=====Cisco===== [[http://www.cisco.com| Cisco ]]\\ ''И снова ночь... и снова утро... и снова с Cisco камасутра'' =====Cisco 2511===== {{http://abills.net.ua/img/cisco2500.gif}} ====Dial-IN (Cisco 25xx)==== **192.168.101.1** - Default Gateway, DNS, Radius Server ! version 12.3 service config ! ! логи должны быть от настоящего времени, а не из прошлого века service timestamps debug datetime localtime service timestamps log datetime localtime ! ! имя роутера, не DNS, а то что Вы увидите в консоли hostname Router ! aaa new-model aaa authentication login default local-case aaa authentication ppp default group radius aaa authorization exec default local aaa authorization network default group radius aaa accounting delay-start !aaa accounting update periodic 1 !^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ ! данную строчку стоит добавить ЕСЛИ Ваш роутер не шлет Вам аливы ! согласно времени указанного Вами в ! Acct-Interim-Interval = 60 aaa accounting network default start-stop group radius ! ! root данной циски username admin privilege 15 password admin ! ! временная зона Вашего роутера clock timezone MSK 3 clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 2:00 ! Доступ по rsh для сбрасывания с линии клиентов ip rcmd rcp-enable ip rcmd rsh-enable ip rcmd remote-host admin 192.168.0.254 root enable no ip domain-lookup ! interface Loopback0 ip address 10.0.0.1 255.255.255.0 ! interface Ethernet0 ip address 192.168.101.2 255.255.255.224 no cdp enable ! interface Serial0 no ip address shutdown ! interface Serial1 no ip address shutdown ! interface Group-Async1 ip unnumbered Loopback0 encapsulation ppp async mode interactive peer default ip address pool default no keepalive no fair-queue ppp authentication pap callin group-range 1 16 ! ! пул адресов для юзеров ip local pool default 10.0.0.2 10.0.0.18 ! ! дефолтный роут ip route 0.0.0.0 0.0.0.0 192.168.101.1 ! ! тут мы указываем от имени какого интерфейса и соответственно его адреса ! будет ходить наша циска к RADIUS серверу за инфой ip radius source-interface Ethernet0 ! ! собсно сам RADIUS сервер ! "RADIUS_secret" заменить на свой пароль! radius-server host 192.168.101.1 auth-port 1812 acct-port 1813 key RADIUS_secret ! line con 0 exec-timeout 0 0 line 1 16 modem Dialin autoselect ppp line aux 0 ! end ===Сallback=== ! chat-script offhook "" "ATH1" OK chat-script callback ABORT ERROR ABORT BUSY "" "ATZ" OK "AT" OK "ATDT \T" TIMEOUT 60 CONNECT \c ! ! interface Group-Async1 ip unnumbered Ethernet0 encapsulation ppp no ip route-cache async mode interactive peer default ip address pool TEST ppp callback accept ppp authentication pap group-range 1 15 ! ! line 1 script modem-off-hook offhook script callback callback modem InOut modem autoconfigure type usr_sportster transport input all autoselect ppp speed 115200 ! ====PPTP конфигурация==== ! version 12.3 service config service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname wan3.east.net.ua ! boot-start-marker boot-end-marker ! enable secret 5********************** ! username ******** privilege 15 password 0 **************** syscon address 10.0.255.3 ********* syscon shelf-id 0 aaa new-model ! ! aaa authentication login default local-case aaa authentication ppp default group radius aaa authorization exec default local aaa authorization network default group radius aaa accounting delay-start aaa accounting update periodic 5 aaa accounting network default start-stop group radius aaa pod server clients 192.168.1.12 auth-type any server-key my123456cisco aaa session-id common ip subnet-zero ip rcmd rcp-enable ip rcmd rsh-enable ip rcmd remote-host admin_123 192.168.1.12 **** enable ! ! ip cef no ip domain lookup ! vpdn enable vpdn ip udp ignore checksum ! vpdn-group PPTP ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! controller ISA 5/1 encryption mppe ! ! ! ! interface Loopback0 ip address 192.168.200.1 255.255.255.255 ! interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 192.168.1.15 255.255.255.0 duplex full speed auto ! interface Serial1/0 no ip address shutdown serial restart-delay 0 ! interface Serial1/1 no ip address shutdown serial restart-delay 0 ! interface Serial1/2 no ip address shutdown serial restart-delay 0 ! interface Serial1/3 no ip address shutdown serial restart-delay 0 ! interface Virtual-Template1 description ====== PPtP users SI ====== ip unnumbered Loopback0 no ip proxy-arp ip mroute-cache no logging event link-status no snmp trap link-status no peer default ip address no keepalive ppp encrypt mppe 40 stateful ppp authentication ms-chap chap ! ip classless ip route 0.0.0.0 0.0.0.0 192.168.1.1 ip route 10.0.0.0 255.0.0.0 10.1.1.254 ip http server no ip http secure-server ! ! ! snmp-server community public RO radius-server host 192.168.1.12 auth-port 1812 acct-port 1813 radius-server key ************** ! ! ! line con 0 transport preferred all transport output all line aux 0 transport preferred all transport output all line vty 0 4 transport preferred all transport input all transport output all ! ! end =====Abills==== Для установки скорости задаются RADIUS пары для тарифного плана. **/ System configuration/ Internet/ ** \\ Cisco-AVpair+="lcp:interface-config#1=rate-limit output 1280000 320000 320000 conform-action transmit exceed-action drop", Cisco-AVpair+="lcp:interface-config#1=rate-limit input 128000 32000 32000 conform-action transmit exceed-action drop" ^$conf{cisco_shaper}=1; | Включает автоматическое формирование пар шейпера для cisco | **Если добавить в конфигурационный файл параметр $conf{cisco_shaper}=1; то радиус пары не нужно вписывать** Посмотреть добавились ли правила шейпера на cisco cisco# show interfaces rate-limit **/ System configuration/ NAS/** ^Type: | cisco | :Управление: ^IP:PORT: | адрес и порт для отправки RADIUS PoD/CoA команд. (По умолчанию 3799) \\ xxx.xxx.xxx.xxx:3799 | ^User: | для скидывания пользователя по rsh | ^Пароль: | Radius secret key \\ а также для скидывания пользователя по snmp и PoD | ^RADIUS Parameters (,) |Service-Type=Framed-User,Framed-Protocol=PPP| =====Принудительно завершении сессии (Скидывание)===== Принудительно завершение сесии осуществляется несколькими способами используя rsh, SNMP или RADIUS PoD (Packet of Disconnect).\\ - для использования SNMP заполняются только поля IP адреса и пароля, - для использования rsh поля IP адреса, логина. - PoD используется начиная с IOS 12.1(2)XH. Для использования нужно прописать IP адрес сервера достпа и порт 1700. \\ Настройка Cisco\\ aaa pod server clients 192.168.1.12 auth-type any server-key POD_SECRET ^192.168.1.12 | адрес с которого будет поступать пакет отключения | ^POD_SECRET | секретный ключ | Дополнительная информация: [[http://www.cisco.com/en/US/docs/ios/12_2t/12_2t8/feature/guide/ft_pod1.html|RADIUS Packet of Disconnect]] =====Шейпер нескольких классов трафика===== Ограничение скорости выполняется по направлениям: - локальный - внешний На маршрутизаторе прописываются acl листы с направлениями для ограничения.\\ Пример (указывает направление локальных ресурсов) access-list 101 permit ip 10.10.0.0 0.0.255.255 any access-list 101 permit ip 192.168.1.0 0.0.0.248 any access-list 101 deny ip any any access-list 102 permit ip any 10.10.0.0 0.0.255.255 access-list 102 permit ip any 192.168.1.0 0.0.0.248 access-list 102 deny ip any any Шейпинг выполняется посредством отсылки пар от радиуса к маршрутизатору.\\ Для этой задачи задаются RADIUS пары для тарифного плана.\\ **/ System configuration/ Internet /Tarif Plans/ ** \\ Cisco-AVpair+="lcp:interface-config#1=rate-limit output access-group 101 8000000 1000000 1000000 conform-action transmit exceed-action drop", Cisco-AVpair+="lcp:interface-config#1=rate-limit input access-group 102 8000000 1000000 1000000 conform-action transmit exceed-action drop", Cisco-AVpair+="lcp:interface-config#1=rate-limit output 512000 64000 64000 conform-action transmit exceed-action drop", Cisco-AVpair+="lcp:interface-config#1=rate-limit input 512000 64000 64000 conform-action transmit exceed-action drop" в данном примере ограничение локального траффика на скорость 8 мегабит и внешнего на 512 килобит ====Проверка активности сессиий и синхронизация с билингом==== Иногда возникают внештатные ситуация когда нужно принудительно синхронизировать сессии между билингом и раутером. Для таких целей создана программа синхронизации. # /usr/abills/libexec/billd cisco_checklines NAS_IDS=9 ====Дополнительно==== * [[http://www.cisco.com/en/US/docs/routers/10000/10008/configuration/guides/ancp/aradsp.html|RADIUS-Based Shaping and Policing]]