Jump to content
Калькуляторы

ISG - первые шаги ISG - первые шаги (пока без радиуса)

Всем здравствуйте!

 

схема: INTERNET-------ISG-------Laptop

задача: без радиуса добится редирект/drop

пожалуйста помогите разобраться. похоже что я не понял какой-то момент.

заранее спасибо!

 

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! текущий конфиг(drop) - не работает !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!

aaa new-model

aaa authorization subscriber-service default local

!

int gig 0/3

des laptop

service-policy type control example-map1

!

policy-map type control example-map1

class type control always event session-start

1 service-policy type service name example_network_service

!

policy-map type service example_network

class type traffic traffic_class_example_network_service

!

class type traffic default in-out

drop

!

!

class-map type traffic match-any traffic_class_example_network_service

match access-group in 100

match access-group out 100

!

access-list 100 permit ip any any

!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! текущий конфиг (redirect) - не работает !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

redirect server-group PORTAL

server ip 10.0.0.1

!

class-map type traffic match-any PORTAL

match access-group input 110

match access-group output 110

!

policy-map type service TEST-PORTAL

service local

class type traffic PORTAL

redirect to group PORTAL

!

class type traffic default in-out

drop

!

!

policy-map type control MAP-CONTROL-PORTAL

class type control always event session-start

1 service-policy type service name TEST-PORTAL

!

interface GigabitEthernet0/3

description ^To the laptop^

service-policy type control MAP-CONTROL-PORTAL

!

access-list 100 permit tcp any any eq www

access-list 100 permit tcp any eq www any

access-list 100 deny ip any any

 

 

 

 

Share this post


Link to post
Share on other sites

схема: INTERNET-------ISG&DHCP (gi0/3)-------Laptop

я так понял, что на интерфейсе gi0/3 надо поставить:

!

interface GigabitEthernet0/3

service-policy type control MyTest

ip subscriber l2-connected

initiator dhcp

!

это правильно?

 

class-map type traffic match-any TestClass

match access-group input 100

match access-group output 100

!

policy-map type service TestService

service local

class type traffic TestClass

police input 64000

police output 64000

!

class type traffic default in-out

drop

!

!

policy-map type control MyTest

class type control always event session-start

1 service-policy type service name TestService

!

access-list 100 permit ip any any

 

на клиенте ipconfig /release /renew - не получает от dhcp-server (169.254.107.249)

на ISG видно что адрес попадает на некоторое время в sh ip dhcp binding и появляется ошибка

*May 28 07:14:43.620: SSS MGR [uid:550]: Failed to retrieve PM context

вообщем выглядит странно... на ISG адрес выдан, на клиенте не получен.

надеюсь на помощь!!!

 

Share this post


Link to post
Share on other sites

ЭЭ может я что то не понимаю, но как это - без радиуса? (

Share this post


Link to post
Share on other sites

Добрый человек мне помог и этот конфиг работает !

Как я говорил эта схема без радиуса нужна чтобы понять как работает связка control policy-map & service policy-map & class-map.

 

 

aaa authorization subscriber-service default local

!

ip dhcp excluded-address 192.168.1.1

!

ip dhcp pool local-pool

network 192.168.1.0 255.255.255.0

default-router 192.168.1.1

dns-server <someip>

netbios-name-server <someip>

lease 0 2

!

class-map type traffic match-any TestClass

match access-group input 111

match access-group output 100

!

policy-map type service TestService

class type traffic TestClass

police input 64000

police output 64000

!

class type traffic default in-out

drop

!

!

policy-map type control MyTest

class type control always event session-start

1 service-policy type service name TestService

!

!

interface GigabitEthernet0/3

description ^To the laptop^

ip address 192.168.1.1 255.255.255.255

service-policy type control MyTest

ip subscriber l2-connected

initiator dhcp

!

access-list 100 permit ip any any

access-list 111 permit ip any any

!

P.S. АСL должны быть разными...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this