tsolodov

Сделал так(убрал service-policy type control S1), не работает. т.е. на ASR 1002 не ставится срабатывает ploicy-map на интерфейсе. Никак не пойму где затык.

Note Actual MQC policy must be predefined on the ISG. Only Supported for PPP session. У меня IPoE

не совсем коммутатор) MLR Cisco 7604 схема client------------ASR1002----------Cisco 7604-----------PC Linux(на нем запускаю tcpdump)-------INET На самом деле траффик из вне размечается и приходит к клиенту с dscp, а я хочу чтобы трафик от клиента в внешний мир размечался тоже, но не выходит пока(

Правильный вопрос)))) Поставил mls qos trust dscp на коммутаторе к которому подключен ASR. не помогло, понится мне что на 7604 нужно было делать dscp rewrite enable, на ASR 1002 возможно эту штуку тоже включать нужно?

ISG#sh sss session uid 16 detailed Unique Session ID: 16 Identifier: 10.91.0.101 SIP subscriber access type(s): IP Current SIP options: Req Fwding/Req Fwded Session Up-time: 00:00:42, Last Changed: 00:00:42 Policy information: Context 3C7AED70: Handle A8000024 AAA_id 00000013: Flow_handle 0 Authentication status: authen Downloaded User profile, including services: username "SNAT" sub-policy-In "SNAT1" sub-policy-Out "SNAT1" ssg-service-info "QU;62914560;11796480;D;62914560;11796480" traffic-class "in access-group name IX-TO priority 7" traffic-class "out access-group name IX-FROM priority 7" Config history for session (recent to oldest): Access-type: Web-service-logon Client: SM Policy event: Apply Config Success (Service) Profile name: IX-61440-61440, 4 references ssg-service-info "QU;62914560;11796480;D;62914560;11796480" traffic-class "in access-group name IX-TO priority 7" traffic-class "out access-group name IX-FROM priority 7" Access-type: Web-service-logon Client: SM Policy event: Apply Config Success (Service) Profile name: WORLD-102400-102400, 4 references ssg-service-info "QU;104857600;19660800;D;104857600;19660800" traffic-class "in access-group 101 priority 10" traffic-class "out access-group 101 priority 10" Access-type: Web-service-logon Client: SM Policy event: Apply Config Success (Service) Profile name: SNAT, 4 references password <hidden> username "SNAT" sub-policy-In "SNAT1" sub-policy-Out "SNAT1" Access-type: IP Client: SM Policy event: Service Selection Request Profile name: 10.91.0.101, 2 references Active services associated with session: name "IX-61440-61440" name "WORLD-102400-102400" name "SNAT" Rules, actions and conditions executed: subscriber rule-map S1 condition always event session-start 10 authorize aaa list ISG-AUTH identifier source-ip-address Session inbound features: Feature: QoS Policy Map Input Policy Map: SNAT1 Traffic classes: Traffic class session ID: 17 ACL Name: 101, Packets = 0, Bytes = 0 Traffic class session ID: 18 ACL Name: IX-TO, Packets = 0, Bytes = 0 Unmatched Packets = 0, Re-classified packets (redirected) = 0 Session outbound features: Feature: QoS Policy Map Output Policy Map: SNAT1 Traffic classes: Traffic class session ID: 17 ACL Name: 101, Packets = 0, Bytes = 0 Traffic class session ID: 18 ACL Name: IX-FROM, Packets = 0, Bytes = 0 Unmatched Packets = 0, Re-classified packets (redirected) = 0 Configuration sources associated with this session: Service: IX-61440-61440, Active Time = 00:00:42 Service: WORLD-102400-102400, Active Time = 00:00:42 Service: SNAT, Active Time = 00:00:42 Interface: GigabitEthernet0/0/0.283, Active Time = 00:00:42

Всем привет. Кто знает как на всей сессии у определенного пользователя выставить определенное значение dscp у пакета? interface GigabitEthernet0/0/0.283 description pogran-2-oka-1-vlan283 encapsulation dot1Q 283 ip vrf forwarding ISG ip address 10.0.2.66 255.255.255.224 cdp enable service-policy type control S1 ip subscriber routed initiator unclassified ip-address end вот профиль пользователя: Cisco-Account-Info += "AWORLD-102400-102400" Cisco-Account-Info += "AIX-61440-61440" Вот что пытался сделать: policy-map SNAT1 class class-default set dscp 11 policy-map type service SNAT service-policy input SNAT1 service-policy output SNAT1 К пользователю профайл прикреплял, но когда прошелся tcpdump'ом, то увидел что dscp 0 у всех пакетов.

Вопрос актуален

Покажи что в aaa authorization subscriber-service

Спасибо, но неужели если по умолчаюнию все разрешено в FORWARD то он все равно блочит пакеты?Очень хочется заставить iptables пропускать такие пакеты. Кто знает как еще можено реализовать такую схему? Спасибо, как я понял то эти фичи на новых ядрах в Linux уже не работают?Или я ошибаюсь? nat - a special NAT route. Destinations covered by the prefix are considered to be dummy (or external) addresses which require translation to real (or internal) ones before forwarding. The addresses to translate to are selected with the attribute Warning: Route NAT is no longer supported in Linux 2.6. Черт побери)

Спасибо, но неужели если по умолчаюнию все разрешено в FORWARD то он все равно блочит пакеты?Очень хочется заставить iptables пропускать такие пакеты. Кто знает как еще можено реализовать такую схему? Спасибо, как я понял то эти фичи на новых ядрах в Linux уже не работают?Или я ошибаюсь?

Помогите настроить пожалуйста, уважаемые спецы! сейас селанно: policy-map type service SNAT ip vrf forwarding SNAT sg-service-type primary Профайл юзера: в радиусе: Cisco-Account-Info += "AWORLD-102400-102400" Cisco-Account-Info += "AIX-61440-61440" Cisco-Account-Info += "ASNAT" VRF создан, но сервисы применяются но сессия в vrf нет, она уходит в vrf, которому принадлежит L3 интерфейс , а именно в vrf ISG, а мне нужно чтобы он попал в vrf SNAT. Помогите пожалуйста настроить!! ! interface GigabitEthernet0/0/0.283 description pogran-2-oka-1-vlan283 encapsulation dot1Q 283 ip vrf forwarding ISG ip address 10.0.2.66 255.255.255.224 cdp enable service-policy type control S1 ip subscriber routed initiator unclassified ip-address end ISG#sh sss session uid 220 detailed Unique Session ID: 220 Identifier: 10.91.0.101 SIP subscriber access type(s): IP Current SIP options: Req Fwding/Req Fwded Session Up-time: 00:16:09, Last Changed: 00:16:09 Policy information: Context 2C17704C: Handle 4B000162 AAA_id 00000090: Flow_handle 0 Authentication status: authen Config history for session (recent to oldest): Access-type: Web-service-logon Client: SM Policy event: Apply Config Success (Unapplied) (Service) Profile name: IX-61440-61440, 3 references ssg-service-info "QU;62914560;11796480;D;62914560;11796480" traffic-class "in access-group name IX-TO priority 7" traffic-class "out access-group name IX-FROM priority 7" Access-type: Web-service-logon Client: SM Policy event: Apply Config Success (Unapplied) (Service) Profile name: WORLD-102400-102400, 3 references ssg-service-info "QU;104857600;19660800;D;104857600;19660800" traffic-class "in access-group 101 priority 10" traffic-class "out access-group 101 priority 10" Access-type: Web-service-logon Client: SM Policy event: Apply Config Success (Service) Profile name: IX-61440-61440, 3 references ssg-service-info "QU;62914560;11796480;D;62914560;11796480" traffic-class "in access-group name IX-TO priority 7" traffic-class "out access-group name IX-FROM priority 7" Access-type: Web-service-logon Client: SM Policy event: Apply Config Success (Service) Profile name: WORLD-102400-102400, 3 references ssg-service-info "QU;104857600;19660800;D;104857600;19660800" traffic-class "in access-group 101 priority 10" traffic-class "out access-group 101 priority 10" Access-type: IP Client: SM Policy event: Service Selection Request Profile name: 10.91.0.101, 2 references Rules, actions and conditions executed: subscriber rule-map S1 condition always event session-start 10 authorize aaa list ISG-AUTH identifier source-ip-address Configuration sources associated with this session: Interface: GigabitEthernet0/0/0.283, Active Time = 00:16:09

это с утечками не связано помоему. импорты сами по себе перекинут маршруты, но не на одной железке. Попробуй убрать весь ISG функционал с портов и протестить на "чистых" сабинтрфесах. Вдруг сабака там зарыта... Все получилось(сегодня уивидел что забыл прописть роутинг) Кто знает как положить сессию в определнный VRF на ISG?

Спасибо, но неужели если по умолчаюнию все разрешено в FORWARD то он все равно блочит пакеты?Очень хочется заставить iptables пропускать такие пакеты. Кто знает как еще можено реализовать такую схему?

Всем привет, вопрос знатокам iptables. Хочется следующее: есть 2 NAT сервера, на которых настроен one-to-one NAT. Хочется чтобы траффик изходящий ходил через один нат, а приходил через другой(т.к. NAT one-to-one он поидее должен тупо натить по таблице своей), роутинг прописал на маршрутизаторах чтобы траффик проходил ассиметрично, но почему то ничего не выходит. Если весь трафик пустить через один NAT то все ОК. В iptables я слаб. ВОт конфиг NATA: *mangle :PREROUTING ACCEPT [10906:1649208] :INPUT ACCEPT [1483:111227] :FORWARD ACCEPT [6017:1182375] :OUTPUT ACCEPT [1473:844306] :POSTROUTING ACCEPT [7490:2026681] COMMIT # Completed on Fri Feb 18 21:47:55 2011 # Generated by iptables-save v1.3.5 on Fri Feb 18 21:47:55 2011 *nat :PREROUTING ACCEPT [3387:354418] :POSTROUTING ACCEPT [59:5165] :OUTPUT ACCEPT [53:4877] -A PREROUTING -d EXTERNALIP -i eth1.16 -j DNAT --to-destination INTERNALIP -A POSTROUTING -s INTERNALIP -o eth1.16 -j SNAT --to-source EXTERNALIP COMMIT # Completed on Fri Feb 18 21:47:55 2011 # Generated by iptables-save v1.3.5 on Fri Feb 18 21:47:55 2011 *filter :INPUT ACCEPT [1487:111431] :FORWARD ACCEPT [2280:134892] :OUTPUT ACCEPT [1478:848946] COMMIT # Completed on Fri Feb 18 21:47:55 2011 ICMP проходит а остально нет, т.е. как я понял UDP ходит а TCP нет. Как быть?

На 65 адресе default 66, так что 65 адрес нипричем S* 0.0.0.0/0 [1/0] via 10.0.2.66 ISG#ping vrf vrf1 10.0.2.66 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.2.66, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms ISG#sh ip route vrf vrf1 Routing Table: vrf1 Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP + - replicated route, % - next hop override Gateway of last resort is 10.0.64.3 to network 0.0.0.0 S* 0.0.0.0/0 [1/0] via 10.0.64.3 10.0.0.0/8 is variably subnetted, 6 subnets, 4 masks S 10.0.2.10/32 [1/0] via 10.0.2.10, GigabitEthernet0/0/0.39 C 10.0.2.64/27 is directly connected, GigabitEthernet0/0/0.283 L 10.0.2.66/32 is directly connected, GigabitEthernet0/0/0.283 C 10.0.64.0/29 is directly connected, GigabitEthernet0/0/0.937 L 10.0.64.4/32 is directly connected, GigabitEthernet0/0/0.937 S 10.91.0.0/24 [1/0] via 10.0.2.65 ISG#ping vrf vrf2 10.0.2.66 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.2.66, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) ISG#sh ip route vrf vrf2 Routing Table: vrf2 Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP + - replicated route, % - next hop override Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks C 10.0.2.0/27 is directly connected, GigabitEthernet0/0/0.39 L 10.0.2.18/32 is directly connected, GigabitEthernet0/0/0.39 S 10.0.2.65/32 [1/0] via 10.0.2.65, GigabitEthernet0/0/0.283 ну так вот: траффик маршрутизация из vrf1 в vrf2 идет, а наоборот нет((( В какую сторону копать???? с каким соурсом пингуешь? попробуй вручную соурс задать 10.0.2.10 Думаю что т.к. всего один интерфейс в vrf2 то сорс будет и так им, но все же:ISG#ping vrf vrf2 10.0.2.66 source Gi0/0/0.39 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.2.66, timeout is 2 seconds: Packet sent with a source address of 10.0.2.18 ..... Success rate is 0 percent (0/5)

Ситуация следующая: есть 2 vrf VRF1 и VRF2 ну так вот: траффик маршрутизация из vrf1 в vrf2 идет, а наоборот нет((( В какую сторону копать????

Либо подскажите пожалуйста, как у некоторых пользователей разметить траффик с определенной dscp меткой, при этом они будут иметь несколько сервисов, а профили пользователей находятся в радиусе, как и профили сервисов(потом по dscp сделаю policy-route).

Добрый день, подскажите пожалуйста мне как можно сделать следующее: тестирую ISG, все пока получается, но мне нужно некоторых пользователей маршрутизировать иначе чем остальных, пришла в голову мысль по поводу того, что кидать этих пользователей в другой VRF, тем более в радиусе можно дать атрибут IP:vrf-id. Вот конфиг интерфеса на который приходят пакеты для начала сессии: Что я сделал: создал новый vrf,L3 interface в этом vrf, прописал статик роут на адрес роутера, на который нужно будет всех пересылать, на этом роутере прописал роутинг чтобы в ответ все шло симметрично. у юзера в радиусе прописал ip:vrf-id. ничего не заработало(( Помогите пожалуйста запустить данную схему?

Это конечно логично, но: представьте себе что у нас у ВСЕХ серые IP которые обязательно проходят через NAT, вопрос через какой, обычные юзеры проходят через NAT который NATит их с определенного диапазона адресов. Другие юзеры имеют внешний IP через который натятся они. Разруливается это сейчас так: freebsd видит что юзер имеет закрепленный за ним IP и переправляет его на NAT который знает что его надо натить через его IP, если такого нет, то пакеты переправляются на другой NAT. Хотя возможно я не понимаю что вы имеете ввиду......

оригинальная мысль я еще проще сделал - через vrfы на самом ASR каждая сеть серая/белая в своем vrf Можете подробнее описать что сделали?А то токае ощущение что мы друг друга не поняли)))) пс у нас так сейчас и обстоят дела. сеть 10,0,0,0/8 (vrf c серыми IP)-shaper(freebsd ничего не знает про vrf)-nat(linux ничего не знает про vrf)-global vrf просто в данный момент shaper переправляет на NAT сервер с binat, если у абонента подключена услуга определенная, а на том серваке есть правила что с ip 10.1.1.1 натить на 195.195.195.195 вот и все, если не подключена услуга то трафик отправляется на другой NAt, который занатит с рамдомного IP.

Кстати, сейчас дошел до проблемы: как разным задать различный роутинг юзерам чтобы не нагнуть asr? Идея в том, что у нас в сети используется NAT, некоторые пользователи хотят прямой IP, они получают BINAT, т.е. их траффик в данный момент заворачивается на определенный IP(NAT сервер с BINAT), те которые не имеют бината, идут по стандартному маршруту, вот. Ломаю голову как это сделать на ISG. Самое простое и не оптимальное решение (на мой взгляд)- policy-route, access-list(он здоровый) грузить на циску. Круто было бы размечать траффик таких юзеров по dscp и матчить его в полиси роутинге(чтобы избавиться от большого acces-list), но что то я не пойму как это сделать через радиус. У кого есть идеи, поделитесь!

Расскажи пожадуйста как ты делал это? Сейчас возникла такая проблема. Не хочется создавать 1000 сервисов Вот тут расписал кратко, если будут вопросы, доработки, пиши)

Кстати, решение проблемы плодения сервисов сейчас решаю следующим образом: радиус отдает атрибуты сервиса исходя из его названия, например если юзеру привешен сервис WORLD-1M-512K, то он отдаст атрибуты что на дуунлод скорость 1M, аплод 512Kb. И не надо плодить 10000000000 сервисов вот.)))) Решение опишу позже. пс так кто извращался еще ктоме меня???Интересуют другие схемы.....

Решение этой проблемы c CoA описал тут

При помощи коллеги из другого города удалось выяснить, что если запрос выдавать из того же vrf что и пользователь, то все проходит на ура!!! Описанная в документации cisco-avpair="ip:vrf-id=ISG" не помогает.