes:
  Traffic class session ID: 57
   ACL Name: 197, Packets = 310, Bytes = 410214
Unmatched Packets = 8200, Re-classified packets (redirected) = 0

Non-datapath features:
Feature: IP Config
  Peer IP Address: 10.13.0.1 (F/F)
  Address Pool: [None] (F)
  Unnumbered Intf: [None]
Configuration sources associated with this session:
Service: media, Active Time = 00:02:14
Interface: Virtual-Template1, Active Time = 00:02:14

--------------------------------------------------
Unique Session ID: 57
Identifier: 
SIP subscriber access type(s): Traffic-Class
Current SIP options: None
Session Up-time: 00:02:14, Last Changed: 00:02:14

Policy information:
  Authentication status: unauthen

Session inbound features:
Feature: Access lists
  Active IP access list:
  197
Feature: Policing
Upstream Params: 
Average rate = 64000, Normal burst = 12000, Excess burst = 24000
Config level = Service Profile

Session outbound features:
Feature: Access lists
  Active IP access list:
  197
Feature: Policing
Dnstream Params: 
Average rate = 64000, Normal burst = 12000, Excess burst = 24000
Config level = Service Profile

Configuration sources associated with this session:
Service: media, Active Time = 00:02:14

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что за access-list 197? Что в нем?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что за access-list 197? Что в нем?

Extended IP access list 197 (Compiled)

10 permit tcp any any eq www (4576 matches)

20 permit tcp any eq www any (6030 matches)

40 permit ip any any (90 matches)

50 deny ip any any

 

странно то, что как только на клиенте пытаюсь что-то открыть, циска сразу умирает. Хотя не перезагружвается(brass-isg-test uptime is 5 days, 22 hours, 49 minutes)

такое ощущение что просто виснет и на пинги не отвечает пару минут.

 

brass-isg-test#show version

Cisco IOS Software, 7200 Software (C7200-ADVIPSERVICESK9-M), Version 12.2(33)SRE1, RELEASE SOFTWARE (fc2)

Technical Support: http://www.cisco.com/techsupport

Copyright © 1986-2010 by Cisco Systems, Inc.

Compiled Mon 29-Mar-10 14:54 by prod_rel_team

 

ROM: System Bootstrap, Version 12.2(4r)B2, RELEASE SOFTWARE (fc2)

 

brass-isg-test uptime is 5 days, 22 hours, 49 minutes

System returned to ROM by power-on

System image file is "disk0:c7200-advipservicesk9-mz.122-33.SRE1.bin"

Last reload type: Normal Reload

 

A summary of U.S. laws governing Cisco cryptographic products may be found at:

http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

 

If you require further assistance please contact us by sending email to

export@cisco.com.

 

Cisco 7204VXR (NPE400) processor (revision A) with 491520K/32768K bytes of memory.

Processor board ID 30928946

R7000 CPU at 350MHz, Implementation 39, Rev 3.3, 256KB L2 Cache

4 slot VXR midplane, Version 2.7

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вдруг зависания прекратились и полисинг стал работать.

совсем ничего не понимаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вообщем разобрался я с сервисами на циске, завел теперь сервисы на радиусе.

получаю:

*Feb 9 21:06:13.724: RADIUS: Received from id 1645/135 192.168.121.18:1812, Access-Accept, len 260

*Feb 9 21:06:13.724: RADIUS: authenticator 09 07 27 E7 BE 85 68 6A - DF DE 51 7A 43 B3 2C 71

*Feb 9 21:06:13.724: RADIUS: Vendor, Cisco [26] 55

*Feb 9 21:06:13.724: RADIUS: Cisco AVpair [1] 49 "traffic-class=input access-group 198 priority 1"

*Feb 9 21:06:13.724: RADIUS: Vendor, Cisco [26] 56

*Feb 9 21:06:13.724: RADIUS: Cisco AVpair [1] 50 "traffic-class=output access-group 198 priority 1"

*Feb 9 21:06:13.724: RADIUS: Vendor, Cisco [26] 41

*Feb 9 21:06:13.724: RADIUS: Cisco AVpair [1] 35 "ip:traffic-class=out default drop"

*Feb 9 21:06:13.724: RADIUS: Vendor, Cisco [26] 40

*Feb 9 21:06:13.724: RADIUS: Cisco AVpair [1] 34 "ip:traffic-class=in default drop"

*Feb 9 21:06:13.724: RADIUS: Vendor, Cisco [26] 48

*Feb 9 21:06:13.724: RADIUS: ssg-account-info [250] 42 "QU;64000;12000;24000;D;64000;12000;24000"

 

 

в итоге аксесслисты навешиваются, а ssg-account-info [250] 42 "QU;64000;12000;24000;D;64000;12000;24000" не работает. трафик не шейпится.

профайл такой:

FTP Password == "cisco"

Cisco-AVpair += "traffic-class=input access-group 198 priority 1",

Cisco-AVpair += "traffic-class=output access-group 198 priority 1",

Cisco-AVPair += "ip:traffic-class=out default drop",

Cisco-AVPair += "ip:traffic-class=in default drop",

Cisco-Account-Info += "QU;64000;12000;24000;D;64000;12000;24000",

 

может как-то подругому надо?

