forum.opennet.ru - "не устанавливаются acl и rate limit через RADIUS" (8)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"не устанавливаются acl и rate limit через RADIUS"

Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"не устанавливаются acl и rate limit через RADIUS"	+/–
Сообщение от kirk (??) on 26-Авг-07, 12:57
сабж, не ставятся acl и rate limit. AS5300, IOS (tm) 5300 Software (C5300-IS-M), Version 12.3(10), RELEASE SOFTWARE (fc3) подключение по PPTP, radius - netup utm передаю такие атрибуты, для acl: vendor 0, attribut 11, значение "acl=94" (также пробовал ставить - acl=94.in и просто 94) для rate limit: vendor 9, attribut 1, значение "lcp:interface-config#1=rate-limit output 64000 8000 8000 conform-action transmit exceed-action drop" атрибуты на циску приходят, но ничего не работает, вот дебаг: Aug 26 08:37:08.827: RADIUS: Filter-Id [11] 8 Aug 26 08:37:08.827: RADIUS: 61 63 6C 3D 39 34 [acl=94] Aug 26 08:37:08.827: RADIUS: Filter-Id [11] 11 Aug 26 08:37:08.827: RADIUS: 61 63 6C 3D 39 34 2E 69 6E [acl=94.in] Aug 26 08:37:08.827: RADIUS: Vendor, Cisco [26] 107 Aug 26 08:37:08.827: RADIUS: Cisco AVpair [1] 101 "lcp:interface-config#1=rate-limit input 64000 8000 8000 conform-action transmit exceed-action drop " Aug 26 08:37:08.827: RADIUS: Vendor, Cisco [26] 107 Aug 26 08:37:08.827: RADIUS: Cisco AVpair [1] 101 "lcp:interface-config#1=rate-limit output 64000 8000 8000 conform-action transmit exceed-action drop" nas-1#sh interfaces rate-limit nas-1# nas-1#sh ip in vi3 Virtual-Access3 is up, line protocol is up Interface is unnumbered. Using address of Loopback0 (10.0.192.129) Broadcast address is 255.255.255.255 Peer address is 10.0.192.173 MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is not set
Ответить \| Правка \| Cообщить модератору

Оглавление

не устанавливаются acl и rate limit через RADIUS, kirk, 15:57 , 26-Авг-07, (1)

не устанавливаются acl и rate limit через RADIUS, Cyrill Malevanov, 22:12 , 27-Авг-07, (2)

не устанавливаются acl и rate limit через RADIUS, kirk, 16:05 , 29-Авг-07, (3)

не устанавливаются acl и rate limit через RADIUS, Andrei_V, 18:14 , 16-Окт-07, (4)

не устанавливаются acl и rate limit через RADIUS, Andrei_V, 06:38 , 17-Окт-07, (5)

не устанавливаются acl и rate limit через RADIUS, Vlad, 07:49 , 21-Июл-12, (7)

не устанавливаются acl и rate limit через RADIUS, Andrei_V, 08:06 , 21-Июл-12, (8)

не устанавливаются acl и rate limit через RADIUS, Гордиенко Алексей, 08:46 , 10-Апр-08, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "не устанавливаются acl и rate limit через RADIUS" +/–

Сообщение от kirk (??) on 26-Авг-07, 15:57

поправка!
utm radius работает через freeradius, сконфигурированный в режиме радиус прокси
если же utm radius работает с циской напрямую, то все ограничения выставляются корректно

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "не устанавливаются acl и rate limit через RADIUS" +/–

Сообщение от Cyrill Malevanov on 27-Авг-07, 22:12

>поправка!
>utm radius работает через freeradius, сконфигурированный в режиме радиус прокси
>если же utm radius работает с циской напрямую, то все ограничения выставляются
>корректно
В freeradius dictionary.cisco включен? Кроме того, Cisco-AVPair с lcp#interface-config надо давать не двумя атрибутами, а одним через \n

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "не устанавливаются acl и rate limit через RADIUS" +/–

Сообщение от kirk (??) on 29-Авг-07, 16:05

>>поправка!
>>utm radius работает через freeradius, сконфигурированный в режиме радиус прокси
>>если же utm radius работает с циской напрямую, то все ограничения выставляются
>>корректно
>
>В freeradius dictionary.cisco включен? Кроме того, Cisco-AVPair с lcp#interface-config надо давать не
>двумя атрибутами, а одним через \n
все заработало после перезвгрузки циски )

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "не устанавливаются acl и rate limit через RADIUS" +/–

Сообщение от Andrei_V (??) on 16-Окт-07, 18:14

>>>поправка!
>>>utm radius работает через freeradius, сконфигурированный в режиме радиус прокси
>>>если же utm radius работает с циской напрямую, то все ограничения выставляются
>>>корректно
>>
>>В freeradius dictionary.cisco включен? Кроме того, Cisco-AVPair с lcp#interface-config надо давать не
>>двумя атрибутами, а одним через \n
Тоже не получается установить атрибут для кошки 3620 через радиус (icradius):
передаю Cisco-AVPair такой lcp:interface-config=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop \n rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop
т.е. надо пошйепить клиента на 128/128 кбит/сек.
На кошке:
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
и темплейт:
interface Virtual-Template1
description PPTP VPN template interface
ip unnumbered Loopback0
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
no logging event link-status
autodetect encapsulation ppp
peer default ip address pool default
ppp authentication pap chap callin
ppp ipcp dns 87.226.ххх.ххх
но кошка показывает
dialup#sh int virtual-access 2 co
Virtual-Access2 is
Building configuration...
interface Virtual-Access2 configuration...
description PPTP VPN template interface
ip unnumbered Loopback0
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop
rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop
ip tcp header-compression
no logging event link-status
autodetect encapsulation ppp
dns-то где?
и инет через такое соединение почему-то не работает. даже пинги до ближайшего роутера не идут.
а sh log твердит свое, что еще более странно:
Oct 16 20:07:20 Cheliab: RADIUS: cisco AVPair "lcp:interface-config=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop \n rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop" not applied for ip
Oct 16 20:07:20 Cheliab: RADIUS: Authorize IP address 87.226.191.47
Oct 16 20:07:20 Cheliab: RADIUS: cisco AVPair "lcp:interface-config=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop \n rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop" not applied for ip

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "не устанавливаются acl и rate limit через RADIUS" +/–

Сообщение от Andrei_V (ok) on 17-Окт-07, 06:38

>Тоже не получается установить атрибут для кошки 3620 через радиус (icradius):
>
>передаю Cisco-AVPair такой lcp:interface-config=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop
>\n rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop
>
>т.е. надо пошйепить клиента на 128/128 кбит/сек.
Вобщем радиусом на кошку настройки шейпера надо было отправлять ДВУМЯ параметрами:
Cisco-AVPair    lcp:interface-config#2=rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop
Cisco-AVPair    lcp:interface-config#1=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop
Хотя по sh log все равно вижу:
Oct 16 20:07:20 Cheliab: RADIUS: cisco AVPair "lcp:interface-config=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop \n rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop" not applied for ip
Oct 16 20:07:20 Cheliab: RADIUS: Authorize IP address 87.226.191.47
Oct 16 20:07:20 Cheliab: RADIUS: cisco AVPair "lcp:interface-config=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop \n rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop" not applied for ip
но шейпер работает!
Шаманства типа:
Cisco-AVPair такой lcp:interface-config=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop \n rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop
или
Cisco-AVPair    lcp:interface-config=rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop
Cisco-AVPair    +lcp:interface-config=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop
или
Cisco-AVPair    lcp:interface-config=rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop
Cisco-AVPair    ; lcp:interface-config=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop
не помогли.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "не устанавливаются acl и rate limit через RADIUS" +/–

Сообщение от Vlad (??) on 21-Июл-12, 07:49

>[оверквотинг удален]
> Cisco-AVPair lcp:interface-config=rate-limit input 128000 24000 48000 conform-action
> transmit exceed-action drop
> Cisco-AVPair +lcp:interface-config=rate-limit output 128000 24000 48000 conform-action
> transmit exceed-action drop
> или
> Cisco-AVPair lcp:interface-config=rate-limit input 128000 24000 48000 conform-action
> transmit exceed-action drop
> Cisco-AVPair ; lcp:interface-config=rate-limit output 128000 24000 48000 conform-action
> transmit exceed-action drop
> не помогли.
Скажите как вы отправляете avpair на циску?
Где что прописываете.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "не устанавливаются acl и rate limit через RADIUS" +/–

Сообщение от Andrei_V (ok) on 21-Июл-12, 08:06

> Скажите как вы отправляете avpair на циску?
> Где что прописываете.
avpair прописываю в настройках радиус-атрибутов радиус-агента биллинга (у меня ЛанБиллинг 1.9)
общая схема такая: пользователь поднимает туннель до циски, циска по радиусу спрашивает у биллинга правильные ли имя/пароль, есть ли у абонента деньги и если все ОК, то отдает циске радиусом же параметры rate-limit-ов через avpair.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

