The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Заметки по настройке времени, логов, BGP и Radius в Cisco IOS
1. Время.

Казалось бы какая простая и понятная штука - время. Но сколько проблем может
доставить его неправильные показания :)

Синхронизация с ntp сервером (это знают почти все)

   ntp server 1.2.3.4
   ntp clock-period 17180179

но время буде GMT,  укажем зону:

   clock timezone Riga 2

Riga - это имя, какое введете - такое и будет, 2 - +2 часа к GMT,
варианты предлагаются от -23 до 23

И все бы было хорошо если бы не переходы на летнее время, но есть возможность учесть и это

   clock summer-time Riga recurring last Sun Mar 02:00 last Sun Oct 03:00

т.е. Летнее время "работает" с последнего воскресенья марта по последнее
воскресенье октября (Riga - это имя зоны, которое было задано в clock timezone)

И теперь для полного счастья, чтобы логи и отладочную информацию смотреть в
локальном времени, а не с момента включения устройства:

   service timestamps debug datetime msec localtime
   service timestamps log datetime msec localtime

2. Radius

Возникла у начальства 2-х контор "светлая мысль" - совместно использовать Сisco
как pppoe сервер, а т.к. биллинги разные - то и работать надо одновременно с
2-мя radius серверами.
Оказывается - элементарно!

   Interface Loopback1
    description For_RAD1
    ip address a.a.a.a

   Interface Loopback2
    description For_RAD2
    ip address b.b.b.b


   aaa group server radius RAD1
    server 1.1.1.1 auth-port 1645 acct-port 1646
    server-private 1.1.1.1 auth-port 1645 acct-port 1646 key secret
    ip radius source-interface Loopback1
    attribute nas-port format a
   !
   aaa group server radius RAD2
    server 2.2.2.2 auth-port 1812 acct-port 1813
    server-private 2.2.2.2 auth-port 1812 acct-port 1813 key tayna
    ip radius source-interface Loopback2
    attribute nas-port format a
   !
   aaa authentication ppp rad1 group RAD1
   aaa authentication ppp rad2 group RAD2
   aaa authorization network rad1 group RAD1 
   aaa authorization network rad2 group RAD2 
   aaa accounting update periodic 2
   aaa accounting network rad1
    action-type start-stop
    group RAD1
   !
   aaa accounting network rad2
    action-type start-stop
    group RAD2

   bba-group pppoe rad1
   virtual-template 1
    vendor-tag circuit-id service
    sessions per-vlan limit 800
    sessions per-mac throttle 4 60 300

   bba-group pppoe rad2
   virtual-template 2
    vendor-tag circuit-id service
    sessions per-vlan limit 800
    sessions per-mac throttle 4 60 300

   interface Virtual-Template1
    ip unnumbered Loopback1
    peer default ip address pool PPPoE_POOL1
    ppp authentication pap rad1
    ppp authorization rad1
    ppp accounting rad1

   interface Virtual-Template2
    ip unnumbered Loopback2
    peer default ip address pool PPPoE_POOL2
    ppp authentication pap rad2
    ppp authorization rad2
    ppp accounting rad2

   interface GigabitEthernet0/0.100
   encapsulation dot1Q 100
   pppoe enable group rad1

   interface GigabitEthernet0/1.200
   encapsulation dot1Q 200
   pppoe enable group rad2

И вуаля - абоненты из VLAN 100 - уходят на биллинг одного провайдера, а  VLAN 200 - другого.
ip radius source-interface LoopbackN - очень полезный параметр - cisco всегда
отправляет пакеты с src IP интерфейса  LoopbackN.


3. Syslog log

Ну тут все просто:

   logging 3.3.3.3
   logging source-interface LoopbackN

логи всегда идут с ip на LoopbackN, маршрутизатор всегда однозначно
идентифицируется (если этого не сделать то логи приходят и IP-а "ближайшего" к
серверу интерфейса - неудобно если вдруг маршрутизация перестроилась)

   logging buffered 4000000

Установка размера буфера (в байтах) для хранения log-ов прямо в памяти cisco.

Теперь можно посмотреть историю событий

   show logging


4. BGP
Надо проанонсировать 2 AS-ки с одной Сisco.

   router bgp 111
   neighbor 1.1.1.1 route-map INET-OUT out

   ip prefix-list as222 seq 100 permit 2.2.2.0/24

   route-map INET-OUT permit 100
    match ip address prefix-list as222
    set as-path prepend 222 

и на neighbor 1.1.1.1 сеть 2.2.2.0/24 придет с as-path 
111 222

что и требовалось обеспечить.

Есть более изящное решение:

   router bgp 111
   address-family ipv4
   network 2.2.2.0 mask 255.255.255.0 route-map AS222

   route-map AS222 permit 100
     set origin egp 222

но к сожалению работает оно не в каждом IOS-е.
 
19.03.2010 , Автор: fantom
Ключи: cisco, ios, time, bgp, log, radius / Лицензия: CC-BY
Раздел:    Корень / Маршрутизаторы Cisco, VoIP / Ограничение и учет трафика на Cisco

Обсуждение [ RSS ]
 
  • 1.1, vpnet, 01:56, 20/03/2010 [ответить] [смотреть все]
  • +/
    хорошая стайка - типа черновичка или памятки. для молодежи очень полезно будет ))
     
  • 1.2, shadow_alone, 08:24, 20/03/2010 [ответить] [смотреть все]
  • +/
    Отличные заметки.
    По BGP второй вариант зацепил - не думал.
    Автору респект.
     
  • 1.3, fantom, 09:58, 20/03/2010 [ответить] [смотреть все]
  • +/
    Спасибо :)

    По bgp второму варианту - при таком подходе маршрут правильно выглядит даже локально - как пришедший из AS222

     
  • 1.4, sybasesql, 19:05, 23/03/2010 [ответить] [смотреть все]
  • +1 +/
    quagga умеет и egp и igp на route-map:

    (config-route-map)# set origin
      egp         remote EGP
      igp         local IGP
      incomplete  unknown heritage

     
     
  • 2.5, fantom, 09:14, 24/03/2010 [^] [ответить] [смотреть все]
  • +/
    Что-то я в своей заметке про квагу ничего не помню :)
    Вроде как тему кваги вообще не поднимал...
     
  • 1.6, True_Zaratustra, 17:49, 24/03/2010 [ответить] [смотреть все]  
  • +/
    Хорошая статья, спасибо, особенно порадовало про 2 радиус-сервера, как то раньше задумывался, но не пробовал
     
  • 1.7, Аноним, 18:30, 24/03/2010 [ответить] [смотреть все]  
  • +/
    Caution Do not enter the ntp clock-period command it is documented for informat... весь текст скрыт [показать]
     
     
  • 2.8, fantom, 09:49, 25/03/2010 [^] [ответить] [смотреть все]  
  • +/
    >Caution Do not enter the ntp clock-period command; it is documented for
    >informational purposes only. The system automatically generates this command as NTP
    >determines the clock error and compensates.

    Копировалось из run конфига....

     
  • 1.9, Albatross, 16:40, 15/01/2013 [ответить] [смотреть все]  
  • +/
    По поводу "set origin egp"
    К сожалению, допустимые значения AS ограничены 16-битным диапазоном. Новые 32-битные номера не поддерживаются.
     
     
  • 2.10, fantom, 17:00, 15/01/2013 [^] [ответить] [смотреть все]  
  • +/
    > По поводу "set origin egp"
    > К сожалению, допустимые значения AS ограничены 16-битным диапазоном. Новые 32-битные номера
    > не поддерживаются.

    Писать support-у цисковому, может это баг, а может и фича ;)

     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor