PPoE конфигурация
IOS = Version 12.4(11)T, RELEASE SOFTWARE (fc2)
Abills server IP = 10.10.0.84
! 10.10.0.84 - адрес Abills сервера ! public_abills - строка snmp-community ! ! aaa new-model ! ! Разрешаем отключать сессии по SNMP. aaa session-mib disconnect ! ! ! aaa authentication ppp default group radius aaa authorization network default group radius ! ! Включаем аккаунтинг сессий. aaa accounting update periodic 5 aaa accounting network default start-stop group radius aaa accounting delay-start ! aaa session-id common ! ! ip cef ! ! Настройка PPPoE-сервера. ! nas1 - имя службы bba-group pppoe global virtual-template 1 sessions max limit 8000 ac name nas1 sessions per-mac limit 1 sessions per-vlan limit 500 sessions auto cleanup ! ! Cicso интерфейс который смотрит на Abills interface GigabitEthernet0/1 ip address 10.10.0.1 255.255.255.0 ! ! На этом интерфейсе будут приниматься PPPoE-соединения. ! выключаем CDP, чтобы пользователи не видели версии IOS interface GigabitEthernet0/2 pppoe enable group global no cdp enable ! ! Шаблон пользовательского интерфейса. interface Virtual-Template1 mtu 1492 ip unnumbered GigabitEthernet0/1 ip route-cache flow autodetect encapsulation ppp peer default ip address pool PPPoE ppp max-bad-auth 3 ppp authentication chap radius ppp authorization radius ppp accounting radius ppp timeout retry 3 ppp timeout authentication 45 ppp timeout idle 3600 ! ! Пул адресов, которые будут выдаваться при ! отсутствии атрибута Framed-IP-Address в ! ответе от RADIUS-сервера. ip local pool PPPoE 10.10.0.90 10.10.0.254 ! ! Количество изначально создаваемых интерфейсов при ! старте Cisco. Ускоряет соединение пользователей. ! Как правило устанавливается больше среднего числа ! одновременно работающих пользователей. virtual-template 1 pre-clone 500 ! ! Настройки экспорта Netflow ip flow-cache timeout inactive 10 ip flow-cache timeout active 1 ip flow-export source GigabitEthernet0/1 ip flow-export version 5 ip flow-export destination 10.10.0.84 9996 ! ! Правила доступа к SNMP на Cisco. access-list 3 permit 10.10.0.84 access-list 3 deny any log ! ! Настройка SNMP. syscon address 10.10.0.84 public_abills syscon shelf-id 0 snmp-server community public_abills RW 3 snmp-server ifindex persist snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart snmp-server enable traps tty snmp-server enable traps aaa_server snmp-server host 10.10.0.84 161 snmp-server host 10.10.0.84 2c snmp-server host 10.10.0.84 aaa snmp-server host 10.10.0.84 public_abills snmp ! ! ! ! ! Настройка соединения с RADIUS-сервером ! secret_pass - пароль, с помощью которого будут ! шифроваться данные, передаваемые между RADIUS-сервером ! и Cisco. radius-server attribute 8 include-in-access-req radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU radius-server attribute 31 mac format unformatted radius-server host 10.10.0.84 auth-port 1812 acct-port 1813 non-standard radius-server retransmit 5 radius-server timeout 30 radius-server deadtime 1 radius-server key 0 test12345678901234567890 radius-server vsa send accounting radius-server vsa send authentication
После добавления конфига, не забудьте перезапустить FreeRadius сервер на биллинге.
Добавление NAS в Abills
- Переходим в →
Параметр Значение Тип cisco Cisco IP:PORT адрес и порт для отправки RADIUS PoD/CoA команд. (По умолчанию 3799)
например : 10.10.0.84:3799
User для скидывания пользователя по rsh Пароль Radius secret key
а также используется для скидывания пользователя по snmp и PoD
RADIUS Parameters (,) дополнительные параметры (пары) которые передаются Radius серверу
Принудительно завершении сессии (скидывание)
Принудительно завершение сесии осуществляется несколькими способами используя rsh, SNMP или RADIUS PoD (Packet of Disconnect).
- для использования SNMP заполняются только поля IP адреса и пароля
- для использования rsh поля IP адреса, логина
PoD используется начиная с IOS 12.1(2)XH. Для использования нужно прописать IP адрес сервера доступа и порт 1700
Настройка Cisco :aaa pod server clients 10.10.0.84 auth-type any server-key test12345678901234567890
Ключ Значение 10.10.0.84 адрес с которого будет поступать пакет отключения test12345678901234567890
секретный ключ
Шейпер нескольких классов трафика
Ограничение скорости выполняется по направлениям
- локальный
- внешний
На маршрутизаторе прописываются acl листы с направлениями для ограничения.
Пример (указывает направление локальных ресурсов)
access-list 101 permit ip 10.10.0.0 0.0.255.255 any access-list 101 permit ip 192.168.1.0 0.0.0.248 any access-list 101 deny ip any any access-list 102 permit ip any 10.10.0.0 0.0.255.255 access-list 102 permit ip any 192.168.1.0 0.0.0.248 access-list 102 deny ip any any
Шейпинг выполняется посредством отсылки пар от радиуса к маршрутизатору.
Для этой задачи задаются RADIUS пары для тарифного плана.
/ System configuration/ Internet /Tarif Plans/
Cisco-AVpair+="lcp:interface-config#1=rate-limit output access-group 101 8000000 1000000 1000000 conform-action transmit exceed-action drop", Cisco-AVpair+="lcp:interface-config#1=rate-limit input access-group 102 8000000 1000000 1000000 conform-action transmit exceed-action drop", Cisco-AVpair+="lcp:interface-config#1=rate-limit output 512000 64000 64000 conform-action transmit exceed-action drop", Cisco-AVpair+="lcp:interface-config#1=rate-limit input 512000 64000 64000 conform-action transmit exceed-action drop"
в данном примере ограничение локального траффика на скорость 8 мегабит и внешнего на 512 килобит
Дополнительная информация
Для установки скорости задаются RADIUS пары для тарифного плана
Cisco-AVpair+="lcp:interface-config#1=rate-limit output 1280000 320000 320000 conform-action transmit exceed-action drop", Cisco-AVpair+="lcp:interface-config#1=rate-limit input 128000 32000 32000 conform-action transmit exceed-action drop"
Посмотреть добавились ли правила шейпера на cisco после логина пользователя
cisco# show interfaces rate-limit
Проверка активности сессиий и синхронизация с билингом производится скриптом
Иногда возникают внештатные ситуации, когда нужно принудительно синхронизировать сессии между билингом и роутером.
Для таких целей создана программа синхронизации cisco_checklines/usr/abills/libexec/billd cisco_checklines NAS_IDS=2