Jump to content
Local
vmart

Ubilling + Cisco

Recommended Posts

 

 

Корее да, надо смотреть в сторону словарей. А вот по поводу того, какие вам нужны атрибуты я вам не смогу помочь.. 

Доброго времени суток!

скажите, а можно в строчку значение в атрибутах вставлять что то типа

rate-limit input {SPEEDDOWN} 576000 1152000 conform-action transmit exceed-action drop

 

еще не могу понять каким параметром Ubilling отключает должников (активный) для атрибутов.

 

 

заранее спасибо.

 

Вам треба щоб при відключенні юзера рубалась сессія да не підіймалась до проплати?

 

ну да, должник подключился и отправился в личный кабинет.

Share this post


Link to post
Share on other sites

Ваша циска пбр вміє?

Просто можно вигружати список боржников і перенаправляти іх на ЛК.

Share this post


Link to post
Share on other sites

Ваша циска пбр вміє?

Просто можно вигружати список боржников і перенаправляти іх на ЛК.

переведите не понял (Ваша циска пбр вміє?)

а как отключить услугу абоненту?

 

сделал авторизацию по логину и паролю, присваивает IP абоненту.

но активен он или нет , абонент все равно в сети.

Edited by Andrey75

Share this post


Link to post
Share on other sites

Ладно, давайте на русском.

Какая циска у вас? Какая её роль? Просто собрать все пппое подключения или ещё и в интернет выпустить абонов?

Share this post


Link to post
Share on other sites

Ладно, давайте на русском.

Какая циска у вас? Какая её роль? Просто собрать все пппое подключения или ещё и в интернет выпустить абонов?

спасибо за Русский.

cisco 2821, стоит между инет провайдера и сетью, Ubilling запущен с freeradius.

на циске авторизация и выход и инет. работаем с  GPON, есть 5 тарифов безлимит. 

в идеале думаю запустить IPoE, не могу разобраться с настройками циски все что нашел на ISG.

Edited by Andrey75

Share this post


Link to post
Share on other sites

А конфиг циски можно глянуть? Что б лишними вопросами не мучать.

Радиус в стандартном виде или с jcomm переделывали под вас что-то?

Share this post


Link to post
Share on other sites

А конфиг циски можно глянуть? Что б лишними вопросами не мучать.

Радиус в стандартном виде или с jcomm переделывали под вас что-то?

конфиг cisco 2821 мой.txt

в конфиге лишнее есть, учусь.

переделки радиуса все в этой теме, остальное адреса под свою сеть

Share this post


Link to post
Share on other sites

Так, ну насколько я понял, тут всё равно надо логику радиуса исследовать.

Вариант разве что загонять всех незаплативших в другую подсеть и по src этой подсети делать редирект.

Или с биллинга выгружать список должников в виде акл и по нему делать редирект собно.

Щас попробую виртуализировать хоть один вариант.

 

Ну второй вариант делается довольно просто.

С первым нужно ковырять радиус...

 

Ну вот вам страничка про пбр, интересует только

http://www.cisco.com/c/en/us/td/docs/ios/12_2/qos/configuration/guide/fqos_c/qcfpbr.html

set next-hop
Edited by L1ght

Share this post


Link to post
Share on other sites

 

Так, ну насколько я понял, тут всё равно надо логику радиуса исследовать.

Вариант разве что загонять всех незаплативших в другую подсеть и по src этой подсети делать редирект.

Или с биллинга выгружать список должников в виде акл и по нему делать редирект собно.

Щас попробую виртуализировать хоть один вариант.

 

Ну второй вариант делается довольно просто.

С первым нужно ковырять радиус...

 

Ну вот вам страничка про пбр, интересует только

http://www.cisco.com/c/en/us/td/docs/ios/12_2/qos/configuration/guide/fqos_c/qcfpbr.html

set next-hop

примерно понял про редирект, тогда можно и новых абонентов?

не пойму как привязать адресацию по IP к интерфейсу на циске.

про (Вариант разве что загонять всех незаплативших в другую подсеть и по src этой подсети делать редирект.) есть где почитать?

по ограничению скорости, думал загонять абонентов в группы по тарифам, но опять вопросы по циске?

может можно проще?

 

 

а этот вопрос (скажите, а можно в строчку значение в атрибутах вставлять что то типа

rate-limit input {SPEEDDOWN} 576000 1152000 conform-action transmit exceed-action drop)  совсем глупый?

Share this post


Link to post
Share on other sites
примерно понял про редирект, тогда можно и новых абонентов?

Не нужно привязывать к айпи интерфейсу, можно привязать к ACL.

