Jump to content

Cisco PBR+ISG

itt1b
 Share

Recommended Posts

itt1b

itt1b

Posted
Posted

Здравствуйте!

 

Собрал вот такую схему на ASR-1004:

 

абонент по opt.82 ---> gi0/1/1.2823 ---> ten0/0/0.510 ---> тазик с NAT ---> обратно через ASR в мир

 

На gi0/1/1.2823 навешен PBR, на ten0/0/0.510 - ISG. Если не включать ISG - все чудесно работает, абонентский трафик НАТится на тазике и уходит в интернет. Включаю ISG (ip subscriber routed) - сессия не поднимается, трафик не ходит, к радиусу запросов нет.

Если убираю PBR и вешаю туда ISG+"белые" адреса - все работает, сессии поднимаются, трафик ходит.

 

Вот так настроены интерфейсы:

 

interface GigabitEthernet0/1/1.2823
 encapsulation dot1Q 2823
 ip dhcp relay information trusted
 ip dhcp relay information policy-action keep
 ip unnumbered Loopback5
 ip helper-address xx.xx.xx.xx
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip policy route-map NAT-PBR

 

interface TenGigabitEthernet0/0/0.510
 encapsulation dot1Q 510
 ip address 10.45.16.1 255.255.255.252
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 service-policy type control IPoE-ISG
 ip subscriber routed
  initiator unclassified ip-address

 

Вот так настроен ISG:

 

policy-map type control IPoE-ISG
 class type control ISG-IP-UNAUTH event timed-policy-expiry
  1 service disconnect
 !
 class type control always event session-start
  10 authorize aaa list ipoe-isg-aaa password cisco identifier source-ip-address
  20 set-timer UNAUTH-TIMER 1
  30 service-policy type service name OG
  40 service-policy type service name L4REDIRECT
 !
 class type control always event service-stop
  1 service-policy type service unapply identifier service-name
  10 log-session-state
 !
 class type control always event session-restart
  10 authorize aaa list ipoe-isg-aaa password cisco identifier source-ip-address
  20 set-timer UNAUTH-TIMER 1
  30 service-policy type service name OG
  40 service-policy type service name L4REDIRECT
 !

 

Вот PBR:

 

ip access-list extended NAT-USERS
 permit ip 172.19.0.0 0.0.255.255 any
 deny   ip any any

 

route-map NAT-PBR permit 100
 match ip address NAT-USERS
 set ip next-hop 10.45.16.2

 

Маршрут на "белые" адреса после NAT:

 

ip route xx.xx.xx.xx 255.255.255.192 10.45.16.2

 

Собственно, вопрос: почему нет инициализации сессии на ten0/0/0.510 после PBR и как это победить?

 

 

Пока писал, подумалось: а ведь ten0/0/0.510 не является входящим интерфейсом для этого трафика, поэтому сессия и не поднимается?

А если так, то как решить? Может, как-то через VRF?

  • 1 year later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.