URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 14294
[ Назад ]

Исходное сообщение
"не устанавливаются acl и rate limit через RADIUS"
Отправлено kirk , 26-Авг-07 12:57

сабж, не ставятся acl и rate limit.
AS5300, IOS (tm) 5300 Software (C5300-IS-M), Version 12.3(10), RELEASE SOFTWARE (fc3)
подключение по PPTP, radius - netup utm
передаю такие атрибуты, для acl:
vendor 0, attribut 11, значение "acl=94" (также пробовал ставить - acl=94.in и просто 94)
для rate limit:
vendor 9, attribut 1, значение "lcp:interface-config#1=rate-limit output 64000 8000 8000 conform-action transmit exceed-action drop"
атрибуты на циску приходят, но ничего не работает, вот дебаг:
Aug 26 08:37:08.827: RADIUS:  Filter-Id           [11]  8
Aug 26 08:37:08.827: RADIUS:   61 63 6C 3D 39 34                                [acl=94]
Aug 26 08:37:08.827: RADIUS:  Filter-Id           [11]  11
Aug 26 08:37:08.827: RADIUS:   61 63 6C 3D 39 34 2E 69 6E                       [acl=94.in]
Aug 26 08:37:08.827: RADIUS:  Vendor, Cisco       [26]  107
Aug 26 08:37:08.827: RADIUS:   Cisco AVpair       [1]   101 "lcp:interface-config#1=rate-limit input 64000 8000 8000 conform-action transmit exceed-action drop "
Aug 26 08:37:08.827: RADIUS:  Vendor, Cisco       [26]  107
Aug 26 08:37:08.827: RADIUS:   Cisco AVpair       [1]   101 "lcp:interface-config#1=rate-limit output 64000 8000 8000 conform-action transmit exceed-action drop"
nas-1#sh interfaces rate-limit
nas-1#
nas-1#sh ip in vi3
Virtual-Access3 is up, line protocol is up
  Interface is unnumbered. Using address of Loopback0 (10.0.192.129)
  Broadcast address is 255.255.255.255
  Peer address is 10.0.192.173
  MTU is 1500 bytes
  Helper address is not set
  Directed broadcast forwarding is disabled
  Outgoing access list is not set
  Inbound  access list is not set

Содержание

не устанавливаются acl и rate limit через RADIUS,kirk, 15:57 , 26-Авг-07
- не устанавливаются acl и rate limit через RADIUS,Cyrill Malevanov, 22:12 , 27-Авг-07
  - не устанавливаются acl и rate limit через RADIUS,kirk, 16:05 , 29-Авг-07
    - не устанавливаются acl и rate limit через RADIUS,Andrei_V, 18:14 , 16-Окт-07
      - не устанавливаются acl и rate limit через RADIUS,Andrei_V, 06:38 , 17-Окт-07
        
        не устанавливаются acl и rate limit через RADIUS,Vlad, 07:49 , 21-Июл-12
        
        не устанавливаются acl и rate limit через RADIUS,Andrei_V, 08:06 , 21-Июл-12
не устанавливаются acl и rate limit через RADIUS,Гордиенко Алексей, 08:46 , 10-Апр-08

Сообщения в этом обсуждении

"не устанавливаются acl и rate limit через RADIUS"
Отправлено kirk , 26-Авг-07 15:57

поправка!
utm radius работает через freeradius, сконфигурированный в режиме радиус прокси
если же utm radius работает с циской напрямую, то все ограничения выставляются корректно

"не устанавливаются acl и rate limit через RADIUS"
Отправлено Cyrill Malevanov , 27-Авг-07 22:12

>поправка!
>utm radius работает через freeradius, сконфигурированный в режиме радиус прокси
>если же utm radius работает с циской напрямую, то все ограничения выставляются
>корректно
В freeradius dictionary.cisco включен? Кроме того, Cisco-AVPair с lcp#interface-config надо давать не двумя атрибутами, а одним через \n

"не устанавливаются acl и rate limit через RADIUS"
Отправлено kirk , 29-Авг-07 16:05

>>поправка!
>>utm radius работает через freeradius, сконфигурированный в режиме радиус прокси
>>если же utm radius работает с циской напрямую, то все ограничения выставляются
>>корректно
>
>В freeradius dictionary.cisco включен? Кроме того, Cisco-AVPair с lcp#interface-config надо давать не
>двумя атрибутами, а одним через \n
все заработало после перезвгрузки циски )

"не устанавливаются acl и rate limit через RADIUS"
Отправлено Andrei_V , 16-Окт-07 18:14

