3.4. Настройка тарификации UTM
3.4.1. Заходим в РАСЧЁТНЫЙ ПЕРИОД, жмём кнопку ОБНОВИТЬ. Здесь должен быть создан автоматически расчётный период. Он нужен для правильного списания трафика. Здесь сложно дать рекомендации, потому, что значение расчётного периода зависит от конструкции услуги или тарифа. Но в любом случае, хотя бы один расчетный период здесь должен быть. Как правило - это ежедневный период.
3.4.2. Заходим во ВРЕМЕННЫЕ ДИАПАЗОНЫ, жмём кнопку ОБНОВИТЬ. Если цена на трафик не меняется в зависимости от дня недели или времени суток, то здесь достаточно одного круглосуточного диапазона – с воскресенья 00.00.00 по субботу 23.59.59.
3.4.3. Заходим в КЛАССЫ ТРАФИКА, жмём кнопку ОБНОВИТЬ. Тут минимум должно быть три класса трафика. Входящий, исходящий и локальный. По умолчанию UTM создаёт 2 класса с идентификаторами 10 – входящий и 20 – исходящий. Еще нужно создать класс – локальный с идентификатором – 1000. Редактируем входящий трафик (10). Открываем его на редактирование. Название класса трафика – Входящий. Временной диапазон – выбираем нужный. Теперь удаляем все подклассы. Затем нажимаем кнопку ДОБАВИТЬ и добавляем нужные подклассы. Например: Источник: Адрес – 0.0.0.0, Маска – 0.0.0.0. Получатель (Distination part): Адрес – 192.168.2.0, Маска – 255.255.255.0. Теперь редактируем исходящий трафик (20). Также удаляем из него всё и добавляем Источник: Адрес - 192.168.2.0, Маска – 255.255.255.0, Получатель: Адрес – 0.0.0.0, Маска – 0.0.0.0. Создаём класс трафика – локальный (1000) и добавляем в него подкласс: Источник: Адрес – 192.168.1.0, Маска – 255.255.255.0, Получатель: Адрес – 192.168.2.0, Маска – 255.255.255.0
3.4.4. Заходим в УСЛУГИ, жмём кнопку ОБНОВИТЬ. Добавляем услугу – передача IP-трафика. В границах услуги задаём так: Идентификатор класса – Входящий, Количество – 0, Стоимость – 1 руб. Потом Идентификатор класса – Исходящий, Количество – 0, Стоимость – 0 руб. И затем Идентификатор класса – Локальный, Количество – 0, Стоимость – 0 руб.
3.5. Создание пользователей в UTM
3.1. Заходим в ПОЛЬЗОВАТЕЛИ И ГРУППЫ во вкладку ГРУППЫ, жмём кнопку ОБНОВИТЬ. Здесь оставляем только две группы пользователей ID – 1 (Administrators) и ID – 102 (Users). Остальные группы можно удалить, если таковые не нужны или наоборот – добавить нужные.
3.2. Заходим во вкладку ПОЛЬЗОВАТЕЛИ, жмём кнопку ДОБАВИТЬ. Задаём пользователю логин и пароль на вход по WEB-интерфейсу к серверу статистики. Указываем ID дома, который мы создали в настройках ранее. Открываем вкладку ГРУППЫ и задаём там группу Users. Теперь жмём кнопку добавления сервисной связки. Выбираем услугу. Указываем расчётный период и жмём кнопку добавления IP-группы. Здесь будет выдан свободный IP из диапазона, заданного нами в настройках (192.168.2.0). Маска подсети – 255.255.255.255. MAC-адрес указывать не нужно. Задаём логин, под которым пользователь будет подключаться к VPN и соответственно пароль. Если нужно, чтобы пользователь не смог подключаться с чужой машины, то в параметре Разрешенные CID нужно указать IP адрес сетевой карты пользователя, имеющего право подключаться к VPN под заданным логином/паролем. Если нужно подключаться с разных машин, то нужно оставить это поле пустым.
3.3. Кладём деньги пользователю на счёт. Для проверки – немного.
После всего этого можно считать, что настройка UTM на сервере закончена и можно переходить к настройке компьютера пользователя.
4. Настройка компьютера пользователя.
4.1. Создание VPN-подключения.
Заходим в свойства сетевого окружения и запускаем мастер новых подключений. Выбираем пункт – ПОДКЛЮЧИТЬ К СЕТИ НА РАБОЧЕМ МЕСТЕ (VPN), далее выбираем пункт – ПОДКЛЮЧЕНИЕ К ВИРТУАЛЬНОЙ ЧАСТНОЙ СЕТИ (VPN), далее пишем название VPN-соединения, далее указываем IP-адрес VPN-сервера (в нашем примере - 192.168.1.1). Соединение создано. Запускаем его, вводим логин и пароль пользователя и соединяемся с VPN. Пытаемся работать в Интернете. Если всё работает, идём на сервер и в отчетах смотрим детальный трафик пользователя.
Cisco 2801+ NetUP
вот тема для зармышления viewtopic.php?t=5043
Конфига циски сейчас :
urrent configuration : 2633 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname CiscoTEST
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 $1$LYsc$FkeFME6fu9YypeWg7/XJq.
!
no aaa new-model
clock timezone PCTime 3
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
ip cef
!
!
!
!
ip domain name yourdomain.com
!
username test privilege 15 secret 5 $1$kKdx$TG1D6F1XbJNEU4pNtkc8l1
!
!
!
!
interface Loopback0
ip address 192.168.10.1 255.255.255.0
ip route-cache policy
ip route-cache flow
!
interface FastEthernet0/0
description LAN
ip address 90.90.90.1 255.255.255.0
ip nat inside
ip route-cache policy
ip route-cache flow
duplex auto
speed auto
!
interface FastEthernet0/1
description WAN
ip address 10.190.0.1 255.255.255.0
ip nat outside
ip route-cache policy
ip route-cache flow
ip policy route-map MAP
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 90.90.90.10
ip flow-export version 5
ip flow-export destination 90.90.90.10 9996
!
ip http server
ip http authentication local
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface FastEthernet0/1 overload
!
access-list 1 permit 90.90.90.0 0.0.0.255
access-list 108 permit ip any 90.90.90.0 0.0.0.255
route-map MAP permit 10
match ip address 108
set interface Loopback0 FastEthernet0/1
!
!
control-plane
!
Смотрю как написано в мануале проверяю работу нетфло -
CiscoTEST#show route-map MAP
route-map MAP, permit, sequence 10
Match clauses:
ip address (access-lists): 108
Set clauses:
interface Loopback0 FastEthernet0/1
Policy routing matches: 74 packets, 5476 bytes
CiscoTEST#show ip cache flow | include 10.190.0.20
Fa0/1 10.190.0.20 Null 10.190.0.255 11 0089 0089 491
Fa0/1 10.190.0.20 Fa0/0 10.190.0.1 01 0000 0000 127
Fa0/0 90.90.90.25 Fa0/1 10.190.0.20 01 0000 0800 846
Fa0/1 10.190.0.20 Null 90.90.90.25 01 0000 0000 70
Почему у меня последняя строчка Null? что я сделал не так?
urrent configuration : 2633 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname CiscoTEST
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 $1$LYsc$FkeFME6fu9YypeWg7/XJq.
!
no aaa new-model
clock timezone PCTime 3
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
ip cef
!
!
!
!
ip domain name yourdomain.com
!
username test privilege 15 secret 5 $1$kKdx$TG1D6F1XbJNEU4pNtkc8l1
!
!
!
!
interface Loopback0
ip address 192.168.10.1 255.255.255.0
ip route-cache policy
ip route-cache flow
!
interface FastEthernet0/0
description LAN
ip address 90.90.90.1 255.255.255.0
ip nat inside
ip route-cache policy
ip route-cache flow
duplex auto
speed auto
!
interface FastEthernet0/1
description WAN
ip address 10.190.0.1 255.255.255.0
ip nat outside
ip route-cache policy
ip route-cache flow
ip policy route-map MAP
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 90.90.90.10
ip flow-export version 5
ip flow-export destination 90.90.90.10 9996
!
ip http server
ip http authentication local
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface FastEthernet0/1 overload
!
access-list 1 permit 90.90.90.0 0.0.0.255
access-list 108 permit ip any 90.90.90.0 0.0.0.255
route-map MAP permit 10
match ip address 108
set interface Loopback0 FastEthernet0/1
!
!
control-plane
!
Смотрю как написано в мануале проверяю работу нетфло -
CiscoTEST#show route-map MAP
route-map MAP, permit, sequence 10
Match clauses:
ip address (access-lists): 108
Set clauses:
interface Loopback0 FastEthernet0/1
Policy routing matches: 74 packets, 5476 bytes
CiscoTEST#show ip cache flow | include 10.190.0.20
Fa0/1 10.190.0.20 Null 10.190.0.255 11 0089 0089 491
Fa0/1 10.190.0.20 Fa0/0 10.190.0.1 01 0000 0000 127
Fa0/0 90.90.90.25 Fa0/1 10.190.0.20 01 0000 0800 846
Fa0/1 10.190.0.20 Null 90.90.90.25 01 0000 0000 70
Почему у меня последняя строчка Null? что я сделал не так?
