joesm Posted May 12, 2011 Posted May 12, 2011 Есть в наличии BRAS Ericsson SE600. Терминирует РРРоЕ клиентов. Задача учет трафика RADIUS-ом по предопределенным зонам. На Cisco ESR/ASR решается через ISG и нормально работает. В документации сходу решения не нашел. У кого есть опыт, подскажите, как это можно сделать на SE600. Вставить ник Quote
macharius Posted May 12, 2011 Posted May 12, 2011 вот пример минимальный, который вы можете развить в зависимости от ваших потребностей. Данный пример считает отдельно внешний трафик ! context local ! ! interface sbus001 multibind ip address 155.53.0.1/16 ip pool 155.53.0.0/16 ! ! policy access-list sub-traffic-in seq 10 permit ip any 10.10.10.0 0.0.0.255 class internal seq 20 permit ip any 155.53.0.0 0.0.255.255 class internal seq 30 permit ip any any class external ! policy access-list sub-traffic-out seq 10 permit ip 10.10.10.0 0.0.0.255 any class internal seq 20 permit ip 155.53.0.0 0.0.255.255 any class internal seq 30 permit ip any any class external ! subscriber default qos policy policing default-in qos policy metering default-out ! radius service profile rse-svc-external parameter value Rate 128 parameter value Burst 24000 accounting in qos external accounting out qos external seq 10 attribute Dynamic-Policy-Filter "ip in forward class external qos" seq 20 attribute Dynamic-Policy-Filter "ip out forward class external qos" seq 30 attribute Dynamic-Qos-Parameter "meter-class-rate external rate-absolute $Rate" seq 40 attribute Dynamic-Qos-Parameter "meter-class-burst external $Burst" seq 50 attribute Dynamic-Qos-Parameter "police-class-rate external rate-absolute $Rate" seq 60 attribute Dynamic-Qos-Parameter "police-class-burst external $Burst" seq 70 attribute Service-Interim-Accounting 1800 ! ! ! ** End Context ** ! qos policy default-in policing radius-guided access-group sub-traffic-in local class internal class external rate 128 burst 24000 ! qos policy default-out metering radius-guided access-group sub-traffic-out local class internal class external rate 128 burst 24000 ! пример учетки в freeradius, которая навесит этот RSE профиль, а также даст трафику external ограничение по скорости в 2М edenmik@local Password = "Redback" Framed-IP-Address = 255.255.255.254, Service-Name:1 += "rse-svc-external", Service-Action:1 += 1, Service-Parameter:1 += "Rate=2000 Burst=250000" Вставить ник Quote
joesm Posted May 13, 2011 Author Posted May 13, 2011 FreeRADIUS не запускается с ошибкой неизвестен аттрибут Service-Action. В словаре redback такой аттрибут действительно отсутствует и в документации по Ericsson его нет. В итоге РРРоЕ сессия не создается. May 13 10:13:14: [0001]: [1/3:1023:63/1/2/17]: %AAA-7-EXCEPT: aaa_idx 1000004e: aaa_svc_proc_activate: service validation error May 13 10:13:14: [0001]: [1/3:1023:63/1/2/17]: %AAA-7-EXCEPT: aaa_idx 1000004e: aaa_svc_proc: Process service activate error 51 May 13 10:13:14: [0001]: [1/3:1023:63/1/2/17]: %AAA-7-EXCEPT: aaa_idx 1000004e: aaa_process_session_up: svc attr processing failed for subscriber testuser Вставить ник Quote
macharius Posted May 13, 2011 Posted May 13, 2011 этот атрибут в документации называется Service-Options - номер 191. Т.е. Service-Options и Service-Action это одно и тоже, я указал в примере Service-Action потому что обычно он имеет такое название в словаре freeradius. Вставить ник Quote
