itt1b Опубликовано 3 октября, 2018 · Жалоба Здравствуйте! Собрал вот такую схему на ASR-1004: абонент по opt.82 ---> gi0/1/1.2823 ---> ten0/0/0.510 ---> тазик с NAT ---> обратно через ASR в мир На gi0/1/1.2823 навешен PBR, на ten0/0/0.510 - ISG. Если не включать ISG - все чудесно работает, абонентский трафик НАТится на тазике и уходит в интернет. Включаю ISG (ip subscriber routed) - сессия не поднимается, трафик не ходит, к радиусу запросов нет. Если убираю PBR и вешаю туда ISG+"белые" адреса - все работает, сессии поднимаются, трафик ходит. Вот так настроены интерфейсы: interface GigabitEthernet0/1/1.2823 encapsulation dot1Q 2823 ip dhcp relay information trusted ip dhcp relay information policy-action keep ip unnumbered Loopback5 ip helper-address xx.xx.xx.xx no ip redirects no ip unreachables no ip proxy-arp ip policy route-map NAT-PBR interface TenGigabitEthernet0/0/0.510 encapsulation dot1Q 510 ip address 10.45.16.1 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp service-policy type control IPoE-ISG ip subscriber routed initiator unclassified ip-address Вот так настроен ISG: policy-map type control IPoE-ISG class type control ISG-IP-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event session-start 10 authorize aaa list ipoe-isg-aaa password cisco identifier source-ip-address 20 set-timer UNAUTH-TIMER 1 30 service-policy type service name OG 40 service-policy type service name L4REDIRECT ! class type control always event service-stop 1 service-policy type service unapply identifier service-name 10 log-session-state ! class type control always event session-restart 10 authorize aaa list ipoe-isg-aaa password cisco identifier source-ip-address 20 set-timer UNAUTH-TIMER 1 30 service-policy type service name OG 40 service-policy type service name L4REDIRECT ! Вот PBR: ip access-list extended NAT-USERS permit ip 172.19.0.0 0.0.255.255 any deny ip any any route-map NAT-PBR permit 100 match ip address NAT-USERS set ip next-hop 10.45.16.2 Маршрут на "белые" адреса после NAT: ip route xx.xx.xx.xx 255.255.255.192 10.45.16.2 Собственно, вопрос: почему нет инициализации сессии на ten0/0/0.510 после PBR и как это победить? Пока писал, подумалось: а ведь ten0/0/0.510 не является входящим интерфейсом для этого трафика, поэтому сессия и не поднимается? А если так, то как решить? Может, как-то через VRF? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rmika Опубликовано 29 ноября, 2019 · Жалоба Как решил в итоге? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...