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в итоге аксесслисты навешиваются, а ssg-account-info [250] 42 "QU;64000;12000;24000;D;64000;12000;24000" не работает. трафик не шейпится.

профайл такой:

FTP Password == "cisco"

Cisco-AVpair += "traffic-class=input access-group 198 priority 1",

Cisco-AVpair += "traffic-class=output access-group 198 priority 1",

Cisco-AVPair += "ip:traffic-class=out default drop",

Cisco-AVPair += "ip:traffic-class=in default drop",

Cisco-Account-Info += "QU;64000;12000;24000;D;64000;12000;24000",

 

может как-то подругому надо?

Cisco-Service-Info

 

в итоге аксесслисты навешиваются, а ssg-account-info [250] 42 "QU;64000;12000;24000;D;64000;12000;24000" не работает. трафик не шейпится.

профайл такой:

FTP Password == "cisco"

Cisco-AVpair += "traffic-class=input access-group 198 priority 1",

Cisco-AVpair += "traffic-class=output access-group 198 priority 1",

Cisco-AVPair += "ip:traffic-class=out default drop",

Cisco-AVPair += "ip:traffic-class=in default drop",

Cisco-Account-Info += "QU;64000;12000;24000;D;64000;12000;24000",

 

может как-то подругому надо?

Cisco-Service-Info

Ой, сорри - не заметил что речь о 7200 - я думал про ASR - хотя попробуйте, может поможет на самом деле вместо Cisco-Account-Info надо Cisco-Service-Info

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ребят, возникли некоторые вопросы с которыми сейчас пытаюсь разобраться.

 

1. Возможно ли снимать акаунтинг с разными интервалами для разных сервисов?

 

2. Возможно ли передавать циске от радиуса профиль с параметрами. Чтобы можно например профиль интернета сделать один,

а скорость доступа подставлялась в зависимости от параметра.

 

 

Если у кого есть что сказать, буду благодарен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ребят, возникли некоторые вопросы с которыми сейчас пытаюсь разобраться.

 

1. Возможно ли снимать акаунтинг с разными интервалами для разных сервисов?

 

2. Возможно ли передавать циске от радиуса профиль с параметрами. Чтобы можно например профиль интернета сделать один,

а скорость доступа подставлялась в зависимости от параметра.

 

 

Если у кого есть что сказать, буду благодарен.

1) хз, тоже инетерсно

2) я сделал вот так

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. Возможно ли снимать акаунтинг с разными интервалами для разных сервисов?

В RADIUS профиле сервиса можно отдавать:

Acct-Interim-Interval=300 и cisco-avpair=subscriber:accounting-list=AAALIST соответственно аккаунтинг для каждого сервиса можно включать с определенным интервалом

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В RADIUS профиле сервиса можно отдавать:

Acct-Interim-Interval=300 и cisco-avpair=subscriber:accounting-list=AAALIST соответственно аккаунтинг для каждого сервиса можно включать с определенным интервалом

И что, у кого-то работает? У меня в этом случае все сервисы отдают с одним и тем же интервалом равным переданному в последний прогруженный сервис.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ребят, вообщем я сподобился вот на такую конфигурацию на циске.

 

class-map type traffic match-any TC_INET_NIGHT
match access-group output name TCL_INET_NIGHT_OUT
match access-group input name TCL_INET_NIGHT_IN
!
class-map type traffic match-any TC_INET
match access-group output name TCL_INET_OUT
match access-group input name TCL_INET_IN
!
class-map type traffic match-any TC_LOCAL
match access-group output name TCL_LOCAL_OUT
match access-group input name TCL_LOCAL_IN
!
class-map type traffic match-any TC_MEDIA
match access-group output name TCL_MEDIA_OUT
match access-group input name TCL_MEDIA_IN
!
policy-map type service SRV_INET
class type traffic TC_INET
  police input 10000 10000 1000
  police output 10000 10000 1000
!
!
policy-map type service SRV_INET_NIGHT
class type traffic TC_INET_NIGHT
  police input 20000 20000 1000
  police output 20000 20000 1000
!
!
policy-map type service SRV_MEDIA
class type traffic TC_MEDIA
!
!
policy-map type service SRV_LOCAL
class type traffic TC_LOCAL
!
!
policy-map type control PCM
class type control always event session-start
  1 service-policy type service name SRV_MEDIA
  2 service-policy type service name SRV_LOCAL
  3 service-policy type service name SRV_INET_NIGHT
  4 service-policy type service name SRV_INET
!
class type control always event service-stop
  1 service-policy type service unapply identifier service-name
  2 service-policy type service unapply identifier service-name
  3 service-policy type service unapply identifier service-name
  4 service-policy type service unapply identifier service-name
!
!

 

Как я предполагаю трафик будет полиситься в следующем порядке:

1. Медиа

2. Локал

3. Ночной(использую тайм рэйндж ацл).

4. Интернет.

 

и получится разная скорость соответственно на медиа/локал/инет ночной/инет обычный.

Я прав?

 

теперь хотелось бы её передавать через радиус.

 

Какие AV пары нужно передавать? например каким образом задать порядковый номер сервиса в списке?

 

 

Спасибо.

 

 

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.