Jump to content
Калькуляторы

ISG и безлимитный тариф на группу реальных IP. Можно ли?

Потестить пока не на чемУже приехал ASR1006, нужно определиться в проекте для института.

 

Будет несколько подсетей с реальными ip адресами. Авторизация частично на всех свободных портах по принципу хотспота.

 

Будет ли возможность навесить на группу людей (при авторизации могут получать все время разные группы адресов, поэтому забить acl с постоянным списком невозможно) общий шейпер?

 

Хотелось бы обойтись без чего либо дополнительного, кроме циски с ISG и серверов с радиусом и сервером с базой биллинга, просто выдавая в одном из атрибутов номер группы при очередной авторизации.

Edited by Дегтярев Илья

Share this post


Link to post
Share on other sites

незнаю что у вас в качестве isg будет, но на sce например, привязанному к радиусу, прекрасно удается регулировать трафик хоть одного абонента, хоть группы (например тарифной группы или группы по общим src/dst признакам).

Share this post


Link to post
Share on other sites

Если коротко - то можно. И sce тут не причём.

 

 

Share this post


Link to post
Share on other sites

А какими атрибутами радиуса загонять народ в уже имеющуюся группу?

Или она может висеть как отдельный virtual acces интерфейс?

Share this post


Link to post
Share on other sites
А какими атрибутами радиуса загонять народ в уже имеющуюся группу?

Или она может висеть как отдельный virtual acces интерфейс?

если одним только isg :

http://www.cisco.com/en/US/docs/ios/12_2sb...e/isgcaapa.html

если связка isg+sce, то :

вяжете isg к sce http://www.cisco.com/en/US/docs/ios/isg/co...de_Chapter.html

(там еще попутно слева пощелкайте по навигации - тоже много полезного)

а дальше средствами scmp протокола играйтесь как душе угодно:

http://www.cisco.com/en/US/products/ps6134...43a.html#o16253

 

Edited by darkagent

Share this post


Link to post
Share on other sites

В упор не вижу нужных мне атрибутов.

Ставлю пиво тому, кто расскажет как несколько ipoe аккаунтов объединить в группу с общим шейпером.

Share this post


Link to post
Share on other sites
В упор не вижу нужных мне атрибутов.

Ставлю пиво тому, кто расскажет как несколько ipoe аккаунтов объединить в группу с общим шейпером.

Ну, как вариант.

 

http://www.cisco.com/en/US/docs/ios/isg/co....html#wp1054603

 

Вкратце: с RADIUS для сессий нужных тебе абонентов отдавать в атрибутах subnet mask такую, чтобы она покрывала адреса абонентов.

Таким образом они у тебя попадут под действие одной policy.

 

В твоей конфигурации, видимо, придется поколдовать немного с выдаваемыми адресами.

 

 

Share this post


Link to post
Share on other sites
В упор не вижу нужных мне атрибутов.

Ставлю пиво тому, кто расскажет как несколько ipoe аккаунтов объединить в группу с общим шейпером.

с шейпером в ISG не очень, оно по политикам только полисить умеет (хотя в новых иосах может и поменялось), а так для группы смотреть в сторону ip subscriber interface. Т.е. vlan-на-пользователя, а в этом vlan-е не обязательно должна быть /32, да и vlan можно "размазать" по сети.

 

Share this post


Link to post
Share on other sites

Ну полисить то мы сразу смогли.

ip subscriber interface сделать нереально, так как предлагается ТЗ в котором половина пользователей мобильна. А тарифы - безлимит на кафедру, соответственно сотрудники после авторизации должны попасть под полисер своей кафедры.

Пока что нашли костыль - дать каждой группе свой VRF и свой вилан в сторону edge. Его шейпить руками. А VRF на ip сессию радиусом можно навесить.

Share this post


Link to post
Share on other sites

У кого на форуме появлялись обратные /32 роуты в сторону пользователей? Или это только при ppp сессиях возможно?

 

С отдельным vrf получилось только с натом. Без ната обратный трафик в VRF только руками можно запихнуть.

 

Если б появлялись /32 маршруты в нужном vrf можно бы было их передать наверх и там разрулить трафик.

Share this post


Link to post
Share on other sites

/32 это при ppp, да.

 

Без ната обратный трафик в VRF только руками можно запихнуть.
не совсем понятно в чем проблема ..

 

Share this post


Link to post
Share on other sites

http://www.cisco.com/en/US/docs/ios/ios_xe...de_Chapter.html

 

смотрим на Creating ISG IP Subnet Sessions

 

When a subscriber is authorized or authenticated and the Framed-IP-Netmask attribute is present in the user or service profile, ISG converts the source-IP-based session into a subnet session with the subnet value in the Framed-IP-Netmask attribute.

 

если я понял то логика такая

isg получает Ip клиента -- потом берет атрибут Framed-IP-Netmask, после чего вычисляет сеть клиента

и в результате считает авторизованной всю сеть

т.е. можно несколько адресов объединить в одну сессию, тогда и шейпер будет общий и т.п.

 

P/S по ходу дела боян запостил :)

Andrew Rogov уже предложил этот вариант

Edited by alks

Share this post


Link to post
Share on other sites
после чего вычисляет сеть клиента

И все ипы одной группы должны идти подряд..

Что непременимо. Адреса у всех из большого внешнего пула.

 

Если использовать нат решение уже нашли - разбрасывать исходящий трафик по VRF и натить при выходе в глобальный, полученный ип зашейпить.

 

Но задача дать всем прямые реальные. Чтоб в очередной раз не разбираться, почему кто-то с кафедры не может из дома зайти на свой комп, оставленный им днем в лабе около установки (DDNS уже реализован)

Share this post


Link to post
Share on other sites

Подниму тему. Нашли способ, как адреса из разных подсетей в одну ISG сессию запихнуть без извратов с NAT?

Share this post


Link to post
Share on other sites

Т.е. используете диапазон, попадающий в Framed-IP-Netmask, при этом, ip subscriber должен быть routed. Верно?

Share this post


Link to post
Share on other sites

Ясно. Спасибо.

Есть кто на форуме, использующий этот атрибут? Как реализуете на ISG хотелки клиентов иметь несколько IP на одном тарифном плане, т.е. попадание группы IP под одну ISG сессию?

Share this post


Link to post
Share on other sites

Как-то изучал вопрос и тоже пришел к выводу что с ISG нельзя произвольный набор IP дать одному абоненту. Можно только сеть, характеризуемую маской. Очень неудобно...

Share this post


Link to post
Share on other sites

Сеть, характеризуемая маской - это я уже понял. В процессе изучения выяснилось еще и то, что эта подсеть должна находиться за L3 девайсом + ip subscriber routed.

Очень неудобно, особенно когда надо чтобы ip subscriber l2-connected.

Интересно, как обстоят дела с этим у Ericsson SE?

Share this post


Link to post
Share on other sites

За 5 лет в этом вопросе что-нибудь поменялось?

Share this post


Link to post
Share on other sites

таки framed-route добавили для IPoE, но это, как я понимаю, только для нового железа?
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/isg/configuration/xe-16/isg-xe-16-book/isg-IPOE-framed-route.pdf
 

Share this post


Link to post
Share on other sites

@Sergey M. Ну там сразу с козырей заходят:

 

Цитата

Restrictions for Framed Route
General Restriction Framed Route cannot be applied through a RADIUS COA.
IPoE Specific Restrictions No support forrouted session. Dual stack is not supported.

Спим спокойно, мы никуда не едем.
 

Share this post


Link to post
Share on other sites
2 часа назад, jffulcrum сказал:

@Sergey M. Ну там сразу с козырей заходят:

 

Спим спокойно, мы никуда не едем.
 

ну так в CoA он и не нужен.. а вот в стандартном радиус ответе пример прям в доке приведен:
 

Framed-route configuration A
Cleartext-Password := "cisco”
Service-Type = Framed-User,
Framed-IP-Address = 40.0.0.1,
Framed-Route += "131.1.1.0 255.255.255.0",
Cisco-AVPair += "subscriber:accounting-list=List1“

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this