[hades]

Есть следующий конфиг

 class type control always event session-start
  10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address

 

в результате на основании src ip создается сессия.

 

Возможно ли реализовать для нескольких ip одну сессию или объединить несколько сессий? или это возможно если указать в качестве identifier circuit-id

 

[IbZ]

Есть следующий конфиг

 class type control always event session-start
  10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address

 

в результате на основании src ip создается сессия.

 

Возможно ли реализовать для нескольких ip одну сессию или объединить несколько сессий? или это возможно если указать в качестве identifier circuit-id

Если эти ип можно обьединить в общую подсеть - можно отдать при авторизации в ответе радиуса атрибут Framed-IP-Netmask и тогда первый авторизовавшийся ип позволит выпустить всю эту подсеть. Здесь на форумах уже обсуждалось вроде.

[survivor]

Хочу поднять тему - очень похожая ситуация у меня:

Клиенты подключены по схеме vlan-per-port с IP-unnumbered и DHCP релеем (+opt82) на ISG роутер. На ISG роутер клиенты приходят на:

ip subscriber routed
initiator dhcp

аутентификация идет по opt-82:

policy-map type control IPoE
class type control always event session-start
 1 authorize aaa list IPoE-AAA password ISG identifier remote-id plus circuit-id 

 

Проблема в том, что у каждого клиента может быть подключено до 5 устройств и всем надо дать внешний динамический IP.

С аутентификацией проблем нет - порт все тот же. