Jump to content
Калькуляторы

Cisco PBR+ISG

Здравствуйте!

 

Собрал вот такую схему на ASR-1004:

 

абонент по opt.82 ---> gi0/1/1.2823 ---> ten0/0/0.510 ---> тазик с NAT ---> обратно через ASR в мир

 

На gi0/1/1.2823 навешен PBR, на ten0/0/0.510 - ISG. Если не включать ISG - все чудесно работает, абонентский трафик НАТится на тазике и уходит в интернет. Включаю ISG (ip subscriber routed) - сессия не поднимается, трафик не ходит, к радиусу запросов нет.

Если убираю PBR и вешаю туда ISG+"белые" адреса - все работает, сессии поднимаются, трафик ходит.

 

Вот так настроены интерфейсы:

 

interface GigabitEthernet0/1/1.2823
 encapsulation dot1Q 2823
 ip dhcp relay information trusted
 ip dhcp relay information policy-action keep
 ip unnumbered Loopback5
 ip helper-address xx.xx.xx.xx
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip policy route-map NAT-PBR

 

interface TenGigabitEthernet0/0/0.510
 encapsulation dot1Q 510
 ip address 10.45.16.1 255.255.255.252
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 service-policy type control IPoE-ISG
 ip subscriber routed
  initiator unclassified ip-address

 

Вот так настроен ISG:

 

policy-map type control IPoE-ISG
 class type control ISG-IP-UNAUTH event timed-policy-expiry
  1 service disconnect
 !
 class type control always event session-start
  10 authorize aaa list ipoe-isg-aaa password cisco identifier source-ip-address
  20 set-timer UNAUTH-TIMER 1
  30 service-policy type service name OG
  40 service-policy type service name L4REDIRECT
 !
 class type control always event service-stop
  1 service-policy type service unapply identifier service-name
  10 log-session-state
 !
 class type control always event session-restart
  10 authorize aaa list ipoe-isg-aaa password cisco identifier source-ip-address
  20 set-timer UNAUTH-TIMER 1
  30 service-policy type service name OG
  40 service-policy type service name L4REDIRECT
 !

 

Вот PBR:

 

ip access-list extended NAT-USERS
 permit ip 172.19.0.0 0.0.255.255 any
 deny   ip any any

 

route-map NAT-PBR permit 100
 match ip address NAT-USERS
 set ip next-hop 10.45.16.2

 

Маршрут на "белые" адреса после NAT:

 

ip route xx.xx.xx.xx 255.255.255.192 10.45.16.2

 

Собственно, вопрос: почему нет инициализации сессии на ten0/0/0.510 после PBR и как это победить?

 

 

Пока писал, подумалось: а ведь ten0/0/0.510 не является входящим интерфейсом для этого трафика, поэтому сессия и не поднимается?

А если так, то как решить? Может, как-то через VRF?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now