Ubilling + Cisco

[Andrey75]

 

 

Корее да, надо смотреть в сторону словарей. А вот по поводу того, какие вам нужны атрибуты я вам не смогу помочь.. 

Доброго времени суток!

скажите, а можно в строчку значение в атрибутах вставлять что то типа

rate-limit input {SPEEDDOWN} 576000 1152000 conform-action transmit exceed-action drop

 

еще не могу понять каким параметром Ubilling отключает должников (активный) для атрибутов.

 

 

заранее спасибо.

 

Вам треба щоб при відключенні юзера рубалась сессія да не підіймалась до проплати?

 

ну да, должник подключился и отправился в личный кабинет.

[l1ght]

Ваша циска пбр вміє?

Просто можно вигружати список боржников і перенаправляти іх на ЛК.

[Andrey75]

Ваша циска пбр вміє?

Просто можно вигружати список боржников і перенаправляти іх на ЛК.

переведите не понял (Ваша циска пбр вміє?)

а как отключить услугу абоненту?

 

сделал авторизацию по логину и паролю, присваивает IP абоненту.

но активен он или нет , абонент все равно в сети.

Edited November 3, 2014 by Andrey75

[l1ght]

Ладно, давайте на русском.

Какая циска у вас? Какая её роль? Просто собрать все пппое подключения или ещё и в интернет выпустить абонов?

[Andrey75]

Ладно, давайте на русском.

Какая циска у вас? Какая её роль? Просто собрать все пппое подключения или ещё и в интернет выпустить абонов?

спасибо за Русский.

cisco 2821, стоит между инет провайдера и сетью, Ubilling запущен с freeradius.

на циске авторизация и выход и инет. работаем с  GPON, есть 5 тарифов безлимит. 

в идеале думаю запустить IPoE, не могу разобраться с настройками циски все что нашел на ISG.

Edited November 3, 2014 by Andrey75

[l1ght]

А конфиг циски можно глянуть? Что б лишними вопросами не мучать.

Радиус в стандартном виде или с jcomm переделывали под вас что-то?

[Andrey75]

А конфиг циски можно глянуть? Что б лишними вопросами не мучать.

Радиус в стандартном виде или с jcomm переделывали под вас что-то?

конфиг cisco 2821 мой.txt

в конфиге лишнее есть, учусь.

переделки радиуса все в этой теме, остальное адреса под свою сеть

[l1ght]

Так, ну насколько я понял, тут всё равно надо логику радиуса исследовать.

Вариант разве что загонять всех незаплативших в другую подсеть и по src этой подсети делать редирект.

Или с биллинга выгружать список должников в виде акл и по нему делать редирект собно.

Щас попробую виртуализировать хоть один вариант.

 

Ну второй вариант делается довольно просто.

С первым нужно ковырять радиус...

 

Ну вот вам страничка про пбр, интересует только

http://www.cisco.com/c/en/us/td/docs/ios/12_2/qos/configuration/guide/fqos_c/qcfpbr.html

set next-hop

Edited November 3, 2014 by L1ght

[Andrey75]

 

Так, ну насколько я понял, тут всё равно надо логику радиуса исследовать.

Вариант разве что загонять всех незаплативших в другую подсеть и по src этой подсети делать редирект.

Или с биллинга выгружать список должников в виде акл и по нему делать редирект собно.

Щас попробую виртуализировать хоть один вариант.

 

Ну второй вариант делается довольно просто.

С первым нужно ковырять радиус...

 

Ну вот вам страничка про пбр, интересует только

http://www.cisco.com/c/en/us/td/docs/ios/12_2/qos/configuration/guide/fqos_c/qcfpbr.html

set next-hop

примерно понял про редирект, тогда можно и новых абонентов?

не пойму как привязать адресацию по IP к интерфейсу на циске.

про (Вариант разве что загонять всех незаплативших в другую подсеть и по src этой подсети делать редирект.) есть где почитать?

по ограничению скорости, думал загонять абонентов в группы по тарифам, но опять вопросы по циске?

может можно проще?

 

 

а этот вопрос (скажите, а можно в строчку значение в атрибутах вставлять что то типа

rate-limit input {SPEEDDOWN} 576000 1152000 conform-action transmit exceed-action drop)  совсем глупый?

[l1ght]

примерно понял про редирект, тогда можно и новых абонентов?

Не нужно привязывать к айпи интерфейсу, можно привязать к ACL.

R1(config)#route-map rdr
R1(config-route-map)#match ip ad
R1(config-route-map)#match ip address ?
  <1-199>      IP access-list number
  <1300-2699>  IP access-list number (expanded range)
  WORD         IP access-list name
  prefix-list  Match entries of prefix-lists

R1(config-route-map)#set ip next-hop ?
  A.B.C.D              IP address of next hop
  dynamic              application dynamically sets next hop
  peer-address         Use peer address (for BGP only)
  recursive            Recursive next-hop
  verify-availability  Verify if nexthop is reachable

про (Вариант разве что загонять всех незаплативших в другую подсеть и по src этой подсети делать редирект.) есть где почитать?

Это ковыряние радиуса.

 

 

а этот вопрос (скажите, а можно в строчку значение в атрибутах вставлять что то типа rate-limit input {SPEEDDOWN} 576000 1152000 conform-action transmit exceed-action drop)  совсем глупый?

 

Тут тоже не скажу.

Edited November 3, 2014 by L1ght

[Andrey75]

Не нужно привязывать к айпи интерфейсу, можно привязать к ACL.

это редирект

 

а как привязать это

class type control always event session-start

  1 authorize aaa list ISG password cisco identifier source-ip-address

IPoE?

 

радиус ковырять он конект, оф коннект?

 

или где то ошибаюсь?

Edited November 3, 2014 by Andrey75

[l1ght]

 

Не нужно привязывать к айпи интерфейсу, можно привязать к ACL.

это редирект

 

а как привязать это

class type control always event session-start

  1 authorize aaa list ISG password cisco identifier source-ip-address

IPoE?

 

радиус ковырять он конект, оф коннект?

 

или где то ошибаюсь?

 

ИСГ - у вас план на будущее?

 

По поводу радиуса - да, нужно вырабатать алгоритм, что делать с абонентов при денег =>0 и при <0

[Andrey75]

ИСГ - у вас план на будущее?

можно перевести, постарел я видать.

 

осталось непонятно куда копать при настройке IPoE

(зачем PPPoE если на GPON абоненты с MAC + IP никуда не денутся)

 

и организация ограничения скорости на определенный тариф.

 

(По поводу радиуса - да, нужно вырабатать алгоритм, что делать с абонентов при денег =>0 и при <0)

ОПЯТЬ В ШКОЛУ

[l1ght]

 

 

  1 authorize aaa list ISG password cisco identifier source-ip-address

Я прицепился просто к ISG. У вас есть железяка которая умеет это самое ISG? Или вы просто так назвали список ISG?

http://www.cisco.com/c/en/us/products/ios-nx-os-software/intelligent-services-gateway-isg/index.html

[Demid]

Ubilling 0.6.1 rev 3952

атрибут Framed-IP-Address = ethost[ip, уводит авторизацию в ошибку, если указать конкретный ип, то все норм

 

разобрался, кривые руки

Edited December 10, 2014 by Demid

[l1ght]

Framed-IP-Address == {nethost[ip]}

[cskkl64]

Поделитесь примером конфы для cisco 7206. Задача: абонент авторизуется на cisco по PPPoE, радиус дает добро абонент получает доступ в нетернет, это настроили, теперь как порезать скорость у абонента и как сделать что бы при отрицательном балансе он отключался (перенаправлялся на страничку блокировки)

[l1ght]

Шейпінг - гугл "Cisco AV Pair", здається так

Редірект на сторінку "дай грошей" здається роблять через WCCP.

