Дегтярев Илья Опубликовано 12 февраля, 2010 (изменено) · Жалоба Потестить пока не на чемУже приехал ASR1006, нужно определиться в проекте для института. Будет несколько подсетей с реальными ip адресами. Авторизация частично на всех свободных портах по принципу хотспота. Будет ли возможность навесить на группу людей (при авторизации могут получать все время разные группы адресов, поэтому забить acl с постоянным списком невозможно) общий шейпер? Хотелось бы обойтись без чего либо дополнительного, кроме циски с ISG и серверов с радиусом и сервером с базой биллинга, просто выдавая в одном из атрибутов номер группы при очередной авторизации. Изменено 6 марта, 2010 пользователем Дегтярев Илья Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 12 февраля, 2010 · Жалоба незнаю что у вас в качестве isg будет, но на sce например, привязанному к радиусу, прекрасно удается регулировать трафик хоть одного абонента, хоть группы (например тарифной группы или группы по общим src/dst признакам). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 12 февраля, 2010 · Жалоба Если коротко - то можно. И sce тут не причём. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 12 февраля, 2010 · Жалоба А какими атрибутами радиуса загонять народ в уже имеющуюся группу? Или она может висеть как отдельный virtual acces интерфейс? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 12 февраля, 2010 (изменено) · Жалоба А какими атрибутами радиуса загонять народ в уже имеющуюся группу?Или она может висеть как отдельный virtual acces интерфейс? если одним только isg : http://www.cisco.com/en/US/docs/ios/12_2sb...e/isgcaapa.html если связка isg+sce, то : вяжете isg к sce http://www.cisco.com/en/US/docs/ios/isg/co...de_Chapter.html (там еще попутно слева пощелкайте по навигации - тоже много полезного) а дальше средствами scmp протокола играйтесь как душе угодно: http://www.cisco.com/en/US/products/ps6134...43a.html#o16253 Изменено 12 февраля, 2010 пользователем darkagent Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 2 марта, 2010 · Жалоба В упор не вижу нужных мне атрибутов. Ставлю пиво тому, кто расскажет как несколько ipoe аккаунтов объединить в группу с общим шейпером. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrew Rogov Опубликовано 3 марта, 2010 · Жалоба В упор не вижу нужных мне атрибутов. Ставлю пиво тому, кто расскажет как несколько ipoe аккаунтов объединить в группу с общим шейпером. Ну, как вариант. http://www.cisco.com/en/US/docs/ios/isg/co....html#wp1054603 Вкратце: с RADIUS для сессий нужных тебе абонентов отдавать в атрибутах subnet mask такую, чтобы она покрывала адреса абонентов. Таким образом они у тебя попадут под действие одной policy. В твоей конфигурации, видимо, придется поколдовать немного с выдаваемыми адресами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 3 марта, 2010 · Жалоба В упор не вижу нужных мне атрибутов. Ставлю пиво тому, кто расскажет как несколько ipoe аккаунтов объединить в группу с общим шейпером. с шейпером в ISG не очень, оно по политикам только полисить умеет (хотя в новых иосах может и поменялось), а так для группы смотреть в сторону ip subscriber interface. Т.е. vlan-на-пользователя, а в этом vlan-е не обязательно должна быть /32, да и vlan можно "размазать" по сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 3 марта, 2010 · Жалоба Ну полисить то мы сразу смогли. ip subscriber interface сделать нереально, так как предлагается ТЗ в котором половина пользователей мобильна. А тарифы - безлимит на кафедру, соответственно сотрудники после авторизации должны попасть под полисер своей кафедры. Пока что нашли костыль - дать каждой группе свой VRF и свой вилан в сторону edge. Его шейпить руками. А VRF на ip сессию радиусом можно навесить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 4 марта, 2010 · Жалоба У кого на форуме появлялись обратные /32 роуты в сторону пользователей? Или это только при ppp сессиях возможно? С отдельным vrf получилось только с натом. Без ната обратный трафик в VRF только руками можно запихнуть. Если б появлялись /32 маршруты в нужном vrf можно бы было их передать наверх и там разрулить трафик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 4 марта, 2010 · Жалоба /32 это при ppp, да. Без ната обратный трафик в VRF только руками можно запихнуть.не совсем понятно в чем проблема .. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 5 марта, 2010 (изменено) · Жалоба http://www.cisco.com/en/US/docs/ios/ios_xe...de_Chapter.html смотрим на Creating ISG IP Subnet Sessions When a subscriber is authorized or authenticated and the Framed-IP-Netmask attribute is present in the user or service profile, ISG converts the source-IP-based session into a subnet session with the subnet value in the Framed-IP-Netmask attribute. если я понял то логика такая isg получает Ip клиента -- потом берет атрибут Framed-IP-Netmask, после чего вычисляет сеть клиента и в результате считает авторизованной всю сеть т.е. можно несколько адресов объединить в одну сессию, тогда и шейпер будет общий и т.п. P/S по ходу дела боян запостил :) Andrew Rogov уже предложил этот вариант Изменено 5 марта, 2010 пользователем alks Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 6 марта, 2010 · Жалоба после чего вычисляет сеть клиента И все ипы одной группы должны идти подряд.. Что непременимо. Адреса у всех из большого внешнего пула. Если использовать нат решение уже нашли - разбрасывать исходящий трафик по VRF и натить при выходе в глобальный, полученный ип зашейпить. Но задача дать всем прямые реальные. Чтоб в очередной раз не разбираться, почему кто-то с кафедры не может из дома зайти на свой комп, оставленный им днем в лабе около установки (DDNS уже реализован) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
John_obn Опубликовано 26 января, 2011 · Жалоба Подниму тему. Нашли способ, как адреса из разных подсетей в одну ISG сессию запихнуть без извратов с NAT? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 26 января, 2011 · Жалоба Нет, решили что это невозможно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
John_obn Опубликовано 27 января, 2011 · Жалоба Т.е. используете диапазон, попадающий в Framed-IP-Netmask, при этом, ip subscriber должен быть routed. Верно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 27 января, 2011 · Жалоба Не используем Framed-IP-Netmask Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
John_obn Опубликовано 27 января, 2011 · Жалоба Ясно. Спасибо. Есть кто на форуме, использующий этот атрибут? Как реализуете на ISG хотелки клиентов иметь несколько IP на одном тарифном плане, т.е. попадание группы IP под одну ISG сессию? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 27 января, 2011 · Жалоба Как-то изучал вопрос и тоже пришел к выводу что с ISG нельзя произвольный набор IP дать одному абоненту. Можно только сеть, характеризуемую маской. Очень неудобно... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
John_obn Опубликовано 27 января, 2011 · Жалоба Сеть, характеризуемая маской - это я уже понял. В процессе изучения выяснилось еще и то, что эта подсеть должна находиться за L3 девайсом + ip subscriber routed. Очень неудобно, особенно когда надо чтобы ip subscriber l2-connected. Интересно, как обстоят дела с этим у Ericsson SE? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Spinaker Опубликовано 14 марта, 2015 · Жалоба За 5 лет в этом вопросе что-нибудь поменялось? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 15 марта, 2015 · Жалоба у циски все также. сабнет только. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey M. Опубликовано 7 января, 2019 · Жалоба таки framed-route добавили для IPoE, но это, как я понимаю, только для нового железа? https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/isg/configuration/xe-16/isg-xe-16-book/isg-IPOE-framed-route.pdf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 8 января, 2019 · Жалоба @Sergey M. Ну там сразу с козырей заходят: Цитата Restrictions for Framed Route General Restriction Framed Route cannot be applied through a RADIUS COA. IPoE Specific Restrictions No support forrouted session. Dual stack is not supported. Спим спокойно, мы никуда не едем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey M. Опубликовано 8 января, 2019 · Жалоба 2 часа назад, jffulcrum сказал: @Sergey M. Ну там сразу с козырей заходят: Спим спокойно, мы никуда не едем. ну так в CoA он и не нужен.. а вот в стандартном радиус ответе пример прям в доке приведен: Framed-route configuration A Cleartext-Password := "cisco” Service-Type = Framed-User, Framed-IP-Address = 40.0.0.1, Framed-Route += "131.1.1.0 255.255.255.0", Cisco-AVPair += "subscriber:accounting-list=List1“ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...