R1(config)#route-map rdr
R1(config-route-map)#match ip ad
R1(config-route-map)#match ip address ?
  <1-199>      IP access-list number
  <1300-2699>  IP access-list number (expanded range)
  WORD         IP access-list name
  prefix-list  Match entries of prefix-lists
R1(config-route-map)#set ip next-hop ?
  A.B.C.D              IP address of next hop
  dynamic              application dynamically sets next hop
  peer-address         Use peer address (for BGP only)
  recursive            Recursive next-hop
  verify-availability  Verify if nexthop is reachable
про (Вариант разве что загонять всех незаплативших в другую подсеть и по src этой подсети делать редирект.) есть где почитать?

Это ковыряние радиуса.

 

 

а этот вопрос (скажите, а можно в строчку значение в атрибутах вставлять что то типа rate-limit input {SPEEDDOWN} 576000 1152000 conform-action transmit exceed-action drop)  совсем глупый?

 

Тут тоже не скажу.

Edited by L1ght

Share this post


Link to post
Share on other sites

Не нужно привязывать к айпи интерфейсу, можно привязать к ACL.

это редирект

 

а как привязать это

class type control always event session-start
  1 authorize aaa list ISG password cisco identifier source-ip-address
IPoE?
 
радиус ковырять он конект, оф коннект?
 
или где то ошибаюсь?
Edited by Andrey75

Share this post


Link to post
Share on other sites

 

Не нужно привязывать к айпи интерфейсу, можно привязать к ACL.

это редирект

 

а как привязать это

class type control always event session-start
  1 authorize aaa list ISG password cisco identifier source-ip-address
IPoE?
 
радиус ковырять он конект, оф коннект?
 
или где то ошибаюсь?

 

ИСГ - у вас план на будущее?

 

По поводу радиуса - да, нужно вырабатать алгоритм, что делать с абонентов при денег =>0 и при <0

Share this post


Link to post
Share on other sites

ИСГ - у вас план на будущее?

можно перевести, постарел я видать.

 

осталось непонятно куда копать при настройке IPoE

(зачем PPPoE если на GPON абоненты с MAC + IP никуда не денутся)

 

и организация ограничения скорости на определенный тариф.

 

(По поводу радиуса - да, нужно вырабатать алгоритм, что делать с абонентов при денег =>0 и при <0)

ОПЯТЬ В ШКОЛУ

Share this post


Link to post
Share on other sites

 

 

  1 authorize aaa list ISG password cisco identifier source-ip-address

Я прицепился просто к ISG. У вас есть железяка которая умеет это самое ISG? Или вы просто так назвали список ISG?

http://www.cisco.com/c/en/us/products/ios-nx-os-software/intelligent-services-gateway-isg/index.html

Share this post


Link to post
Share on other sites

Ubilling 0.6.1 rev 3952

атрибут Framed-IP-Address = ethost[ip, уводит авторизацию в ошибку, если указать конкретный ип, то все норм

 

разобрался, кривые руки

Edited by Demid

Share this post


Link to post
Share on other sites

Framed-IP-Address == {nethost[ip]}

Share this post


Link to post
Share on other sites

Поделитесь примером конфы для cisco 7206. Задача: абонент авторизуется на cisco по PPPoE, радиус дает добро абонент получает доступ в нетернет, это настроили, теперь как порезать скорость у абонента и как сделать что бы при отрицательном балансе он отключался (перенаправлялся на страничку блокировки)

Share this post


Link to post
Share on other sites

Шейпінг - гугл "Cisco AV Pair", здається так :)

Редірект на сторінку "дай грошей" здається роблять через WCCP.

Share this post


Link to post
Share on other sites

про пары понятно, непонятно как в биллинге это указать

Share this post


Link to post
Share on other sites

 

про пары понятно, непонятно как в биллинге это указать

Про пары для циски ничего не могу сказать, но смотрите в сторону user[state]. В зависимости от состояния пользователя он принимает значения DOWN, PASSIVE, OFF-LINE, ON-LINE.. Может в АЦЛьки можно там назначать или что-то подобное...

Share this post


Link to post
Share on other sites

Вот нужные AV пары:

reply cisco-avpair += interface-config#1=rate-limit output {speed[up]} 512000 512000 conform-action transmit exceed-action drop

reply cisco-avpair += interface-config#2=rate-limit input {speed[down]} 512000 512000 conform-action transmit exceed-action drop

добавляем в биллинге в атрибуты радиуса сервера "Всем"

Edited by foxtyumen

Share this post


Link to post
Share on other sites

И так...

