скажите
кто нибудь сталкивался с такой прблемой
если у клиента маленький положительный баланс он без проблем по протоколу РАДИУС авторизуется
и может накачать столько что и не снилось.
а топом естественно уже больше не сможет авторизоваться
есть ли в Этом биллинге такая вешь - как прерывание сессий
сможет ли как нибудь билинг увидеть что имненно этот клиент перекачал уже свой лимит и подать команду на Cisco отключить клиента.
Как это можно сделать????
Механизм прерывания активных vpn сессий
-
Wishmaster
- Сообщения: 309
- Зарегистрирован: Сб апр 16, 2005 11:44
Практика показывает, что проще всего написать скрипт, который будет по крону обходить все интерфейсы и при перерасходе средств опускать интерфейс.
Все зависит, от того, какая операционная система на маршрутизаторе..
Штатными средствами биллинга это можно сделать с помощью rfw,
но в этом я помочь не могу, так как я не использую rfw...
Все зависит, от того, какая операционная система на маршрутизаторе..
Штатными средствами биллинга это можно сделать с помощью rfw,
но в этом я помочь не могу, так как я не использую rfw...
на циске -
aaa accounting update periodic 1
каждую минуту будет запрашивать у радиуса - можно ли работать челу, или вырубить нафик.
Zvonkey Добавлено: Пн Ноя 20, 2006 8:23 am Заголовок сообщения:
--------------------------------------------------------------------------------
В админке в списке параметров поменяй значение параматра traffic_agregation_interval на 1 и бедет тебе счастье.
Скажите это должно работать в связке с rfw или не обязательно.
Заранее всем спасибо.
aaa accounting update periodic 1
каждую минуту будет запрашивать у радиуса - можно ли работать челу, или вырубить нафик.
Zvonkey Добавлено: Пн Ноя 20, 2006 8:23 am Заголовок сообщения:
--------------------------------------------------------------------------------
В админке в списке параметров поменяй значение параматра traffic_agregation_interval на 1 и бедет тебе счастье.
Скажите это должно работать в связке с rfw или не обязательно.
Заранее всем спасибо.
Router#sh run
Building configuration...
Current configuration : 3155 bytes
!
version 12.3
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no logging console
enable password cisco
!
clock timezone GMT 6
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default group radius
aaa authorization exec default local
aaa authorization network default group radius
aaa accounting update periodic 1
aaa accounting network default start-stop group radius
aaa accounting system default start-stop group radius
aaa session-id common
ip subnet-zero
no ip source-route
no ip rcmd domain-lookup
ip rcmd rsh-enable
ip rcmd remote-host Lehandr 192.168.1.2 Lehandr enable
ip cef
!
!
ip name-server 212.19.149.53
ip name-server 212.19.149.54
no ip dhcp conflict logging
ip dhcp excluded-address 192.168.1.0 192.168.1.10
ip dhcp ping packets 5
ip dhcp ping timeout 1000
!
ip dhcp pool CLIENTS_WEBLINE
import all
network 192.168.1.0 255.255.255.0
default-router 192.168.1.3
lease 7
!
ip audit po max-events 100
ip dhcp-server 192.168.1.3
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
!
!
!
!
!
!
!
!
!
!
!
!
username web privilege 8 password 0 web
username Lehandr privilege 8 password 0 assa1979assa
!
!
!
!
!
!
interface Loopback0
ip address 10.10.10.10 255.255.255.0
ip route-cache policy
ip route-cache flow
!
interface Loopback1
ip address 172.16.1.1 255.255.255.0
ip route-cache policy
ip route-cache flow
!
interface FastEthernet0/0
description WAN
ip address x.x.x.x x.x.x.x
ip nat outside
ip route-cache policy
ip route-cache flow
ip policy route-map NETUP_MAP
duplex auto
speed auto
!
interface FastEthernet0/1
description LAN
ip address 192.168.1.3 255.255.255.0
ip nat inside
ip route-cache policy
ip route-cache flow
duplex auto
speed auto
!
interface Virtual-Template1
ip unnumbered Loopback1
ip nat inside
ip route-cache policy
ip route-cache flow
ip tcp header-compression
ip mroute-cache
no peer default ip address
ppp authentication ms-chap-v2 chap
!
ip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source list 2 interface FastEthernet0/0 overload
ip http server
no ip http secure-server
ip flow-export version 5
ip flow-export destination 192.168.1.2 9996
ip classless
ip route 0.0.0.0 0.0.0.0 x.x.x.x
!
