Начисление трафика на помегобайтных тарифах

[bear]

Так как купленное "Техническое сопровождение" за 300 у.е. не отвечает уже сутки(хотя написано в течении 3х часов) задам вопрос тут. Может кто нибудь поможет...

---

Версия UTM с номером сборки (например, 5.1.10-007): 5.2.1-005
Версия ОС (например, FreeBSD 5.3 или RedHat Linux 9): CentOS 5.0

Создан помегобайтный тариф с услугами "Коммутированный
доступ" и "Передача ip трафика" с включенными 3гб трафика и
с превышением по 1р мб.

Возникла проблема, что у пользователя возникает большой
минус на лицевом счете, начали разбиратся, в отчетах по
диалапу показывает, что скачано 1гб входящего трафика, а в
отчете по трафику то что скачано 7гб трафика. Сначало
грешили, что не пришел стоп пакет от NAS CISCO 7240 и сессии потерялись, но при более детальной проверке оказалось, что при присвоении "белого" ip адреса он остается за пользователем в билинге,
даже когда он отключен от VPN сервера и если из интернета на
этот адрес идет паразитный трафик, флоу скидывается в UTM и
трафик записывается на абонента. Каким образом можно решить
эту проблемму, что бы паразитный трафик не попадал на
абонента и отчеты по диалап ссесиям и по трафику сходились?

[mikkey finn]

когда человек отключается - блокировать трафик, чтоб он не попадал на абонента. Как это сделать в вашей циске - черт ее знает...

[bear]

когда человек отключается - блокировать трафик, чтоб он не попадал на абонента. Как это сделать в вашей циске - черт ее знает...

не уверен что это вариант, стоит пул цисок, на них разнесены тарифные планы юр/физ лиц, писать мегакостыль для добавления ACL причем разных и тыщами что то желания особого нет, да и кошаков это грузит тоже, кучи ACL плюс постоянное дергание по RSH

[Magnum72]

когда человек отключается - блокировать трафик, чтоб он не попадал на абонента. Как это сделать в вашей циске - черт ее знает...

не уверен что это вариант, стоит пул цисок, на них разнесены тарифные планы юр/физ лиц, писать мегакостыль для добавления ACL причем разных и тыщами что то желания особого нет, да и кошаков это грузит тоже, кучи ACL плюс постоянное дергание по RSH

перед ними поставь пограничный роутер и настрой динамическую маршрутизацию чтобы циски на которых подняты впн сессии транслировали маршруты на пограничный бордер

[bear]

перед ними поставь пограничный роутер и настрой динамическую маршрутизацию чтобы циски на которых подняты впн сессии транслировали маршруты на пограничный бордер

это вариант, спасибо за наводку, бордер стоит перед пулом ессно
подожду что мне ТП Нетапа ответит, если ничего вразумительного, то придется шаманить с динамикой...
главное чтобы бордер с такими толпами маршрутов не загнулся...

ЗЫЖ однако я не понимаю, почему нет возможности освобождать привзяку ип адреса в билинге сразу как только ссесия завершилась
ЗЫЫЖ может кто нибуть напомнит параметр для того чтобы трафик считался по радиусу, а не по флоу?

[Magnum72]

перед ними поставь пограничный роутер и настрой динамическую маршрутизацию чтобы циски на которых подняты впн сессии транслировали маршруты на пограничный бордер

это вариант, спасибо за наводку, бордер стоит перед пулом ессно
подожду что мне ТП Нетапа ответит, если ничего вразумительного, то придется шаманить с динамикой...
главное чтобы бордер с такими толпами маршрутов не загнулся...

ЗЫЖ однако я не понимаю, почему нет возможности освобождать привзяку ип адреса в билинге сразу как только ссесия завершилась
ЗЫЫЖ может кто нибуть напомнит параметр для того чтобы трафик считался по радиусу, а не по флоу?

EIGRP у нас порядка 8000 маршрутов нормально держит.. циски 7206G1|G2

нет возможности сразу освобождать потому что трафик заливается с небольшой задержкой по нетфлоу. ну и биллинг его агрегирует минут 15, иначе получится что трафика может посчитатся другому пользователю получившему этот ип.

[Arti]

Не много не в тему. Построение кластера - интересный момент.

Я не первый раз вижу использование динамической маршрутизации для маршрутизации пакетов клиента NAS входящего в кластер. Кто-нибудь побывал использовать для той же цели proxyarp ?

[ALion]

Есть пограничник cisco 6509 sup2, за ним стоит cisco 7204 npe-g2 (VPN-server). Между пограничником и ВПН-сервером eigrp, с маской /32. На ВПН коннектятся абоны и получают белый адрес.
UTM собирает с ВПН-сервера данные по флоу. Обнаружились юольшие "минуса" на счету некоторых абонентов... стали выяснять.
Обнаружилось, что начисляется трафик, при отключенной сессии, собственно WTF, есть у кого идеи?

[mikkey finn]

netflow именно с vpn собираете? или таки с пограничника?

[ALion]

netflow именно с vpn собираете? или таки с пограничника?

Собираем именно с ВПН-сервера.

[ALion]

Причем сомневаюсь, что проблема в циске, так как во-первых меняли не раз прошивки, а во-вторых пробовали с другой циской (с3825)

[Magnum72]

Причем сомневаюсь, что проблема в циске, так как во-первых меняли не раз прошивки, а во-вторых пробовали с другой циской (с3825)

У вас межабонентский трафик платный?

[ALion]

Причем сомневаюсь, что проблема в циске, так как во-первых меняли не раз прошивки, а во-вторых пробовали с другой циской (с3825)

У вас межабонентский трафик платный?

нет, не платный...
В детализации нет внутреннего трафика, только внешний.

[Magnum72]

Причем сомневаюсь, что проблема в циске, так как во-первых меняли не раз прошивки, а во-вторых пробовали с другой циской (с3825)

У вас межабонентский трафик платный?

нет, не платный...
В детализации нет внутреннего трафика, только внешний.

ну значит на 6509 стоит дефолт на 7204

[ALion]

Причем сомневаюсь, что проблема в циске, так как во-первых меняли не раз прошивки, а во-вторых пробовали с другой циской (с3825)

У вас межабонентский трафик платный?

нет, не платный...
В детализации нет внутреннего трафика, только внешний.

ну значит на 6509 стоит дефолт на 7204

На 6509 дефолт только на аплинков наших по BGP. Все белые сетки, которые выдаются абонам завернуты в нулл. Маршруты динамичеси поднимаются по eigrp...