joesm Posted May 13, 2011 Author Posted May 13, 2011 Теперь сессия устанавливается, но завершается через несколько секунд. May 13 11:18:59: %AAA-7-RAD_ATTR: rad_attr_parse_svc_attr: Service attribute 190 with tag 32 parser status success May 13 11:18:59: %AAA-7-RAD_ATTR: rad_parse_vsa: Receive Redback attr 190 (Servi ce_Name), tag = 32, status = success May 13 11:18:59: %AAA-7-RAD_ATTR: val=rse1 (4) May 13 11:18:59: %AAA-7-RAD_ATTR: rad_attr_parse_svc_attr: Service options 0x1 May 13 11:18:59: %AAA-7-RAD_ATTR: rad_attr_add_svc_attrs_tlv: Service attribute 191 add to list with tag 32 status success ec 1 May 13 11:18:59: %AAA-7-RAD_ATTR: rad_attr_parse_svc_attr: Service attribute 191 with tag 32 parser status success May 13 11:18:59: %AAA-7-RAD_ATTR: rad_parse_vsa: Receive Redback attr 191 (Servi ce_Options), tag = 32, status = success May 13 11:18:59: %AAA-7-RAD_ATTR: val=00 00 00 01 (4) May 13 11:18:59: %AAA-7-RAD_ATTR: rad_attr_parse_svc_attr: Service parameter Rat e=2000 Burst=262144 May 13 11:18:59: %AAA-7-RAD_ATTR: rad_attr_add_svc_attrs_tlv: Service attribute 192 add to list with tag 32 status success ec 1 May 13 11:18:59: %AAA-7-RAD_ATTR: rad_attr_parse_svc_attr: Service attribute 192 with tag 32 parser status success May 13 11:18:59: %AAA-7-RAD_ATTR: rad_parse_vsa: Receive Redback attr 192 (Servi ce_Parameter), tag = 32, status = success May 13 11:18:59: %AAA-7-RAD_ATTR: val=Rate=2000 Burst=262144 (22) May 13 11:18:59: %AAA-7-RAD_ATTR: rad_dqp_parser: DQP - Argc: 4, Argv[0..1]: pol ice-class-rate external May 13 11:18:59: %AAA-7-RAD_ATTR: rad_dqp_parser: DQP Argv[2]: rate-absolute May 13 11:18:59: %AAA-7-RAD_ATTR: rad_dqp_parser: DQP Argv[3]: 2000 May 13 11:18:59: %AAA-7-RAD_ATTR: rad_dqp_parser: DQP - Argc: 3, Argv[0..1]: pol ice-class-rate external May 13 11:18:59: %AAA-7-RAD_ATTR: rad_dqp_parser: DQP Argv[2]: 262144 May 13 11:18:59: [0001]: [1/3:1023:63/1/2/17]: %AAA-7-EXCEPT: aaa_idx 10000065: aaa_svc_cre_tlv_attr: DQP parser status = Invalid Dynamic QoS Sub Parameter type May 13 11:18:59: [0001]: [1/3:1023:63/1/2/17]: %AAA-7-EXCEPT: aaa_idx 10000065: aaa_svc_proc_activate: service attr generation error May 13 11:18:59: [0001]: [1/3:1023:63/1/2/17]: %AAA-7-EXCEPT: aaa_idx 10000065: aaa_svc_proc: Process service activate error 54 May 13 11:18:59: [0001]: [1/3:1023:63/1/2/17]: %AAA-7-EXCEPT: aaa_idx 10000065: aaa_process_session_up: svc attr processing failed for subscriber testuser Вставить ник Quote
kostil Posted May 13, 2011 Posted May 13, 2011 (edited) можно посмотреть вот так debug aaa rad-packet а потом интересующий атрибут глянуть тут Edited May 13, 2011 by kostil Вставить ник Quote
joesm Posted May 13, 2011 Author Posted May 13, 2011 Убрал пока все параметры Dynamic-Qos-Parameter. Соединение есть, но нет трафика, даже сам Ericsson не пингуется. Вставить ник Quote
macharius Posted May 13, 2011 Posted May 13, 2011 покажите ваш конфиг, плиз, а также конфигурацию учетной записи в радиусе. Вставить ник Quote
joesm Posted May 13, 2011 Author Posted May 13, 2011 (edited) Конфиг: interface subscr multibind ip address 10.15.1.1/16 ip pool 10.15.1.0/24 name main router ospf 1 fast-convergence area 0.0.0.11 interface juniper redistribute subscriber address policy access-list traf-in seq 10 permit ip any 10.0.0.0 0.0.255.255 class internal seq 20 permit ip any any class external ! policy access-list traf-out seq 10 permit ip 10.0.0.0 0.0.255.255 any class internal seq 20 permit ip any any class external aaa authentication administrator local aaa authentication subscriber radius local aaa accounting subscriber radius aaa update subscriber 10 radius accounting server xxx.xxx.xxx.xxx encrypted-key xxxxxxxxxxxx radius server xxx.xxx.xxx.xxx encrypted-key xxxxxxxxxxxx radius max-retries 3 radius attribute nas-ip-address interface juniper radius attribute acct-session-id access-request radius attribute nas-port format session-info radius attribute acct-delay-time radius attribute vendor-specific Redback mac-address separator - subscriber default qos policy policing default-in qos policy metering default-out radius service profile rse1 parameter value Rate 512 parameter value Burst 65535 accounting in qos external accounting out qos external seq 10 attribute Dynamic-Policy-Filter "ip in forward class external qos" seq 20 attribute Dynamic-Policy-Filter "ip out forward class external qos" seq 30 attribute Dynamic-Qos-Parameter "police-class-rate external rate-absolute $Rate" seq 40 attribute Dynamic-Qos-Parameter "police-class-rate