!
access-list 1 permit 192.168.1.98
access-list 1 permit 192.168.1.2
access-list 2 permit 172.16.1.0 0.0.0.255
access-list 108 permit ip any 192.168.1.0 0.0.0.255
access-list 109 permit ip any 172.16.1.0 0.0.0.255
!
route-map NETUP_MAP permit 10
match ip address 108 109
set interface Loopback0 FastEthernet0/1 Virtual-Template1
!
!
!
dial-peer cor custom
!
!
!
!
privilege exec level 8 access-template
privilege exec level 8 clear access-template
privilege exec level 8 clear
!
line con 0
line aux 0
autobaud
modem Dialin
terminal-type vt100
stopbits 1
flowcontrol hardware
line vty 0 4
password online123
!
!
end
Интерестно что не так настроено.
Почему не перрывается сессия.
все сделал как вы советовали и нифига....
ЧТО ДЕЛАААААТЬ!!!!
Хелп плиз
Building configuration...
Current configuration : 3155 bytes
!
version 12.3
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no logging console
enable password cisco
!
clock timezone GMT 6
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default group radius
aaa authorization exec default local
aaa authorization network default group radius
aaa accounting update periodic 1
aaa accounting network default start-stop group radius
aaa accounting system default start-stop group radius
aaa session-id common
ip subnet-zero
no ip source-route
no ip rcmd domain-lookup
ip rcmd rsh-enable
ip rcmd remote-host Lehandr 192.168.1.2 Lehandr enable
ip cef
!
!
ip name-server 212.19.149.53
ip name-server 212.19.149.54
no ip dhcp conflict logging
ip dhcp excluded-address 192.168.1.0 192.168.1.10
ip dhcp ping packets 5
ip dhcp ping timeout 1000
!
ip dhcp pool CLIENTS_WEBLINE
import all
network 192.168.1.0 255.255.255.0
default-router 192.168.1.3
lease 7
!
ip audit po max-events 100
ip dhcp-server 192.168.1.3
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
!
!
!
!
!
!
!
!
!
!
!
!
username web privilege 8 password 0 web
username Lehandr privilege 8 password 0 assa1979assa
!
!
!
!
!
!
interface Loopback0
ip address 10.10.10.10 255.255.255.0
ip route-cache policy
ip route-cache flow
!
interface Loopback1
ip address 172.16.1.1 255.255.255.0
ip route-cache policy
ip route-cache flow
!
interface FastEthernet0/0
description WAN
ip address x.x.x.x x.x.x.x
ip nat outside
ip route-cache policy
ip route-cache flow
ip policy route-map NETUP_MAP
duplex auto
speed auto
!
interface FastEthernet0/1
description LAN
ip address 192.168.1.3 255.255.255.0
ip nat inside
ip route-cache policy
ip route-cache flow
duplex auto
speed auto
!
interface Virtual-Template1
ip unnumbered Loopback1
ip nat inside
ip route-cache policy
ip route-cache flow
ip tcp header-compression
ip mroute-cache
no peer default ip address
ppp authentication ms-chap-v2 chap
!
ip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source list 2 interface FastEthernet0/0 overload
ip http server
no ip http secure-server
ip flow-export version 5
ip flow-export destination 192.168.1.2 9996
ip classless
ip route 0.0.0.0 0.0.0.0 x.x.x.x
!
!
access-list 1 permit 192.168.1.98
access-list 1 permit 192.168.1.2
access-list 2 permit 172.16.1.0 0.0.0.255
access-list 108 permit ip any 192.168.1.0 0.0.0.255
access-list 109 permit ip any 172.16.1.0 0.0.0.255
!
route-map NETUP_MAP permit 10
match ip address 108 109
set interface Loopback0 FastEthernet0/1 Virtual-Template1
!
!
!
dial-peer cor custom
!
!
!
!
privilege exec level 8 access-template
privilege exec level 8 clear access-template
privilege exec level 8 clear
!
line con 0
line aux 0
autobaud
modem Dialin
terminal-type vt100
stopbits 1
flowcontrol hardware
line vty 0 4
password online123
!
