Всем привет. Вторую неделю бьюсь с проблемой:
Нужно ограничить скорость доступа пользователя, работающего по PPP и авторизующегося через Radius.
Есть радиосетка, через радиомодем пользователь попадает на NAS,
тот в свою очередь по VPDN попадает на циску. Пользователь авторизуется на Radius-е. После авторизации пользователя на основе интерфейса Virtual-Template1 создается интерфейс Virtual-Access x (х номер свободного интерфейса по возрастанию).
Проблема в том, что скорость каждого модема порядка 2-х мегабит, а нужно иметь возможность разным юзерам давать разные скорости (126, 256К и т.д.). Возможности сделать traffic-shape или rate-limit на интерфейс Virtual-Access x нет, конфигурится только Virtual-Template.Кусок конфига:
ip address-pool local
vpdn enable
!
vpdn-group TEST
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 1
local name test2
no l2tp tunnel authentication
source-ip 172.17.1.126
!
!
!
!
!
!
!
!
fax interface-type fax-mail
mta receive maximum-recipients 0
!
!
!
!
interface FastEthernet0/0
description Link to NiaB (inside)
ip address 172.17.1.126 255.255.255.128
speed 100
full-duplex
timeout absolute 600 0
no cdp enable
!
interface Virtual-Template1
ip unnumbered FastEthernet0/0
ip nat inside
ip tcp adjust-mss 1458
peer default ip address pool ip_pool2
ppp authentication chap
!
Может кто делал что подобное, подскажите плз.
А то уже в голове мыслей не осталось ;)
>Всем привет. Вторую неделю бьюсь с проблемой:
>Нужно ограничить скорость доступа пользователя, работающего по PPP и авторизующегося через Radius.
>
>Есть радиосетка, через радиомодем пользователь попадает на NAS,
>тот в свою очередь по VPDN попадает на циску. Пользователь авторизуется на
>Radius-е. После авторизации пользователя на основе интерфейса Virtual-Template1 создается интерфейс Virtual-Access
>x (х номер свободного интерфейса по возрастанию).
>Проблема в том, что скорость каждого модема порядка 2-х мегабит, а нужно
>иметь возможность разным юзерам давать разные скорости (126, 256К и т.д.).
>Возможности сделать traffic-shape или rate-limit на интерфейс Virtual-Access x нет, конфигурится
>только Virtual-Template.
>
>Кусок конфига:
>
>ip address-pool local
>vpdn enable
>!
>vpdn-group TEST
>! Default L2TP VPDN group
> accept-dialin
> protocol l2tp
> virtual-template 1
> local name test2
> no l2tp tunnel authentication
> source-ip 172.17.1.126
>!
>!
>!
>!
>!
>!
>!
>!
>fax interface-type fax-mail
>mta receive maximum-recipients 0
>!
>!
>!
>!
>interface FastEthernet0/0
> description Link to NiaB (inside)
> ip address 172.17.1.126 255.255.255.128
> speed 100
> full-duplex
> timeout absolute 600 0
> no cdp enable
>!
>interface Virtual-Template1
> ip unnumbered FastEthernet0/0
> ip nat inside
> ip tcp adjust-mss 1458
> peer default ip address pool ip_pool2
> ppp authentication chap
>!
>
>
>Может кто делал что подобное, подскажите плз.
>А то уже в голове мыслей не осталось ;)
Приветствую!
Покопайся в настройках Радиуса для пользователя, там что-то есть на эту тему.
Покопался, пересмотрел все стандартные Radius атрибуты, ничего подходящего не нашел :( Может где нить в другом месте есть.
Вообще, это возможно делать? А то может я зря всю эту тему задумал.
Если это делается для доступа в инет, то после всех этапов авторизации и доступа, поставь еще squid. Там точно есть ограничение по скорости по юзерам по IP и т.д.!
>Если это делается для доступа в инет, то после всех этапов авторизации
>и доступа, поставь еще squid. Там точно есть ограничение по скорости
>по юзерам по IP и т.д.!Это не решение проблемы. Человеку надо, что бы пользователи Radius`а ограничивались. И потом это криво.
Вот вычитал на cisco.com следующее:On the Cisco 7200 series with the Broadband feature set, Cisco IOS Software Release 12.2(4)B1 introduces support for rate limiting on the RADIUS user profile applied to the virtual access interface in a PPPoE environment. A sample configuration is provided:
shashi@pepsi.com Password = "cisco"
Service-Type = Framed,
Framed-Protocol = PPP,
Framed-MTU = 1400,
Framed-Routing = 1
Cisco-Avpair = "lcp:interface-config=rate-limit output
access-group 101 64000 1 6000 32000 conform-action transmit exceed-action
drop",
interface Virtual-Access2
mtu 1492
ip unnumbered Loopback1
rate-limit output access-group 101 64000
16000 32000 conform-action transmit exceed-action drop
ссылка: http://www.cisco.com/warp/public/105/pppoe_qos_dsl.html
Вроде то что нужно. Получается нужно 7200 покупать?PS. Шеф балдеет, говорит если не заработает, заберешь её домой, прибьешь гвоздями к стенке и будешь отрабатывать её стоимость. А мне как-то совсем смешно ;)
>PS. Шеф балдеет, говорит если не заработает, заберешь её домой, прибьешь гвоздями
>к стенке и будешь отрабатывать её стоимость. А мне как-то совсем
>смешно ;)
Cisco AS5350
FreeRadius(http://www.Freeradius.org)в кофиге сиски
ip access-list extended 103
permit ip any any
в радиусе
Cisco-AVPair=lcp:interface-config#1=traffic-shape group 103 128000только есть одно работает только если тунель с компрессией (MPPC например Framed-Compression = 3 причем именно 3 :) )
>Всем привет. Вторую неделю бьюсь с проблемой:
>
>
>Может кто делал что подобное, подскажите плз.
>А то уже в голове мыслей не осталось ;)Делал и все работало.
en
conf t
virtual-profile aaa
virtual-profile virtual-template 1В радиусе:
Cisco-Avpair = "lcp:interface-config#1=rate-limit input
access-group 101 64000 1 6000 32000 conform-action transmit exceed-action drop"Cisco-Avpair + "lcp:interface-config#2=rate-limit output
access-group 101 64000 1 6000 32000 conform-action transmit exceed-action drop"Вроде так. За синтаксис команд не ручаюсь. Если не получится стучи в мыло ;)
Так ничего и не получилось. Может IOS какой-то особенный нужен. Пробовал и на 12.2(16)В2 и на 12.3(8)Т, никакого толку :((Может подскажете что-нибудь. Cisco 7206VXR.
>Так ничего и не получилось. Может IOS какой-то особенный нужен. Пробовал и
>на 12.2(16)В2 и на 12.3(8)Т, никакого толку :((
>
>Может подскажете что-нибудь. Cisco 7206VXR.debug radius
debug aaa ?и смотри что происходит.