>>>поправка!
>>>utm radius работает через freeradius, сконфигурированный в режиме радиус прокси
>>>если же utm radius работает с циской напрямую, то все ограничения выставляются
>>>корректно
>>
>>В freeradius dictionary.cisco включен? Кроме того, Cisco-AVPair с lcp#interface-config надо давать не
>>двумя атрибутами, а одним через \n
Тоже не получается установить атрибут для кошки 3620 через радиус (icradius):
передаю Cisco-AVPair такой lcp:interface-config=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop \n rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop
т.е. надо пошйепить клиента на 128/128 кбит/сек.
На кошке:
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
и темплейт:
interface Virtual-Template1
description PPTP VPN template interface
ip unnumbered Loopback0
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
no logging event link-status
autodetect encapsulation ppp
peer default ip address pool default
ppp authentication pap chap callin
ppp ipcp dns 87.226.ххх.ххх
но кошка показывает
dialup#sh int virtual-access 2 co
Virtual-Access2 is
Building configuration...
interface Virtual-Access2 configuration...
description PPTP VPN template interface
ip unnumbered Loopback0
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop
rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop
ip tcp header-compression
no logging event link-status
autodetect encapsulation ppp
dns-то где?
и инет через такое соединение почему-то не работает. даже пинги до ближайшего роутера не идут.
а sh log твердит свое, что еще более странно:
Oct 16 20:07:20 Cheliab: RADIUS: cisco AVPair "lcp:interface-config=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop \n rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop" not applied for ip
Oct 16 20:07:20 Cheliab: RADIUS: Authorize IP address 87.226.191.47
Oct 16 20:07:20 Cheliab: RADIUS: cisco AVPair "lcp:interface-config=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop \n rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop" not applied for ip

"не устанавливаются acl и rate limit через RADIUS"
Отправлено Andrei_V , 17-Окт-07 06:38

>Тоже не получается установить атрибут для кошки 3620 через радиус (icradius):
>
>передаю Cisco-AVPair такой lcp:interface-config=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop
>\n rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop
>
>т.е. надо пошйепить клиента на 128/128 кбит/сек.
Вобщем радиусом на кошку настройки шейпера надо было отправлять ДВУМЯ параметрами:
Cisco-AVPair    lcp:interface-config#2=rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop
Cisco-AVPair    lcp:interface-config#1=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop
Хотя по sh log все равно вижу:
Oct 16 20:07:20 Cheliab: RADIUS: cisco AVPair "lcp:interface-config=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop \n rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop" not applied for ip
Oct 16 20:07:20 Cheliab: RADIUS: Authorize IP address 87.226.191.47
Oct 16 20:07:20 Cheliab: RADIUS: cisco AVPair "lcp:interface-config=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop \n rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop" not applied for ip
но шейпер работает!
Шаманства типа:
Cisco-AVPair такой lcp:interface-config=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop \n rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop
или
Cisco-AVPair    lcp:interface-config=rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop
Cisco-AVPair    +lcp:interface-config=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop
или
Cisco-AVPair    lcp:interface-config=rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop
Cisco-AVPair    ; lcp:interface-config=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop
не помогли.

"не устанавливаются acl и rate limit через RADIUS"
Отправлено Vlad , 21-Июл-12 07:49

>[оверквотинг удален]
> Cisco-AVPair lcp:interface-config=rate-limit input 128000 24000 48000 conform-action
> transmit exceed-action drop
> Cisco-AVPair +lcp:interface-config=rate-limit output 128000 24000 48000 conform-action
> transmit exceed-action drop
> или
> Cisco-AVPair lcp:interface-config=rate-limit input 128000 24000 48000 conform-action
> transmit exceed-action drop
> Cisco-AVPair ; lcp:interface-config=rate-limit output 128000 24000 48000 conform-action
> transmit exceed-action drop
> не помогли.
Скажите как вы отправляете avpair на циску?
Где что прописываете.

"не устанавливаются acl и rate limit через RADIUS"
Отправлено Andrei_V , 21-Июл-12 08:06

> Скажите как вы отправляете avpair на циску?
> Где что прописываете.
avpair прописываю в настройках радиус-атрибутов радиус-агента биллинга (у меня ЛанБиллинг 1.9)
общая схема такая: пользователь поднимает туннель до циски, циска по радиусу спрашивает у биллинга правильные ли имя/пароль, есть ли у абонента деньги и если все ОК, то отдает циске радиусом же параметры rate-limit-ов через avpair.

"не устанавливаются acl и rate limit через RADIUS"
Отправлено Гордиенко Алексей , 10-Апр-08 08:46

Попробуйте (config)#virtual-profile aaa