!
end
Интерестно что не так настроено.
Почему не перрывается сессия.
все сделал как вы советовали и нифига....
ЧТО ДЕЛАААААТЬ!!!!
Хелп плиз
-
Instruktor
- Сообщения: 131
- Зарегистрирован: Ср авг 10, 2005 21:32
- Откуда: Москва
К примеру 600 чел в онлайне, радиус будет получать примерно по 10 запросов в секунду, при этом ему ещё как-то авторизацией заниматься нужно. У него пупок не развяжется?weris писал(а):на циске -
aaa accounting update periodic 1
каждую минуту будет запрашивать у радиуса - можно ли работать челу, или вырубить нафик.
>К примеру 600 чел в онлайне, радиус будет получать примерно по 10 >запросов в секунду, при этом ему ещё как-то авторизацией заниматься >нужно. У него пупок не развяжется?
Будете смеяться, но и от 1000 aaa запросов в секунду правильный радиус не завалится. Моментов 2 - авторизация радиусом обязательно выполняется, а аккаунтинг - вовсе нет, поэтому существует масса костылей и подпорок типа update , кол-ва посылок аккаунт пакетов и пр..
Радиус вообще никого не отключает, не его это дело. Отключает NAS , если умеет, киски например при авторизации обрабатывают Session-timeout.
Будете смеяться, но и от 1000 aaa запросов в секунду правильный радиус не завалится. Моментов 2 - авторизация радиусом обязательно выполняется, а аккаунтинг - вовсе нет, поэтому существует масса костылей и подпорок типа update , кол-ва посылок аккаунт пакетов и пр..
Радиус вообще никого не отключает, не его это дело. Отключает NAS , если умеет, киски например при авторизации обрабатывают Session-timeout.
Была уже когда-то идея организовать систему дополнительных модулей в UTM, отключающих пользователей с NAS в режиме онлайн. При всей широте спектра поддерживаемого оборудования доступа, к каждой железке нужен свой особый подход, и, соответственно, для каждой железки разработать отдельный модуль, заточенный под нее.
Через эти модули можно осуществлять:
1. Онлайн мониторинг активных сессий на NAS. Каждый модуль знает как получить этот список со своего NAS, под который он заточен, и как этот список передать ядру биллинга в стандартизованном виде (Session ID, Login, IP Address и т. д.)
2. Сравнение полученного списка сессий с базой данных пользователей.
3. При обнаружении сессии с нулевым балансом передать модулю команду на сброс сессии. Соответствующий модуль отключит сессию пользователя приемлемым и корректным для данной железки способом.
Эти идеи взяты мной из одного интересного но мертвого биллинга, который нам непосчастливилось приобрести. Его бы довести до ума, но своих программистов нет. Надеюсь на NetUP. Если они это сделают, мы купим его.
Подобные предложения я уже выкладывал на форуме. Но пока от разработчиков нет ответа. Если среди перечисляемых преимуществ биллинга есть поддержка широкого спектра оборудования, то это должно оправдываться на сто процентов. Оборудование должно поддерживаться разносторонне, а не только со стороны сбора статистики (хотя и за это можно поблагодарить разработчиков).
Через эти модули можно осуществлять:
1. Онлайн мониторинг активных сессий на NAS. Каждый модуль знает как получить этот список со своего NAS, под который он заточен, и как этот список передать ядру биллинга в стандартизованном виде (Session ID, Login, IP Address и т. д.)
2. Сравнение полученного списка сессий с базой данных пользователей.
3. При обнаружении сессии с нулевым балансом передать модулю команду на сброс сессии. Соответствующий модуль отключит сессию пользователя приемлемым и корректным для данной железки способом.
Эти идеи взяты мной из одного интересного но мертвого биллинга, который нам непосчастливилось приобрести. Его бы довести до ума, но своих программистов нет. Надеюсь на NetUP. Если они это сделают, мы купим его.
Подобные предложения я уже выкладывал на форуме. Но пока от разработчиков нет ответа. Если среди перечисляемых преимуществ биллинга есть поддержка широкого спектра оборудования, то это должно оправдываться на сто процентов. Оборудование должно поддерживаться разносторонне, а не только со стороны сбора статистики (хотя и за это можно поблагодарить разработчиков).