Radius+Cisco

[Dimson]

Всех приветствую! Запустил Radius (utm_radius), в качестве NAS сервера выступает cisco.
Создал 3 тарифных плана:

1. Unlimit 128
Radius-параметры:
а.

Код: Выделить всё

Vendor: 9
Attr: 1
Значение: lcp:interface-config#1=rate-limit input 128000 16000 16000 conform-action transmit exceed-action drop

б.

Код: Выделить всё

Vendor: 9
Attr: 1
Значение: lcp:interface-config#1=rate-limit output 128000 16000 16000 conform-action transmit exceed-action drop

2. Unlimit 256
Radius-параметры:
а.

Код: Выделить всё

Vendor: 9
Attr: 1
Значение: lcp:interface-config#1=rate-limit input 256000 32000 32000 conform-action transmit exceed-action drop

б.

Код: Выделить всё

Vendor: 9
Attr: 1
Значение: lcp:interface-config#1=rate-limit output 256000 32000 32000 conform-action transmit exceed-action drop

2. Unlimit 512
Radius-параметры:
а.

Код: Выделить всё

Vendor: 9
Attr: 1
Значение: lcp:interface-config#1=rate-limit input 512000 64000 64000 conform-action transmit exceed-action drop

б.

Код: Выделить всё

Vendor: 9
Attr: 1
Значение: lcp:interface-config#1=rate-limit output 512000 64000 64000 conform-action transmit exceed-action drop

Включаю debug radius на cisco, и вижу:

Код: Выделить всё

*Mar  6 18:06:15.113: RADIUS/ENCODE(000015E0):Orig. component type = VPDN
*Mar  6 18:06:15.113: RADIUS:  AAA Unsupported Attr: interface         [153] 14

*Mar  6 18:06:15.113: RADIUS:   55 6E 69 71 2D 53 65 73 73 2D 49 44 [Uniq-Sess-ID]
*Mar  6 18:06:15.113: RADIUS(000015E0): Storing nasport 41 in rad_db
*Mar  6 18:06:15.113: RADIUS(000015E0): Config NAS IP: 0.0.0.0
*Mar  6 18:06:15.113: RADIUS/ENCODE(000015E0): acct_session_id: 5600
*Mar  6 18:06:15.113: RADIUS(000015E0): sending
*Mar  6 18:06:15.113: RADIUS/ENCODE: Best Local IP-Address [cisco_ip] for Radius-Server [radius_ip]
*Mar  6 18:06:15.113: RADIUS(000015E0): Send Access-Request to [radius_ip]:1812 id 1645/41, len 145
*Mar  6 18:06:15.113: RADIUS:  authenticator F6 0A 5B F7 CE 83 A5 28 - 5B 48 C680 7C 63 3E 98
*Mar  6 18:06:15.113: RADIUS:  Framed-Protocol     [7]   6   PPP       [1]
*Mar  6 18:06:15.113: RADIUS:  User-Name           [1]   13  "[user_name]"
*Mar  6 18:06:15.113: RADIUS:  Vendor, Microsoft   [26]  24
*Mar  6 18:06:15.113: RADIUS:   MSCHAP_Challenge   [11]  18
*Mar  6 18:06:15.113: RADIUS:   F6 0A 5B F7 CE 83 A5 28 5B 48 C6 80 7C 63 3E 98 [??[????([H??|c>?]
*Mar  6 18:06:15.113: RADIUS:  Vendor, Microsoft   [26]  58
*Mar  6 18:06:15.113: RADIUS:   MS-CHAP-V2-Response[25]  52  *
*Mar  6 18:06:15.113: RADIUS:  NAS-Port-Type       [61]  6   Virtual       [5]
*Mar  6 18:06:15.113: RADIUS:  NAS-Port            [5]   6   41

*Mar  6 18:06:15.113: RADIUS:  Service-Type        [6]   6   Framed       [2]
*Mar  6 18:06:15.113: RADIUS:  NAS-IP-Address      [4]   6   [cisco_ip]

*Mar  6 18:06:15.117: RADIUS: Received from id 1645/41 192.168.10.20:1812, Access-Accept, len 641
*Mar  6 18:06:15.117: RADIUS:  authenticator 31 67 95 BC 8D 8E 3D 79 - FF 0D 6868 91 C9 7B 59
*Mar  6 18:06:15.117: RADIUS:  Service-Type        [6]   6   Framed       [2]
*Mar  6 18:06:15.117: RADIUS:  Framed-Protocol     [7]   6   PPP       [1]
*Mar  6 18:06:15.117: RADIUS:  Framed-IP-Address   [8]   6   [ip_pool]

*Mar  6 18:06:15.117: RADIUS:  Framed-IP-Netmask   [9]   6   255.255.255.255

*Mar  6 18:06:15.117: RADIUS:  Session-Timeout     [27]  6   86400

*Mar  6 18:06:15.117: RADIUS:  Vendor, Cisco       [26]  109
*Mar  6 18:06:15.117: RADIUS:   Cisco AVpair       [1]   103 "lcp:interface-config#1=rate-limit input 256000 32000 32000 conform-action transmit exceed-action drop"
*Mar  6 18:06:15.121: RADIUS:  Vendor, Cisco       [26]  110
*Mar  6 18:06:15.121: RADIUS:   Cisco AVpair       [1]   104 "lcp:interface-config#1=rate-limit output 256000 32000 32000 conform-action transmit exceed-actiondrop"
*Mar  6 18:06:15.121: RADIUS:  Vendor, Cisco       [26]  106
*Mar  6 18:06:15.121: RADIUS:   Cisco AVpair       [1]   100 "lcp:interface-config#1=rate-limit input 64000 8000 8000 conform-action transmit exceed-action drop
"
*Mar  6 18:06:15.121: RADIUS:  Vendor, Cisco       [26]  107
*Mar  6 18:06:15.121: RADIUS:   Cisco AVpair       [1]   101 "lcp:interface-config#1=rate-limit output 64000 8000 8000 conform-action transmit exceed-action drop"
*Mar  6 18:06:15.121: RADIUS:  Vendor, Microsoft   [26]  12
*Mar  6 18:06:15.121: RADIUS:   MS-MPPE-Enc-Policy [7]   6
*Mar  6 18:06:15.121: RADIUS:   00 00 00 [???]
*Mar  6 18:06:15.121: RADIUS:  Vendor, Microsoft   [26]  12
*Mar  6 18:06:15.121: RADIUS:   MS-MPPE-Enc-Type   [8]   6
*Mar  6 18:06:15.121: RADIUS:   00 00 00 [???]
*Mar  6 18:06:15.121: RADIUS:  Vendor, Microsoft   [26]  42
*Mar  6 18:06:15.121: RADIUS:   MS-MPPE-Send-Key   [16]  36  *
*Mar  6 18:06:15.121: RADIUS:  Vendor, Microsoft   [26]  42
*Mar  6 18:06:15.121: RADIUS:   MS-MPPE-Recv-Key   [17]  36  *
*Mar  6 18:06:15.121: RADIUS:  Vendor, Microsoft   [26]  51
*Mar  6 18:06:15.121: RADIUS:   MS-CHAP-V2-Success [26]  45  "S=DC2A70EF5842E0E7BD2DBE7B745DFDEE63C85E00"
*Mar  6 18:06:15.121: RADIUS(000015E0): Received from id 1645/41

#show interfaces rate-limit

Код: Выделить всё

Virtual-Access2
  Input
    matches: all traffic
      params:  256000 bps, 32000 limit, 32000 extended limit
      conformed 80 packets, 6642 bytes; action: transmit
      exceeded 0 packets, 0 bytes; action: drop
      last packet: 84ms ago, current burst: 0 bytes
      last cleared 00:00:27 ago, conformed 1000 bps, exceeded 0 bps
    matches: all traffic
      params:  64000 bps, 8000 limit, 8000 extended limit
      conformed 0 packets, 0 bytes; action: transmit
      exceeded 0 packets, 0 bytes; action: drop
      last packet: 499016420ms ago, current burst: 0 bytes
      last cleared 00:00:27 ago, conformed 0 bps, exceeded 0 bps
  Output
    matches: all traffic
      params:  256000 bps, 32000 limit, 32000 extended limit
      conformed 0 packets, 0 bytes; action: transmit
      exceeded 0 packets, 0 bytes; action: drop
      last packet: 499016424ms ago, current burst: 0 bytes
      last cleared 00:00:27 ago, conformed 0 bps, exceeded 0 bps
    matches: all traffic
      params:  64000 bps, 8000 limit, 8000 extended limit
      conformed 0 packets, 0 bytes; action: transmit
      exceeded 0 packets, 0 bytes; action: drop
      last packet: 499060808ms ago, current burst: 0 bytes
      last cleared 00:01:12 ago, conformed 0 bps, exceeded 0 bps

