Перейти к содержимому
Калькуляторы

ISG и безлимитный тариф на группу реальных IP. Можно ли?

Потестить пока не на чемУже приехал ASR1006, нужно определиться в проекте для института.

 

Будет несколько подсетей с реальными ip адресами. Авторизация частично на всех свободных портах по принципу хотспота.

 

Будет ли возможность навесить на группу людей (при авторизации могут получать все время разные группы адресов, поэтому забить acl с постоянным списком невозможно) общий шейпер?

 

Хотелось бы обойтись без чего либо дополнительного, кроме циски с ISG и серверов с радиусом и сервером с базой биллинга, просто выдавая в одном из атрибутов номер группы при очередной авторизации.

Изменено пользователем Дегтярев Илья

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

незнаю что у вас в качестве isg будет, но на sce например, привязанному к радиусу, прекрасно удается регулировать трафик хоть одного абонента, хоть группы (например тарифной группы или группы по общим src/dst признакам).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если коротко - то можно. И sce тут не причём.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А какими атрибутами радиуса загонять народ в уже имеющуюся группу?

Или она может висеть как отдельный virtual acces интерфейс?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
А какими атрибутами радиуса загонять народ в уже имеющуюся группу?

Или она может висеть как отдельный virtual acces интерфейс?

если одним только isg :

http://www.cisco.com/en/US/docs/ios/12_2sb...e/isgcaapa.html

если связка isg+sce, то :

вяжете isg к sce http://www.cisco.com/en/US/docs/ios/isg/co...de_Chapter.html

(там еще попутно слева пощелкайте по навигации - тоже много полезного)

а дальше средствами scmp протокола играйтесь как душе угодно:

http://www.cisco.com/en/US/products/ps6134...43a.html#o16253

 

Изменено пользователем darkagent

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В упор не вижу нужных мне атрибутов.

Ставлю пиво тому, кто расскажет как несколько ipoe аккаунтов объединить в группу с общим шейпером.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В упор не вижу нужных мне атрибутов.

Ставлю пиво тому, кто расскажет как несколько ipoe аккаунтов объединить в группу с общим шейпером.

Ну, как вариант.

 

http://www.cisco.com/en/US/docs/ios/isg/co....html#wp1054603

 

Вкратце: с RADIUS для сессий нужных тебе абонентов отдавать в атрибутах subnet mask такую, чтобы она покрывала адреса абонентов.

Таким образом они у тебя попадут под действие одной policy.

 

В твоей конфигурации, видимо, придется поколдовать немного с выдаваемыми адресами.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В упор не вижу нужных мне атрибутов.

Ставлю пиво тому, кто расскажет как несколько ipoe аккаунтов объединить в группу с общим шейпером.

с шейпером в ISG не очень, оно по политикам только полисить умеет (хотя в новых иосах может и поменялось), а так для группы смотреть в сторону ip subscriber interface. Т.е. vlan-на-пользователя, а в этом vlan-е не обязательно должна быть /32, да и vlan можно "размазать" по сети.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну полисить то мы сразу смогли.

ip subscriber interface сделать нереально, так как предлагается ТЗ в котором половина пользователей мобильна. А тарифы - безлимит на кафедру, соответственно сотрудники после авторизации должны попасть под полисер своей кафедры.

Пока что нашли костыль - дать каждой группе свой VRF и свой вилан в сторону edge. Его шейпить руками. А VRF на ip сессию радиусом можно навесить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У кого на форуме появлялись обратные /32 роуты в сторону пользователей? Или это только при ppp сессиях возможно?

 

С отдельным vrf получилось только с натом. Без ната обратный трафик в VRF только руками можно запихнуть.

 

Если б появлялись /32 маршруты в нужном vrf можно бы было их передать наверх и там разрулить трафик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

/32 это при ppp, да.

 

Без ната обратный трафик в VRF только руками можно запихнуть.
не совсем понятно в чем проблема ..

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

http://www.cisco.com/en/US/docs/ios/ios_xe...de_Chapter.html

 

смотрим на Creating ISG IP Subnet Sessions

 

When a subscriber is authorized or authenticated and the Framed-IP-Netmask attribute is present in the user or service profile, ISG converts the source-IP-based session into a subnet session with the subnet value in the Framed-IP-Netmask attribute.

 

если я понял то логика такая

isg получает Ip клиента -- потом берет атрибут Framed-IP-Netmask, после чего вычисляет сеть клиента

и в результате считает авторизованной всю сеть

т.е. можно несколько адресов объединить в одну сессию, тогда и шейпер будет общий и т.п.

 

P/S по ходу дела боян запостил :)

Andrew Rogov уже предложил этот вариант

Изменено пользователем alks

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
после чего вычисляет сеть клиента

И все ипы одной группы должны идти подряд..

Что непременимо. Адреса у всех из большого внешнего пула.

 

Если использовать нат решение уже нашли - разбрасывать исходящий трафик по VRF и натить при выходе в глобальный, полученный ип зашейпить.

 

Но задача дать всем прямые реальные. Чтоб в очередной раз не разбираться, почему кто-то с кафедры не может из дома зайти на свой комп, оставленный им днем в лабе около установки (DDNS уже реализован)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подниму тему. Нашли способ, как адреса из разных подсетей в одну ISG сессию запихнуть без извратов с NAT?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Т.е. используете диапазон, попадающий в Framed-IP-Netmask, при этом, ip subscriber должен быть routed. Верно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ясно. Спасибо.

Есть кто на форуме, использующий этот атрибут? Как реализуете на ISG хотелки клиентов иметь несколько IP на одном тарифном плане, т.е. попадание группы IP под одну ISG сессию?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как-то изучал вопрос и тоже пришел к выводу что с ISG нельзя произвольный набор IP дать одному абоненту. Можно только сеть, характеризуемую маской. Очень неудобно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сеть, характеризуемая маской - это я уже понял. В процессе изучения выяснилось еще и то, что эта подсеть должна находиться за L3 девайсом + ip subscriber routed.

Очень неудобно, особенно когда надо чтобы ip subscriber l2-connected.

Интересно, как обстоят дела с этим у Ericsson SE?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

За 5 лет в этом вопросе что-нибудь поменялось?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

таки framed-route добавили для IPoE, но это, как я понимаю, только для нового железа?
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/isg/configuration/xe-16/isg-xe-16-book/isg-IPOE-framed-route.pdf
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Sergey M. Ну там сразу с козырей заходят:

 

Цитата

Restrictions for Framed Route
General Restriction Framed Route cannot be applied through a RADIUS COA.
IPoE Specific Restrictions No support forrouted session. Dual stack is not supported.

Спим спокойно, мы никуда не едем.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, jffulcrum сказал:

@Sergey M. Ну там сразу с козырей заходят:

 

Спим спокойно, мы никуда не едем.
 

ну так в CoA он и не нужен.. а вот в стандартном радиус ответе пример прям в доке приведен:
 

Framed-route configuration A
Cleartext-Password := "cisco”
Service-Type = Framed-User,
Framed-IP-Address = 40.0.0.1,
Framed-Route += "131.1.1.0 255.255.255.0",
Cisco-AVPair += "subscriber:accounting-list=List1“

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас