[Дегтярев Илья]

Потестить пока не на чемУже приехал ASR1006, нужно определиться в проекте для института.

 

Будет несколько подсетей с реальными ip адресами. Авторизация частично на всех свободных портах по принципу хотспота.

 

Будет ли возможность навесить на группу людей (при авторизации могут получать все время разные группы адресов, поэтому забить acl с постоянным списком невозможно) общий шейпер?

 

Хотелось бы обойтись без чего либо дополнительного, кроме циски с ISG и серверов с радиусом и сервером с базой биллинга, просто выдавая в одном из атрибутов номер группы при очередной авторизации.

Изменено 6 марта, 2010 пользователем Дегтярев Илья

[darkagent]

незнаю что у вас в качестве isg будет, но на sce например, привязанному к радиусу, прекрасно удается регулировать трафик хоть одного абонента, хоть группы (например тарифной группы или группы по общим src/dst признакам).

[Stak]

Если коротко - то можно. И sce тут не причём.

 

 

[Дегтярев Илья]

А какими атрибутами радиуса загонять народ в уже имеющуюся группу?

Или она может висеть как отдельный virtual acces интерфейс?

[darkagent]

А какими атрибутами радиуса загонять народ в уже имеющуюся группу?

Или она может висеть как отдельный virtual acces интерфейс?

если одним только isg :

http://www.cisco.com/en/US/docs/ios/12_2sb...e/isgcaapa.html

если связка isg+sce, то :

вяжете isg к sce http://www.cisco.com/en/US/docs/ios/isg/co...de_Chapter.html

(там еще попутно слева пощелкайте по навигации - тоже много полезного)

а дальше средствами scmp протокола играйтесь как душе угодно:

http://www.cisco.com/en/US/products/ps6134...43a.html#o16253

 

Изменено 12 февраля, 2010 пользователем darkagent

[Дегтярев Илья]

В упор не вижу нужных мне атрибутов.

Ставлю пиво тому, кто расскажет как несколько ipoe аккаунтов объединить в группу с общим шейпером.

[Andrew Rogov]

В упор не вижу нужных мне атрибутов.

Ставлю пиво тому, кто расскажет как несколько ipoe аккаунтов объединить в группу с общим шейпером.

Ну, как вариант.

 

http://www.cisco.com/en/US/docs/ios/isg/co....html#wp1054603

 

Вкратце: с RADIUS для сессий нужных тебе абонентов отдавать в атрибутах subnet mask такую, чтобы она покрывала адреса абонентов.

Таким образом они у тебя попадут под действие одной policy.

 

В твоей конфигурации, видимо, придется поколдовать немного с выдаваемыми адресами.

 

 

[Konstantin Klimchev]

В упор не вижу нужных мне атрибутов.

Ставлю пиво тому, кто расскажет как несколько ipoe аккаунтов объединить в группу с общим шейпером.

с шейпером в ISG не очень, оно по политикам только полисить умеет (хотя в новых иосах может и поменялось), а так для группы смотреть в сторону ip subscriber interface. Т.е. vlan-на-пользователя, а в этом vlan-е не обязательно должна быть /32, да и vlan можно "размазать" по сети.

 

[Дегтярев Илья]

Ну полисить то мы сразу смогли.

ip subscriber interface сделать нереально, так как предлагается ТЗ в котором половина пользователей мобильна. А тарифы - безлимит на кафедру, соответственно сотрудники после авторизации должны попасть под полисер своей кафедры.

Пока что нашли костыль - дать каждой группе свой VRF и свой вилан в сторону edge. Его шейпить руками. А VRF на ip сессию радиусом можно навесить.

[Дегтярев Илья]

У кого на форуме появлялись обратные /32 роуты в сторону пользователей? Или это только при ppp сессиях возможно?

 

С отдельным vrf получилось только с натом. Без ната обратный трафик в VRF только руками можно запихнуть.

 

Если б появлялись /32 маршруты в нужном vrf можно бы было их передать наверх и там разрулить трафик.

[darkagent]

/32 это при ppp, да.

 

Без ната обратный трафик в VRF только руками можно запихнуть.

не совсем понятно в чем проблема ..

 

[alks]

http://www.cisco.com/en/US/docs/ios/ios_xe...de_Chapter.html

 

смотрим на Creating ISG IP Subnet Sessions

 

When a subscriber is authorized or authenticated and the Framed-IP-Netmask attribute is present in the user or service profile, ISG converts the source-IP-based session into a subnet session with the subnet value in the Framed-IP-Netmask attribute.

 

если я понял то логика такая

isg получает Ip клиента -- потом берет атрибут Framed-IP-Netmask, после чего вычисляет сеть клиента

и в результате считает авторизованной всю сеть

т.е. можно несколько адресов объединить в одну сессию, тогда и шейпер будет общий и т.п.

 

P/S по ходу дела боян запостил :)

Andrew Rogov уже предложил этот вариант

Изменено 5 марта, 2010 пользователем alks

[Дегтярев Илья]

после чего вычисляет сеть клиента

И все ипы одной группы должны идти подряд..

Что непременимо. Адреса у всех из большого внешнего пула.

 

Если использовать нат решение уже нашли - разбрасывать исходящий трафик по VRF и натить при выходе в глобальный, полученный ип зашейпить.

 

Но задача дать всем прямые реальные. Чтоб в очередной раз не разбираться, почему кто-то с кафедры не может из дома зайти на свой комп, оставленный им днем в лабе около установки (DDNS уже реализован)

[John_obn]

Подниму тему. Нашли способ, как адреса из разных подсетей в одну ISG сессию запихнуть без извратов с NAT?

[Дегтярев Илья]

Нет, решили что это невозможно.

[John_obn]

Т.е. используете диапазон, попадающий в Framed-IP-Netmask, при этом, ip subscriber должен быть routed. Верно?

[Дегтярев Илья]

Не используем Framed-IP-Netmask

[John_obn]

Ясно. Спасибо.

Есть кто на форуме, использующий этот атрибут? Как реализуете на ISG хотелки клиентов иметь несколько IP на одном тарифном плане, т.е. попадание группы IP под одну ISG сессию?

[Tosha]

Как-то изучал вопрос и тоже пришел к выводу что с ISG нельзя произвольный набор IP дать одному абоненту. Можно только сеть, характеризуемую маской. Очень неудобно...

[John_obn]

Сеть, характеризуемая маской - это я уже понял. В процессе изучения выяснилось еще и то, что эта подсеть должна находиться за L3 девайсом + ip subscriber routed.

Очень неудобно, особенно когда надо чтобы ip subscriber l2-connected.

Интересно, как обстоят дела с этим у Ericsson SE?

[Spinaker]

За 5 лет в этом вопросе что-нибудь поменялось?

[zhenya`]

у циски все также. сабнет только.

[Sergey M.]

таки framed-route добавили для IPoE, но это, как я понимаю, только для нового железа?
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/isg/configuration/xe-16/isg-xe-16-book/isg-IPOE-framed-route.pdf
 

[jffulcrum]

@Sergey M. Ну там сразу с козырей заходят:

 

Цитата

Restrictions for Framed Route
General Restriction Framed Route cannot be applied through a RADIUS COA.
IPoE Specific Restrictions No support forrouted session. Dual stack is not supported.

Спим спокойно, мы никуда не едем.
 

[Sergey M.]

2 часа назад, jffulcrum сказал:

@Sergey M. Ну там сразу с козырей заходят:

 

Спим спокойно, мы никуда не едем.
 

ну так в CoA он и не нужен.. а вот в стандартном радиус ответе пример прям в доке приведен:
 

Framed-route configuration A
Cleartext-Password := "cisco”
Service-Type = Framed-User,
Framed-IP-Address = 40.0.0.1,
Framed-Route += "131.1.1.0 255.255.255.0",
Cisco-AVPair += "subscriber:accounting-list=List1“