URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 15205
[ Назад ]

Исходное сообщение
"ISG отдаёт в счтает дропанный трафик"

Отправлено lamer2lamer , 09-Янв-08 13:59 
boot-start-marker
boot system flash disk2:/c7200p-js-mz.122-31.SB10.bin
boot-end-marker
!
!
class-map type traffic match-any traffic-external-net
match access-group input 1
match access-group output 1
!
class-map type traffic match-any traffic-internal-net
match access-group input 110
match access-group output 111
!
policy-map type service service-external
class type traffic traffic-external-net
  accounting aaa list default
!
class type traffic default in-out
  drop
!
!
policy-map type service service-internal
class type traffic traffic-internal-net
  accounting aaa list default
!
class type traffic default in-out
  drop
!
!
policy-map type control PPP_SESSION
class type control always event session-start
!
interface Virtual-Template1
mtu 1492
bandwidth 64
ip unnumbered GigabitEthernet0/2
ip access-group 150 in
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
ip mtu 1492
ip flow ingress
ip flow egress
ip tcp adjust-mss 1452
load-interval 30
peer default ip address pool ADSL_POOL
fair-queue
ppp authentication pap callin
ppp eap refuse
ppp chap refuse
ppp ms-chap refuse
ppp ms-chap-v2 refuse
ppp ipcp dns 10.0.0.2 10.0.1.2
service-policy type control PPP_SESSION


при авторизации радиус отдаёт
       Cisco-Account-Info = "Aservice-external"
       Cisco-Account-Info = "Nservice-external"
       Cisco-Account-Info = "Aservice-internal"
       Cisco-Account-Info = "Nservice-internal"
       Cisco-Service-Info = "Nservice-external"
       Cisco-Service-Info = "QU;256000;32000;64000;D;256000;32000;64000"
       Cisco-Service-Info = "Nservice-internal"
       Cisco-Service-Info = "QU;512000;64000;12800;D;512000;64000;128000"

сервисы активируются, но в аккаунтинге по сервисам идёт весь трафик, вместе с дропанными пакетами, а вот "классический" радиус аккаунтинг считается правильно

в чём трабл?


Содержание

Сообщения в этом обсуждении
"ISG отдаёт в счтает дропанный трафик"
Отправлено ATeam , 09-Янв-08 14:26 
>[оверквотинг удален]
>       Cisco-Account-Info = "Nservice-internal"
>       Cisco-Service-Info = "Nservice-external"
>       Cisco-Service-Info = "QU;256000;32000;64000;D;256000;32000;64000"
>       Cisco-Service-Info = "Nservice-internal"
>       Cisco-Service-Info = "QU;512000;64000;12800;D;512000;64000;128000"
>
>сервисы активируются, но в аккаунтинге по сервисам идёт весь трафик, вместе с
>дропанными пакетами, а вот "классический" радиус аккаунтинг считается правильно
>
>в чём трабл?

а сами ACL покажи , там есть фишка кажись , если в ACL нет deny , а дропаешь всё default drop-ом , то будет в acc попадать (если в ACL в permit попало)


"ISG отдаёт в счтает дропанный трафик"
Отправлено lamer2lamer , 09-Янв-08 15:00 
>[оверквотинг удален]
>>       Cisco-Service-Info = "QU;512000;64000;12800;D;512000;64000;128000"
>>
>>сервисы активируются, но в аккаунтинге по сервисам идёт весь трафик, вместе с
>>дропанными пакетами, а вот "классический" радиус аккаунтинг считается правильно
>>
>>в чём трабл?
>
>а сами ACL покажи , там есть фишка кажись , если в
>ACL нет deny , а дропаешь всё default drop-ом , то
>будет в acc попадать (если в ACL в permit попало)

вот:

access-list 1 permit any
!
access-list 110 remark INTERNAL_TRAFFIC
access-list 110 remark TO_ISP
access-list 110 permit ip any 80.250.xx.0 0.0.15.255
!
access-list 111 remark INTERNAL_TRAFFIC
access-list 111 remark FROM_ISP
access-list 111 permit ip 80.250.xx.0 0.0.15.255 any


"ISG отдаёт в счтает дропанный трафик"
Отправлено ATeam , 09-Янв-08 15:02 
>[оверквотинг удален]
>
>access-list 1 permit any
>!
>access-list 110 remark INTERNAL_TRAFFIC
>access-list 110 remark TO_ISP
>access-list 110 permit ip any 80.250.xx.0 0.0.15.255
>!
>access-list 111 remark INTERNAL_TRAFFIC
>access-list 111 remark FROM_ISP
>access-list 111 permit ip 80.250.xx.0 0.0.15.255 any

а дропается чем ? по default drop ?
попробуй в АCL  добавить drop any any , и проверь ...


"ISG отдаёт в счтает дропанный трафик"
Отправлено lamer2lamer , 09-Янв-08 15:31 
>[оверквотинг удален]
>>access-list 110 remark TO_ISP
>>access-list 110 permit ip any 80.250.xx.0 0.0.15.255
>>!
>>access-list 111 remark INTERNAL_TRAFFIC
>>access-list 111 remark FROM_ISP
>>access-list 111 permit ip 80.250.xx.0 0.0.15.255 any
>
>а дропается чем ? по default drop ?
>попробуй в АCL  добавить drop any any , и проверь ...
>

дропает по
class type traffic default in-out
  drop
!
попробую, а class type traffic default in-out тогда удалить, или как?


"ISG отдаёт в счтает дропанный трафик"
Отправлено ATeam , 09-Янв-08 15:36 
>[оверквотинг удален]
>>
>>а дропается чем ? по default drop ?
>>попробуй в АCL  добавить drop any any , и проверь ...
>>
>
>дропает по
>class type traffic default in-out
>  drop
>!
>попробую, а class type traffic default in-out тогда удалить, или как?

ну попробуй с ним ,потом без него , я по другому чуток делал , поищи ветку мою в декабре , там где то полный был конфиг ... я через радиус сервисы качал , и в них дропал ...


"ISG отдаёт в счтает дропанный трафик"
Отправлено igor , 24-Янв-08 14:56 
>[оверквотинг удален]
>>дропает по
>>class type traffic default in-out
>>  drop
>>!
>>попробую, а class type traffic default in-out тогда удалить, или как?
>
>ну попробуй с ним ,потом без него , я по другому чуток
>делал , поищи ветку мою в декабре , там где то
>полный был конфиг ... я через радиус сервисы качал , и
>в них дропал ...

по всякому пробывал и локально профили заводил и в радиусе - всегда по сервисам больше считает

выдержка из конфига


boot-start-marker
boot system flash disk2:/c7200p-js-mz.122-31.SB10.bin
boot-end-marker
!
!
interface Virtual-Template1
mtu 1492
bandwidth 64
ip unnumbered GigabitEthernet0/2
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
ip mtu 1492
ip flow ingress
ip flow egress
ip tcp adjust-mss 1452
load-interval 30
peer default ip address pool ADSL_POOL
ppp authentication pap callin
ppp eap refuse
ppp chap refuse
ppp ms-chap refuse
ppp ms-chap-v2 refuse
ppp ipcp dns 10.0.0.2 10.0.1.2

конфиг радиус сервера:
# клиент
xxx-user Password == "123", Service-Type == Framed-User, Huntgroup-Name == "isg"
Cisco-Account-Info = "Ainternal",
Cisco-Account-Info += "Ainternet",
Cisco-AVPair = "ip:inacl=150",
Framed-Protocol = PPP,
Framed-MTU = 1492,
Framed-Compression = None


# сервисы
internal Password == "cisco", Service-Type == Outbound-User, Huntgroup-Name == "isg"
Cisco-AVPair = "subscriber:accounting-list=ATLANT_AAA_LIST",
Cisco-AVPair += "ip:traffic-class=in default drop",
Cisco-AVPair += "ip:traffic-class=out default drop",
Cisco-AVPair += "ip:traffic-class=in access-group 110 priority 20",
Cisco-AVPair += "ip:traffic-class=out access-group 111 priority 20",
Cisco-Service-Info = "Iinternal",
Cisco-Service-Info += "QU;512000;64000;128000;D;512000;64000;128000"


internet Password == "cisco", Service-Type == Outbound-User, Huntgroup-Name == "isg"
Cisco-AVPair = "subscriber:accounting-list=ATLANT_AAA_LIST",
Cisco-AVPair += "ip:traffic-class=in access-group 1 priority 30",
Cisco-AVPair += "ip:traffic-class=out access-group 1 priority 30",
Cisco-AVPair += "ip:traffic-class=in default drop",
Cisco-AVPair += "ip:traffic-class=out default drop",
Cisco-Service-Info = "Iinternet",
Cisco-Service-Info += "QU;256000;32000;64000;D;256000;32000;64000",
Cisco-Service-Info += "R0.0.0.0;0.0.0.0",
Cisco-Service-Info += "MC",
Cisco-Service-Info += "TP"

Сервисы активируются, но в аккаунтинге по сервисам идёт трафик с дропанными пакетами, а вот для родительской сессии ("классический" радиус) траф считается правильно, т.е. аккаунтинг по сервисам значительно отличается от того что получил клиент. Если qos-policy снять то, сумма трафика по внутренним сетям и в инет совпадает с "обычным" радиусом


Wed Jan 23 09:47:11 2008
Acct-Session-Id = "ether 0/0/1:4096.0 0/0/0/0/0/0_00000034"
Framed-Protocol = PPP
Cisco-Service-Info = "Ninternal"
Cisco-AVPair = "parent-session-id=ether 0/0/1:4096.0 0/0/0/0/0/0_00000025"
Framed-IP-Address = 192.168.0.6
User-Name = "xxx-atlant"
Acct-Terminate-Cause = User-Request
Cisco-AVPair = "disc-cause-ext=PPP Receive Term"
Acct-Input-Packets = 439
Acct-Output-Packets = 874
Acct-Input-Octets = 19941
Acct-Output-Octets = 1271040
Acct-Session-Time = 81
Acct-Status-Type = Stop
NAS-Port-Type = Virtual
NAS-Port = 16777216
NAS-Port-Id = "ether 0/0/1:4096.0 0/0/0/0/0/0"
Cisco-AVPair = "client-mac-address=0010.4b2e.32d4"
Service-Type = Framed-User
NAS-IP-Address = 192.168.0.2
X-Ascend-Session-Svr-Key = "2EDD814E"
Event-Timestamp = "Jan 23 2008 09:47:12 EET"
Acct-Delay-Time = 0
Client-IP-Address = 192.168.0.2
Acct-Unique-Session-Id = "cf575a984bb7d9ad"
Timestamp = 1201074431

Wed Jan 23 09:47:11 2008
Acct-Session-Id = "ether 0/0/1:4096.0 0/0/0/0/0/0_00000035"
Framed-Protocol = PPP
Cisco-Service-Info = "Ninternet"
Cisco-AVPair = "parent-session-id=ether 0/0/1:4096.0 0/0/0/0/0/0_00000025"
Framed-IP-Address = 192.168.0.6
User-Name = "xxx-atlant"
Acct-Terminate-Cause = User-Request
Cisco-AVPair = "disc-cause-ext=PPP Receive Term"
Acct-Input-Packets = 135
Acct-Output-Packets = 126
Acct-Input-Octets = 15299
Acct-Output-Octets = 81868
Acct-Session-Time = 81
Acct-Status-Type = Stop
NAS-Port-Type = Virtual
NAS-Port = 16777216
NAS-Port-Id = "ether 0/0/1:4096.0 0/0/0/0/0/0"
Cisco-AVPair = "client-mac-address=0010.4b2e.32d4"
Service-Type = Framed-User
NAS-IP-Address = 192.168.0.2
X-Ascend-Session-Svr-Key = "2EDD814E"
Event-Timestamp = "Jan 23 2008 09:47:12 EET"
Acct-Delay-Time = 0
Client-IP-Address = 192.168.0.2
Acct-Unique-Session-Id = "52dfa7943ea8ecb0"
Timestamp = 1201074431


