Jump to content
Калькуляторы

ISG+IPoE ISG+IPoE

Добрый день всем.

Решил настроить ISG+ISC(DHCP options 82).

В наличие есть 7206NPE-G2,Linksys SPS224G4,Сервер.

С ISC(DHCP options 82)+Linksys SPS224G4 тут как бы все понятно настноено и IP выдяются в соответствии с требованиями.

А вот с ISG проблемы.

На железке 7206 залит такой IOS:

7200 Software (C7200P-ADVIPSERVICESK9-M), Version 12.2(33)SRD3, RELEASE SOFTWARE (fc3)

Пытался настривать по этому мануалу http://wiki.sirmax.noname.com.ua/index.php...Billing_Support.

Вот настройки интерфейса

interface GigabitEthernet0/2.1500
encapsulation dot1Q 1500
ip address x.x.x.x 255.255.255.0 secondary
ip address 172.16.0.2 255.255.255.0
ip verify unicast reverse-path
service-policy type control IPOE_subs_control
ip subscriber routed
  initiator unclassified ip-address
end

Вот настройки service-policy type control IPOE_subs_control

policy-map type control IPOE_subs_control
class type control ISG-IP-UNAUTH event timed-policy-expiry
  1 service disconnect
!
class type control always event quota-depleted
  1 set-param drop-traffic FALSE
!
class type control always event session-start
  10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address
  20 set-timer UNAUTH-TIMER 1
  30 service-policy type service name SVC_WORLD

Вот настроики авторизации:

aaa group server radius ISG-RADIUS
server 172.16.0.1 auth-port 1812 acct-port 1813
!
aaa authentication login ISG-AUTH-1 group ISG-RADIUS
aaa authentication ppp IPOE group ISG-RADIUS
aaa authorization network ISG-AUTH-1 group ISG-RADIUS 
aaa authorization subscriber-service default local group ISG-RADIUS 
aaa accounting network ISG-AUTH-1 start-stop group ISG-RADIUS
!
aaa nas port extended
!
!
!
aaa server radius dynamic-author
client 172.16.0.1 server-key 1234567890
auth-type any
ignore session-key
ignore server-key
!
aaa session-id common

Вот настроики Радиуса

radius-server attribute 44 include-in-access-req
radius-server attribute 44 extend-with-addr
radius-server attribute 6 on-for-login-auth
radius-server attribute 6 mandatory
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-access-req 
radius-server attribute 32 include-in-accounting-req 
radius-server attribute 55 include-in-acct-req
radius-server attribute 55 access-request include
radius-server attribute 25 access-request include
radius-server attribute 31 mac format unformatted
radius-server host 172.16.0.1 auth-port 1812 acct-port 1813 key 1234567890
radius-server vsa send cisco-nas-port
radius-server vsa send accounting
radius-server vsa send authentication

Клинеты получаю по DHCP рельные IP авторизация проходит.

show sss session 
Current Subscriber Information: Total sessions 1

Uniq ID Interface    State         Service      Identifier           Up-time
71      IP           authen        Local Term   X.X.X.X          01:26:19

Вот более развернутый вид

show sss session detailed 
Current Subscriber Information: Total sessions 1
--------------------------------------------------
Unique Session ID: 71
Identifier: х.х.х.х
SIP subscriber access type(s): IP
Current SIP options: Req Fwding/Req Fwded
Session Up-time: 01:32:00, Last Changed: 01:32:00

Policy information:
  Context 065D0B7C: Handle 970000D0
  AAA_id 00003148: Flow_handle 0
  Authentication status: authen
  Downloaded User profile, excluding services:
    ssg-account-info     "ASVC_WORLD"
    service-type         5 [Outbound]
    idletime             120 (0x78)
  Downloaded User profile, including services:
    ssg-account-info     "ASVC_WORLD"
    service-type         5 [Outbound]
    idletime             120 (0x78)
  Config history for session (recent to oldest):
    Access-type: IP Client: SM
     Policy event: Service Selection Request
      Profile name: х.х.х.х, 2 references 
        ssg-account-info     "ASVC_WORLD"
        service-type         5 [Outbound]
        idletime             120 (0x78)
  Rules, actions and conditions executed:
    subscriber rule-map IPOE_subs_control
      condition always event session-start
        10 authorize aaa list ISG-AUTH-1 identifier source-ip-address

Session inbound features:
Feature: IP Idle Timeout
  Timeout value is 120
  Idle time is 00:00:01
Configuration sources associated with this session:
Interface: GigabitEthernet0/2.1500, Active Time = 01:32:02

Когда выполняю команду для просмотра сервисов нечего не проходит, и шейпы по этому сервису не применяются.

Вот что Радиус отсылает циске:

В первый раз када проходит аутентификация IP

Sending Access-Accept of id 139 to 172.16.0.2 port 1645
Cisco-Account-Info += "ASVC_WORLD"
Service-Type = Dialout-Framed-User
Idle-Timeout = 120

Вот второй раз када запрос идет про сервисы

Sending Access-Accept of id 140 to 172.16.0.2 port 1645
Acct-Interim-Interval := 300
Cisco-Service-Info += "QU;1024000;D;512000"
Cisco-AVPair += "ip:traffic-class=in access-group 197 priority 4"
Cisco-AVPair += "ip:traffic-class=out access-group 197 priority 4"

Вот что пишет логах:

.................................
*Aug  3 03:36:18.596: RADIUS(0000314B): Received from id 1645/142
*Aug  3 03:36:18.596: RADIUS/DECODE: parse response Service-Type mandatory, not found; FAIL
*Aug  3 03:36:18.596: SSS PM [uid:72][065D09DC]: AUTOSERVICE [SVC_WORLD]: Clearing set callbacks
*Aug  3 03:36:18.596: SSS PM [uid:72][065D09DC]: AUTOSERVICE [SVC_WORLD]: Result Apply Config Failed
*Aug  3 03:36:18.596: SSS PM [uid:72][065D09DC]: AUTOSERVICE [SVC_WORLD]: Deleting Auto Service Entry:
*Aug  3 03:36:18.596: SSS PM [uid:72][065D09DC]: AUTOSERVICE [SVC_WORLD]: Removing auto service entry from the parent policy context list
..................................

Не могу понять в чем причина, как я понял сервиса как такового циска не видит.

Можете помочь разобраться в этом.

Edited by hagen_id

Share this post


Link to post
Share on other sites
Service-Type = Dialout-Framed-User

Service-Type = Framed-User

Share this post


Link to post
Share on other sites

Спасибо все заработало.

У меня вопрос теперь следуючего характела.

Можно ли на в етом 7200 Software (C7200P-ADVIPSERVICESK9-M), Version 12.2(33)SRD3, RELEASE SOFTWARE (fc3) IOSe зделать L4redirect?

Вроде все делаею по http://www.cisco.com/en/US/docs/ios/isg/co....html#wp1054098 но тем немение редирект не делается:(

Вот политики кторые отрабытывают

class type control always event session-start
  10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address
  20 set-timer UNAUTH-TIMER 1
  30 service-policy type service name LOCAL_L4R

Дальше

policy-map type service LOCAL_L4R
1 class type traffic CLASS-TO-REDIRECT
  redirect to group L4R

В групе L4R указываю и белые IP и серые которые ISG видит.

Вот клас мап

class-map type traffic match-any CLASS-TO-REDIRECT
match access-group input 125
match access-group output 125

Вот ACL

Extended IP access list 125 (Compiled)
    10 permit tcp any eq www any (6 matches)
    20 permit tcp any any eq www (53 matches)
    30 deny ip any any (378 matches)

И вот статистика по сесии которая должна редиректится:

Current Subscriber Information: Total sessions 1
--------------------------------------------------
Unique Session ID: 299
Identifier: х.х.х.х
SIP subscriber access type(s): IP
Current SIP options: Req Fwding/Req Fwded
Session Up-time: 00:03:00, Last Changed: 00:03:00

Policy information:
  Context 06B351F4: Handle BC0001CA
  AAA_id 00000B80: Flow_handle 0
  Authentication status: unauthen
  Downloaded User profile, including services:
    clid-mac-addr        00 21 85 53 36 F5 
    traffic-class        "output access-group 125 priority 1"
    traffic-class        "input access-group 125 priority 1"
    l4redirect           "redirect to group L4R"
    traffic-class        "input default drop"
    traffic-class        "output default drop"
  Config history for session (recent to oldest):
    Access-type: IP Client: SM
     Policy event: Service Selection Request (Service)
      Profile name: LOCAL_L4R, 3 references 
        clid-mac-addr        00 21 85 53 36 F5 
        password             <hidden>
        traffic-class        "output access-group 125 priority 1"
        traffic-class        "input access-group 125 priority 1"
        l4redirect           "redirect to group L4R"
        traffic-class        "input default drop"
        traffic-class        "output default drop"
  Active services associated with session:
    name "LOCAL_L4R", applied before account logon
  Rules, actions and conditions executed:
    subscriber rule-map IPOE_subs_control
      condition always event session-start
        10 authorize aaa list ISG-AUTH-1 identifier source-ip-address
        20 set-timer UNAUTH-TIMER 1
        30 service-policy type service name LOCAL_L4R

Session inbound features:
Traffic classes:
  Traffic class session ID: 300
   ACL Name: 125, Packets = 0, Bytes = 0
Default traffic is dropped
Unmatched Packets = 20, Re-classified packets (redirected) = 0

Feature: Layer 4 Redirect
  Rule table is empty
Session outbound features:
Traffic classes:
  Traffic class session ID: 300
   ACL Name: 125, Packets = 0, Bytes = 0
Default traffic is dropped
Unmatched Packets = 2, Re-classified packets (redirected) = 0

Configuration sources associated with this session:
Service: LOCAL_L4R, Active Time = 00:03:00
Interface: GigabitEthernet0/2.1501, Active Time = 00:03:00
          
--------------------------------------------------
Unique Session ID: 300
Identifier: 
SIP subscriber access type(s): Traffic-Class
Current SIP options: None
Session Up-time: 00:03:01, Last Changed: 00:03:01

Policy information:
  Context 06B34D14: Handle 200001CB
  AAA_id 00000B80: Flow_handle 0
  Authentication status: unauthen

Session inbound features:
Feature: Layer 4 Redirect
  Rule  Cfg  Definition
  #1    SVC  Redirect to group L4R 
Configuration sources associated with this session:
Service: LOCAL_L4R, Active[code]

Time = 00:03:01

[/code]

При выполнении команды

###################show redirect translations
No translations currently exist

Клиент пытается ломится в нет его не пускает и редиректа нет.

но когда руками прописывашь IP в браузере на который должен редиректится он заходит.

Вот что в момент захода отображается.

#############show redirect translations 
Destination IP/port    Server IP/port         Prot  In Flags  Out Flags  Timestamp
     х.х.х.х   80          х.х.х.х   80             TCP              Aug 10 2010 00:03:27

IP Destination и IP Server одинаковые:(

Помогите пожалуйста разобраться с этим

Edited by hagen_id

Share this post


Link to post
Share on other sites

Редирект у вас единственный сервис с default drop. Поэтому к и от DNS ничего не ходит. А когда руками IP прописываете, то оно и коннектится. Добавьте сервис с доступом к DNS.

Share this post


Link to post
Share on other sites

А у кого есть рабочий пример описания сервиса редиректа? Тобишь, какие атрибуты(radius) и в каком порядке надо скармливать cisco?

Схема построения аналогичная, как у топикстартера.

 

Share this post


Link to post
Share on other sites

 

рискну предположить что из ацл-а нужно убрать ип сервера на которые указывает редирект, а то иначе он впадает в вечный редирект и не работает..

 

Extended IP access list 125

(Compiled)

10 permit tcp any eq www any (6 matches)

20 permit tcp any any eq www (53 matches)

30 deny ip any any (378 matches)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this