 

Как сделать проверку на блокировки и отрицательный баланс

 

dialup.conf

 

authorize_check_query = "SELECT (@cnt := @cnt + 1) AS `id`, `UserName`, `Attribute`, `Value`, `op` \
          FROM `${authcheck_table}`, `users`\
          CROSS JOIN (SELECT @cnt := 0) AS `dummy` \
          WHERE `UserName` = '%{SQL-User-Name}' \
          AND `UserName`=`login` AND `cash` > 0 AND `cash` >= `credit` AND `passive` = 0 AND `down` = 0 \
          ORDER BY `id`"
 
Ограничение по подключению одного и того же логина
 
dialup.conf
 
# Uncomment simul_count_query to enable simultaneous use checking
simul_count_query = "SELECT COUNT(*) \
                             FROM ${acct_table1} \
                             WHERE username = '%{SQL-User-Name}' \
                             AND acctstoptime IS NULL"
 
simul_verify_query  = "SELECT radacctid, acctsessionid, username, \
                               nasipaddress, nasportid, framedipaddress, \
                               callingstationid, framedprotocol \
                               FROM ${acct_table1} \
                               WHERE username = '%{SQL-User-Name}' \
                               AND acctstoptime IS NULL"
 
+ нужно будет добавить атрибут  Simultaneous-Use  :=  1      
 
+ приложил файлик 123.txt (нужно переименовать соответственно) для тех кому нужен статус онлайн из БД а не из папки dn
заменяем в директории /usr/local/www/apache22/data/billing/modules/general/online/index.php  
 

123.txt

Share this post


Link to post
Share on other sites
Как сделать проверку на блокировки и отрицательный баланс

Jcomm - а я же говорил, что нужно для всяких ррр штук оставить?

 

 

 

+ приложил файлик 123.txt (нужно переименовать соответственно) для тех кому нужен статус онлайн из БД а не из папки dn заменяем в директории /usr/local/www/apache22/data/billing/modules/general/online/index.php

мне как-то слегка поплохело от вида $query_online умноженного на количество юзеров в цикле.

Edited by nightfly

Share this post


Link to post
Share on other sites

помогите не проходит авторизация при radtest:

ubilling@ubilling:/var/log# radtest 00001 5o3d40yo 127.0.0.1 0 dec0071981b1
Sending Access-Request of id 163 to 127.0.0.1 port 1812
        User-Name = "0001"
        User-Password = "5o3d40yo"
        NAS-IP-Address = 127.0.0.1
        NAS-Port = 0
        Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=163, length=20
ubilling@ubilling:/var/log#
 

 

 

 

в логах пишет:

 

Tue Jun  6 10:56:49 2017 : Auth: Login incorrect: [0001/5o3d40yo] (from client Test port 0)

Edited by Andrey75

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By BABAH
      Продам комутатор  Cisco WS-C4948E-S 48x 10/100/1000(RJ45)+4x10GbE(SFP+)
      В комплекті вуха та 2 БЖ.
      Ціна 9800 грн
       






    • By Інет.укр
      Продам старенький NAS на  борту 4x250Gb hdd
      ціна 999грн можливий торг






    • By WhiteBoroda
      Продам сервера
      Все в наличии, проверены
      Могу дать удаленное подключение для теста
       
      HPE DL360pG8 2xE5-2620 (6C/12HT, 2.0GHz), 16GB (4x4GB) RAM, P420+1Gb cache, batt, up to 8xSFF sas/sata HDD/SSD, 2x450W, 1U, 1 iLO4, 10Gbit 2-PORT 530FLR-SFP, 4x1Gb LAN - 480$
       
      DELL R420 2xE5-2450L (8C/16HT, 1.8GHz, 8GT/s QPI), 16Gb (2x8Gb PC3L-10600R), H310 mini RAID, 4x3.5" w/tray, 2x1Gbit LAN, 1xiDRAC 7 ent, 2x550W PSU, 1U - 400$
       
      CISCO UCS C240M3 2xE5-4617 (6C/6HT 2.9GHz), 32 GB (4x8GB), LSI 9271CV-8i + batt, 2x600GB 10K SAS 2.5, up to 24 2.5" SAS/SATA/SSD (w/5 empty HDD tray), 4x1Gbit, 1xConsole, 1xBMC 2x750W PSU, 2U - $700
       
      DELL R410 2xL5640 (6C/12HT) 32GB (8x4GB 10600R), PERC 6/ir, up to 4x3.5", 2 empty tray, 2x 1Gbit, 1xiDRAC6, 460W PSU, 1U, rails - 270$
       
      DELL R610 2xE5620 (4C/8HT), 12GB (6x2GB 10600R), PERC 6/i, up to 6x2.5",  4x1Gbit, 1xiDRAC, 2x717W PSU, 1U - 250$

       
    • By Timur-Shalenko
      Маршрутизаторы Cisco 881/881-Sec K9 в количестве более 30шт)  
      В комплекте: Маршрутизатор + блок питания
      цена: 1500грн
      Оборудование находится в Киеве)
      доставка: нова почта, диливери.
      Пишите, звоните 0931039487, буду рад Вам помочь :-)










    • By Oleg2018
      При тестовой проверке в дебаг режиме вываливается pap: WARNING: Authentication will fail unless a "known good" password is available и в результате запрос игнорирует. Понимаю что не воспринимает пароль. Все делал строго по инструкции. Кто сталкивался и как решал?
×