Всем доброго дня!
Прошу помощи в настройке Cisco3900 в качестве Nas.
BGBilling 5.2, dialup 5.2, npay 5.2, BGRadiusDialup 5.2
config dialup:
Код:
#вендоры - производители оборудования и их коды
vendors=9=Cisco;14988=Mikrotik;2011=Huawei;2021=Unix PPP;529=Lucent;6618=Quintum;529=Ascend;311=Microsoft;12341=MPD
#минимальная и максимальная длина пароля
password.length.min=5
password.length.max=10
#длина автоматически генерируемого пароля
password.length.auto=9
#допустимые в пароле символы
password.chars=12345678900123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz
#сколько лет отображать в просмотре сессий через web
showyears=2
# XSL для печати и отправки на почту сессий
#xslt.1=dialup_login_sessions.xsl
xslt.1=dialup_mailed_sessions.xsl
reportTitle.1=Отчет по сессиям
# XSL для печати и отправки на почту наработки по логинам
#xslt.2=dialup_login_amount.xsl
xslt.2=dialup_mailed_amount.xsl
reportTitle.2=Наработка по логинам
# коды услуг, не затрагиваемых при перерасчете, например, если услуга используется для занесения наработки скриптом
#service.recalc.ignore=
#в просмотре сессий в на Web странице кол-во выводимых на странице сессий
show.sessions.on.page=25
#пункты Web - меню
web.menuItem1=Просмотр сессий Dialup
web.menuItem2=Наработка по логинам Dialup
web.menuItem3=Смена пароля на логины Dialup
web.menuItem4=none
web.menuItem5=none
#web.menuItem5=Управление динамическим ДНС
#граница не карточных логинов
top.nocard.login=10000
#адрес и порт управления RADIUS сервера для возможности завершения сессий в мониторе модуля
#адрес должен совпадать с адресом где стоит RADIUS сервер, порт с admin.port из radius.properties
radius.manage=127.0.0.1:1955
############### опции RADIUS сервера #######################
#1 - проверять наличие в договоре всех требуемых услуг при авторизации, иначе ошибка авторизации "Услуга запрещена"
check.service=0
#код модуля "карточки", 0 - модуль "карточки" не используется
card.module.id=0
#количество одновременных сессий, разрешённых карточным логинам
#card.login.session.count=1
# интервал, с которым запускается проверяльщик
killer.sleep=10
#время в секундах, через которое происходит пересчёт в режиме CHECKER
update.time=60
#время в секундах, через которое проверяется необходимость пересчёта в режиме CHECKER
run.sleep=3
#для DialUP - режим работы
#1 - режим UPDATE - пересчёт во время прохождения UPDATE пакетов
#2 - режим CHECKER - пересчёт по таймеру, UPDATE пакеты используются для получения
#информации о трафике
dialup.workmode=1
#для режима UPDATE - время в секундах после последнего UPDATE пакета, по истечении которого сессия считается неактивной
#(не учитывается в подсчёте числа одновременных соединений)
max.update.timeout=120
#сколько максимально секунд соединение в статусе wait ждёт Start пакета
max.wait.timeout=120
# параметры отсылальщика ошибок (в данной версии не используется)
#mailer.period=1800
#mailer.to=???
# игнорировать длительность соединения в Acct-Session-Time атрибуте с NASа, вычислять самостоятельно
#ignore.acct.session.time=1
# отмена принудительной передачи атрибутов Service-Type и Framed-Protocol
#add.service.type.and.framed.protocol=0
#разрешение пользователям группы REALM ов использовать
pools.global=172.17.0.4-172.17.0.254
#локальный пул адресов ( на 8190 хостов)
pools.local=192.168.0.1-192.168.31.254
#высылка аларма по пулу после его расходования более чем
pool.alarm.fullness.global=60
pool.alarm.fullness.pools.local=60
# атрибуты, передаваемые в AUTH_ACCEPT пакете при авторизации по реалму www, local, dialup_user, vpn_user
# в данном случае это интервал между отправкой Update пакетов, в секундах, протокол PPP, и тип сервиса, см: RFC2865
#realm.default=Acct-Interim-Interval=60;Service-Type=2;Framed-Protocol=1
realm.local_kaskad_uzl=local_kaskad_uzl
realm.local_kaskad_uzl=Framed-Pool=local;Acct-Interim-Interval=60;Service-Type=2;Framed-Protocol=1
realm.inet_kaskad_uzl=inet_kaskad_uzl
realm.inet_kaskad_uzl=Framed-Pool=global;Acct-Interim-Interval=60;Service-Type=2;Framed-Protocol=1
realm.kaskad71=kaskad71
realm.kaskad71=Framed-Pool=global;Acct-interim-interval=60;Service-Type=2;Framed-Protocol=1
#группы REALMов :
realmgr.dialup_user=local_kaskad_uzl;inet_kaskad_uzl
realmgr.vpn_user=local_kaskad_uzl
#Cisco3900
#Атрибуты радиуса доступные в списке атрибутов в редактировании логина
radius.attributes=Service-Type;Framed-Protocol;Framed-IP-Address;Framed-IP-Netmask;Framed-Routing;Filter-Id;Framed-MTU;Framed-Compression;Login-IP-Host;Login-Service;Login-TCP-Port;Old-Password;Reply-Message;Callback-Number;Callback-Id;Expiration;Framed-Route;Framed-IPX-Network;State;Class;Session-Timeout;Idle-Timeout;Termination-Action;NAS-Identifier;Proxy-State;Framed-Pool;Cisco-Service-Info;cisco-avpair;cisco-SSG-Service-Info;Cisco-SSG-Account-Info;Acct-Status-Type
# 1 - принудительная передача Service-Type=2;Framed-Protocol=1 (рекомендуется передача этих атрибутов иными способами, см. realm.default)
add.service.type.and.framed.protocol=0
# 1 - добавление в Auth Accept при MPPE-128 авторизации атрибутов MS_mppe_encryption_types (поддержка 128 битного шифрования) и MS_mppe_encryption_policy=1 (шифрование поддерживается)
# согласно http://tools.ietf.org/html/rfc2548
add.mppe.enc.types.and.policy=0
# задержка закрытия сессий в секундах, используется при тарификации по данным NetFlow
# для исключения потери "хвостов" сессий, т.е. информации о трафике, пришедшей после завершения сессии
#delay.stop=5
# удалять из Accept пакета атрибуты Framed-Pool в случае, если адрес был успешно выдан адрес RADIUS сервером
drop.framed.pool.attr=1
#Cisco3900
#attrset.5.attributes=Cisco-AVPair=lcp:interface-config=rate-limit input access-group 2056 128000 24000 48000 conform-action transmit exceed-action drop
attrset.43.title=Лимит-128кб/с-out
attrset.43.attributes=Cisco-AVPair=lcp:interface-config=rate-limit output access-group 2066 128000 24000 48000 conform-action transmit exceed-action drop
attrset.44.title=Лимит-256кб/с-in
attrset.44.attributes=Cisco-AVPair=lcp:interface-config=rate-limit input access-group 2056 256000 48000 96000 conform-action transmit exceed-action drop
attrset.45.title=Лимит-256кб/с-out
attrset.45.attributes=Cisco-AVPair=lcp:interface-config=rate-limit output access-group 2066 256000 48000 96000 conform-action transmit exceed-action drop
attrset.46.title=Лимит-512кб/с-in
attrset.46.attributes=Cisco-AVPair=lcp:interface-config=rate-limit input access-group 2056 512000 96000 192000 conform-action transmit exceed-action drop
attrset.47.title=Лимит-512кб/с-out
attrset.47.attributes=Cisco-AVPair=lcp:interface-config=rate-limit output access-group 2066 512000 96000 192000 conform-action transmit exceed-action drop
#attrset.11.title=Лимит-1024кб/с-in
#игнорировать длительность соединения в Acct-Session-Time атрибуте с NASа, вычислять самостоятельно
#ignore.acct.session.time=1
#если установлено в 1 - принудительная передача Service-Type=2;Framed-Protocol=1 (рекомендуется передача этих атрибутов иными способами, см. выше realm.default)
add.service.type.and.framed.protocol=0
#если установлено в 1 - добавление в Auth Accept при MPPE-128 авторизации атрибутов MS_mppe_encryption_types (поддержка 128 битного шифрования) и MS_mppe_encryption_policy=1 (шифрование поддерживается)
#согласно http://rfclibrary.hosting.com/rfc/rfc2548/rfc2548-25.asp
add.mppe.enc.types.and.policy=1
#задержка закрытия сессий в секундах, используется при тарификации по данным NetFlow
#для исключения потери "хвостов" сессий, т.е. информации о трафике, пришедшей после завершения сессии
#delay.stop=5
#удалять из Accept пакета атрибуты Framed-Pool в случае, если адрес был успешно выдан адрес RADIUS сервером
drop.framed.pool.attr=1
#прерывать сессии с того же Calling-Station-Id, если при авторизации произошла ошибка "Превышен лимит сессий"
#(может быть полезно, если на насе остаются несуществующие сессии и клиент не может переподключится)
check.duplicate.session=1
#Не разрывать сессии, при изменении действующего тарифного плана в ходе обсчёта.
#При установке этой опции разрывы и отправку CoA пакетов нужно контроллировать устновкой зон в тарифах.
no.session.break.on.tariff.change=1
# 1 - Время
# 2 - Трафик (интернет входящий)
# 3 - Трафик (интернет исходящий)
# 4 - Трафик (локальный входящий)
# 5 - Трафик (локальный исходящий)
netflow.service.link.1=2 IN 0.0.0.0-255.255.255.255
netflow.service.link.2=3 OUT 0.0.0.0-255.255.255.255
netflow.service.link.3=4 IN 172.17.0.4-172.17.0.254
netflow.service.link.4=5 OUT 172.17.0.4-172.17.0.254
# 1 - Время
# 2 - Трафик (интернет входящий)
# 3 - Трафик (интернет исходящий)
# 4 - Трафик (локальный входящий)
# 5 - Трафик (локальный исходящий)
traffics=2/3/4/5;интернет входящий трафик/интернет исходящий трафик/локальный входящий трафик/локальный исходящий трафик
# динамический DNS
config NAS:
Код:
dialup.workmode=1
# разрешение активировать все типы карточек на этом NASе
#card.activate.service=0
# поддержка CallBack (1-включите)
#callback.support=0
# автозакрытие "висящих" соединений
drop.sleep.timeout=3600
# принудительный разрыв соединений на границе месяца
month.break=1
# интервал между посылками на проверку либо сброс соедиенения
nas.inspector.sleep_time=60
# максимальное число попыток сброса соединения
nas.inspector.kill.max_messages=5
# SNMP
#nas.inspector.snmp.port=161
#nas.inspector.snmp.community=private
#mikrotik (vendor=14988)
nas.inspector.class=bitel.billing.server.processor.PoDNASConnectionInspector
#Cisco3900
nas.inspector.class=ru.bitel.bgbilling.kernel.network.radius.inspectors.SNMPNasConnectionInspectorCisco36x
nas.inspector.snmp.kill.oid=1.3.6.1.4.1.9.2.9.10.0
nas.inspector.snmp.check.oid=1.3.6.1.4.1.9.2.9.2.1.18
# NAS
netflow.receive.from=172.17.0.24
#nas.port_time.default.*=16
#nas.port_time.default.*=4
#nas.port_traffic.default.*=1:COLLECTOR
nas.inspector.pod.port=1700
nas.inspector.pod.host=172.17.0.24
nas.inspector.pod.secret=sekret
nas.inspector.pod.attributes=User-Name;Framed-IP-Address;Acct-Session-Id;NAS-Port
nas.inspector.kill.max_messages=3
collector.agent.address=172.17.0.24
collector.agent.ports=2001,2002
# числовые коды услуг времени, трафика входящего и исходящего
# 1 - Время
# 2 - Трафик (интернет входящий)
# 3 - Трафик (интернет исходящий)
# 4 - Трафик (локальный входящий)
# 5 - Трафик (локальный исходящий)
nas.port_time.default.*=1
nas.port_traffic.default.*=2:RADIN;3:COLLECTOR;4:COLLECTOR;5:COLLECTOR
nas.port_time.inet_kaskad_uzl.*=1
nas.port_time.local_kaskad_uzl.*=1
nas.port_time.dialup_user.*=1
nas.port_traffic.kaskad71.*=2:RADIN;3:COLLECTOR
nas.port_traffic.inet_kaskad_uzl.*=2:RADIN;3:COLLECTOR
nas.port_traffic.local_kaskad_uzl.*=4:COLLECTOR;5:COLLECTOR;
#nas.port_traffic.dialup_user.*=5:COLLECTOR;6:RADIN;7:COLLECTOR;8:COLLECTOR
# ассоциация NAS-а с коллектором
netflow.receive.from=172.17.0.23
config cisco3900:
Код:
Using 3781 out of 262144 bytes
!
! Last configuration change at 08:53:28 UTC Wed Feb 20 2013 by kaskad71
! NVRAM config last updated at 08:53:38 UTC Wed Feb 20 2013 by kaskad71
! NVRAM config last updated at 08:53:38 UTC Wed Feb 20 2013 by kaskad71
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
!
aaa new-model
aaa session-mib disconnect
!
!
aaa authentication ppp default group radius
aaa authorization network default group radius
aaa accounting update periodic 5
aaa accounting network default start-stop group radius
!
!
!
!
!
aaa session-id common
!
no ipv6 cef
ip source-route
!
!
ip cef
!
!
!
ip flow-cache timeout inactive 10
ip flow-cache timeout active 1
ip name-server ХХ.ХХХ.ХХХ.95
ip name-server ХХХ.ХХ.Х.2
multilink bundle-name authenticated
!
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-2434496344
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2434496344
revocation-check none
rsakeypair TP-self-signed-2434496344
!
!
crypto pki certificate chain TP-self-signed-2434496344
certificate self-signed 01 nvram:IOS-Self-Sig#2.cer
license udi pid C3900-SPE250/K9 sn FOC16375Q4W
!
!
username mainname privilege 15 password 0 password
!
!
!
!
!
bba-group pppoe global
virtual-template 1
sessions max limit 8000
ac name nas1
sessions per-mac limit 1
sessions per-vlan limit 500
sessions auto cleanup
!
!
interface GigabitEthernet0/0
ip address ХХ.ХХХ.ХХХ.132 255.255.255.248
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 172.17.0.24 255.255.255.0
duplex auto
speed auto
!
interface GigabitEthernet0/2
no ip address
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
pppoe enable group global
no cdp enable
!
interface GigabitEthernet0/3
ip address 172.17.0.8 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface Virtual-Template1
mtu 1492
ip unnumbered GigabitEthernet0/1
ip flow ingress
autodetect encapsulation ppp
peer default ip address pool PPPoE
ppp max-bad-auth 3
ppp authentication chap radius
ppp authorization radius
ppp accounting radius
ppp timeout retry 3
ppp timeout authentication 45
ppp timeout idle 3600
!
ip local pool PPPoE 172.17.0.4-172.17.0.254
ip forward-protocol nd
!
no ip http server
ip http authentication local
no ip http secure-server
ip flow-export source GigabitEthernet0/1
ip flow-export version 5
ip flow-export destination 172.17.0.23 9996
!
ip dns server
ip nat pool rostelecom ХХ.ХХХ.ХХХ.130 ХХ.ХХХ.ХХХ.133 netmask 255.255.255.248
ip nat inside source list 1 pool rostelecom overload
ip route 0.0.0.0 0.0.0.0 ХХ.ХХХ.ХХХ.129
!
access-list 3 permit 172.17.0.23
access-list 3 deny any log
!
no cdp run
!
snmp-server community public_xxxx RW 3
snmp-server ifindex persist
snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart
snmp-server enable traps tty
snmp-server enable traps aaa_server
snmp-server host 172.17.0.23 161
snmp-server host 172.17.0.23 2c
snmp-server host 172.17.0.23 aaa
snmp-server host 172.17.0.23 public_xxxx snmp
radius-server attribute 8 include-in-access-req
radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
radius-server attribute 31 mac format unformatted
radius-server host 172.17.0.23 auth-port 1812 acct-port 1813 non-standard
radius-server retransmit 5
radius-server timeout 30
radius-server deadtime 1
radius-server key sekret
radius-server vsa send accounting
radius-server vsa send authentication
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
privilege level 15
transport input telnet ssh
!
scheduler allocate 20000 1000
end
Авторизация PPPoE в биллинге проходит всё ОК, IP раздаёт биллинг, из cisci пингуются шлюз и DNS servera провайдера,но в интернет не пускает.
где смотреть, что ещё выложить, машина тестовая, я на связи.