external $Burst" seq 50 attribute Dynamic-Qos-Parameter "meter-class-rate external rate-absolute $Rate" seq 60 attribute Dynamic-Qos-Parameter "meter-class-rate external $Burst" seq 70 attribute Service-Interim-Accounting 1200 radius service profile rse2 accounting in qos external accounting out qos external seq 10 attribute Service-Interim-Accounting 1200 seq 20 attribute Dynamic-Policy-Filter "ip out forward class external qos" seq 30 attribute Dynamic-Policy-Filter "ip in forward class external qos" ! ip route 0.0.0.0/0 xxx.xxx.xxx.xxx ! ** End Context ** logging tdm console logging active logging standby short os policy default-in policing radius-guided access-group traf-in local class internal class external rate 128 burst 24000 ! qos policy default-out metering radius-guided access-group traf-out local class internal class external rate 128 burst 24000 ! card 10ge-4-port 1 ! port ethernet 1/1 no shutdown bind interface juniper local ! port ethernet 1/3 no shutdown encapsulation dot1q dot1q pvc 4011 encapsulation pppoe bind authentication chap context local maximum 8000 dot1q pvc 4012 encapsulation pppoe bind authentication chap context local maximum 8000 Описание учетки в RADIUS testuser Cleartext-Password :="test" Service-Type = Framed-User, Framed-Protocol = PPP, Ip_Address_Pool_Name = "main", Service-Name:1 += "rse2", Service-Options:1 += 1 Edited May 13, 2011 by joesm Вставить ник Quote
joesm Posted May 13, 2011 Author Posted May 13, 2011 (edited) Разобрался. Спасибо. Edited May 13, 2011 by joesm Вставить ник Quote
joesm Posted May 13, 2011 Author Posted May 13, 2011 (edited) Можно навесить на клиента несколько профилей одновременно? Есть необходимость считать отдельно внешний и локальный трафик. В текущей конфигурации приходят 2 account-пакета общий по сессии и по сервису из профиля, в котором учитывается внешний трафик. Необходим еще один пакет с локальным трафиком. Повесить одновременно два профиля через RADIUS не получается. May 13 14:27:50: %AAA-7-RAD_ATTR: rad_attr_add_svc_attrs_tlv: Service attribute 190 add to list with tag 32 status Duplicate tag received ec 1 May 13 14:27:50: %AAA-7-RAD_ATTR: rad_attr_parse_svc_attr: Service attribute 190 with tag 32 parser status unable to add svc attr to TLV list May 13 14:27:50: %AAA-7-RAD_ATTR: rad_parse_vsa: Receive Redback attr 190 (Servi ce_Name), tag = 32, status = invalid radius request Edited May 13, 2011 by joesm Вставить ник Quote
macharius Posted May 13, 2011 Posted May 13, 2011 естественно можно, в этом вся идея и заключается, например вот так: edenmik@local Password = "Redback" Framed-IP-Address = 255.255.255.254, Service-Name:1 += "rse-svc-external", Service-Action:1 += 1, Service-Parameter:1 += "Rate=2000 Burst=250000" Service-Name:2 += "rse-svc-internal", Service-Action:2 += 1 P.S. Укажите эти атрибуты в словаре как tagged. Вставить ник Quote
joesm Posted May 13, 2011 Author Posted May 13, 2011 (edited) Спасибо. Это помогло. Есть возможность отправлять account-пакеты от сервисов и общий пакет на разные RADIUS-сервера? Edited May 13, 2011 by joesm Вставить ник Quote
macharius Posted May 13, 2011 Posted May 13, 2011 (edited) Можно иметь несколько acct серверов, но раскидывать session-acct и service-acct по разным серверам нельзя. Edited May 13, 2011 by macharius Вставить ник Quote
joesm Posted May 13, 2011 Author Posted May 13, 2011 Жаль. Есть возможность в профиле указать несколько классов трафика? Команда accounting в подсказке указывает,что можно указать до 8 классов, но по факту дает указать только один. Вставить ник Quote
macharius Posted May 13, 2011 Posted May 13, 2011 я так понял, что вы хотите иметь сервис, который привязан к нескольким классам? если да, то это выглядит приблизительно так radius service profile Nice-Service parameter value Rate 512 parameter value Burst 65535 accounting in qos "class1 class2" accounting out qos "class1 class2" seq 10 attribute Dynamic-Policy-Filter "ip in forward class class1 qos" seq 20 attribute Dynamic-Policy-Filter "ip out forward class class1 qos" seq 30 attribute Dynamic-Policy-Filter "ip in forward class class2 qos" seq 40 attribute Dynamic-Policy-Filter "ip out forward class class2 qos" ... Вставить ник Quote
joesm Posted May 13, 2011 Author Posted May 13, 2011 (edited) Да, именно так. Для чего нужен атрибут Dynamic-Policy-Filter? Edited May 13, 2011 by joesm Вставить ник Quote
macharius Posted May 13, 2011 Posted May 13, 2011 Dynamic-Policy-Filter (DPF), определяет откуда брать информацию по классу который подлежит учету, в нашем случае: qos, т.е. qos policy также источниками могут быть nat и fwd (nat или forward policy). Вставить ник Quote
mr.anatoly Posted May 14, 2011 Posted May 14, 2011 могу добавить, что увлечься раздуванием RSE не получится - существует ограничение на количество передаваемых динамически атрибутов Вставить ник Quote
joesm Posted May 14, 2011 Author Posted May 14, 2011 В таком случае вопрос как лучше организовать ограничение полосы клиента. Задача следующая: необходимо ограничевать по трем разнмх классам трафика локальный, внешний дневной и внешний ночной. Также необходимо учитывать трафик с двух зон: локальный и внешний. СоА не используются. Из первого знакомства с SE600 видно два варианта: 1. создать два rse профиля локальный и внешний для accounting и в них же настроить политики по скорости, при этом в профиле для внешнего трафика завести два класса: ночной и дневной. 2. Профили использовать только для accounting определив 2 профиля: локальный и внешний, а политики навешивать отдельно используя другие RADIUS-атрибуты (87, 88). Какой из вариантов более оптимален? Вставить ник Quote
macharius Posted May 14, 2011 Posted May 14, 2011 (edited) to joesm Вот реализация вашей задачи: три класса, два сервиса, переключение скокрости для внешнего на день и ночь происходит автоматом без СоА ! context local ! policy access-list acl-classess-in condition 1 time-range periodic weekend weekdays 00:00 to 08:00 class cls-Night seq 10 permit ip any 10.0.0.0 0.0.255.255 class cls-Local seq 20 permit ip any any class cls-Day condition 1 ! policy access-list acl-classess-out condition 1 time-range periodic weekend weekdays 00:00 to 08:00 class cls-Night seq 10 permit ip 10.0.0.0 0.0.255.255 any class cls-Local seq 20 permit ip any any class cls-Day condition 1 ! ! radius service profile RSE-BASIC-LOCAL parameter value Rate-Local 1000 parameter value Burst-Local 125000 parameter value ExBurst-Local 250000 accounting in qos cls-Local accounting out qos cls-Local seq 10 attribute Dynamic-Policy-Filter "ip in forward class cls-Local qos" seq 20 attribute Dynamic-Policy-Filter "ip out forward class cls-Local qos" seq 30 attribute Dynamic-Qos-Parameter "meter-class-rate cls-Local rate-absolute $Rate-Local" seq 40 attribute Dynamic-Qos-Parameter "meter-class-burst cls-Local $Burst-Local" seq 50 attribute Dynamic-Qos-Parameter "meter-class-excess-burst cls-Local $ExBurst-Local" seq 60 attribute Dynamic-Qos-Parameter "police-class-rate cls-Local rate-absolute $Rate-Local" seq 70 attribute Dynamic-Qos-Parameter "police-class-burst cls-Local $Burst-Local" seq 80 attribute Dynamic-Qos-Parameter "police-class-excess-burst cls-Local $ExBurst-Local" seq 90 attribute Service-Interim-Accounting 1200 ! radius service profile RSE-TIME-BASED-INET parameter value Rate-Day 1000 parameter value Burst-Day 125000 parameter value ExBurst-Day 250000 parameter value Rate-Night 1000 parameter value Burst-Night 125000 parameter value ExBurst-Night 25000 accounting in qos "cls-Day cls-Night" accounting out qos "cls-Day cls-Night" seq 10 attribute Dynamic-Policy-Filter "ip in forward class cls-Day qos" seq 20 attribute Dynamic-Policy-Filter "ip out forward class cls-Day qos" seq 30 attribute Dynamic-Policy-Filter "ip in forward class cls-Night qos" seq 40 attribute Dynamic-Policy-Filter "ip out forward class cls-Night qos" seq 50 attribute Dynamic-Qos-Parameter "meter-class-rate cls-Day rate-absolute $Rate-Day" seq 60 attribute Dynamic-Qos-Parameter "meter-class-burst cls-Day $Burst-Day" seq 70 attribute Dynamic-Qos-Parameter "meter-class-excess-burst cls-Day $ExBurst-Day" seq 80 attribute Dynamic-Qos-Parameter "police-class-rate cls-Day rate-absolute $Rate-Day" seq 90 attribute Dynamic-Qos-Parameter "police-class-burst cls-Day $Burst-Day" seq 100 attribute Dynamic-Qos-Parameter "police-class-excess-burst cls-Day $ExBurst-Day" seq 110 attribute Dynamic-Qos-Parameter "meter-class-rate cls-Night rate-absolute $Rate-Night" seq 120 attribute Dynamic-Qos-Parameter "meter-class-burst cls-Night $Burst-Night" seq 130 attribute Dynamic-Qos-Parameter "meter-class-excess-burst cls-Night $ExBurst-Night" seq 140 attribute Dynamic-Qos-Parameter "police-class-rate cls-Night rate-absolute $Rate-Night" seq 150 attribute Dynamic-Qos-Parameter "police-class-burst cls-Night $Burst-Night" seq 160 attribute Dynamic-Qos-Parameter "police-class-excess-burst cls-Night $ExBurst-Night" seq 170 attribute Service-Interim-Accounting 1200 ! ! ** End Context ** ! qos policy default-in policing radius-guided access-group acl-classess-in local class cls-Local rate 1000 burst 125000 excess-burst 250000 class cls-Day rate 1000 burst 125000 excess-burst 250000 class cls-Night rate 1000 burst 125000 excess-burst 250000 rate-calculation exclude layer-2-overhead ! qos policy default-out metering radius-guided access-group acl-classess-out local class cls-Local rate 1000 burst 125000 excess-burst 250000 class cls-Day rate 1000 burst 125000 excess-burst 250000 class cls-Night rate 1000 burst 125000 excess-burst 250000 rate-calculation exclude layer-2-overhead ! Пример учетной записи: локальный трафик 50М, дневной 5М, ночной 10М edenmik@local Password = "Redback" Framed-IP-Address = 255.255.255.254, Service-Name:1 += "RSE-BASIC-LOCAL", Service-Options:1 += 1, Service-Parameter:1 += "Rate-Local=50000, Burst-Local=6250000, ExBurst-Local=12500000", Service-Name:2 += "RSE-TIME-BASED-INET", Service-Options:2 += 1, Service-Parameter:2 += "Rate-Day=5000, Burst-Day=625000, ExBurst-Day=1250000, Rate-Night=10000, Burst-Night=1250000, ExBurst-Night=2500000" P.S. строчка seq 20 ниже означает, если condition 1 = true, то выражение соответсвует классу cls-Night, иначе cls-Day ! policy access-list acl-classess-in condition 1 time-range periodic weekend weekdays 00:00 to 08:00 class cls-Night seq 10 permit ip any 10.0.0.0 0.0.255.255 class cls-Local seq 20 permit ip any any class cls-Day condition 1 ! Edited May 14, 2011 by macharius Вставить ник Quote
joesm Posted May 14, 2011 Author Posted May 14, 2011 Как можно прописать условие для трех временных интервалов для одного acl? Например день, вечер, ночь. Использовать в одном acl два condition не дает. Вставить ник Quote
macharius Posted May 14, 2011 Posted May 14, 2011 (edited) попробуйте вот так ! policy access-list acl-classess-in condition 1 time-range periodic weekend weekdays 00:00 to 08:00 class cls-Night periodic weekend weekdays 08:01 to 18:00 class cls-Day seq 10 permit ip any 10.0.0.0 0.0.255.255 class cls-Local seq 20 permit ip any any class cls-Evening condition 1 ! Edited May 14, 2011 by macharius Вставить ник Quote
joesm Posted May 16, 2011 Author Posted May 16, 2011 Насколько я понимаю имена политик опеределяются в subscriber default профиле. Есть возможность для части rse профилей выбрать другие subscriber-профили и как это сделать? Вставить ник Quote
mr.anatoly Posted May 16, 2011 Posted May 16, 2011 тут можно пойти, как минимум, двумя путями: 1. создать несколько subscriber profile, в каждом профиле определить свою qos policy. имя профиля (VSA Sub-Profile-Name) передавать с радиуса при авторизации абонента. 2. применять политики через VSA Qos-Policy-Policing и Qos-Policy-Metering при авторизации абонента. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.