как навесить ACL на ISG сессию

[survivor]

Господа, помогите советом, что-то уперся и не соображу никак...

 

ISG настроен достаточно давно, работает норм, схема со стартом сессии по IP:

 ip subscriber routed
 initiator unclassified ip-address

сервисы навешиваются/снимаются, турбо кнопка, редирект при неоплате и т.д.

 

Но есть задача: нужно абонентам прикрыть некоторые порты и иметь возможность открывать по первому требованию. Сама сеть изначально была vlan-per-user, и ACL с ограничениями висел на терминирующем SVI или sub-interface и в случае необходимости снимался. Но сильно задолбались с ТАКИМ количеством вланов и теперь уверенно переходим на модель vlan-per-switch. Т.е. теперь если кто-то хочет открыть себе порты - нужно открывать весь свич - ибо точка терминации одна. Можно конечно давать статик ip таким абонентам, на это плохой вариант, по многим причинам.

 

Самый удобный вариант перенести ограничения на ISG сессию, автоматом появляется возможность управлять ими из биллинга. Сейчас у обычного абонента висит сразу несколько сервисов: ограничения на локальный трафик, ограничения на внешку, разные бонусные кампании и т.д, все это расставлено по приоритетам.

Чего-то никак не соображу как в сервисах сделать фильтрацию по ACL (какой-то особый вид policy-map type ?), да так чтобы она не мешала текущим настройкам policy, т.е. чтобы то что было permit в ACL проходило дальнейшую проверку на match в списке сервисов.

 

Буду благодарен дельному совету или ссылке.

[zhenya`]

http://www.cisco.com/en/US/docs/ios-xml/ios/isg/configuration/15-1s/isg-netwk-acess-pol.html#GUID-63600217-65A1-4C40-843D-9E371A2DD5F2

почитайте.. в

Configuring Per-Subscriber Firewalls in User Profiles or Service Profiles on a AAA Server

[survivor]

большое спасибо, как говорится - за деревьями не видел леса )) все просто

[KaraVan]

А киска не помрет от такой красоты?

[zhenya`]

у нее ткама много (если asr1k). следите и будет ништяк )