hagen_id Posted August 3, 2010 (edited) · Report post Добрый день всем. Решил настроить ISG+ISC(DHCP options 82). В наличие есть 7206NPE-G2,Linksys SPS224G4,Сервер. С ISC(DHCP options 82)+Linksys SPS224G4 тут как бы все понятно настноено и IP выдяются в соответствии с требованиями. А вот с ISG проблемы. На железке 7206 залит такой IOS: 7200 Software (C7200P-ADVIPSERVICESK9-M), Version 12.2(33)SRD3, RELEASE SOFTWARE (fc3) Пытался настривать по этому мануалу http://wiki.sirmax.noname.com.ua/index.php...Billing_Support. Вот настройки интерфейса interface GigabitEthernet0/2.1500 encapsulation dot1Q 1500 ip address x.x.x.x 255.255.255.0 secondary ip address 172.16.0.2 255.255.255.0 ip verify unicast reverse-path service-policy type control IPOE_subs_control ip subscriber routed initiator unclassified ip-address end Вот настройки service-policy type control IPOE_subs_control policy-map type control IPOE_subs_control class type control ISG-IP-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event quota-depleted 1 set-param drop-traffic FALSE ! class type control always event session-start 10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address 20 set-timer UNAUTH-TIMER 1 30 service-policy type service name SVC_WORLD Вот настроики авторизации: aaa group server radius ISG-RADIUS server 172.16.0.1 auth-port 1812 acct-port 1813 ! aaa authentication login ISG-AUTH-1 group ISG-RADIUS aaa authentication ppp IPOE group ISG-RADIUS aaa authorization network ISG-AUTH-1 group ISG-RADIUS aaa authorization subscriber-service default local group ISG-RADIUS aaa accounting network ISG-AUTH-1 start-stop group ISG-RADIUS ! aaa nas port extended ! ! ! aaa server radius dynamic-author client 172.16.0.1 server-key 1234567890 auth-type any ignore session-key ignore server-key ! aaa session-id common Вот настроики Радиуса radius-server attribute 44 include-in-access-req radius-server attribute 44 extend-with-addr radius-server attribute 6 on-for-login-auth radius-server attribute 6 mandatory radius-server attribute 8 include-in-access-req radius-server attribute 32 include-in-access-req radius-server attribute 32 include-in-accounting-req radius-server attribute 55 include-in-acct-req radius-server attribute 55 access-request include radius-server attribute 25 access-request include radius-server attribute 31 mac format unformatted radius-server host 172.16.0.1 auth-port 1812 acct-port 1813 key 1234567890 radius-server vsa send cisco-nas-port radius-server vsa send accounting radius-server vsa send authentication Клинеты получаю по DHCP рельные IP авторизация проходит. show sss session Current Subscriber Information: Total sessions 1 Uniq ID Interface State Service Identifier Up-time 71 IP authen Local Term X.X.X.X 01:26:19 Вот более развернутый вид show sss session detailed Current Subscriber Information: Total sessions 1 -------------------------------------------------- Unique Session ID: 71 Identifier: х.х.х.х SIP subscriber access type(s): IP Current SIP options: Req Fwding/Req Fwded Session Up-time: 01:32:00, Last Changed: 01:32:00 Policy information: Context 065D0B7C: Handle 970000D0 AAA_id 00003148: Flow_handle 0 Authentication status: authen Downloaded User profile, excluding services: ssg-account-info "ASVC_WORLD" service-type 5 [Outbound] idletime 120 (0x78) Downloaded User profile, including services: ssg-account-info "ASVC_WORLD" service-type 5 [Outbound] idletime 120 (0x78) Config history for session (recent to oldest): Access-type: IP Client: SM Policy event: Service Selection Request Profile name: х.х.х.х, 2 references ssg-account-info "ASVC_WORLD" service-type 5 [Outbound] idletime 120 (0x78) Rules, actions and conditions executed: subscriber rule-map IPOE_subs_control condition always event session-start 10 authorize aaa list ISG-AUTH-1 identifier source-ip-address Session inbound features: Feature: IP Idle Timeout Timeout value is 120 Idle time is 00:00:01 Configuration sources associated with this session: Interface: GigabitEthernet0/2.1500, Active Time = 01:32:02 Когда выполняю команду для просмотра сервисов нечего не проходит, и шейпы по этому сервису не применяются. Вот что Радиус отсылает циске: В первый раз када проходит аутентификация IP Sending Access-Accept of id 139 to 172.16.0.2 port 1645 Cisco-Account-Info += "ASVC_WORLD" Service-Type = Dialout-Framed-User Idle-Timeout = 120 Вот второй раз када запрос идет про сервисы Sending Access-Accept of id 140 to 172.16.0.2 port 1645 Acct-Interim-Interval := 300 Cisco-Service-Info += "QU;1024000;D;512000" Cisco-AVPair += "ip:traffic-class=in access-group 197 priority 4" Cisco-AVPair += "ip:traffic-class=out access-group 197 priority 4" Вот что пишет логах: ................................. *Aug 3 03:36:18.596: RADIUS(0000314B): Received from id 1645/142 *Aug 3 03:36:18.596: RADIUS/DECODE: parse response Service-Type mandatory, not found; FAIL *Aug 3 03:36:18.596: SSS PM [uid:72][065D09DC]: AUTOSERVICE [SVC_WORLD]: Clearing set callbacks *Aug 3 03:36:18.596: SSS PM [uid:72][065D09DC]: AUTOSERVICE [SVC_WORLD]: Result Apply Config Failed *Aug 3 03:36:18.596: SSS PM [uid:72][065D09DC]: AUTOSERVICE [SVC_WORLD]: Deleting Auto Service Entry: *Aug 3 03:36:18.596: SSS PM [uid:72][065D09DC]: AUTOSERVICE [SVC_WORLD]: Removing auto service entry from the parent policy context list .................................. Не могу понять в чем причина, как я понял сервиса как такового циска не видит. Можете помочь разобраться в этом. Edited August 3, 2010 by hagen_id Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexmern Posted August 3, 2010 · Report post Service-Type = Dialout-Framed-User Service-Type = Framed-User Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
