cisco rate limit и биллинг

[detx]

Есть абонент у которого режеться скороть на циско передаюсть радиус параметры

Код: Выделить всё

lcp:interface-config#1=rate-limit input 128000 8000 8000 conform-action transmit exceed-action drop
lcp:interface-config#1=rate-limit input 128000 8000 8000 conform-action transmit exceed-action drop

show int rate limit для этого абонента

Код: Выделить всё

Virtual-Access14
  Input
    matches: all traffic
      params:  128000 bps, 8000 limit, 8000 extended limit
      conformed 472263 packets, 44759738 bytes; action: transmit
      exceeded 529 packets, 399880 bytes; action: drop
      last packet: 38180ms ago, current burst: 0 bytes
      last cleared 19:33:39 ago, conformed 5084 bps, exceeded 45 bps
  Output
    matches: all traffic
      params:  128000 bps, 8000 limit, 8000 extended limit
      conformed 536077 packets, 751015001 bytes; action: transmit
      exceeded 280480 packets, 421576784 bytes; action: drop
      last packet: 38184ms ago, current burst: 0 bytes
      last cleared 19:33:39 ago, conformed 85318 bps, exceeded 47893 bps

И он как то умудряется выкачивать за час если смотреть в биллиге 130 метров
хоть если посчитать то реально выкачать только 50 с хвостиком.
Что не так никак не могу понять(

[bear]

реально выкачивает?
мож у него мусор на ip адрес сыпится?
что за циска? конфиг дай поглядеть
speedtest.net - показывает реальную скорость?

[detx]

cisco 7201
конфиг

Код: Выделить всё

!
upgrade fpd auto
version 12.2
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname 
boot-start-marker
boot-end-marker
!
enable secret
!
aaa new-model
!
!
aaa authentication ppp pppoe group radius
aaa authorization network default group radius 
aaa accounting network default start-stop group radius
!
!
!
!
aaa session-id common
ip subnet-zero
ip cef
!
!
ip name-server 
ip name-server 
no ip dhcp use vrf connected
!
!
!
!
call rsvp-sync
no scripting tcl init
no scripting tcl encdir
!
!
!
!
!
no file verify auto
username tech password
!
!
bba-group pppoe PPPoE_Clients
 virtual-template 1
!
!
interface Loopback100
 ip address 
!
interface FastEthernet0/0
 no ip address
 shutdown
 speed auto
 duplex auto
!
interface GigabitEthernet0/0
 ip address 
 ip flow ingress
 media-type rj45
 speed auto
 duplex auto
 negotiation auto
!
interface GigabitEthernet0/0.9
 description 
 encapsulation dot1Q 9
 ip address 
 ip flow ingress
 no cdp enable
!
interface GigabitEthernet0/1
 no ip address
 media-type rj45
 speed auto
 duplex auto
 negotiation auto
!
interface GigabitEthernet0/1.2
 description --- For Radius Server ---
 encapsulation dot1Q 2
 ip address 192.168.45.1 255.255.255.240
 no cdp enable
!
interface GigabitEthernet0/1.3
 description -
 encapsulation dot1Q 3
 ip address 
 no cdp enable
!
interface GigabitEthernet0/1.111
 description --- PPPoE Clients ---
 encapsulation dot1Q 111
 pppoe enable group PPPoE_Clients
 no cdp enable
!
interface GigabitEthernet0/1.201
 description 
 encapsulation dot1Q 201
 ip address 
 no cdp enable
!
interface GigabitEthernet0/1.202
 description ---ICS---
 encapsulation dot1Q 202
 ip address 
 no cdp enable
!
interface GigabitEthernet0/2
 no ip address
 shutdown
 speed auto
 duplex auto
 negotiation auto
!
interface GigabitEthernet0/3
 no ip address
 shutdown
 speed auto
 duplex auto
 negotiation auto
!
interface Virtual-Template1
 mtu 1492
 ip unnumbered Loopback100
 ip mtu 1492
 peer default ip address pool PPPoE_Pool
 ppp authentication chap pppoe
!

!
ip local pool PPPoE_Pool 
ip classless
ip route 
ip route 
ip route 
ip route 
ip route 
ip flow-export version 5
ip flow-export destination 192.168.45.10 9996
!
no ip http server
!
ip as-path access-list 1 permit ^$
!
!

!
ip access-list standard RemoteAccessToRouter
 permit 
 remark Access-list for Remote Access to Router
 permit 
ip access-list standard no
access-list 40 permit 
no cdp run
!

!

!
snmp-server community public RO 40
!
radius-server host 192.168.45.10 auth-port 1812 acct-port 1813
radius-server key 7 
control-plane
!
!
!
dial-peer cor custom
!
!
!
!
gatekeeper
 shutdown
!
!
line con 0
 stopbits 1
line aux 0
 stopbits 1
line vty 0 4
 access-class RemoteAccessToRouter in
!
end

Через спид тест не проверял
по поводу реально выкачивает или нет не проверял, но за месяц 30 гиг8ов за предыдущий накачал,хотя подключен не постоянно

[bear]

interface GigabitEthernet0/0
ip address
ip flow ingress
media-type rj45
speed auto
duplex auto
negotiation auto
!
вот это мне не нравится если чесно, имхо срань из инета сыпится на его адрес
опять же мое имхо - лучше перенести ip flow ingress в темплейт и сделать его egress`ом
кусок из моего конфига
interface Virtual-Template1
ip unnumbered GigabitEthernet0/1
ip flow egress
ip tcp header-compression
no logging event link-status
autodetect encapsulation ppp
peer default ip address pool mainpool
keepalive 32767
ppp authentication ms-chap-v2 chap pap ms-chap eap


адресация белая? натинг вроде как в конфиге нет...

[detx]

Адресация белая. Мусор конечно имеется, Когда он не подключен в среднем мусора 0.0030 мегабайта. а тут вдруг за час метров на 80 больше, когда он подключен какие -то нестыковочки(((

[Chrst]

Адресация белая. Мусор конечно имеется, Когда он не подключен в среднем мусора 0.0030 мегабайта. а тут вдруг за час метров на 80 больше, когда он подключен какие -то нестыковочки(((

Авторизация у вас PPPoE, адреса раздаются из пула. Кто знает, но вполне возможен вариант, когда один логин разом пользуется с двух (а может более) машин. Вот и потребление вдвое больше чем мог бы. Это гипотетически, но проверить стоит

[detx]

проверял такого нет

[bear]

если размышлять логически, у тебя рейтлимит стоит на интерфейсе виртуал аксесс, ингресс стоит на интерфейсе который смотрит на аплинка насколько я понял
тем самым у тебя флоу снимается на интерфейсе который смотрит на аплинка, а там скорость не лимитирована, до него доходит на полной скорости, если это трафик удп, например торрент, то скорость резатся будет только на интерфейсе виртуал акссес, по этому и набегает куча трафика

ЗЫЖ может конечно после вчерашнего я бредю, но имхо так как я написал выше