Table of Contents |
---|
PPoE конфигурация
Info |
---|
IOS = Version 12.4(11)T, RELEASE SOFTWARE (fc2) Abills server IP = 10.10.0.84 |
Code Block |
---|
! 10.10.0.84 - адрес Abills сервера
! public_abills - строка snmp-community
!
!
aaa new-model
!
! Разрешаем отключать сессии по SNMP.
aaa session-mib disconnect
!
!
!
aaa authentication ppp default group radius
aaa authorization network default group radius
!
! Включаем аккаунтинг сессий.
aaa accounting update periodic 5
aaa accounting network default start-stop group radius
aaa accounting delay-start
!
aaa session-id common
!
!
ip cef
!
! Настройка PPPoE-сервера.
! nas1 - имя службы
bba-group pppoe global
virtual-template 1
sessions max limit 8000
ac name nas1
sessions per-mac limit 1
sessions per-vlan limit 500
sessions auto cleanup
!
! Cicso интерфейс который смотрит на Abills
interface GigabitEthernet0/1
ip address 10.10.0.1 255.255.255.0
!
! На этом интерфейсе будут приниматься PPPoE-соединения.
! выключаем CDP, чтобы пользователи не видели версии IOS
interface GigabitEthernet0/2
pppoe enable group global
no cdp enable
!
! Шаблон пользовательского интерфейса.
interface Virtual-Template1
mtu 1492
ip unnumbered GigabitEthernet0/1
ip route-cache flow
autodetect encapsulation ppp
peer default ip address pool PPPoE
ppp max-bad-auth 3
ppp authentication chap radius
ppp authorization radius
ppp accounting radius
ppp timeout retry 3
ppp timeout authentication 45
ppp timeout idle 3600
!
! Пул адресов, которые будут выдаваться при
! отсутствии атрибута Framed-IP-Address в
! ответе от RADIUS-сервера.
ip local pool PPPoE 10.10.0.90 10.10.0.254
!
! Количество изначально создаваемых интерфейсов при
! старте Cisco. Ускоряет соединение пользователей.
! Как правило устанавливается больше среднего числа
! одновременно работающих пользователей.
virtual-template 1 pre-clone 500
!
! Настройки экспорта Netflow
ip flow-cache timeout inactive 10
ip flow-cache timeout active 1
ip flow-export source GigabitEthernet0/1
ip flow-export version 5
ip flow-export destination 10.10.0.84 9996
!
! Правила доступа к SNMP на Cisco.
access-list 3 permit 10.10.0.84
access-list 3 deny any log
!
! Настройка SNMP.
syscon address 10.10.0.84 public_abills
syscon shelf-id 0
snmp-server community public_abills RW 3
snmp-server ifindex persist
snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart
snmp-server enable traps tty
snmp-server enable traps aaa_server
snmp-server host 10.10.0.84 161
snmp-server host 10.10.0.84 2c
snmp-server host 10.10.0.84 aaa
snmp-server host 10.10.0.84 public_abills snmp
!
!
!
!
! Настройка соединения с RADIUS-сервером
! secret_pass - пароль, с помощью которого будут
! шифроваться данные, передаваемые между RADIUS-сервером
! и Cisco.
radius-server attribute 8 include-in-access-req
radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
radius-server attribute 31 mac format unformatted
radius-server host 10.10.0.84 auth-port 1812 acct-port 1813 non-standard
radius-server retransmit 5
radius-server timeout 30
radius-server deadtime 1
radius-server key 0 test12345678901234567890
radius-server vsa send accounting
radius-server vsa send authentication |
После добавления конфига, не забудьте перезапустить FreeRadius сервер на биллинге.
Добавление NAS в Abills
- Переходим в →
Параметр Значение Тип cisco Cisco IP:PORT адрес и порт для отправки RADIUS PoD/CoA команд. (По умолчанию 3799)
например : 10.10.0.84:3799
User для скидывания пользователя по rsh Пароль Radius secret key
а также используется для скидывания пользователя по snmp и PoD
RADIUS Parameters (,) дополнительные параметры (пары) которые передаются Radius серверу
Принудительно завершении сессии (скидывание)
Принудительно завершение сесии осуществляется несколькими способами используя rsh, SNMP или RADIUS PoD (Packet of Disconnect).
- для использования SNMP заполняются только поля IP адреса и пароля
- для использования rsh поля IP адреса, логина
PoD используется начиная с IOS 12.1(2)XH. Для использования нужно прописать IP адрес сервера доступа и порт 1700
Настройка Cisco :Code Block aaa pod server clients 10.10.0.84 auth-type any server-key POD_SECRETtest12345678901234567890
Ключ Значение 10.10.0.84 адрес с которого будет поступать пакет отключения POD_SECRETtest12345678901234567890
секретный ключ
Шейпер нескольких классов трафика
Ограничение скорости выполняется по направлениям
- локальный
- внешний
На маршрутизаторе прописываются acl листы с направлениями для ограничения.
Пример (указывает направление локальных ресурсов)
Code Block |
---|
access-list 101 permit ip 10.10.0.0 0.0.255.255 any access-list 101 permit ip 192.168.1.0 0.0.0.248 any access-list 101 deny ip any any access-list 102 permit ip any 10.10.0.0 0.0.255.255 access-list 102 permit ip any 192.168.1.0 0.0.0.248 access-list 102 deny ip any any |
Шейпинг выполняется посредством отсылки пар от радиуса к маршрутизатору.
Для этой задачи задаются RADIUS пары для тарифного плана.
/ System configuration/ Internet /Tarif Plans/
Code Block |
---|
Cisco-AVpair+="lcp:interface-config#1=rate-limit output access-group 101 8000000 1000000 1000000 conform-action transmit exceed-action drop", Cisco-AVpair+="lcp:interface-config#1=rate-limit input access-group 102 8000000 1000000 1000000 conform-action transmit exceed-action drop", Cisco-AVpair+="lcp:interface-config#1=rate-limit output 512000 64000 64000 conform-action transmit exceed-action drop", Cisco-AVpair+="lcp:interface-config#1=rate-limit input 512000 64000 64000 conform-action transmit exceed-action drop" |
в данном примере ограничение локального траффика на скорость 8 мегабит и внешнего на 512 килобит
Дополнительная информация
Для установки скорости задаются RADIUS пары для тарифного плана
Code Block Cisco-AVpair+="lcp:interface-config#1=rate-limit output 1280000 320000 320000 conform-action transmit exceed-action drop", Cisco-AVpair+="lcp:interface-config#1=rate-limit input 128000 32000 32000 conform-action transmit exceed-action drop"
Посмотреть добавились ли правила шейпера на cisco после логина пользователя
Code Block cisco# show interfaces rate-limit
Проверка активности сессиий и синхронизация с билингом производится скриптом
Иногда возникают внештатные ситуации, когда нужно принудительно синхронизировать сессии между билингом и роутером.
Для таких целей создана программа синхронизации cisco_checklinesCode Block /usr/abills/libexec/billd cisco_checklines NAS_IDS=2