hagen_id Posted August 10, 2010 (edited) · Report post Спасибо все заработало. У меня вопрос теперь следуючего характела. Можно ли на в етом 7200 Software (C7200P-ADVIPSERVICESK9-M), Version 12.2(33)SRD3, RELEASE SOFTWARE (fc3) IOSe зделать L4redirect? Вроде все делаею по http://www.cisco.com/en/US/docs/ios/isg/co....html#wp1054098 но тем немение редирект не делается:( Вот политики кторые отрабытывают class type control always event session-start 10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address 20 set-timer UNAUTH-TIMER 1 30 service-policy type service name LOCAL_L4R Дальше policy-map type service LOCAL_L4R 1 class type traffic CLASS-TO-REDIRECT redirect to group L4R В групе L4R указываю и белые IP и серые которые ISG видит. Вот клас мап class-map type traffic match-any CLASS-TO-REDIRECT match access-group input 125 match access-group output 125 Вот ACL Extended IP access list 125 (Compiled) 10 permit tcp any eq www any (6 matches) 20 permit tcp any any eq www (53 matches) 30 deny ip any any (378 matches) И вот статистика по сесии которая должна редиректится: Current Subscriber Information: Total sessions 1 -------------------------------------------------- Unique Session ID: 299 Identifier: х.х.х.х SIP subscriber access type(s): IP Current SIP options: Req Fwding/Req Fwded Session Up-time: 00:03:00, Last Changed: 00:03:00 Policy information: Context 06B351F4: Handle BC0001CA AAA_id 00000B80: Flow_handle 0 Authentication status: unauthen Downloaded User profile, including services: clid-mac-addr 00 21 85 53 36 F5 traffic-class "output access-group 125 priority 1" traffic-class "input access-group 125 priority 1" l4redirect "redirect to group L4R" traffic-class "input default drop" traffic-class "output default drop" Config history for session (recent to oldest): Access-type: IP Client: SM Policy event: Service Selection Request (Service) Profile name: LOCAL_L4R, 3 references clid-mac-addr 00 21 85 53 36 F5 password <hidden> traffic-class "output access-group 125 priority 1" traffic-class "input access-group 125 priority 1" l4redirect "redirect to group L4R" traffic-class "input default drop" traffic-class "output default drop" Active services associated with session: name "LOCAL_L4R", applied before account logon Rules, actions and conditions executed: subscriber rule-map IPOE_subs_control condition always event session-start 10 authorize aaa list ISG-AUTH-1 identifier source-ip-address 20 set-timer UNAUTH-TIMER 1 30 service-policy type service name LOCAL_L4R Session inbound features: Traffic classes: Traffic class session ID: 300 ACL Name: 125, Packets = 0, Bytes = 0 Default traffic is dropped Unmatched Packets = 20, Re-classified packets (redirected) = 0 Feature: Layer 4 Redirect Rule table is empty Session outbound features: Traffic classes: Traffic class session ID: 300 ACL Name: 125, Packets = 0, Bytes = 0 Default traffic is dropped Unmatched Packets = 2, Re-classified packets (redirected) = 0 Configuration sources associated with this session: Service: LOCAL_L4R, Active Time = 00:03:00 Interface: GigabitEthernet0/2.1501, Active Time = 00:03:00 -------------------------------------------------- Unique Session ID: 300 Identifier: SIP subscriber access type(s): Traffic-Class Current SIP options: None Session Up-time: 00:03:01, Last Changed: 00:03:01 Policy information: Context 06B34D14: Handle 200001CB AAA_id 00000B80: Flow_handle 0 Authentication status: unauthen Session inbound features: Feature: Layer 4 Redirect Rule Cfg Definition #1 SVC Redirect to group L4R Configuration sources associated with this session: Service: LOCAL_L4R, Active[code] Time = 00:03:01 [/code] При выполнении команды ###################show redirect translations No translations currently exist Клиент пытается ломится в нет его не пускает и редиректа нет. но когда руками прописывашь IP в браузере на который должен редиректится он заходит. Вот что в момент захода отображается. #############show redirect translations Destination IP/port Server IP/port Prot In Flags Out Flags Timestamp х.х.х.х 80 х.х.х.х 80 TCP Aug 10 2010 00:03:27 IP Destination и IP Server одинаковые:( Помогите пожалуйста разобраться с этим Edited August 10, 2010 by hagen_id Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Bambuk Posted August 11, 2010 · Report post Редирект у вас единственный сервис с default drop. Поэтому к и от DNS ничего не ходит. А когда руками IP прописываете, то оно и коннектится. Добавьте сервис с доступом к DNS. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VBA Posted August 13, 2010 · Report post А у кого есть рабочий пример описания сервиса редиректа? Тобишь, какие атрибуты(radius) и в каком порядке надо скармливать cisco? Схема построения аналогичная, как у топикстартера. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
skinner Posted August 30, 2010 · Report post рискну предположить что из ацл-а нужно убрать ип сервера на которые указывает редирект, а то иначе он впадает в вечный редирект и не работает.. Extended IP access list 125 (Compiled) 10 permit tcp any eq www any (6 matches) 20 permit tcp any any eq www (53 matches) 30 deny ip any any (378 matches) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...