Конфига циски :
interface FastEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0$$ES_LAN$$FW_INSIDE$
ip address 90.90.90.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
ip address 10.190.0.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
ip flow-export version 5
ip flow-export destination 90.90.90.10 9996
!
ip http server
ip http authentication local
ip http timeout-policy idle 60 life 86400 requests 10000
!
logging trap debugging
no cdp run
!
control-plane
Все упростил, без всяких там NAT-ов и всего такого.. она отдает netflow, судя по tcpdump по порту 9996 на машине с utm5:
root@localhost ~]# tcpdump -ni eth0 port 9996
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
10:46:07.285521 IP 90.90.90.1.53797 > 90.90.90.10.palace-5: UDP, length 120
10:46:32.284743 IP 90.90.90.1.53797 > 90.90.90.10.palace-5: UDP, length 168
10:46:52.300642 IP 90.90.90.1.53797 > 90.90.90.10.palace-5: UDP, length 120
10:47:19.283355 IP 90.90.90.1.53797 > 90.90.90.10.palace-5: UDP, length 120
10:47:45.282377 IP 90.90.90.1.53797 > 90.90.90.10.palace-5: UDP, length 216
10:47:59.281944 IP 90.90.90.1.53797 > 90.90.90.10.palace-5: UDP, length 120
10:48:12.281521 IP 90.90.90.1.53797 > 90.90.90.10.palace-5: UDP, length 72
Сам utm5.cfg скинуть? или что-то из него конкретное?
interface FastEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0$$ES_LAN$$FW_INSIDE$
ip address 90.90.90.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
ip address 10.190.0.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
ip flow-export version 5
ip flow-export destination 90.90.90.10 9996
!
ip http server
ip http authentication local
ip http timeout-policy idle 60 life 86400 requests 10000
!
logging trap debugging
no cdp run
!
control-plane
Все упростил, без всяких там NAT-ов и всего такого.. она отдает netflow, судя по tcpdump по порту 9996 на машине с utm5:
root@localhost ~]# tcpdump -ni eth0 port 9996
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
10:46:07.285521 IP 90.90.90.1.53797 > 90.90.90.10.palace-5: UDP, length 120
10:46:32.284743 IP 90.90.90.1.53797 > 90.90.90.10.palace-5: UDP, length 168
10:46:52.300642 IP 90.90.90.1.53797 > 90.90.90.10.palace-5: UDP, length 120
10:47:19.283355 IP 90.90.90.1.53797 > 90.90.90.10.palace-5: UDP, length 120
10:47:45.282377 IP 90.90.90.1.53797 > 90.90.90.10.palace-5: UDP, length 216
10:47:59.281944 IP 90.90.90.1.53797 > 90.90.90.10.palace-5: UDP, length 120
10:48:12.281521 IP 90.90.90.1.53797 > 90.90.90.10.palace-5: UDP, length 72
Сам utm5.cfg скинуть? или что-то из него конкретное?
сейчас задача основная - потестить NetUp. это все собрано на стенде, поэтому NAT - не критичен. Сейчас это как будто две локалки висят на разных портах роутера. Возможно вообще другое оборудование придется ставить в реале. Просто сейчас нужно дать ответ руководству покупать данный продукт или отказаться от него и пробывать другой биллинг.. До НГ нужно уже определится и покупать. А мы его никак настроить не можем.
Насчет аськи - все печально, нам запрещено ее юзать. могу вечером стукнуть.
Насчет аськи - все печально, нам запрещено ее юзать. могу вечером стукнуть.
А ты классы трафика заводил? В тарифе прописывал, услугу "Передача ip-трафика" привязал?DEW писал(а):сейчас задача основная - потестить NetUp. это все собрано на стенде, поэтому NAT - не критичен. Сейчас это как будто две локалки висят на разных портах роутера. Возможно вообще другое оборудование придется ставить в реале. Просто сейчас нужно дать ответ руководству покупать данный продукт или отказаться от него и пробывать другой биллинг.. До НГ нужно уже определится и покупать. А мы его никак настроить не можем.
Насчет аськи - все печально, нам запрещено ее юзать. могу вечером стукнуть.
Мне кажется твой биллинг netflow ловит, но он не попадает под правил классов трафика...
Вобщем так: стало ядро принимать netflow и вроде бы правильно все считает, но такого удалось добиться только сносом всего.... Заново поставил линукс, скуль, нетап... Сейчас буду курить маны, есть ли возможность считать отдельно по vlan-aм, как нарулить телефонию на него... Но это уже будут другие ветки)