ISG - первые шаги

[dk77]

Всем здравствуйте!

 

схема: INTERNET-------ISG-------Laptop

задача: без радиуса добится редирект/drop

пожалуйста помогите разобраться. похоже что я не понял какой-то момент.

заранее спасибо!

 

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! текущий конфиг(drop) - не работает !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!

aaa new-model

aaa authorization subscriber-service default local

!

int gig 0/3

des laptop

service-policy type control example-map1

!

policy-map type control example-map1

class type control always event session-start

1 service-policy type service name example_network_service

!

policy-map type service example_network

class type traffic traffic_class_example_network_service

!

class type traffic default in-out

drop

!

!

class-map type traffic match-any traffic_class_example_network_service

match access-group in 100

match access-group out 100

!

access-list 100 permit ip any any

!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! текущий конфиг (redirect) - не работает !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

redirect server-group PORTAL

server ip 10.0.0.1

!

class-map type traffic match-any PORTAL

match access-group input 110

match access-group output 110

!

policy-map type service TEST-PORTAL

service local

class type traffic PORTAL

redirect to group PORTAL

!

class type traffic default in-out

drop

!

!

policy-map type control MAP-CONTROL-PORTAL

class type control always event session-start

1 service-policy type service name TEST-PORTAL

!

interface GigabitEthernet0/3

description ^To the laptop^

service-policy type control MAP-CONTROL-PORTAL

!

access-list 100 permit tcp any any eq www

access-list 100 permit tcp any eq www any

access-list 100 deny ip any any

 

 

 

 

[dk77]

схема: INTERNET-------ISG&DHCP (gi0/3)-------Laptop

я так понял, что на интерфейсе gi0/3 надо поставить:

!

interface GigabitEthernet0/3

service-policy type control MyTest

ip subscriber l2-connected

initiator dhcp

!

это правильно?

 

class-map type traffic match-any TestClass

match access-group input 100

match access-group output 100

!

policy-map type service TestService

service local

class type traffic TestClass

police input 64000

police output 64000

!

class type traffic default in-out

drop

!

!

policy-map type control MyTest

class type control always event session-start

1 service-policy type service name TestService

!

access-list 100 permit ip any any

 

на клиенте ipconfig /release /renew - не получает от dhcp-server (169.254.107.249)

на ISG видно что адрес попадает на некоторое время в sh ip dhcp binding и появляется ошибка

*May 28 07:14:43.620: SSS MGR [uid:550]: Failed to retrieve PM context

вообщем выглядит странно... на ISG адрес выдан, на клиенте не получен.

надеюсь на помощь!!!

 

[sirmax]

ЭЭ может я что то не понимаю, но как это - без радиуса? (

[terrible]

без радиуса это когда деньги не нужны

[dk77]

Добрый человек мне помог и этот конфиг работает !

Как я говорил эта схема без радиуса нужна чтобы понять как работает связка control policy-map & service policy-map & class-map.

 

 

aaa authorization subscriber-service default local

!

ip dhcp excluded-address 192.168.1.1

!

ip dhcp pool local-pool

network 192.168.1.0 255.255.255.0

default-router 192.168.1.1

dns-server <someip>

netbios-name-server <someip>

lease 0 2

!

class-map type traffic match-any TestClass

match access-group input 111

match access-group output 100

!

policy-map type service TestService

class type traffic TestClass

police input 64000

police output 64000

!

class type traffic default in-out

drop

!

!

policy-map type control MyTest

class type control always event session-start

1 service-policy type service name TestService

!

!

interface GigabitEthernet0/3

description ^To the laptop^

ip address 192.168.1.1 255.255.255.255

service-policy type control MyTest

ip subscriber l2-connected

initiator dhcp

!

access-list 100 permit ip any any

access-list 111 permit ip any any

!

P.S. АСL должны быть разными...