Book creator
Добавить страницу в книгу
Добавить страницу в книгу Book creator
Удалить страницу из книги
Удалить страницу из книги 
Показать или изменить шаблон книги (
Помощь Cisco
Cisco
И снова ночь… и снова утро… и снова с Cisco камасутра
Cisco 2511
Dial-IN (Cisco 25xx)
192.168.101.1 - Default Gateway, DNS, Radius Server
! version 12.3 service config ! ! логи должны быть от настоящего времени, а не из прошлого века service timestamps debug datetime localtime service timestamps log datetime localtime ! ! имя роутера, не DNS, а то что Вы увидите в консоли hostname Router ! aaa new-model aaa authentication login default local-case aaa authentication ppp default group radius aaa authorization exec default local aaa authorization network default group radius aaa accounting delay-start !aaa accounting update periodic 1 !^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ ! данную строчку стоит добавить ЕСЛИ Ваш роутер не шлет Вам аливы ! согласно времени указанного Вами в ! Acct-Interim-Interval = 60 aaa accounting network default start-stop group radius ! ! root данной циски username admin privilege 15 password admin ! ! временная зона Вашего роутера clock timezone MSK 3 clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 2:00 ! Доступ по rsh для сбрасывания с линии клиентов ip rcmd rcp-enable ip rcmd rsh-enable ip rcmd remote-host admin 192.168.0.254 root enable no ip domain-lookup ! interface Loopback0 ip address 10.0.0.1 255.255.255.0 ! interface Ethernet0 ip address 192.168.101.2 255.255.255.224 no cdp enable ! interface Serial0 no ip address shutdown ! interface Serial1 no ip address shutdown ! interface Group-Async1 ip unnumbered Loopback0 encapsulation ppp async mode interactive peer default ip address pool default no keepalive no fair-queue ppp authentication pap callin group-range 1 16 ! ! пул адресов для юзеров ip local pool default 10.0.0.2 10.0.0.18 ! ! дефолтный роут ip route 0.0.0.0 0.0.0.0 192.168.101.1 ! ! тут мы указываем от имени какого интерфейса и соответственно его адреса ! будет ходить наша циска к RADIUS серверу за инфой ip radius source-interface Ethernet0 ! ! собсно сам RADIUS сервер ! "RADIUS_secret" заменить на свой пароль! radius-server host 192.168.101.1 auth-port 1812 acct-port 1813 key RADIUS_secret ! line con 0 exec-timeout 0 0 line 1 16 modem Dialin autoselect ppp line aux 0 ! end
Сallback
! chat-script offhook "" "ATH1" OK chat-script callback ABORT ERROR ABORT BUSY "" "ATZ" OK "AT" OK "ATDT \T" TIMEOUT 60 CONNECT \c ! ! interface Group-Async1 ip unnumbered Ethernet0 encapsulation ppp no ip route-cache async mode interactive peer default ip address pool TEST ppp callback accept ppp authentication pap group-range 1 15 ! ! line 1 script modem-off-hook offhook script callback callback modem InOut modem autoconfigure type usr_sportster transport input all autoselect ppp speed 115200 !
PPTP конфигурация
! version 12.3 service config service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname wan3.east.net.ua ! boot-start-marker boot-end-marker ! enable secret 5********************** ! username ******** privilege 15 password 0 **************** syscon address 10.0.255.3 ********* syscon shelf-id 0 aaa new-model ! ! aaa authentication login default local-case aaa authentication ppp default group radius aaa authorization exec default local aaa authorization network default group radius aaa accounting delay-start aaa accounting update periodic 5 aaa accounting network default start-stop group radius aaa pod server clients 192.168.1.12 auth-type any server-key my123456cisco aaa session-id common ip subnet-zero ip rcmd rcp-enable ip rcmd rsh-enable ip rcmd remote-host admin_123 192.168.1.12 **** enable ! ! ip cef no ip domain lookup ! vpdn enable vpdn ip udp ignore checksum ! vpdn-group PPTP ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! controller ISA 5/1 encryption mppe ! ! ! ! interface Loopback0 ip address 192.168.200.1 255.255.255.255 ! interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 192.168.1.15 255.255.255.0 duplex full speed auto ! interface Serial1/0 no ip address shutdown serial restart-delay 0 ! interface Serial1/1 no ip address shutdown serial restart-delay 0 ! interface Serial1/2 no ip address shutdown serial restart-delay 0 ! interface Serial1/3 no ip address shutdown serial restart-delay 0 ! interface Virtual-Template1 description ====== PPtP users SI ====== ip unnumbered Loopback0 no ip proxy-arp ip mroute-cache no logging event link-status no snmp trap link-status no peer default ip address no keepalive ppp encrypt mppe 40 stateful ppp authentication ms-chap chap ! ip classless ip route 0.0.0.0 0.0.0.0 192.168.1.1 ip route 10.0.0.0 255.0.0.0 10.1.1.254 ip http server no ip http secure-server ! ! ! snmp-server community public RO radius-server host 192.168.1.12 auth-port 1812 acct-port 1813 radius-server key ************** ! ! ! line con 0 transport preferred all transport output all line aux 0 transport preferred all transport output all line vty 0 4 transport preferred all transport input all transport output all ! ! end
Abills
Для установки скорости задаются RADIUS пары для тарифного плана.
/ System configuration/ Internet/
Cisco-AVpair+="lcp:interface-config#1=rate-limit output 1280000 320000 320000 conform-action transmit exceed-action drop", Cisco-AVpair+="lcp:interface-config#1=rate-limit input 128000 32000 32000 conform-action transmit exceed-action drop"
| $conf{cisco_shaper}=1; | Включает автоматическое формирование пар шейпера для cisco |
|---|
Если добавить в конфигурационный файл параметр $conf{cisco_shaper}=1; то радиус пары не нужно вписывать
Посмотреть добавились ли правила шейпера на cisco
cisco# show interfaces rate-limit
/ System configuration/ NAS/
| Type: | cisco |
|---|
:Управление:
| IP:PORT: | адрес и порт для отправки RADIUS PoD/CoA команд. (По умолчанию 3799) xxx.xxx.xxx.xxx:3799 |
|---|---|
| User: | для скидывания пользователя по rsh |
| Пароль: | Radius secret key а также для скидывания пользователя по snmp и PoD |
| RADIUS Parameters (,) | Service-Type=Framed-User,Framed-Protocol=PPP |
Принудительно завершении сессии (Скидывание)
Принудительно завершение сесии осуществляется несколькими способами используя rsh, SNMP или RADIUS PoD (Packet of Disconnect).
- для использования SNMP заполняются только поля IP адреса и пароля,
- для использования rsh поля IP адреса, логина.
- PoD используется начиная с IOS 12.1(2)XH. Для использования нужно прописать IP адрес сервера достпа и порт 1700.
Настройка Cisco
aaa pod server clients 192.168.1.12 auth-type any server-key POD_SECRET
| 192.168.1.12 | адрес с которого будет поступать пакет отключения |
|---|---|
| POD_SECRET | секретный ключ |
Дополнительная информация: RADIUS Packet of Disconnect
Шейпер нескольких классов трафика
Ограничение скорости выполняется по направлениям:
- локальный
- внешний
На маршрутизаторе прописываются acl листы с направлениями для ограничения.
Пример (указывает направление локальных ресурсов)
access-list 101 permit ip 10.10.0.0 0.0.255.255 any access-list 101 permit ip 192.168.1.0 0.0.0.248 any access-list 101 deny ip any any access-list 102 permit ip any 10.10.0.0 0.0.255.255 access-list 102 permit ip any 192.168.1.0 0.0.0.248 access-list 102 deny ip any any
Шейпинг выполняется посредством отсылки пар от радиуса к маршрутизатору.
Для этой задачи задаются RADIUS пары для тарифного плана.
/ System configuration/ Internet /Tarif Plans/
Cisco-AVpair+="lcp:interface-config#1=rate-limit output access-group 101 8000000 1000000 1000000 conform-action transmit exceed-action drop", Cisco-AVpair+="lcp:interface-config#1=rate-limit input access-group 102 8000000 1000000 1000000 conform-action transmit exceed-action drop", Cisco-AVpair+="lcp:interface-config#1=rate-limit output 512000 64000 64000 conform-action transmit exceed-action drop", Cisco-AVpair+="lcp:interface-config#1=rate-limit input 512000 64000 64000 conform-action transmit exceed-action drop"
в данном примере ограничение локального траффика на скорость 8 мегабит и внешнего на 512 килобит
Проверка активности сессиий и синхронизация с билингом
Иногда возникают внештатные ситуация когда нужно принудительно синхронизировать сессии между билингом и раутером. Для таких целей создана программа синхронизации.
# /usr/abills/libexec/billd cisco_checklines NAS_IDS=9