survivor Опубликовано 14 мая, 2012 · Жалоба StSphinx ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bushi Опубликовано 25 июня, 2012 · Жалоба Почему-то нет аккаунтинга родительской сессии, аккаунты от сервисов приходят, а родительской сессии нет. Что я делаю не так? aaa authorization network BILLAUTH group BILLINGROUP aaa authorization subscriber-service default group SERVICEGROUP aaa accounting delay-start all aaa accounting update periodic 10 aaa accounting network default action-type start-stop group BILLINGROUP aaa accounting network BILLACC action-type start-stop group BILLINGROUP policy-map type control DHCPSubsrcibers class type control ISG-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event session-start 30 authorize aaa list BILLAUTH password 123 identifier mac-address ! class type control always event session-restart 30 authorize aaa list BILLAUTH password 123 identifier mac-address radius-server attribute 44 include-in-access-req radius-server attribute 8 include-in-access-req radius-server attribute 32 include-in-access-req radius-server attribute 32 include-in-accounting-req radius-server attribute 55 include-in-acct-req radius-server attribute 55 access-request include radius-server attribute 25 access-request include radius-server attribute nas-port format e VVVVVVVVVVVVVVVVQQQQQQQQQQQQQQQQ radius-server attribute 31 mac format ietf radius-server vsa send cisco-nas-port radius-server vsa send accounting radius-server vsa send authentication Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bushi Опубликовано 25 июня, 2012 · Жалоба Все разобрался, забыл выдать атрибут Cisco-AVPair = "accounting-list=BILLACC" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vanishox Опубликовано 16 августа, 2012 · Жалоба Ребят, помогите пожалуйста: 1. Поднимаю все тоже многострадальное PPPoE + ISG на ASR 1002. Для начала решил проверить как отдает freeradius сервисы на ASR1002. 2. Завел в радиусе тестового юзера: - User3 Cisco-Account-Info = A1Mb 3. Завел на ASR аксесс листы, ТС, локально описал сервис 1Mb: Extended IP access list 101 10 permit ip any any class-map type traffic match-any ALLTRAFF match access-group output 101 match access-group input 101 policy-map type service 1Mb class type traffic ALLTRAFF police input 1000000 250000 250000 police output 1000000 250000 250000 4. Секция ааа: aaa group server radius MY_RADIUS server 10.10.10.10 auth-port 1812 acct-port 1813 ip radius source-interface Loopback0 aaa authentication ppp PPPOE group MY_RADIUS aaa authorization network PPPOE group MY_RADIUS aaa authorization subscriber-service default local ------------ хочу брать сервис локально с ASR aaa accounting update newinfo periodic 5 aaa accounting network PPPOE start-stop group MY_RADIUS aaa nas port extended aaa session-id common aaa policy interface-config allow-subinterface 4. ASR получает сервис от радиуса, но почему-то не применяет его: Кусок логов ASR: *Aug 15 11:08:00.371: RADIUS(0000016E): Started 5 sec timeout *Aug 15 11:08:00.373: RADIUS: Received from id 1645/158 83.167.65.183:1812, Access-Accept, len 38 *Aug 15 11:08:00.373: RADIUS: authenticator A6 3F 84 90 34 7E 0E 0E - 33 15 54 BC 56 E8 C1 1F *Aug 15 11:08:00.373: RADIUS: Framed-Protocol [7] 6 PPP [1] *Aug 15 11:08:00.373: RADIUS: Vendor, Cisco [26] 12 *Aug 15 11:08:00.373: RADIUS: ssg-account-info [250] 6 "A1Mb" *Aug 15 11:08:00.374: RADIUS(0000016E): Received from id 1645/158 *Aug 15 11:08:00.374: ppp286 PPP: Received LOGIN Response PASS *Aug 15 11:08:00.374: ppp286 PPP: Phase is FORWARDING, Attempting Forward *Aug 15 11:08:00.378: AAA/BIND(0000016E): Bind i/f Virtual-Access2.1 *Aug 15 11:08:00.378: Vi2.1 PPP: Phase is AUTHENTICATING, Authenticated User *Aug 15 11:08:00.378: Vi2.1 CHAP: O SUCCESS id 1 len 4 *Aug 15 11:08:00.378: [286]PPPoE 260: O contiguous pak, size 6 C2 23 03 01 00 04 *Aug 15 11:08:00.379: Vi2.1 PPP: Phase is UP *Aug 15 11:08:00.379: Vi2.1 IPCP: Protocol configured, start CP. state[initial] *Aug 15 11:08:00.379: Vi2.1 IPCP: Event[OPEN] State[initial to Starting] *Aug 15 11:08:00.379: Vi2.1 IPCP: O CONFREQ [starting] id 1 len 10 *Aug 15 11:08:00.379: Vi2.1 IPCP: Address 83.167.87.62 (0x030653A7573E) *Aug 15 11:08:00.379: [286]PPPoE 260: O ASR-PPPoE#sh subscriber service %No active services 5. На вскидку завел control policy на virtual-template: policy-map type control cpp class type control always event session-start 1 service-policy type service name 1Mb и interface Virtual-Template1 ip unnumbered Loopback0 no logging event link-status peer default ip address pool users keepalive 60 ppp authentication chap PPPOE ppp accounting PPPOE service-policy type control cpp end Сервис применяется, скорость режется. Все нормально: ASR-PPPoE#sh subscriber service Service "1Mb": Version 1: SVM ID : 8F000065 Child ID : 7B000066 Locked by : SVM-Printer [1] Locked by : PM-Service [1] Locked by : PM-Info [1] Locked by : FM-Bind [1] Locked by : TC-Child [1] Profile : 4354CD80 Profile name: 1Mb, 3 references password <hidden> username "1Mb" traffic-class "input access-group 101" traffic-class "output access-group 101" ssg-service-info "QU;1000000;250000;250000;D;1000000;250000;250000" Feature : TC Feature IDB type : Sub-if or not required Feature Data : 28 bytes: : 000000 00 00 7B 00 00 66 00 00 ..{..f.. : 000008 00 00 00 00 00 00 30 2A ......0* : 000010 67 00 00 00 00 00 00 00 g....... : 000018 00 00 43 46 ..cf Version 1: SVM ID : 7B000066 Parent ID : 8F000065 Locked by : SVM-Printer [1] Locked by : FM-Bind [1] Locked by : SM-SIP-Apply [1] Locked by : TC-Parent [1] Подскажите - что я делаю не так? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lcgc Опубликовано 2 сентября, 2016 · Жалоба у нас ограничение скорости накладывается вот так на ASR-1001 в конфиге: ! policy-map 10M class class-default police 10240000 1920000 3840000 conform-action transmit exceed-action drop policy-map 20M class class-default police 20480000 3840000 7680000 conform-action transmit exceed-action drop policy-map 50M class class-default police 52428500 9830400 19660800 conform-action transmit exceed-action drop ! а в биллинге у тарифного плана указано: Cisco-AVpair+="ip:sub-qos-policy-in=20M" Cisco-AVpair+="ip:sub-qos-policy-out=20M" и т.д. а вот L4Redirect не работал оказалось, не хватало aaa authorization network INET local group radius if-authenticated Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kartashevav Опубликовано 29 сентября, 2017 · Жалоба Коллеги, апну тему, вопрос такой сейчас asr1001-x термирует рррое абонентов без isg, шейп выдает билинг простым атрибутом ssg-account-info Возникла необходимость дифференцировать шейп на внутренние и внешние ресурсы, это можно сделать без внедрения isg ? просто передав, например, имя политики, в которой разным классам разный шейп или это мои фантазии? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kartashevav Опубликовано 29 сентября, 2017 · Жалоба Коллеги, может кому пригодится, все получилось через Cisco AVpair sub-qos-policy-out/in создали две политики на вход и на выход ip access-list extended LAN_in permit ip any x.x.0.0 0.0.0.255 class-map match-all LAN-servers-in match access-group name LAN_in policy-map pol-LAN-in class LAN-servers-in police 71680000 5120000 10240000 conform-action transmit exceed-action drop violate-action drop class class-default police 3072000 840000 980000 conform-action transmit exceed-action drop violate-action drop ip access-list extended LAN_out permit ip x.x.0.0 0.0.0.255 any class-map match-all LAN-servers-out match access-group name LAN_out policy-map pol-LAN-out class LAN-servers-out police 71680000 5120000 10240000 conform-action transmit exceed-action drop violate-action drop class class-default police 3072000 840000 980000 conform-action transmit exceed-action drop violate-action drop и передали их двумя атрибутами на сессию RADIUS: Vendor, Cisco [26] 31 RADIUS: Cisco AVpair [1] 25 "sub-qos-policy-out=pol-LAN-out" RADIUS: Vendor, Cisco [26] 34 RADIUS: Cisco AVpair [1] 28 "sub-qos-policy-in=pol-LAN-in" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 30 сентября, 2017 · Жалоба 18 часов назад, kartashevav сказал: Коллеги, может кому пригодится, все получилось через Cisco AVpair sub-qos-policy-out/in создали две политики на вход и на выход и передали их двумя атрибутами на сессию RADIUS: Vendor, Cisco [26] 31 RADIUS: Cisco AVpair [1] 25 "sub-qos-policy-out=pol-LAN-out" RADIUS: Vendor, Cisco [26] 34 RADIUS: Cisco AVpair [1] 28 "sub-qos-policy-in=pol-LAN-in" Ну для меня не новость, на 7206 радиусом из utm и передаю полиси-нейм. Только полисей у меня поболее, в результате конфиг неимоверно вырос :) Достаточно гибко, можно клиенту прямо из биллинга скорость повысить(поменяв ему радиус-атрибуты в тарифе). Правда требуется рестарт pptp-сессии. Полиси можно писать достаточно заковыристые, с разделениями типа трафика, локальный, глобальный, хитрый... Давно растёт, причем применяется прямо на сессии клиента, описано в template. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...