Собственно вопрос:
Откуда появились

Код: Выделить всё

params:  64000 bps, 8000 limit, 8000 extended limit

Код: Выделить всё

params:  64000 bps, 8000 limit, 8000 extended limit

Не совсем уверен, что правильные атрибуты передаю циске, возможно в этом ошибка... Скорость на 128 кбит/с нормальная, т.е. до 128 кбит/с, но вот на Тарифах 256 и 512, иногда превышает, например на Тарифе 256 тестирую, проскакивает 257 Кбит/с, 261 Кбит/с (Больше 256) На 512 аналогично, не на много но превышает!
Тестировал с помощью iperf

[Chris]

- Папа, а солнце почему утром на востоке встает
- Это работает? Ты проверял?
- Да
- Сынок, не трогай это

[bear]

2Chris +1

А по теме: шамань с берстом, если хочешь чтобы тютелька в тютельку, хотя всякие спидтесты и прочие яндексспиды один хрен всяку лажу показывать будут.

формула расчета берста
normal burst = configured rate * (1 byte)/(8 bits) * 1.5 seconds
extended burst = 2 * normal burst

http://www.cisco.com/en/US/docs/ios/12_ ... fcmd8.html

ЗЫЖ у нас негласные +10% к каналу дается на тарифах с ограничением скорости, абоненты довольны... СМИ под маркой ОБС работает, типа у нас скорость чуть выше чем у конкурентов...

[Dimson]

Благодарю за ответ.
Есть ещё вопрос...
Существует ли такая возможность, чтобы скорость интернет трафика для пользователей ограничивалась в соответствии с ТП, а скорость внутренней сети для пользователей, которые подключат соответствующую услугу, не ограничивалась?
В связке с Freeradius+MPD4+[Биллинг_не_UTM] у меня это работало, причем без всяких на то усилий, т.е. смысл, что ограничение по скорости, выставленное для абонента имеет больший приоритет, чем скорость выставленная в ТП. Соответственно в ТП я выделял внутреннюю сеть и не выставлял ограничения. Когда подключал ТП абоненту, ему выставлял ограничение, например 256 кбит/с, если абонент подключает услугу (снятие ограничения по скорости для внутр. ресурсов), я убирал ограничение привязанное к логину, и соответственно ограничивался только интернет трафик, согласно тарифному плану.
Интересует возможность реализации в связке UTM5+Radius(UTM)+Cisco

[Chrst]

Собственно вопрос:
Откуда появились

Код: Выделить всё

params:  64000 bps, 8000 limit, 8000 extended limit

Код: Выделить всё

params:  64000 bps, 8000 limit, 8000 extended limit

Скорее всего атрибуты передаются два раза (оставшись от экспериментов ). Не нужный удалить. Радиус атрибуты можно нарезать как услуге входящей в тарифный план, так и непосредственно на пользователе.

Не совсем уверен, что правильные атрибуты передаю циске, возможно в этом ошибка... Скорость на 128 кбит/с нормальная, т.е. до 128 кбит/с, но вот на Тарифах 256 и 512, иногда превышает, например на Тарифе 256 тестирую, проскакивает 257 Кбит/с, 261 Кбит/с (Больше 256) На 512 аналогично, не на много но превышает!
Тестировал с помощью iperf

За реакцию на превышение отвечают параметры burst 64000 bps, 8000 limit, 8000 extended limit. Формулы приведены выше.

[Dimson]

Скорее всего атрибуты передаются два раза (оставшись от экспериментов ). Не нужный удалить. Радиус атрибуты можно нарезать как услуге входящей в тарифный план, так и непосредственно на пользователе.

хм. Действительно экспериментировал именно с этими параметрами... Удалить? Откуда именно?

За реакцию на превышение отвечают параметры burst 64000 bps, 8000 limit, 8000 extended limit. Формулы приведены выше.

Благодарю, с этим все понятно =)

[Dimson]

Есть ли возможность, с помощью услуги передачи IP-трафика, реализовать ночной безлимит?
Чтобы днем Радиус не авторизовывал, а ночью все работало...

[mikkey finn]

на фре могу сказать как. Для тарифа заводится отдельное правило, в котором все адреса суются в таблицу. Ночью эта таблица может выходить в инет, днем - нет. На циске - хз.

[Dimson]

на фре могу сказать как. Для тарифа заводится отдельное правило, в котором все адреса суются в таблицу. Ночью эта таблица может выходить в инет, днем - нет. На циске - хз.

Такой вариант уже запущен... (Чуть выше писал связку) Сейчас все необходимо закрутить через циску...
P.S. Кто нибудь реализовал проверку по IP-адресу (т.е. Cid который устанавливается в сервисной связке услуги передачи IP-трафика)?

[Dimson]

Возможно ограничивать локальный трафик, скажем акцесс-листом...
Например:

Код: Выделить всё

lcp:interface-config#1=rate-limit input access-group 110 20000000 3750000 7500000 conform-action transmit exceed-action drop

А в ACL перечислить разрешенные сети
Интернет ограничивать так:

Код: Выделить всё

lcp:interface-config#1=rate-limit input 128000 16000 16000 conform-action transmit exceed-action drop

В этом случае, выглядит вот так:

Код: Выделить всё

Virtual-Access2
  Input
    matches: access-group 110
      params:  20000000 bps, 3750000 limit, 7500000 extended limit
      conformed 35 packets, 1614 bytes; action: transmit
      exceeded 0 packets, 0 bytes; action: drop
      last packet: 472ms ago, current burst: 0 bytes
      last cleared 00:00:11 ago, conformed 1000 bps, exceeded 0 bps
    matches: all traffic
      params:  128000 bps, 16000 limit, 16000 extended limit
      conformed 26 packets, 3516 bytes; action: transmit
      exceeded 0 packets, 0 bytes; action: drop
      last packet: 744ms ago, current burst: 0 bytes
      last cleared 00:00:11 ago, conformed 2000 bps, exceeded 0 bps
  Output
    matches: access-group 120
      params:  20000000 bps, 3750000 limit, 7500000 extended limit
      conformed 0 packets, 0 bytes; action: transmit
      exceeded 0 packets, 0 bytes; action: drop
      last packet: 1364ms ago, current burst: 0 bytes
      last cleared 00:00:37 ago, conformed 0 bps, exceeded 0 bps
    matches: all traffic
      params:  128000 bps, 16000 limit, 16000 extended limit
      conformed 0 packets, 0 bytes; action: transmit
      exceeded 0 packets, 0 bytes; action: drop
      last packet: 1111786092ms ago, current burst: 0 bytes
      last cleared 00:00:38 ago, conformed 0 bps, exceeded 0 bps

Может есть подобный вариант, так как этот не проходит, т.е. ограничивает все сети Для IP-адресов, указанных в ACL.
P.S. Основная задача в том, чтобы скорость внутренних ресурсов не ограничивалась скоростью интернета, например интернет 128 кбит/сек, а внутр. сеть 20 Мбит/сек... Но не для всех пользователей, а только тем, у которых подключена определенная услуга.

[Chris]

Кстати с ACL уже лучше, но всё равно на кошках процессор маленький, а там требуется работа именно с тимингами на камне... Вообщем от лукавого всё это.

Кстати про безотказную работу циски... у меня второй раз умирает гигабитный каталист.. скидывает конфиги скотина.. Много ли мало на нём висит портал гос закупок...

[Dimson]

Кстати с ACL уже лучше, но всё равно на кошках процессор маленький, а там требуется работа именно с тимингами на камне... Вообщем от лукавого всё это.

В данный момент у меня на FreeBSD+MPD4+FreeRadius все закручено, но есть некоторая нестабильность в работе. По началу все прекрасно работало...
Недавно радиус стал дублировать процессы, в логах ничего по этому поводу не нашел... Запустил в однопоточном режиме, временно...
MPD тоже начал дублировать, но реже... ~раз в неделю.
Конфиги все перенастраивал, менял... ничего не помогает.
Софт весь нужно с нуля ставить...
В итоге пробую все закрутить через циску

Кстати про безотказную работу циски... у меня второй раз умирает гигабитный каталист.. скидывает конфиги скотина.. Много ли мало на нём висит портал гос закупок...

Может бракованная каталиста? Или неудачная подделка?
У меня подобное было с Zyxel GS-3012, но зюхель не циска