ASR1002x + PPPoE

[And_Z]

Всем доброго времени суток!

Прошу сильно не пинать, т.к. с таким ПО сталкиваюсь впервые. Перерыл весь форум, информация отрывками собралась вроде бы, но результата нет. Прошу помочь кто сталкивался. Собственно проблема: появилась новая железка ASR1002x, которая упорно не хочет работать в связке с UTM. Так же сейчас стоит NAS Cisco 7206VXR которая прекрасно работает. Конфиг был частично перенесен на новую железку. Проблема в том, что ASR1002x не знает команду rate-limit, опираясь на собраную инфу на форуме, было опробовано реализовать на ASR1002x зарезание трафика на интерфейсе через policy-map. На UTM в атрибутах радиуса установлено(но пробовались и другие варианты) ip:sub-qos-policy-out=1000(название policy-map). В итоге клиент подключается к NAS (ASR1002x), но политика не применяется, так же клиент не пингует ничего кроме NAS.

Interface User Mode Idle Peer Address
Vi2.1 test3 PPPoE - xxx.xxx.68.3


Имеем UTM5 версия 3.0, IP статика которая отдается с него же, PPPoE на ASR1002x. Версия IOS - asr1002x-universalk9.03.11.00.S.154-1.S-std.SPA.bin

Нужно чтобы при подключении и создании клиентской сессии, скорость на канале резалась согласно тарифного плана.

Частичный кофиг с циски


aaa group server radius rad_pppoe
server-private xxx.xxx.xxx.248 auth-port 1812 acct-port 1813 key xxxxxxxxxxx
ip radius source-interface Loopback0
!
aaa authentication login local_authen local
aaa authentication ppp PPPoE group rad_pppoe
aaa authorization exec default local
aaa authorization network PPPoE group rad_pppoe
aaa accounting delay-start
aaa accounting update periodic 1
aaa accounting network PPPoE start-stop group rad_pppoe
!
!
!
!
aaa server radius dynamic-author
client xxx.xxx.xxx.248
server-key xxxxx
auth-type any
!
aaa session-id common
aaa policy interface-config allow-subinterface
!
!
subscriber templating
multilink bundle-name authenticated
vpdn enable
!
!
class-map match-all CHANNELS
match any
!
policy-map 1000
class CHANNELS
police cir 800000 bc 1000000 be 10000
!
!
bba-group pppoe global
virtual-template 1
sessions max limit 1500
sessions per-mac limit 1
sessions per-mac throttle 10 60 300
sessions auto cleanup
!
!
interface GigabitEthernet0/0/1.204
encapsulation dot1Q 204
ip address 172.18.0.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
pppoe enable group global
!
!
interface Virtual-Template1
mtu 1492
ip unnumbered Loopback0
no ip route-cache same-interface
no peer default ip address
ppp authentication chap callin PPPoE
ppp authorization PPPoE
ppp accounting PPPoE
ppp ipcp dns xxx.xxx.xxx.117 8.8.8.8
ppp ipcp address required
ppp ipcp address unique
!
ip forward-protocol nd
!
!
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.133
!
!
radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
radius-server configure-nas
radius-server host xxx.xxx.xxx.248 auth-port 1812 acct-port 1813
radius-server timeout 30
radius-server directed-request
radius-server key xxxxxx
!
!

[TiRider]

Попробуй по аналогии

Код: Выделить всё

aaa group server radius UTM
 server-private 10.10.20.2 auth-port 1812 acct-port 1813 key 7 "secret pass"

!
aaa authentication username-prompt "Login: "
aaa authentication login default local
aaa authentication login UTM group UTM
aaa authentication ppp default if-needed group UTM
aaa authentication ppp UTM if-needed group UTM
aaa authorization exec default local
aaa authorization network default group UTM
aaa authorization network UTM group UTM
aaa accounting delay-start
aaa accounting update periodic 5
aaa accounting exec default
 action-type none
!
aaa accounting network default
 action-type start-stop
 group UTM
!
aaa accounting network UTM
 action-type start-stop
 group UTM
!
multilink bundle-name authenticated
!
virtual-template 2 pre-clone 1500

Делаем class-map: (вообще кроме это класс мапа, я делаю общий и вешаю его на Uplink от магистрала, дабы маркировать трафик от коммутатора на всем пути, чтобы тарифы не скакали)

Код: Выделить всё

class-map match-all INTERNET.10M
 match ip precedence 6

Заводим policy-map: (тариф на uplink/downlink 10 Мбит)

Код: Выделить всё

policy-map 10Mout
 class INTERNET.10M
   police cir 10240000 bc 1920000 be 3840000
policy-map 10Min
 class class-default
   police cir 10240000 bc 1920000 be 3840000

Далее заводим bba-group:

Код: Выделить всё

bba-group pppoe company_name
 virtual-template 2
 mac-address 00xx.c7xx.0519
 sessions per-mac limit 1
 sessions per-vlan limit 1500
 sessions auto cleanup

Делаем Loop:

Код: Выделить всё

interface Loopback0
 ip address 91.xx.xx.254 255.255.255.255

Далее на саб-интерфейсе смотрящем в сторону абонентов:

Код: Выделить всё

pppoe enable group company_name

Virtual-Template:

Код: Выделить всё

interface Virtual-Template2
 description PPPoE
 ip unnumbered Loopback0
 ip verify unicast reverse-path
 ip mtu 1492
 ip flow ingress
 ip tcp adjust-mss 1452
 autodetect encapsulation ppp
 snmp trap ip verify drop-rate
 peer default ip address pool PPtPinet
 ppp authentication ms-chap-v2 ms-chap chap UTM
 ppp authorization UTM
 ppp accounting UTM
 ppp ipcp dns 91.xx.xx.1

Сам пул с которого нужно выдавать ip (у меня он белый, можно реализовать и через NAT):

Код: Выделить всё

ip local pool PPtPinet 91.xx.xx.1 91.xx.xx.253

Код: Выделить всё

radius-server attribute nas-port format d
radius-server vsa send accounting
radius-server vsa send authentication

В утм, в сервисной связке Коммутируемый доступ - Radius атрибуты:

Код: Выделить всё

ID вендора - 9, ID атрибута - 1, тип - строка, использовать в: Access-Accept, значение на in - ip:sub-qos-policy-in=10Min, на out - ip:sub-qos-policy-out=10Mout

Если ничего не забыл, то по идеи должно заработать. Удачи.

[And_Z]

TO TiRider Спасибо , сейчас попробую... отпишусь.

и еще не понятно: использовать в: Access-Accept - это что или где ?((

[TiRider]

TO TiRider Спасибо , сейчас попробую... отпишусь.

и еще не понятно: использовать в: Access-Accept - это что или где ?((

Пожалуйста.

Держи.

[And_Z]

А меня такой штуки нет (. Есть ID вендора, есть ID атрибута и значение.

Посмотрел конфиг, практически такой же как я выложил, за исключением :

radius-server attribute nas-port format d
radius-server vsa send accounting
radius-server vsa send authentication

и в Virtual-Temlate у меня не было ip verify unicast reverse-path и autodetect encapsulation ppp

Добавил конфиг , не пашет ((((

Посмотрел логи в циске и вот что увидел

%FMANRP_ESS-4-WRNEVENT2: Ignoring Invalid ESS Segment: ESS segment/signature (0x0 / 0x0)
-Traceback= 1#a4b0558dc4c991866b6f03224c7ad3de :400000+147C411 :400000+6BF702A :400000+6BF5955 :400000+6CA6A57 :400000+31C9733 :400000+31CACCB :400000+327BE42 :400000+31F9AD0 :400000+80BAD41 :400000+80BE694 :400000+80BD8A4 :400000+80BD3F2 :400000+80BD269 :400000+3622A00 :400000+85BBEDC :400000+85BBFA7

Сижу ищу что эта **** значит и как ее побороть

[TiRider]

А меня такой штуки нет (. Есть ID вендора, есть ID атрибута и значение.

Посмотрел конфиг, практически такой же как я выложил, за исключением :

radius-server attribute nas-port format d
radius-server vsa send accounting
radius-server vsa send authentication

и в Virtual-Temlate у меня не было ip verify unicast reverse-path и autodetect encapsulation ppp

Добавил конфиг , не пашет ((((

Посмотрел логи в циске и вот что увидел

%FMANRP_ESS-4-WRNEVENT2: Ignoring Invalid ESS Segment: ESS segment/signature (0x0 / 0x0)
-Traceback= 1#a4b0558dc4c991866b6f03224c7ad3de :400000+147C411 :400000+6BF702A :400000+6BF5955 :400000+6CA6A57 :400000+31C9733 :400000+31CACCB :400000+327BE42 :400000+31F9AD0 :400000+80BAD41 :400000+80BE694 :400000+80BD8A4 :400000+80BD3F2 :400000+80BD269 :400000+3622A00 :400000+85BBEDC :400000+85BBFA7

Сижу ищу что эта **** значит и как ее побороть

У меня просто 5.3 уже стоит. У тебя 5.2 если, то тогда ничего не нужно.
Только вендор, строку и все.

Включи debug pppoe и пробуй авторизоваться, что он там тебе показывает.

[TiRider]

%FMANRP_ESS-4-WRNEVENT2: Ignoring Invalid ESS Segment: ESS segment/signature (0x0 / 0x0)
-Traceback= 1#a4b0558dc4c991866b6f03224c7ad3de :400000+147C411 :400000+6BF702A :400000+6BF5955 :400000+6CA6A57 :400000+31C9733 :400000+31CACCB :400000+327BE42 :400000+31F9AD0 :400000+80BAD41 :400000+80BE694 :400000+80BD8A4 :400000+80BD3F2 :400000+80BD269 :400000+3622A00 :400000+85BBEDC :400000+85BBFA7

http://www.cisco.com/c/en/us/td/docs/io ... _2_2s.html
Может натолкнет. Сам не сталкивался. У меня почти сразу завелся PPPoE и авторизация проходила нормально.

[And_Z]

При дебаге вылезло вот что

Feb 18 09:43:59.117: [104]PPPoE 104: Error adjusting nas port format did
Feb 18 09:43:59.117: [104]PPPoE 104 <Gi0/0/1.204:204>: Unable to add line attributes from ANCP
Feb 18 09:43:59.117: [104]PPPoE 104: Unable to Add ANCP Line attributes to the PPPoE Authen attributes

Судя по всему те опции в атрибутах RADUS' а (Access-Accept, CoA-Reqest) все же нужны. Интересно их как-то можно вручную прописать в UTM?

[TiRider]

При дебаге вылезло вот что

Feb 18 09:43:59.117: [104]PPPoE 104: Error adjusting nas port format did
Feb 18 09:43:59.117: [104]PPPoE 104 <Gi0/0/1.204:204>: Unable to add line attributes from ANCP
Feb 18 09:43:59.117: [104]PPPoE 104: Unable to Add ANCP Line attributes to the PPPoE Authen attributes

Судя по всему те опции в атрибутах RADUS' а (Access-Accept, CoA-Reqest) все же нужны. Интересно их как-то можно вручную прописать в UTM?

http://forum.nag.ru/forum/index.php?showtopic=97397

[Shiva]

9
251
QU;31457280;15728640;D;31457280;15728640

[And_Z]

TO Shiva Не понял как использовать 3 строку и что она значит? [/quote]

[TiRider]

TO Shiva Не понял как использовать 3 строку и что она значит?

"QU;committed-rate;normal-burst;excess-burst;D;committed-rate;normal-burst;excess-burst

http://www.cisco.com/c/en/us/td/docs/io ... s-pol.html