форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Cisco 7206, VPN, shaping"

Сообщение от Begemot2 (ok) on 30-Янв-07, 19:02

Здраствуйте! Имею сиску с VPN клиентами авторизированными через Радиус (FreeRadius). Задача: с помощью настроек радиуса (желательно в mysql-базе) сделать группы для пользователей, с помощью которых, можно было бы ограничивать на внешнем интерфейсе сиски группы пользователей по входящему трафику. (Не отдельно каждого виртуального юзера, а группу целиком) Например: пользователи vasya, petya, sasha ограничены 1Мбит/с на всех, а остальные пользователи не ограничены в скорости совсем. Видимо, на лету как-то надо подсунуть полученный IP-адрес в access-template... Могу написать скрипт и иметь нужные данные, но как обратиться удаленно с компутера с радиусом к сиске и выполнить access-template 131 limit1 host $IP any ... хотя, как-то это неинтересно. Может быть можно как-нибудь через Cisco-AVPair ???? Поможите хто может! Спасибо!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "Cisco 7206, VPN, shaping"

Сообщение от fantom (??) on 30-Янв-07, 19:06

Как вариант - Весь траф ВПН-овцев заворачиваешь в лупбек, нужной группе пользователей выдаешь либо жестко ип-ы либо из отдельного пула и на лупе вешаешь рейт-лимит для этого пула адресов, получаешь ограничение на группу вцелом.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Cisco 7206, VPN, shaping"
	Сообщение от Begemot2 (??) on 30-Янв-07, 20:45
	>Как вариант - >Весь траф ВПН-овцев заворачиваешь в лупбек, нужной группе пользователей выдаешь либо жестко >ип-ы либо из отдельного пула и на лупе вешаешь рейт-лимит для >этого пула адресов, получаешь ограничение на группу вцелом. в условии задачи нет пула адресов... адреса статические, при том есть варианты как реально зарученные в инет, так и локальные через нат. Т.е. группы требующих "обрезания" не выделяются. :-( (иначе - просто) Видимо, можно единственным способом решить задачу - отдельным скриптом добавлять IPадрес клиента в лист "зарезанных". Правда, не смог я сходу придумать такую удаленную процедуру, rsh не заработал. Может кто-нибудь подскажет конкретно как реализовать подобную процедуру удаленно на циску? Еще. Для клиентов, которые через нат ходят. Как организовать такое? Возможно ли? Т.е. на внешнем интерфейсе - ip nat outside и шейпер для участников acl. На виртуальном интерфейсе ip nat inside установленный Cisco-AVPair-ом. Если в лист записать локальный адрес клиента, будет ли работать шейпер? Или клиент в шейпере будет участвовать под IP ната и ничего не выйдет? Спасибо за помощь!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Cisco 7206, VPN, shaping"
	Сообщение от fantom (??) on 31-Янв-07, 11:25
	вариант1: через snmp , но надо открывать доступ на запись по snmp, Формируешь кусочек конфига типа no access-list nnnn access-list nnnn .............. access-list nnnn .............. access-list nnnn .............. end и по snmp посылаешь команду взять конфиг с тфтп сервера. Вариант2: пользуешь утилитку empty - эмулятор телнет соединения и для циски это будет выглядеть вроде ты ее руками конфигуришь.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]