Ограничение скорости->> Не решенные вопросы

[nagzibek]

Приветствую, всех!
Я уже обращался по данному вопросу но ни кто не смог мне помочь.
На этот раз попробую по другому объяснить ситуацию.

Есть Cisco 7206 + UTM5 на FreeBSD
На Cisco настроено VPN PPTP. Работают все службы хорошо.

Нужно сделать ограничение скорости интернета фиксированных пользователей (не VPN) с реальными IP адресами.
В данный момент скорость режется rate-limit-ом на интерфейсе привязанный на ACL для каждого пользователя на вход и выход.
Поскольку пока что у меня мало пользователей это нормально, но если их будет 400 - 500, то придется для каждого создавать rate-limit.

Как выяснилось это не выход. Думаю на этот вопрос многие ищут ответ. Надеюсь на вашу помощь и разумное решение!

[Chrst]

Есть Cisco 7206 + UTM5 на FreeBSD
На Cisco настроено VPN PPTP. Работают все службы хорошо.

Нужно сделать ограничение скорости интернета фиксированных пользователей (не VPN) с реальными IP адресами.
В данный момент скорость режется rate-limit-ом на интерфейсе привязанный на ACL для каждого пользователя на вход и выход.
Поскольку пока что у меня мало пользователей это нормально, но если их будет 400 - 500, то придется для каждого создавать rate-limit.

Как выяснилось это не выход. Думаю на этот вопрос многие ищут ответ. Надеюсь на вашу помощь и разумное решение!

А с PPPoE нет желания попробовать?
Скорость задается по каждому из тарифов, при подключении пользователя требуемые rate-limit будут отправлены на NAS, ручками на cisco ничего не надо будет делать при заведении/разведении нового абонента. IP адрес для клиента можно использовать любой: белый, серый, зеленый. Заодно и PPTP пользователей перетянете на PPPOE.

[nagzibek]

Спасибо большое вам за ответ!
А вы сами используйте у себя pppoe?
Если да, то не могли бы написать свой крнфиг Cisco?

[Chrst]

Спасибо большое вам за ответ!
А вы сами используйте у себя pppoe?
Если да, то не могли бы написать свой крнфиг Cisco?

Да, у нас PPPoE используется. В сети 3 NAS и разные технологии в отдельных сегментах сети, поэтому конфиги разные. Приводить все конфиги смысла нет, так как все настраивается по типовому мануалу. На отдельные конкретные вопросы смогу ответить.

[nagzibek]

Да, у нас PPPoE используется. В сети 3 NAS и разные технологии в отдельных сегментах сети, поэтому конфиги разные. Приводить все конфиги смысла нет, так как все настраивается по типовому мануалу. На отдельные конкретные вопрос смогу ответить.

У меня на Cisco 7206 уже настроено VPN по PPTP. просто есть безлимитные пользователи которым не нужно создавать VPN, у них должен быть постоянный интернет. Думаю есть вариант настроить их ADSL модемы на PPPoE.
Возможно ли на этой же Cisco настроить PPPOE? Не будет ли какого нибудь конфликта?

[Chrst]

У меня на Cisco 7206 уже настроено VPN по PPTP. просто есть безлимитные пользователи которым не нужно создавать VPN, у них должен быть постоянный интернет. Думаю есть вариант настроить их ADSL модемы на PPPoE.
Возможно ли на этой же Cisco настроить PPPOE? Не будет ли какого нибудь конфликта?

Теоретически должно получиться, но загрузка CPU подрастет. Кстати pptp более прожорлив нежели pppoe.

настраивается так

Код: Выделить всё

vpdn enable

но это у вас наверняка уже есть.
Дальше создаем bba группу

Код: Выделить всё

bba-group pppoe PPPOE_TERMINATE
 virtual-template 1
 sessions per-mac limit 1
 sessions per-vlan limit 65535
 sessions per-mac throttle 3 60 120
 sessions auto cleanup

И соответственно Virtual-Template

Код: Выделить всё

interface Virtual-Template1
 ip unnumbered Loopback0
 ip mtu 1492
 ip flow ingress
 ip route-cache flow
 no logging event link-status
 keepalive 5 3
 ppp disconnect-cause keepalive lost-carrier
 ppp authentication ms-chap-v2 ms-chap chap callin UTM5
 ppp authorization UTM5
 ppp accounting UTM5
 ppp timeout retry 15
 ppp timeout authentication 30
 ppp timeout idle 1800

На "терминирующем" интерфейсе

Код: Выделить всё

 pppoe enable group PPPOE_TERMINATE

Естественно надо настроить aaa для авторизации по RADIUS c UTM.

[nagzibek]

Теоретически должно получиться, но загрузка CPU подрастет. Кстати pptp более прожорлив нежели pppoe.

настраивается так

Код: Выделить всё

vpdn enable

но это у вас наверняка уже есть.
Дальше создаем bba группу

Код: Выделить всё

bba-group pppoe PPPOE_TERMINATE
 virtual-template 1
 sessions per-mac limit 1
 sessions per-vlan limit 65535
 sessions per-mac throttle 3 60 120
 sessions auto cleanup

И соответственно Virtual-Template

Код: Выделить всё

interface Virtual-Template1
 ip unnumbered Loopback0
 ip mtu 1492
 ip flow ingress
 ip route-cache flow
 no logging event link-status
 keepalive 5 3
 ppp disconnect-cause keepalive lost-carrier
 ppp authentication ms-chap-v2 ms-chap chap callin UTM5
 ppp authorization UTM5
 ppp accounting UTM5
 ppp timeout retry 15
 ppp timeout authentication 30
 ppp timeout idle 1800

На "терминирующем" интерфейсе

Код: Выделить всё

 pppoe enable group PPPOE_TERMINATE

Естественно надо настроить aaa для авторизации по RADIUS c UTM.

Спасибо за помощь!
Можно обратиться к Вам по ICQ, если возникнут вопросы?

[Chrst]

Можно обратиться к Вам по ICQ, если возникнут вопросы?

да

[starchik]

2 Chrst не знаю как на Кошке, но на Mikrotik без шифрования pptp проц грузит МЕНЬШЕ чем ppoe......