Перейти к содержимому
Калькуляторы

Cisco PBR+ISG

Ответить

itt1b   

itt1b
Опубликовано · Жалоба

Здравствуйте!

 

Собрал вот такую схему на ASR-1004:

 

абонент по opt.82 ---> gi0/1/1.2823 ---> ten0/0/0.510 ---> тазик с NAT ---> обратно через ASR в мир

 

На gi0/1/1.2823 навешен PBR, на ten0/0/0.510 - ISG. Если не включать ISG - все чудесно работает, абонентский трафик НАТится на тазике и уходит в интернет. Включаю ISG (ip subscriber routed) - сессия не поднимается, трафик не ходит, к радиусу запросов нет.

Если убираю PBR и вешаю туда ISG+"белые" адреса - все работает, сессии поднимаются, трафик ходит.

 

Вот так настроены интерфейсы:

 

interface GigabitEthernet0/1/1.2823
 encapsulation dot1Q 2823
 ip dhcp relay information trusted
 ip dhcp relay information policy-action keep
 ip unnumbered Loopback5
 ip helper-address xx.xx.xx.xx
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip policy route-map NAT-PBR

 

interface TenGigabitEthernet0/0/0.510
 encapsulation dot1Q 510
 ip address 10.45.16.1 255.255.255.252
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 service-policy type control IPoE-ISG
 ip subscriber routed
  initiator unclassified ip-address

 

Вот так настроен ISG:

 

policy-map type control IPoE-ISG
 class type control ISG-IP-UNAUTH event timed-policy-expiry
  1 service disconnect
 !
 class type control always event session-start
  10 authorize aaa list ipoe-isg-aaa password cisco identifier source-ip-address
  20 set-timer UNAUTH-TIMER 1
  30 service-policy type service name OG
  40 service-policy type service name L4REDIRECT
 !
 class type control always event service-stop
  1 service-policy type service unapply identifier service-name
  10 log-session-state
 !
 class type control always event session-restart
  10 authorize aaa list ipoe-isg-aaa password cisco identifier source-ip-address
  20 set-timer UNAUTH-TIMER 1
  30 service-policy type service name OG
  40 service-policy type service name L4REDIRECT
 !

 

Вот PBR:

 

ip access-list extended NAT-USERS
 permit ip 172.19.0.0 0.0.255.255 any
 deny   ip any any

 

route-map NAT-PBR permit 100
 match ip address NAT-USERS
 set ip next-hop 10.45.16.2

 

Маршрут на "белые" адреса после NAT:

 

ip route xx.xx.xx.xx 255.255.255.192 10.45.16.2

 

Собственно, вопрос: почему нет инициализации сессии на ten0/0/0.510 после PBR и как это победить?

 

 

Пока писал, подумалось: а ведь ten0/0/0.510 не является входящим интерфейсом для этого трафика, поэтому сессия и не поднимается?

А если так, то как решить? Может, как-то через VRF?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Перейти к списку тем Программное обеспечение, биллинг и *unix системы