forum.bitel.ru :: Просмотр темы - Просьба поделиться конфигом Cisco IOS XE+ISG+DialupVPN 5.1

Для 1 Мбит/с посылаем в MPD атрибуты:

Код:

mpd-filter=1#1=match dst net xxx.yyy.zzz.0/28;
mpd-filter=2#1=match src net xxx.yyy.zzz.0/28;
mpd-filter=3#1=match dst net xxx.yyy.zzz.0/21;
mpd-filter=4#1=match src net xxx.yyy.zzz.0/21;
mpd-limit=in#1#srv=flt1 pass;
mpd-limit=in#2#lan=flt3 pass;
mpd-limit=in#3#net=all shape 1048576 196608 pass;
mpd-limit=out#1#srv=flt2 pass;
mpd-limit=out#2#lan=flt4 pass;
mpd-limit=out#3#net=all shape 1048576 196608 pass

Что в переводе на русский означает:
Трафик в сеть xxx.yyy.zzz.0/28 маркируется как "srv" ("mpd-filter=1" = "flt1" + "mpd-filter=2" = "flt2").
Трафик в сеть xxx.yyy.zzz.0/21 маркируется как "lan" ("mpd-filter=3" = "flt3" + "mpd-filter=4" = "flt4").
Весь остальной трафик маркируется как "net" (параметр "all").

В результате получаем аккаунтинг пакет примерно такого вида:

Код:

Type=ACCOUNTING_REQUEST
Attributes:
   ...
        Acct-Input-Octets=X
        Acct-Output-Octets=X
        Acct-Input-Packets=X
        Acct-Output-Packets=X
        Acct-Input-Gigawords=X
        Acct-Output-Gigawords=X
   ...
        mpd-output-packets=srv:Y
        mpd-output-packets=lan:Y
        mpd-output-packets=net:Y
        mpd-input-packets=srv:Y
        mpd-input-packets=lan:Y
        mpd-input-packets=net:Y
        mpd-input-octets=srv:Y
        mpd-input-octets=lan:Y
        mpd-input-octets=net:Y
        mpd-output-octets=srv:Y
        mpd-output-octets=lan:Y
        mpd-output-octets=net:Y

В котором помимо стандартных атрибутов с объемом трафика Х видим атрибуты вендора с объемами трафика Y.

В конфиге модуля это все разрисовано вот так:

Код:

# конфигурация услуг
# 1 - Время
# 2 - Трафик (входящий)
# 3 - Трафик (исходящий)
# 4 - Трафик служебный (входящий)
# 5 - Трафик служебный (исходящий)
# 6 - Трафик локальный (входящий)
# 7 - Трафик локальный (исходящий)
nas.port_time.default.*=1
nas.port_traffic.default.*=2:RAD(12341,10,net);3:RAD(12341,8,net);4:RAD(12341,10,srv);5:RAD(12341,8,srv);6:RAD(12341,10,lan);7:RAD(12341,8,lan)

В результате этого получаем значения для каждого из счетчиков трафика.

Если сделаете на циске посервисный аккаунтинг средствами ISG, то увидите почти то же самое, только атрибуты будут иначе называться

В чем профит? Прежде всего в том что аккаунтинг вообще можно считать только по стопу, т.к. в нем придет "итого" за всю сессию, т.е. Вы сами вольны решать с какой частотой Вам надо обсчитывать трафик и совершенно не заботится о том пришел netflow пакет до или после стопа, и с какой задержкой он пришел, а использовать netflow только для детализации, да и то если она у Вас не делается как-то иначе.

Автор:	Dmitri [ 25 ноя 2011, 19:45 ]
Заголовок сообщения:	Просьба поделиться конфигом Cisco IOS XE+ISG+DialupVPN 5.1
Соратники! Умаялся поднимать plain pppoe access на базе Cisco ASR 1004 RP2 на BG Billing 5.1, соответственно на базе модуля DialupVPN... Уже склонен считать что без INET - не обойтись... Может кто обладает рабочим конфигом сабжевой связки? Поделитесь пожалуйста...

Автор:	snark [ 28 ноя 2011, 21:54 ]
Заголовок сообщения:	Re: Просьба поделиться конфигом Cisco IOS XE+ISG+DialupVPN 5
Так а чего не заработало то? С чистым РРРоЕ как раз все просто, а вот когда начинается ISG и посервисный аккаунтинг - там, ЕМНИМС (несколько лет назад пробывал), есть небольшой гемор, но, в принципе, на кошкин-дом.ком все расписано.

Автор:	Dmitri [ 29 ноя 2011, 00:26 ]
Заголовок сообщения:	Re: Просьба поделиться конфигом Cisco IOS XE+ISG+DialupVPN 5
snark писал(а): Так а чего не заработало то? С чистым РРРоЕ как раз все просто, а вот когда начинается ISG и посервисный аккаунтинг - там, ЕМНИМС (несколько лет назад пробывал), есть небольшой гемор, но, в принципе, на кошкин-дом.ком все расписано. Плейн PPPoE - заработал. Тупил с названием vrf, в который помещал Vi-интерфейс... А вот дальше никак не могу сообразить, как лучше делать и с чего начинать: не то наделать сервисов на кошке и далее вызывать их по радиусу. Не то поднять отдельный радиус для авторизации сервисов... Короче - пока каша в голове. Пока с планом реализации никак не могу определиться, да и 5.1 у меня, без Inet...

Автор:	snark [ 01 дек 2011, 20:51 ]
Заголовок сообщения:	Re: Просьба поделиться конфигом Cisco IOS XE+ISG+DialupVPN 5
Dmitri писал(а): пока каша в голове Без отчетливо видимой цели к ней тяжело идти Я бы предложил Вам подымать сразу ISG с посервисным аккаунтингом, благо там IOS как раз под ISG и заточен, ЕМНИМС. Почему именно ISG? Оно даст посервисный аккаунтинг. Зачем посервисный аккаунтинг? Чтобы netflow использовать только ради детализации и не думать о то том что мог случится "упс!", netflow не (при\|до)шел и трафик не посчитался. Такой аккаунтинг и проще и удобнее, IMHO. Ах да, чуть не забыл - L4 редирект для неплательщиков сможете сделать

Автор:	Dmitri [ 09 дек 2011, 16:25 ]
Заголовок сообщения:	Re: Просьба поделиться конфигом Cisco IOS XE+ISG+DialupVPN 5
snark писал(а): Dmitri писал(а): пока каша в голове Без отчетливо видимой цели к ней тяжело идти Я бы предложил Вам подымать сразу ISG с посервисным аккаунтингом, благо там IOS как раз под ISG и заточен, ЕМНИМС. Почему именно ISG? Оно даст посервисный аккаунтинг. Зачем посервисный аккаунтинг? Чтобы netflow использовать только ради детализации и не думать о то том что мог случится "упс!", netflow не (при\|до)шел и трафик не посчитался. Такой аккаунтинг и проще и удобнее, IMHO. Ах да, чуть не забыл - L4 редирект для неплательщиков сможете сделать Посервисный аккаунтинг - особенно не требуется. Да и в 5.1 - он не реализуется, наколько я знаю.

forum.bitel.ru http://forum.bitel.ru/

Просьба поделиться конфигом Cisco IOS XE+ISG+DialupVPN 5.1 http://forum.bitel.ru/viewtopic.php?f=5&t=6161	Страница 1 из 1

Автор:	snark [ 09 дек 2011, 19:10 ]
Заголовок сообщения:	Re: Просьба поделиться конфигом Cisco IOS XE+ISG+DialupVPN 5
Я на MPD еще в 4.6 посервисный аккаунтинг запустил (он удобнее netflow, IMHO), сейчас в 5.0 работает, когда 5.1 тестил - там тоже работал.

Автор:	Dmitri [ 11 дек 2011, 15:52 ]
Заголовок сообщения:	Re: Просьба поделиться конфигом Cisco IOS XE+ISG+DialupVPN 5
snark писал(а): Я на MPD еще в 4.6 посервисный аккаунтинг запустил (он удобнее netflow, IMHO), сейчас в 5.0 работает, когда 5.1 тестил - там тоже работал. Не понял?! Ведь, что 5.0, что 5.1 - не понимают сервисных сессий... Просьба пояснить, можно с деталями...

Автор:	snark [ 13 дек 2011, 22:03 ]
Заголовок сообщения:	Re: Просьба поделиться конфигом Cisco IOS XE+ISG+DialupVPN 5
Для 1 Мбит/с посылаем в MPD атрибуты: Код: mpd-filter=1#1=match dst net xxx.yyy.zzz.0/28; mpd-filter=2#1=match src net xxx.yyy.zzz.0/28; mpd-filter=3#1=match dst net xxx.yyy.zzz.0/21; mpd-filter=4#1=match src net xxx.yyy.zzz.0/21; mpd-limit=in#1#srv=flt1 pass; mpd-limit=in#2#lan=flt3 pass; mpd-limit=in#3#net=all shape 1048576 196608 pass; mpd-limit=out#1#srv=flt2 pass; mpd-limit=out#2#lan=flt4 pass; mpd-limit=out#3#net=all shape 1048576 196608 pass Что в переводе на русский означает: Трафик в сеть xxx.yyy.zzz.0/28 маркируется как "srv" ("mpd-filter=1" = "flt1" + "mpd-filter=2" = "flt2"). Трафик в сеть xxx.yyy.zzz.0/21 маркируется как "lan" ("mpd-filter=3" = "flt3" + "mpd-filter=4" = "flt4"). Весь остальной трафик маркируется как "net" (параметр "all"). В результате получаем аккаунтинг пакет примерно такого вида: Код: Type=ACCOUNTING_REQUEST Attributes: ... Acct-Input-Octets=X Acct-Output-Octets=X Acct-Input-Packets=X Acct-Output-Packets=X Acct-Input-Gigawords=X Acct-Output-Gigawords=X ... mpd-output-packets=srv:Y mpd-output-packets=lan:Y mpd-output-packets=net:Y mpd-input-packets=srv:Y mpd-input-packets=lan:Y mpd-input-packets=net:Y mpd-input-octets=srv:Y mpd-input-octets=lan:Y mpd-input-octets=net:Y mpd-output-octets=srv:Y mpd-output-octets=lan:Y mpd-output-octets=net:Y В котором помимо стандартных атрибутов с объемом трафика Х видим атрибуты вендора с объемами трафика Y. В конфиге модуля это все разрисовано вот так: Код: # конфигурация услуг # 1 - Время # 2 - Трафик (входящий) # 3 - Трафик (исходящий) # 4 - Трафик служебный (входящий) # 5 - Трафик служебный (исходящий) # 6 - Трафик локальный (входящий) # 7 - Трафик локальный (исходящий) nas.port_time.default.=1 nas.port_traffic.default.=2:RAD(12341,10,net);3:RAD(12341,8,net);4:RAD(12341,10,srv);5:RAD(12341,8,srv);6:RAD(12341,10,lan);7:RAD(12341,8,lan) В результате этого получаем значения для каждого из счетчиков трафика. Если сделаете на циске посервисный аккаунтинг средствами ISG, то увидите почти то же самое, только атрибуты будут иначе называться В чем профит? Прежде всего в том что аккаунтинг вообще можно считать только по стопу, т.к. в нем придет "итого" за всю сессию, т.е. Вы сами вольны решать с какой частотой Вам надо обсчитывать трафик и совершенно не заботится о том пришел netflow пакет до или после стопа, и с какой задержкой он пришел, а использовать netflow только для детализации, да и то если она у Вас не делается как-то иначе.

Автор:	Dmitri [ 14 дек 2011, 03:30 ]
Заголовок сообщения:	Re: Просьба поделиться конфигом Cisco IOS XE+ISG+DialupVPN 5
snark писал(а): Для 1 Мбит/с посылаем в MPD атрибуты: Код: mpd-filter=1#1=match dst net xxx.yyy.zzz.0/28; mpd-filter=2#1=match src net xxx.yyy.zzz.0/28; mpd-filter=3#1=match dst net xxx.yyy.zzz.0/21; mpd-filter=4#1=match src net xxx.yyy.zzz.0/21; mpd-limit=in#1#srv=flt1 pass; mpd-limit=in#2#lan=flt3 pass; mpd-limit=in#3#net=all shape 1048576 196608 pass; mpd-limit=out#1#srv=flt2 pass; mpd-limit=out#2#lan=flt4 pass; mpd-limit=out#3#net=all shape 1048576 196608 pass Что в переводе на русский означает: Трафик в сеть xxx.yyy.zzz.0/28 маркируется как "srv" ("mpd-filter=1" = "flt1" + "mpd-filter=2" = "flt2"). Трафик в сеть xxx.yyy.zzz.0/21 маркируется как "lan" ("mpd-filter=3" = "flt3" + "mpd-filter=4" = "flt4"). Весь остальной трафик маркируется как "net" (параметр "all"). В результате получаем аккаунтинг пакет примерно такого вида: Код: Type=ACCOUNTING_REQUEST Attributes: ... Acct-Input-Octets=X Acct-Output-Octets=X Acct-Input-Packets=X Acct-Output-Packets=X Acct-Input-Gigawords=X Acct-Output-Gigawords=X ... mpd-output-packets=srv:Y mpd-output-packets=lan:Y mpd-output-packets=net:Y mpd-input-packets=srv:Y mpd-input-packets=lan:Y mpd-input-packets=net:Y mpd-input-octets=srv:Y mpd-input-octets=lan:Y mpd-input-octets=net:Y mpd-output-octets=srv:Y mpd-output-octets=lan:Y mpd-output-octets=net:Y В котором помимо стандартных атрибутов с объемом трафика Х видим атрибуты вендора с объемами трафика Y. В конфиге модуля это все разрисовано вот так: Код: # конфигурация услуг # 1 - Время # 2 - Трафик (входящий) # 3 - Трафик (исходящий) # 4 - Трафик служебный (входящий) # 5 - Трафик служебный (исходящий) # 6 - Трафик локальный (входящий) # 7 - Трафик локальный (исходящий) nas.port_time.default.=1 nas.port_traffic.default.=2:RAD(12341,10,net);3:RAD(12341,8,net);4:RAD(12341,10,srv);5:RAD(12341,8,srv);6:RAD(12341,10,lan);7:RAD(12341,8,lan) В результате этого получаем значения для каждого из счетчиков трафика. Если сделаете на циске посервисный аккаунтинг средствами ISG, то увидите почти то же самое, только атрибуты будут иначе называться В чем профит? Прежде всего в том что аккаунтинг вообще можно считать только по стопу, т.к. в нем придет "итого" за всю сессию, т.е. Вы сами вольны решать с какой частотой Вам надо обсчитывать трафик и совершенно не заботится о том пришел netflow пакет до или после стопа, и с какой задержкой он пришел, а использовать netflow только для детализации, да и то если она у Вас не делается как-то иначе. Да, действительно, очень интересный вариант. надо попробовать его реализовать. Спасибо большое за информацию...

Страница 1 из 1	Часовой пояс: UTC + 5 часов [ Летнее время ]
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/