Привет, я пытаюсь ограничивать пропускную способность для наших клиентов, добавляя Mikrotik-Rate-Limit или Ascend-****-Rate в наш RADIUS-сервер. Эти атрибуты принимаются MT-боксом (rb500, последняя версия ROS), но Simple Queues не создаются. Всё это для меня новое, и я не могу найти здесь подходящих постов, которые могли бы помочь. Хотелось бы узнать, не мог бы кто-нибудь подсказать хороший учебник/руководство по устранению неполадок? Я изучил документацию Mikrotik, но понял только, что "должно работать само собой". Спасибо заранее, Нил.
savage
Guest
0
01.06.2006 19:01:00
Твой radius-сервер позволяет отправлять “Mikrotik-Rate-Limit”??? Это неверное название атрибута, он должен был бы возмутиться и стоять на голове… Тебе нужен атрибут “Rate-Limit”. Посмотри документацию ещё раз, я уверен, что там нигде не упоминается Mikrotik-Rate-Limit… Тебе также нужно установить словарь Mikrotik Radius на свой radius-сервер, чтобы он знал, что этот атрибут означает и содержит. Если не получится, выложи отладочный вывод твоего radius-сервера, обрабатывающего запрос, и Mikrotik, получающего запрос.
NealC
Guest
0
02.06.2006 10:02:00
Привет, Neal,
Спасибо за ответ. Я понимаю, что ты имеешь в виду в отношении имени атрибута. На самом деле, я сначала пытался использовать Rate-Limit, но выдало ошибку. Проверяя usr/local/share/freeradius/dictionary.mikrotik, я вижу строку ATTRIBUTE Mikrotik-Rate-Limit 8 string. Поэтому я использовал это. Словарь MikroTik ( ) действительно показывает ATTRIBUTE Rate-Limit 8 string MikroTik. Для тестирования я отредактировал usr/local/share/freeradius/dictionary.mikrotik, чтобы соответствовать этой строке (сервер работает, поэтому я не хотел заменять словари). В обоих случаях MikroTik показывает атрибут как MT-Rate-Limit – предположу, что это связано с тем, что значение обоих атрибутов равно 8.
Как и просили, вот вывод отладки: RADIUS сообщает: Отправляется Access-Accept с идентификатором 218 на 10.0.0.19 порт 1034 Framed-MTU = 1500 Framed-Compression = Van-Jacobson-TCP-IP Service-Type = Framed-User Mikrotik-Rate-Limit = “128k/256k”
MT Box говорит: Jun 2 09:56:06 10.0.0.19 wireless,debug ShopTower: wlan2: 00:0B:6A:C1:xx:xx пытается подключиться Jun 2 09:56:06 10.0.0.19 wireless,debug ShopTower: wlan2: 00:0B:6A:C1:xx:xx не в локальном ACL, запрос RADIUS Jun 2 09:56:06 10.0.0.19 wireless,debug ShopTower: отправка запроса RADIUS для 00:0B:6A:C1:xx:xx на wlan2 Jun 2 09:56:06 10.0.0.19 radius,debug ShopTower: новый запрос 58:e6 код=Access-Request service=wireless Jun 2 09:56:06 10.0.0.19 radius,debug ShopTower: отправка 58:e6 на 10.0.0.10:1812 Jun 2 09:56:06 10.0.0.19 radius,debug,packet ShopTower: отправка Access-Request с идентификатором 218 на 10.0.0.10:1812 Jun 2 09:56:06 10.0.0.19 radius,debug,packet ShopTower: Signature = 0x2ef0056525d0e52fcfb1e13037927a0c Jun 2 09:56:06 10.0.0.19 radius,debug,packet ShopTower: Service-Type = 2 Jun 2 09:56:06 10.0.0.19 radius,debug,packet ShopTower: NAS-Port-Id = “wlan2” Jun 2 09:56:06 10.0.0.19 radius,debug,packet ShopTower: User-Name = “00:0B:6A:C1:xx:xx” Jun 2 09:56:06 10.0.0.19 radius,debug,packet ShopTower: User-Password = 0x Jun 2 09:56:07 10.0.0.19 radius,debug,packet ShopTower: NAS-Identifier = “MikroTik” Jun 2 09:56:07 10.0.0.19 radius,debug,packet ShopTower: NAS-IP-Address = 10.0.0.19 Jun 2 09:56:07 10.0.0.19 radius,debug,packet ShopTower: получен Access-Accept с идентификатором 218 с 10.0.0.10:1812 Jun 2 09:56:07 10.0.0.19 radius,debug,packet ShopTower: Signature = 0x93d1b54285fb0db50ae6a990168a6225 Jun 2 09:56:07 10.0.0.19 radius,debug,packet ShopTower: Framed-MTU = 1500 Jun 2 09:56:07 10.0.0.19 radius,debug,packet ShopTower: Framed-Compression = 1 Jun 2 09:56:07 10.0.0.19 radius,debug,packet ShopTower: Service-Type = 2 Jun 2 09:56:07 10.0.0.19 radius,debug,packet ShopTower: MT-Rate-Limit = “128k/256k” Jun 2 09:56:07 10.0.0.19 radius,debug ShopTower: получен ответ для 58:e6 Jun 2 09:56:07 10.0.0.19 wireless,debug ShopTower: RADIUS получил accept для 00:0B:6A:C1:xx:xx на wlan2 Jun 2 09:56:07 10.0.0.19 wireless,info ShopTower: 00:0B:6A:C1:xx:xx@wlan2: подключился
Спасибо еще раз, Neal
savage
Guest
0
02.06.2006 10:15:00
По-моему, Rate-Limit работает только для PPP-соединений… Судя по всему, ты используешь аутентификацию беспроводных клиентов – там не будет создаваться очередь. Аутентификация по беспроводной сети через Radius изменяет только таблицу регистрации беспроводных устройств…
NealC
Guest
0
02.06.2006 10:32:00
Спасибо – могу я вас еще на пару вопросов побеспокоить? Я тоже пробовал использовать Ascend-* -Rate (отладочный вывод практически идентичен, но с атрибутами Ascend- -Rate, очевидно). Это тоже не работает (нет очереди) – это та же проблема? Руководство говорит, что Rate-Limit работает для PPP-соединений. Мой тестовый сервер отправляет атрибут Framed-Protocol = PPP, так что я предполагаю, что беспроводные соединения используют PPP. Это не так (или 'что я упускаю здесь')? Прочитав несколько обсуждений, я вижу, что вы многое знаете об этих MT-боксах — можете ли вы предложить другой способ достижения этого? Буду очень благодарен за ваш вклад! С уважением и еще раз спасибо, Нил.
savage
Guest
0
02.06.2006 10:49:00
Я также пробовал использовать Ascend-* -Rate (отладочный вывод почти идентичен, но с атрибутами Ascend-* -Rate, очевидно). Это тоже не работает (очереди нет) – это та же проблема? Согласно документации 2.8, Rate-Limit - ограничение скорости передачи данных для клиентов (только PPP). Так что я точно прав в этом. Помните, однако, что Wireless Authentication аутентифицирует и управляет тем, сможет ли AP подключиться к другому AP. У AP фиксированные скорости, 1мб, 5мб, 11мб и т.д… Я очень сомневаюсь, что указание AP использовать только 64к сработает. Поэтому я также не верю, что Ascend-* сделает то, что вам нужно. Очередь создается только для IP-трафика. То, что вы аутентифицируете, не основано на IP, это MAC-базировано, и, следовательно, IP-адреса как таковые не играют роли в плане Wireless Authentication. В руководстве сказано, что Rate-Limit работает для PPP-соединений. Мой тестовый сервер отправляет атрибут Framed-Protocol = PPP, поэтому я бы предположил, что беспроводные соединения используют PPP. Так ли это (или "что я здесь упускаю" >> )? Придется проверить, что говорится в RFC, но я думаю, что Mikrotik неправ, отправляя Framed-Protocol = PPP при Wireless Authentication. Вы не делаете PP Authentication запрос ни для Wireless, ни для DHCP. Беспроводное соединение, безусловно, не PPP. Возможно, они просто решили включить Framed-Protocol = PPP в качестве средства взлома конфигураций. Было бы крайне сложно добиться аутентификации без наличия Framed-Protocol, или даже хуже, если Framed-Protocol = Login (например). Не уверен, примут ли MT это во внимание, но лично я бы расширил словарь… Прочитав несколько тем, вы, похоже, очень много знаете об этих самых MT коробках – можете посоветовать другой способ достижения этого? Что же, какая у вас задача? Если вы хотите аутентифицировать беспроводные карты для подключения к вашей сети и управлять их скоростями без использования PPP, то да, приходит в голову много чего… Статические IP-адреса со статическими простыми очередями (большинство случаев) Динамические IP-адреса через DHCP или Radius со статическими простыми очередями Динамические IP-адреса с использованием динамических очередей через PCQ (может быть немного сложно) Идеально… Я бы просто использовал Wireless Radius для определения, разрешено ли устройству с определенным MAC-адресом находиться в сети, но я бы все равно использовал что-то вроде PPPoE для аутентификации пользователей и управления "IP" частью соединения. – C
savage
Guest
0
02.06.2006 10:54:00
Из RFC2865: 5.7. Framed-Protocol
Описание
Этот атрибут указывает фрейминг, который будет использоваться для доступа с фреймингом. Он МОЖЕТ использоваться как в пакетах Access-Request, так и в Access-Accept.
Сводка формата атрибута Framed-Protocol приведена ниже. Поля передаются слева направо.
Отличные вещи, зверь. Окей, думаю, DHCP через RADIUS – это, пожалуй, мой вариант (хочется динамических IP-адресов, и да, PCQ кажется мне пока слишком сложным!!) – мне нужно сначала разобраться с настройками очередей (вроде как, правильно?). На всякий случай, если я чего-то не понял, мой тестовый RADIUS-сервер отправляет атрибут Framed-Protocol — он не приходит из MT-бокса (хотя MT и не жалуется, что получает его). Спасибо еще раз за ваш вклад в это дело. Опыт подсказывает, что редко встретишь людей, готовых помогать другим так свободно, но именно такие люди делают форумы, как этот, полезными. В данный момент я, честно говоря, склоняю голову в знак благодарности за вашу помощь (ну да, правда!). Не хочу повторяться, но еще раз спасибо. Нил.
