ShyLion

Микротомагия :) Нае..м систему.

Connection tracking очевидно

Сперва проверяются уже существующие трансляции, потому и работает.

поди два отдельных договора с провайдером, а роутер один

Самый простой выход - еще один микрот

может просто петлю говносвичем никто не делал 1.5 года :)

Не совсем в тему, но просто интересно - что там такое на винте? зачем он вообще нужен?

Ну если класс в полиси стартует таймер, то в классе, который матчит этот таймер, название таймера естественно должно быть таким-же

не мало 2 мака?

Таймер-то как в итоге называется?   Вот рабочий пример: aaa new-model ! ! aaa group server radius ipoe server-private 10.0.6.102 auth-port 18120 acct-port 18130 key 7 01000307490E12 ip vrf forwarding Mgmt-intf ip radius source-interface GigabitEthernet0 ! aaa authentication ppp IPOE group ipoe aaa authorization network IPOE group ipoe aaa authorization subscriber-service default local aaa authorization subscriber-service IPOE local group ipoe aaa accounting delay-start all aaa accounting delay-start extended-delay 2 aaa accounting update periodic 5 aaa accounting include auth-profile framed-ip-address aaa accounting include auth-profile framed-ipv6-prefix aaa accounting include auth-profile delegated-ipv6-prefix aaa accounting network default start-stop group ipoe aaa accounting network IPOE start-stop group ipoe ! ! aaa server radius dynamic-author client 10.0.6.102 vrf Mgmt-intf server-key 7 120A0014000E18 port 1645 auth-type any ignore session-key ! aaa session-id common aaa policy interface-config allow-subinterface ! ! redirect server-group NoMoney server ip x.y.198.3 port 80 ! redirect server-group NoMoneyDNS server ip x.y.198.10 port 53 ! ! ! ! ! class-map type traffic match-any CM_ANY match access-group input name CM_T_ANY match access-group output name CM_T_ANY ! class-map type traffic match-any CM_T_NoMoney_REDIRECT_DNS match access-group input name CM_T_NoMoney_REDIRECT_DNS ! class-map type traffic match-any CM_T_NoMoney_REDIRECT_WWW match access-group input name CM_T_NoMoney_REDIRECT_WWW ! class-map type traffic match-any CM_T_NoMoney_PASS match access-group input name CM_T_NoMoney_PASS match access-group output name CM_T_NoMoney_PASS ! class-map type control match-all CM_C_IPoE_REJECT_REAUTH match timer IPoE_REJECT_REAUTH match authen-status unauthenticated ! class-map type control match-all CM_C_IPoE_RTIMEOUT_REAUTH match timer IPoE_RTIMEOUT_REAUTH match authen-status unauthenticated ! policy-map type service NoMoney10 10 class type traffic CM_T_NoMoney_PASS ! class type traffic default in-out drop ! ! policy-map type service NoMoney500 500 class type traffic CM_T_NoMoney_REDIRECT_WWW redirect to group NoMoney ! class type traffic default in-out drop ! ! policy-map type service NoMoney510 510 class type traffic CM_T_NoMoney_REDIRECT_DNS redirect to group NoMoneyDNS ! class type traffic default in-out drop ! ! policy-map type service Internet 100 class type traffic CM_ANY ! class type traffic default in-out drop ! ! policy-map type control IPoE class type control CM_C_IPoE_RTIMEOUT_REAUTH event timed-policy-expiry 1 service disconnect ! class type control CM_C_IPoE_REJECT_REAUTH event timed-policy-expiry 1 service disconnect ! class type control always event session-start 10 authorize aaa list IPOE password ciscoo identifier source-ip-address 20 set-timer IPoE_REJECT_REAUTH 1 30 service-policy type service aaa list IPOE name NoMoney10 40 service-policy type service aaa list IPOE name NoMoney500 50 service-policy type service aaa list IPOE name NoMoney510 ! class type control always event service-stop 1 service-policy type service unapply identifier service-name ! class type control always event session-restart 10 authorize aaa list IPOE password ciscoo identifier source-ip-address 20 set-timer IPoE_REJECT_REAUTH 1 30 service-policy type service aaa list IPOE name NoMoney10 40 service-policy type service aaa list IPOE name NoMoney500 50 service-policy type service aaa list IPOE name NoMoney510 ! class type control always event radius-timeout 1 set-timer IPoE_RTIMEOUT_REAUTH 1 10 service-policy type service aaa list IPOE name NoMoney10 20 service-policy type service aaa list IPOE name NoMoney500 30 service-policy type service aaa list IPOE name NoMoney510 ! ! interface Loopback2 ip address x.y.198.1 255.255.255.0 ! ! interface TenGigabitEthernet0/1/0.298 description Client 102 encapsulation dot1Q 298 ip unnumbered Loopback2 ip nat outside service-policy type control IPoE ip subscriber routed initiator unclassified ip-address ! interface TenGigabitEthernet0/1/0.299 description Client 103 encapsulation dot1Q 299 ip unnumbered Loopback2 ip nat outside service-policy type control IPoE ip subscriber routed initiator unclassified ip-address ! ! ..... далее аналогично, может быть двойное тегирование ........ ! ip route x.y.198.102 255.255.255.255 TenGigabitEthernet0/1/0.298 x.y.198.102 name "client 102" ip route x.y.198.103 255.255.255.255 TenGigabitEthernet0/1/0.299 x.y.198.103 name "client 103" ! ! ..... далее аналогично .............. ! ! ip access-list extended CM_T_ANY permit ip any any ip access-list extended CM_T_NoMoney_PASS permit ip any host x.y.198.3 permit ip host x.y.198.3 any permit udp any host x.y.198.10 eq domain permit udp host x.y.198.10 eq domain any ip access-list extended CM_T_NoMoney_REDIRECT_DNS permit udp any any eq domain ip access-list extended CM_T_NoMoney_REDIRECT_WWW permit tcp any any eq www ! ! radius-server attribute 44 include-in-access-req default-vrf radius-server attribute 8 include-in-access-req radius-server attribute 55 include-in-acct-req radius-server attribute 25 access-request include radius-server attribute 31 mac format ietf !

ASR903 умеет вертеть тегами, через service-instance и bridge-domain

Любой траффик от абона инициирует сеанс. Чего пытаетесь добиться?

А билинг? в Экселе? Как вы счета выставляете? А полосу как выдаете? Жесть.

aaa attribute list vasia_pupkin_attrs attribute type addr 192.168.168.230 service ppp protocol ip ! ! username vasia_pupkin password XXXX ! username vasia_pupkin aaa attribute list vasia_pupkin_attrs   Для тестов сойдет, но в продакшен.... сколько там пользователей?

Вобщем обратились в одну конторку, за 10Г железку просят 6 лямов сразу и полтора за ежегодную поддержку. Думаю руководство получило ответ.