|
ru.cisco
- RU.CISCO ---------------------------------------------------------------------
From : Oleg Gawriloff 2:450/118 13 Jan 2006 16:16:05
To : Blinov A. Sergey
Subject : Re: максимальный траффик
--------------------------------------------------------------------------------
You wrote to (Oleg Gawriloff) on Thu, 12 Jan 2006 17:02:57 +0200:
BAS> "законектился" - через ppp? (pptp, ppoe) и не подключился к сервису ?
Т.е. законнектился на SSG-терминатор по PPPoE (либо по PPTP, без разницы).
Hо ни к одному SSG-сервису не подключился.
Hашел я тут у себя документацию, как я тогда это делал:
ssg enable
ssg service-password <some password>
ssg bind direction uplink <uplink iface>
ssg bind service <servicename> <uplink iface>
ssg service-search-order local
local-profile <servicename>
attribute 26 9 5 "R<hostip>;<hostnetmask>"
attribute 26 9 251 "Z"
Соотв. было определо два сервиса: интернет с 26 9 5 0.0.0.0 и локальный с
хост адресом фтп сервера.
Во время подключения клиент по PPPoE подключался ему радиус отдавалось:
Cisco-ssg-service-info=N<servicename>
Так вот, если этого не отдавать тогда от него трафик наружу проходит,
обратные - режеться. Почему - хз. ЧТо в логах пишет, по ссылкам в гугле
описано. Есть идеи?
Дополнительно выдаем:
Cisco-ssg-account-info=A<servicename>
Что выдаем в Cisco-ssg-service-info=T<P|T|X> - уже не помню. Скорее всего P.
Вторая проблема с которой я тогда столкнулся было следующая:
для аккаунтинга делаем:
ssg accounting per-host
ssg accounting per-service
и сравниваем счетчики PPP и SSG плюс TMeter на машине клиента. Для
локального сервиса совпадает до байта. Для интернета отличается до 10
процентов в сторону PPP (т.е. в SSG на 10 процентов меньше чем по PPP и
TMeter), соотв. никакого аккаунтинга по SSG вести невозможно, соотв.
невозможно ввести квоты на трафик и смысл SSG пропадает в принципе. Есть два
подозрения:
1. потери пакетов, вызванные SSG-шейпингом, не попадают в SSG-счетчики для
данного пользователя.
2. похоже что в default route для сервиса, входит не весь трафик, проходящий
через интерфейс (судя по докам туда не попадает днс и мультикаст. однако по
тому же TMeter днса от сила 0.1% мультикаста нет вообще).
Тогда я ответа так и не дождался, соотв. внедрение SSG накрылось медным
тазом. Может сейчас кто поможет....
BAS> - я могу попробовать у себя такой вариант. Знаю что точно не работала
BAS> конфигурация - когда клиент был непосредственно подключен в SSG и не
BAS> прошел авторизацию - SSG все дропало.. равно как и проходящий трафик
Так в том то и дело что трафик на апстрим ssg bind direction uplink <uplink
iface> пропускает. Почему, неясно.
BAS> Работает нормально - это нельзя назвать ;)
BAS> То с CEF приколы - то вдруг считает только в одну сторону то перестала
BAS> слать VPDN accounting
А часто? Т.е. если каждую неделю к примеру, то зачем такой геморрой,
надежнее нетфловом. А если раз в месяц, то можно и подпорки писать.
BAS> в последней версии которую я пробовал Version 12.4(3a) - работает все
BAS> нормально - за исключением
BAS> vpdn accounting - просто не шлет его - потому как считает что pptp
BAS> сессия - это собственно не vpdn
BAS> и метода для этого ;(
Т.е. не работают счетчики PPTP? Hу и черт на них трафик то все равно в них
суммарный, который должен быть равен сумме счетчиков всех сервисов.
Сервисные счетчики то работают?
BAS> IMHO попробую у себя - потом сообщу
Ок, пиши. Hа какой железке пробуешь кстати? А то NPE-200/64Mb с 12.4 и
12.3.Т прошивками сразу отжирают очень много памяти.
With best regards, Oleg Gawriloff.
--- Microsoft Outlook Express 6.00.2900.2670
* Origin: Atlant Telecom (2:450/118.0)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: максимальный траффик |
Oleg Gawriloff |
13 Jan 2006 16:16:05 |
|
|