Wed Jan 23 09:47:11 2008
Acct-Session-Id = "ether 0/0/1:4096.0 0/0/0/0/0/0_00000027"
Framed-Protocol = PPP
Framed-IP-Address = 192.168.0.6
Cisco-AVPair = "ppp-disconnect-cause=Received LCP TERMREQ from peer"
User-Name = "xxx-atlant"
Acct-Authentic = RADIUS
Cisco-AVPair = "connect-progress=LAN Ses Up"
Cisco-AVPair = "nas-tx-speed=100000000"
Cisco-AVPair = "nas-rx-speed=100000000"
Acct-Session-Time = 81
Acct-Input-Octets = 37286
Acct-Output-Octets = 1146160
Acct-Input-Packets = 590
Acct-Output-Packets = 873
Acct-Terminate-Cause = User-Request
Cisco-AVPair = "disc-cause-ext=PPP Receive Term"
Acct-Status-Type = Stop
NAS-Port-Type = Virtual
NAS-Port = 16777216
NAS-Port-Id = "ether 0/0/1:4096.0 0/0/0/0/0/0"
Cisco-AVPair = "client-mac-address=0010.4b2e.32d4"
Service-Type = Framed-User
NAS-IP-Address = 192.168.0.2
X-Ascend-Session-Svr-Key = "2EDD814E"
Event-Timestamp = "Jan 23 2008 09:47:12 EET"
Acct-Delay-Time = 0
Client-IP-Address = 192.168.0.2
Acct-Unique-Session-Id = "4fcc1f1a26d0443b"
Timestamp = 1201074431


"ISG отдаёт в счтает дропанный трафик"
Отправлено Артур , 08-Апр-09 04:22 
Это известная бага Cisco, для платформ типа c7301, c7201.
Сначала Cisco говорили, что эта аппартная бага. Потом признали, что программная. Сейчас обещают пофиксить в мае-июне 2009 года, в следующем релизе IOS.

"ISG отдаёт в счтает дропанный трафик"
Отправлено shutdown now , 10-Апр-09 00:21 
>Это известная бага Cisco, для платформ типа c7301, c7201.
>Сначала Cisco говорили, что эта аппартная бага. Потом признали, что программная. Сейчас
>обещают пофиксить в мае-июне 2009 года, в следующем релизе IOS.

для PXF платформ они давно баг пофиксили, а вот на программные рутеры забили.


"ISG отдаёт в счтает дропанный трафик"
Отправлено Linoge , 03-Июн-09 13:10 
>>Это известная бага Cisco, для платформ типа c7301, c7201.
>>Сначала Cisco говорили, что эта аппартная бага. Потом признали, что программная. Сейчас
>>обещают пофиксить в мае-июне 2009 года, в следующем релизе IOS.
>
>для PXF платформ они давно баг пофиксили, а вот на программные рутеры
>забили.

Народ а можите подсказать, есть на cisco.com инфа про то что бага есть или пофиксена, нужны доказательства. Интересна платформа ESR10K и 7200. Все перерыл сам не нашел.


"ISG отдаёт в счтает дропанный трафик"
Отправлено Stanislav V. Shiroky , 21-Дек-10 14:38 
подскажите, а зачем нужен атрибут Cisco-Service-Info = "Iinternet" в описании сервиса ?
И где об этих буквенных кодах можно почитать ?
Спасибо

"ISG отдаёт в счтает дропанный трафик"
Отправлено igor , 21-Дек-10 20:35 
> подскажите, а зачем нужен атрибут Cisco-Service-Info = "Iinternet" в описании сервиса ?
> И где об этих буквенных кодах можно почитать ?
> Спасибо

вот тут http://www.cisco.com/en/US/docs/ios/12_2sb/isg/coa/guide/isg...