6. "не устанавливаются acl и rate limit через RADIUS" +/–

Сообщение от Гордиенко Алексей on 10-Апр-08, 08:46

Попробуйте (config)#virtual-profile aaa

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "не устанавливаются acl и rate limit через RADIUS"	+/–
Сообщение от kirk (??) on 26-Авг-07, 15:57
поправка! utm radius работает через freeradius, сконфигурированный в режиме радиус прокси если же utm radius работает с циской напрямую, то все ограничения выставляются корректно
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "не устанавливаются acl и rate limit через RADIUS"	+/–
	Сообщение от Cyrill Malevanov on 27-Авг-07, 22:12
	>поправка! >utm radius работает через freeradius, сконфигурированный в режиме радиус прокси >если же utm radius работает с циской напрямую, то все ограничения выставляются >корректно В freeradius dictionary.cisco включен? Кроме того, Cisco-AVPair с lcp#interface-config надо давать не двумя атрибутами, а одним через \n
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "не устанавливаются acl и rate limit через RADIUS"	+/–
	Сообщение от kirk (??) on 29-Авг-07, 16:05
	>>поправка! >>utm radius работает через freeradius, сконфигурированный в режиме радиус прокси >>если же utm radius работает с циской напрямую, то все ограничения выставляются >>корректно > >В freeradius dictionary.cisco включен? Кроме того, Cisco-AVPair с lcp#interface-config надо давать не >двумя атрибутами, а одним через \n все заработало после перезвгрузки циски )
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "не устанавливаются acl и rate limit через RADIUS"	+/–
	Сообщение от Andrei_V (??) on 16-Окт-07, 18:14
	>>>поправка! >>>utm radius работает через freeradius, сконфигурированный в режиме радиус прокси >>>если же utm radius работает с циской напрямую, то все ограничения выставляются >>>корректно >> >>В freeradius dictionary.cisco включен? Кроме того, Cisco-AVPair с lcp#interface-config надо давать не >>двумя атрибутами, а одним через \n Тоже не получается установить атрибут для кошки 3620 через радиус (icradius): передаю Cisco-AVPair такой lcp:interface-config=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop \n rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop т.е. надо пошйепить клиента на 128/128 кбит/сек. На кошке: vpdn-group 1 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 и темплейт: interface Virtual-Template1 description PPTP VPN template interface ip unnumbered Loopback0 ip verify unicast reverse-path no ip redirects no ip proxy-arp no logging event link-status autodetect encapsulation ppp peer default ip address pool default ppp authentication pap chap callin ppp ipcp dns 87.226.ххх.ххх но кошка показывает dialup#sh int virtual-access 2 co Virtual-Access2 is Building configuration... interface Virtual-Access2 configuration... description PPTP VPN template interface ip unnumbered Loopback0 ip verify unicast reverse-path no ip redirects no ip proxy-arp rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop ip tcp header-compression no logging event link-status autodetect encapsulation ppp dns-то где? и инет через такое соединение почему-то не работает. даже пинги до ближайшего роутера не идут. а sh log твердит свое, что еще более странно: Oct 16 20:07:20 Cheliab: RADIUS: cisco AVPair "lcp:interface-config=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop \n rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop" not applied for ip Oct 16 20:07:20 Cheliab: RADIUS: Authorize IP address 87.226.191.47 Oct 16 20:07:20 Cheliab: RADIUS: cisco AVPair "lcp:interface-config=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop \n rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop" not applied for ip
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "не устанавливаются acl и rate limit через RADIUS"	+/–
	Сообщение от Andrei_V (ok) on 17-Окт-07, 06:38
	>Тоже не получается установить атрибут для кошки 3620 через радиус (icradius): > >передаю Cisco-AVPair такой lcp:interface-config=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop >\n rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop > >т.е. надо пошйепить клиента на 128/128 кбит/сек. Вобщем радиусом на кошку настройки шейпера надо было отправлять ДВУМЯ параметрами: Cisco-AVPair lcp:interface-config#2=rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop Cisco-AVPair lcp:interface-config#1=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop Хотя по sh log все равно вижу: Oct 16 20:07:20 Cheliab: RADIUS: cisco AVPair "lcp:interface-config=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop \n rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop" not applied for ip Oct 16 20:07:20 Cheliab: RADIUS: Authorize IP address 87.226.191.47 Oct 16 20:07:20 Cheliab: RADIUS: cisco AVPair "lcp:interface-config=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop \n rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop" not applied for ip но шейпер работает! Шаманства типа: Cisco-AVPair такой lcp:interface-config=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop \n rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop или Cisco-AVPair lcp:interface-config=rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop Cisco-AVPair +lcp:interface-config=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop или Cisco-AVPair lcp:interface-config=rate-limit input 128000 24000 48000 conform-action transmit exceed-action drop Cisco-AVPair ; lcp:interface-config=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop не помогли.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	7. "не устанавливаются acl и rate limit через RADIUS"	+/–
	Сообщение от Vlad (??) on 21-Июл-12, 07:49
	>[оверквотинг удален] > Cisco-AVPair lcp:interface-config=rate-limit input 128000 24000 48000 conform-action > transmit exceed-action drop > Cisco-AVPair +lcp:interface-config=rate-limit output 128000 24000 48000 conform-action > transmit exceed-action drop > или > Cisco-AVPair lcp:interface-config=rate-limit input 128000 24000 48000 conform-action > transmit exceed-action drop > Cisco-AVPair ; lcp:interface-config=rate-limit output 128000 24000 48000 conform-action > transmit exceed-action drop > не помогли. Скажите как вы отправляете avpair на циску? Где что прописываете.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	8. "не устанавливаются acl и rate limit через RADIUS"	+/–
	Сообщение от Andrei_V (ok) on 21-Июл-12, 08:06
	> Скажите как вы отправляете avpair на циску? > Где что прописываете. avpair прописываю в настройках радиус-атрибутов радиус-агента биллинга (у меня ЛанБиллинг 1.9) общая схема такая: пользователь поднимает туннель до циски, циска по радиусу спрашивает у биллинга правильные ли имя/пароль, есть ли у абонента деньги и если все ОК, то отдает циске радиусом же параметры rate-limit-ов через avpair.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору

6. "не устанавливаются acl и rate limit через RADIUS"	+/–
Сообщение от Гордиенко Алексей on 10-Апр-08, 08:46
Попробуйте (config)#virtual-profile aaa
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору