И снова ISG-2

[vanishox]

Всем привет. Ребят, подскажите пожалуйста по следующим вопросам:

 

Вопрос 1:

 

1.1 Есть ASR-1002 с Cisco IOS Software, ASR1000 Software (PPC_LINUX_IOSD-ADVIPSERVICESK9-M), Version 15.3(3)S6, RELEASE SOFTWARE (fc5)

1.2 На нем поднят сабинтерфейс L3 в сторону пользователя с серым адресом вида:

 

 interface Port-channel1.3806
 description сlient_1
 encapsulation dot1Q 3801
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip flow ingress
 service-policy type control client-control
 ip subscriber l2-connected
  initiator unclassified mac-address

 

1.3 По контрольной политике происходит аутентификация и авторизация сервисов по сессии (выдача на сессию ограничений по скорости)

1.4 Пользователь ходит в инет через PAT.

 

Вопрос - как на сабинтерфейсе ограничить суммарную скорость для всех пользователей?

Например - на сессию для каждого пользователся выдается полисер = 1 Мбит, нужно ограничить всю скорость на сабинтерфейс = 30 Мбит.

 

Вопрос 2:

 

2.1 Есть тестовая 7206VXR с Cisco IOS Software, 7200 Software (C7200-ADVIPSERVICESK9-M), Version 12.2(33)SRD4

2.2 Поднимаю на ней L2TP

2.3 При подключении пользователя с лимитным тарифом - ему отдается сервис с препйэд конфигом TRAFFIC_PREPAID,он выглядит так:

 

subscriber feature prepaid TRAFFIC_PREPAID
threshold time 60 seconds
threshold volume 1 Mbytes
interim-interval 1 minutes
method-list author ISG_authz
method-list accounting ISG_accnt
password superpassword

2.4 По этому конфигу препэйд-сервер отдает квоту - например QV100000000

2.5 Сервис с квотой подтягиваются - квота расходуется все ок.

2.6 При окончании квоты срабатывает перезапрос квоты и выдается например QV0 - кончился траффик.

2.7 Я хотел при помощи контрольной политики вида:

 

policy-map type control TEST
class type control always event quota-depleted
 1 set-param drop-traffic FALSE
!
class type control always event credit-exhausted
 1 service-policy type service name REDIRECT_PORTAL
!

 

прописанной на virtual-template для L2TP:

 

interface Virtual-Template1
ip unnumbered Loopback0
no ip redirects
no ip proxy-arp
ip tcp adjust-mss 1420
peer default ip address pool VPDN
no snmp trap link-status
keepalive 10 2
ppp authentication chap ms-chap ms-chap-v2 ISG_L2TP_AUTH
ppp authorization ISG_L2TP_ACCT
ppp ipcp address required
ppp timeout ncp 60
ppp timeout authentication 15
service-policy type control TEST

 

Ловить событие credit-exhausted и подвешивать политику для редиректа на сессию.

Но при таких настройках политика не подтягивается к сессии и при получении квоты = QV0 происходит просто отсоединении препэйд сервиса, а сессия продолжает работать и пускать траффик пользователя в интернет.

 

2.8. Пока что в качестве альтернативного варианта сделал так:

- отдаю сервис с квотой с приоритетом например 10

- отдаю сервис редиректа с приоритетом например 20

- при окончании квоты - сервис с квотой просто отсоединяется и остается только сервис с редиректом, по которому весь траффик пользователя редиректится на портал

 

Но хотел бы уточнить - можно ли (и если можно, то как?) использовать контрольную политику в моем случае.

Edited July 13, 2016 by vanishox

[unfraget]

По первому вопросу повесить ограничения

service-policy input name_policy_IN

service-policy output name_policy_OUT

 

policy-map name_policy_IN

class class-default

police 30720000

policy-map name_policy_OUT

class class-default

shape average 30720000