[cskkl64]

про пары понятно, непонятно как в биллинге это указать

[l1ght]

http://wiki.ubilling.net.ua/doku.php?id=freeradius

Добре все розписано

Я так розумію, що пари для сценарію reply.

[jcomm]

 

про пары понятно, непонятно как в биллинге это указать

Про пары для циски ничего не могу сказать, но смотрите в сторону user[state]. В зависимости от состояния пользователя он принимает значения DOWN, PASSIVE, OFF-LINE, ON-LINE.. Может в АЦЛьки можно там назначать или что-то подобное...

[foxtyumen]

Вот нужные AV пары:

reply cisco-avpair += interface-config#1=rate-limit output {speed[up]} 512000 512000 conform-action transmit exceed-action drop

reply cisco-avpair += interface-config#2=rate-limit input {speed[down]} 512000 512000 conform-action transmit exceed-action drop

добавляем в биллинге в атрибуты радиуса сервера "Всем"

Edited December 18, 2014 by foxtyumen

[foxtyumen]

И так...

 

Как сделать проверку на блокировки и отрицательный баланс

 

dialup.conf

 

authorize_check_query = "SELECT (@cnt := @cnt + 1) AS `id`, `UserName`, `Attribute`, `Value`, `op` \

          FROM `${authcheck_table}`, `users`\

          CROSS JOIN (SELECT @cnt := 0) AS `dummy` \

          WHERE `UserName` = '%{SQL-User-Name}' \

          AND `UserName`=`login` AND `cash` > 0 AND `cash` >= `credit` AND `passive` = 0 AND `down` = 0 \

          ORDER BY `id`"

 

Ограничение по подключению одного и того же логина

 

dialup.conf

 

# Uncomment simul_count_query to enable simultaneous use checking

simul_count_query = "SELECT COUNT(*) \

                             FROM ${acct_table1} \

                             WHERE username = '%{SQL-User-Name}' \

                             AND acctstoptime IS NULL"

 

simul_verify_query  = "SELECT radacctid, acctsessionid, username, \

                               nasipaddress, nasportid, framedipaddress, \

                               callingstationid, framedprotocol \

                               FROM ${acct_table1} \

                               WHERE username = '%{SQL-User-Name}' \

                               AND acctstoptime IS NULL"

 

+ нужно будет добавить атрибут  Simultaneous-Use  :=  1      

 

+ приложил файлик 123.txt (нужно переименовать соответственно) для тех кому нужен статус онлайн из БД а не из папки dn

заменяем в директории /usr/local/www/apache22/data/billing/modules/general/online/index.php  

 

123.txt

[nightfly]

Как сделать проверку на блокировки и отрицательный баланс

Jcomm - а я же говорил, что нужно для всяких ррр штук оставить?

 

 

 

+ приложил файлик 123.txt (нужно переименовать соответственно) для тех кому нужен статус онлайн из БД а не из папки dn заменяем в директории /usr/local/www/apache22/data/billing/modules/general/online/index.php

мне как-то слегка поплохело от вида $query_online умноженного на количество юзеров в цикле.

Edited December 26, 2014 by nightfly

[Andrey75]

помогите не проходит авторизация при radtest:

ubilling@ubilling:/var/log# radtest 00001 5o3d40yo 127.0.0.1 0 dec0071981b1

Sending Access-Request of id 163 to 127.0.0.1 port 1812

        User-Name = "0001"

        User-Password = "5o3d40yo"

        NAS-IP-Address = 127.0.0.1

        NAS-Port = 0

        Message-Authenticator = 0x00000000000000000000000000000000

rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=163, length=20

ubilling@ubilling:/var/log#

 

 

 

 

в логах пишет:

 

Tue Jun  6 10:56:49 2017 : Auth: Login incorrect: [0001/5o3d40yo] (from client Test port 0)

Edited June 6, 2017 by Andrey75