URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 12631
[ Назад ]

Исходное сообщение
"Cisco 7206, VPN, shaping"
Отправлено Begemot2 , 30-Янв-07 19:02

Здраствуйте!
Имею сиску с VPN клиентами авторизированными через Радиус (FreeRadius).
Задача: с помощью настроек радиуса (желательно в mysql-базе) сделать группы для
пользователей, с помощью которых, можно было бы ограничивать на внешнем интерфейсе
сиски группы пользователей по входящему трафику. (Не отдельно каждого виртуального юзера,
а группу целиком)
Например:
пользователи vasya, petya, sasha ограничены 1Мбит/с на всех,
а остальные пользователи не ограничены в скорости совсем.
Видимо, на лету как-то надо подсунуть полученный IP-адрес в access-template...
Могу написать скрипт и иметь нужные данные, но как обратиться удаленно с
компутера с радиусом к сиске и выполнить
access-template 131 limit1 host $IP any
... хотя, как-то это неинтересно. Может быть можно как-нибудь через
Cisco-AVPair ????
Поможите хто может!
Спасибо!

Содержание

Cisco 7206, VPN, shaping,fantom, 19:06 , 30-Янв-07
- Cisco 7206, VPN, shaping,Begemot2, 20:45 , 30-Янв-07
  - Cisco 7206, VPN, shaping,fantom, 11:25 , 31-Янв-07

Сообщения в этом обсуждении

"Cisco 7206, VPN, shaping"
Отправлено fantom , 30-Янв-07 19:06

Как вариант -
Весь траф ВПН-овцев заворачиваешь в лупбек, нужной группе пользователей выдаешь либо жестко ип-ы либо из отдельного пула и на лупе вешаешь рейт-лимит для этого пула адресов, получаешь ограничение на группу вцелом.

"Cisco 7206, VPN, shaping"
Отправлено Begemot2 , 30-Янв-07 20:45

>Как вариант -
>Весь траф ВПН-овцев заворачиваешь в лупбек, нужной группе пользователей выдаешь либо жестко
>ип-ы либо из отдельного пула и на лупе вешаешь рейт-лимит для
>этого пула адресов, получаешь ограничение на группу вцелом.
в условии задачи нет пула адресов... адреса статические, при том есть варианты как реально зарученные в инет, так и локальные через нат. Т.е. группы требующих "обрезания" не выделяются. :-( (иначе - просто)
Видимо, можно единственным способом решить задачу - отдельным скриптом добавлять IPадрес клиента в лист "зарезанных". Правда, не смог я сходу придумать такую удаленную процедуру,
rsh не заработал. Может кто-нибудь подскажет конкретно как реализовать подобную процедуру удаленно на циску?
Еще. Для клиентов, которые через нат ходят. Как организовать такое? Возможно ли?
Т.е. на внешнем интерфейсе - ip nat outside и шейпер для участников acl. На виртуальном
интерфейсе ip nat inside установленный Cisco-AVPair-ом. Если в лист записать локальный адрес
клиента, будет ли работать шейпер? Или клиент в шейпере будет участвовать под IP ната и ничего не выйдет?
Спасибо за помощь!

"Cisco 7206, VPN, shaping"
Отправлено fantom , 31-Янв-07 11:25

вариант1:
через snmp , но надо открывать доступ на запись по snmp,
Формируешь кусочек конфига типа
no access-list nnnn
access-list nnnn ..............
access-list nnnn ..............
access-list nnnn ..............
end
и по snmp посылаешь команду взять конфиг с тфтп сервера.
Вариант2:
пользуешь утилитку empty - эмулятор телнет соединения
и для циски это будет выглядеть вроде ты ее руками конфигуришь.