ru.cisco

 
 - RU.CISCO ---------------------------------------------------------------------
 From : Blinov A. Sergey                     2:5020/400     13 Jan 2006  18:46:08
 To : Oleg Gawriloff
 Subject : Re: максимальный траффик
 -------------------------------------------------------------------------------- 
 

 Oleg Gawriloff <Oleg.Gawriloff@f118.n450.z2.fidonet.org> wrote:
 
 OG> Hello, Blinov!
 OG> You wrote to (Oleg Gawriloff) on Thu, 12 Jan 2006 17:02:57 +0200:
 
  BAS>> "законектился" - через ppp? (pptp, ppoe) и не подключился к сервису ?
 OG> Т.е. законнектился на SSG-терминатор по PPPoE (либо по PPTP, без разницы). 
 OG> Hо ни к одному SSG-сервису не подключился.
 OG> Hашел я тут у себя документацию, как я тогда это делал:
 OG> ssg enable
 OG> ssg service-password <some password>
 OG> ssg bind direction uplink <uplink iface>
 OG> ssg bind service <servicename> <uplink iface>
 
 В зависимости от версии IOS - нужно еще указывать downlink (например на
 virtual-template)
 
 OG> ssg service-search-order local
 OG> local-profile <servicename>
 OG> attribute 26 9 5 "R<hostip>;<hostnetmask>"
 OG> attribute 26 9 251 "Z"
 
 Авторизацию то требовать зачем ? - или нужно prepaid ?
 
 OG> Соотв. было определо два сервиса: интернет с 26 9 5 0.0.0.0 и локальный с 
 OG> хост адресом фтп сервера.
 OG> Во время подключения клиент по PPPoE подключался ему радиус отдавалось:
 OG> Cisco-ssg-service-info=N<servicename>
 OG> Так вот, если этого не отдавать тогда от него трафик наружу проходит, 
 OG> обратные - режеться. Почему - хз. ЧТо в логах пишет, по ссылкам в гугле 
 OG> описано. Есть идеи?
 OG> Дополнительно выдаем:
 OG> Cisco-ssg-account-info=A<servicename>
 OG> Что выдаем в Cisco-ssg-service-info=T<P|T|X> - уже не помню. Скорее всего P.
 
 Я подписывал принудительно
 
 Cisco-SSG-Account-Info=AInternet
 Cisco-SSG-Account-Info=ALocal
 
 OG> Вторая проблема с которой я тогда столкнулся было следующая:
 OG> для аккаунтинга делаем:
 OG> ssg accounting per-host
 OG> ssg accounting per-service
 
 Одновременно общая статистика и по сервисам ?
 
 OG> и сравниваем счетчики PPP и SSG плюс TMeter на машине клиента. Для 
 OG> локального сервиса совпадает до байта. Для интернета отличается до 10 
 OG> процентов в сторону PPP (т.е. в SSG на 10 процентов меньше чем по PPP и 
 OG> TMeter), соотв. никакого аккаунтинга по SSG вести невозможно, соотв. 
 OG> невозможно ввести квоты на трафик и смысл SSG пропадает в принципе. Есть два
 OG> подозрения: 1. потери пакетов, вызванные SSG-шейпингом, не попадают в
 OG> SSG-счетчики для данного пользователя. 2. похоже что в default route для
 OG> сервиса, входит не весь трафик, проходящий через интерфейс (судя по докам
 OG> туда не попадает днс и мультикаст. однако по тому же TMeter днса от сила
 OG> 0.1% мультикаста нет вообще).
 
 c7200-g4js-mz.124-3a.bin
 
 С коунтерами вроде все нормально - кроме vpdn аккоунтинга
 
 OG> Тогда я ответа так и не дождался, соотв. внедрение SSG накрылось медным 
 OG> тазом. Может сейчас кто поможет....
  BAS>> - я могу попробовать у себя такой вариант. Знаю что точно не работала
  BAS>> конфигурация - когда клиент был непосредственно подключен в SSG и не
  BAS>> прошел авторизацию - SSG все дропало.. равно как и проходящий трафик
 OG> Так в том то и дело что трафик на апстрим ssg bind direction uplink <uplink 
 iface>> пропускает. Почему, неясно.
 
 В сторону upstream я проверю - просто не интересовался (важно было вообще -
 работает или нет ;) )
 
  BAS>> Работает нормально - это нельзя назвать ;)
  BAS>> То с CEF приколы - то вдруг считает только в одну сторону то перестала
  BAS>> слать VPDN accounting
 OG> А часто? Т.е. если каждую неделю к примеру, то зачем такой геморрой, 
 OG> надежнее нетфловом. А если раз в месяц, то можно и подпорки писать.
 
 В смысле часто ? с включенным CEF на uplink вообще не работала (приходилось
 выключать CEF на интерфейсе)
 Netflow конечно один из выходов - но особо не маштабируемый + нужно еще билинг
 затачивать + в сеть с кучей входов - запаришся правильно раставлять (чтоб небыло
 дублей) - заранее согласен что плохая топология сети - сам себе злобный баклан -
 но есть еще и факторы на которые я не могу влиять ;((
 
  BAS>> в последней версии которую я пробовал Version 12.4(3a) - работает все
  BAS>> нормально - за исключением
  BAS>> vpdn accounting - просто не шлет его - потому как считает что pptp
  BAS>> сессия - это собственно не vpdn
  BAS>> и метода для этого ;(
 OG> Т.е. не работают счетчики PPTP? Hу и черт на них трафик то все равно в них 
 OG> суммарный, который должен быть равен сумме счетчиков всех сервисов. 
 
 Кому как, у биллинг это использует для отслеживания колличества одновременных
 соединений ;(
 
 OG> Сервисные счетчики то работают?
 
 да
 
  BAS>> IMHO попробую у себя - потом сообщу
 OG> Ок, пиши. Hа какой железке пробуешь кстати? А то NPE-200/64Mb с 12.4 и 
 OG> 12.3.Т прошивками сразу отжирают очень много памяти.
 
 NPE200/128Mb Version 12.4(3a)
 
 OG> With best regards, Oleg Gawriloff. 
 
 на выходных попробую
 
 -- 
 Blinov A. Sergey, POST Ltd. system administrator
 Phone: +7 8652 972729, +7 87934 67937  Email: blny@kmv.ru 
 Information: BLNY-RIPN, BLNY-RIPE 
 --- ifmail v.2.15dev5.3
  * Origin: POST Ltd. (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор