|
Ключ
Эта строка удалена.
Это слово было удалено. Это слово было добавлено.
Эта строка добавлена.
|
Изменения (9)
просмотр истории страницы| h2. Настройка netflow потока для версий IOS 15 и выше |
| h5. Базовая конфигурация |
| В версии IOS 15 изменился синтаксис настройки netflow. По умолчанию cisco использует версию netflow 9. Для использования версии netflow 5, её нужно явно указать в конфигурации. |
| {code:title=Пример конфигурации} flow record TCP-APP-analysis match ipv4 source address match ipv4 destination address match transport tcp source-port match transport tcp destination-port collect counter bytes collect counter packets ! ! |
| {code:title=Конфигурация netflow} |
| flow exporter CarbonBilling destination 10.0.0.1 |
| source GigabitEthernet0/0/0 |
| transport udp 9996 export-protocol netflow-v5 |
... |
| record netflow-original {code} |
| {code:title=Назначьте правило на интерфейс} interface GigabitEthernet0/0/1 |
| |
| h2. Таймаут отправки аккаунтинга По умолчанию таймаут отправки аккаунтинга равен 600 секундам. Передаётся в Radius атрибуте при авторизации абонента. Изменить его можно добавив атрибут *Acct-Interim-Interval* в список Radius атрибутов НАС. {code:title=Пример таймаута из Radius лога} Acct-Interim-Interval := 600 |
| ip flow monitor CarbonBilling-monitor input ip flow monitor CarbonBilling-monitor output |
| {code} |
| h5. Расширенная конфигурация При необходимости можно создать собственное правило записи netflow {code} flow record Custom-analysis match ipv4 source address match ipv4 destination address match transport tcp source-port match transport tcp destination-port collect counter bytes collect counter packets {code} Далее нужно указать его в секции monitor {code} flow monitor CarbonBilling-monitor exporter CarbonBilling record Custom-analysis {code} h2. Логирование НАТ трансляций {note} В Carbon Billing 5 нет возможности обрабатывать НАТ трансляции из netflow на оборудовании cisco. {note} На оборудовании cisco логирование НАТ трансляций включается в отдельном потоке netflow. В биллинг эти потоки приходят с разных src портов. В основном netflow потоке приходят данные об объёме переданного трафика. В netflow потоке c НАТ трансляциями данные приходят без объема, поэтому биллинг не может их обработать. Для справки приводим команду включения НАТ логирования в netflow. {code} ip nat log translations flow-export v9 udp destination 10.0.0.1 9996 GigabitEthernet0/0/1 {code} h2. Один внешний адрес для сессий с одного серого IP Включите опцию: {code} ip nat settings pap {code} Укажите количество серых адресов на один внешний. По умолчанию 120: {code} ip nat settings pap limit 250 {code} h2. DHCP relay Включить DHCP relay на интерфейсе: {code} GigabitEthernet0/0/1 ip helper-address 10.0.0.1 {code} Запросы будут перенаправлены с primary ip GigabitEthernet0/0/1 на ip 10.0.0.1 h2. Не проходит авторизация В некоторых случаях cisco может отправлять неверный пароль в radius-access пакете. Если конфигурация вставлена напрямую в консоль, cisco может добавить пробел или спецсимвол к паролю в команде. Ниже пример такого запроса, в атрибуте *User-Password* - "мусор". Для решения проблемы введите вручную все части конфигурации, где нужен пароль. {code} Ready to process requests. rad_recv: Access-Request packet from host 10.61.0.4 port 1645, id=117, length=133 User-Name = "100.64.10.2" User-Password = "%\334Ä<89>:\225\360\334\3129:\215\311\330K\337" Cisco-Account-Info = "S100.64.10.2" NAS-Port-Type = Virtual Cisco-NAS-Port = "0/0/0/700" NAS-Port = 0 NAS-Port-Id = "0/0/0/700" Service-Type = Outbound-User NAS-IP-Address = 10.61.0.4 Acct-Session-Id = "0000008C" {code} h2. Полезные команды Включить/отключить режим отладки RADIUS: {code} debug radius no debug radius {code} Просмотреть отладку RADIUS: {code} terminal monitor {code} Отключить логирование НАТ сессий(может мешать отладки в консоли). Выполнять в режиме конфигурации. {code} no ip nat log translations {code} Просмотр всех сессий: {code} show subscriber session {code} Политики по сессиям: {code} show subscriber session detail {code} Детально по сессии: {code} show subscriber session identifier authenticated-username 100.65.99.254 {code} Супер детально: {code} show subscriber session detailed identifier username 100.65.99.254 {code} Загрузка всех интерфейсов: {code} show interfaces summary {code} Информация об интерфейсе: {code} show interfaces TenGigabitEthernet 0/0/1 {code} Статистика по сессиям: {code} show subscriber statistics {code} Сбросим все неавторизованные сессии: {code} clear subscriber session identifier authen-status unauthenticated {code} Сколько аторизованных и неавторизованных сессий: {code} show subscriber statistics | i authenticated {code} Посмотреть информацию по оптическому транссиверу: {code} show interfaces TenGigabitEthernet 0/0/0 transceiver {code} Посмотреть все НАТ трансляции: {code} show ip nat statistics {code} Сбросить все НАТ трансляции: {code} clear ip nat translation * {code} Принять неподдержиаемые cisco транссиверы: {code} service unsupported-transceiver {code} Отправлять radius запросы с IP интерфейса GigabitEthernet0/0/0 {code} aaa group server radius CRB_AAAGS_IPOE ip radius source-interface GigabitEthernet0/0/0 {code} |