Пара вопросов: блокировка и считалка

Dzhel · Сообщение **Dzhel** » Вт мар 27, 2007 08:31

Здраствуйте. В ходе внедрения биллинговой системы возникло 2 вопроса.

1. На циске, с которой будет вестись блокировка (netflow) при отрицательном балансе клиента работают саб-интерфейсы. Каким образом utm генерирует аксесс-листы - непосредственно на каждый саб-интерфейс?

2. Насколько я понял, в реализованой возможности вести учет трафика действует следующая (примерная) система:

от 0 до 100мб - 5уе
от 100 до 1000 - 3уе
от 1000 до 3000 - 2 уе

В итоге получается, 100х5+1000х3+3000х2=9500уе. Как реализовать, чтобы при достижении трафика в 100 мб _ВЕСЬ_ использованный и последующий (до 1000) трафик считался как 100х3, при достижении 1000 и более _ВЕСЬ_ использованный и последующий трафик считался по тарифу 2уе за мб.

В итоге должно получиться
За (1-99) метров - 5 уе,
За (100-999) метров - 3 уе
За (999-2999) метров - 2 уе, в итоге если пользователь скачает 2500 метров, то должен он считаться как 2500мбх2уе.

Заранее спасибо.

weris · Сообщение **weris** » Вт мар 27, 2007 09:34

1. читаем доку

2. подобрать цену порогов так, чтобы средняя цена выходила нужной.

Dzhel · Сообщение **Dzhel** » Вт мар 27, 2007 09:40

Причем здесь средняя цена? Порогов - до фига. Я привел пример.

Необходимо, чтобы если клиент накачал больше гига, к примеру, весь его СКАЧАННЫЙ и ПОСЛЕДУЮЩИЙ трафик тарифицировался по новой цене.

weris · Сообщение **weris** » Вт мар 27, 2007 10:00

такой возможности нет.

Dzhel · Сообщение **Dzhel** » Вт мар 27, 2007 11:53

И еще раз по поводу блокировки: в документации ничего не написно про сабинтерфейсы. Вот и вопрос - будет ли корректно работать блокировка: циска рабочая, и лишний раз эксперементировать не хотелось бы.

weris · Сообщение **weris** » Вт мар 27, 2007 12:10

будет.

добавляй в любой АКЛ куда нравится.
у меня добавляет ИП лоченные в акл для роуте мапа - и все запросы на 80й порт заворачивает на страничку с напоминанием о необходимости оплаты.

добавляет и удаляет правила на ура. все четко.

Dzhel · Сообщение **Dzhel** » Вт мар 27, 2007 12:15

Можно пример конфига?

weris · Сообщение **weris** » Вт мар 27, 2007 12:29

!
interface FastEthernet0/1.4
description *** Iskra Administration ASF ***
encapsulation dot1Q 4
ip address 10.0.4.1 255.255.252.0 secondary
ip address 10.100.0.1 255.255.255.252 secondary
ip address ********.97 255.255.255.224
ip access-group 104 in
ip nat inside
ip flow ingress
ip policy route-map lock_users_redirect
pppoe enable
no cdp enable
!
ip nat pool LOCKED_users **.**.**.13 **.**.**.13 prefix-length 28
!
access-list 114 remark -- ACL for redirect no pay users --
access-list 114 deny ip any host **.**.**.3
access-list 114 dynamic LOCK_users permit tcp any any eq www
access-list 114 deny ip any any
!
!
route-map lock_users_redirect permit 10
description -- locked users refirect --
match ip address 114
set ip next-hop **.**.**.2
!

**.**.**.3 - на него разрешаем на 80й порт всем ходить. тут стата висит.

**.**.**.13 - все кто в списке лоченых - натятся этоим ИП и роутмапом перекидываются на -
**.**.**.2 - тут PF редиректит все запросы пришедгие от 13 - на порт 3333 - на котором виртуал хост апача выдает соответствующую страничку.

утм рулит правилами через rsh

bill# cat /netup/utm5/rfw5.cfg
##
## /netup/utm5/rfw5.cfg
## UTM5 RFW configuration file
##
## firewall_type
## Description: Firewall type
## Allowable values: local, cisco
## Default value: local
firewall_type=cisco
## firewall_path
## Description: Firewall path.
## Allowable values: path to the executable.
## Required parameter.
firewall_path=/usr/bin/rsh -l netup
## cisco_ip
## Description: Cisco firewall IP-address
## Allowable values: IP address
## Default value: <empty>
cisco_ip=10.100.8.1

в админке
правило влючения-
clear access-template 114 LOCK_users host UIP any
выключение -
access-template 114 LOCK_users host UIP any

пользователи работают по PPPoE
заблокированных не пускает соответственно радиус,
локальные ИПы заносятся в 114 лист - и блокируется веб доступ, т.е. редирект работает.
реал ИП не рубим вообще.

вот пример рабочего 114 листа

c5350#sh access-lists 114
Extended IP access list 114
10 deny ip any host **.**.**.3 (111514 matches)
20 Dynamic LOCK_users permit tcp any any eq www
permit tcp host 10.0.0.13 any eq www
permit tcp host 10.0.0.111 any eq www
permit tcp host 10.0.0.195 any eq www (157 matches)
permit tcp host 10.0.0.189 any eq www
permit tcp host 10.0.0.74 any eq www (579 matches)
permit tcp host 10.0.4.93 any eq www
permit tcp host 10.0.0.177 any eq www
permit tcp host 10.0.0.179 any eq www (227 matches)
permit tcp host 10.0.0.114 any eq www
30 deny ip any any (463534407 matches)
c5350#

все просто.

Dzhel · Сообщение **Dzhel** » Вт мар 27, 2007 12:46

Спасибо!

Но в нашем случае, боюсь, это не поможет. У нас ничего не НАТится, пользователи ходят в инет "напрямую", все с реальными ip, статистика собирается нетфлоу. Схема: клиент - вилан - сабинтерфейс на циске.

Насколько я понял, в этом случае на каждый сабинтерфейс вешается свой роутмап?

weris · Сообщение **weris** » Вт мар 27, 2007 12:48

нет.
на всех субинтерфейсах у меня висит один и тот же роут мап.

нат или нет - это пофиг.
мелочи.

Dzhel · Сообщение **Dzhel** » Вт мар 27, 2007 12:53

Еще раз спасибо. Будем пробывать.

kara · Сообщение **kara** » Вт мар 23, 2010 22:09

вопрос знатокам:

как реализовать очистку динамического ACL при старте rfw

Функцию firewall_flush_cmd кто как на Cisco реализовывал?

dk · Сообщение dk » Ср мар 24, 2010 11:00

kara писал(а):вопрос знатокам:

как реализовать очистку динамического ACL при старте rfw

Функцию firewall_flush_cmd кто как на Cisco реализовывал?

Net::Telnet::Cisco?

или даже просто

Код: Выделить всё

echo "login
password
conf t
no access-list 123
access-list 123 dynamic fw_in permit ip any any
exit
exit
" | nc -i 1 $ip 23

kara · Сообщение **kara** » Ср мар 24, 2010 12:19

dk

Спасибо огромное! Думаю пригодится многим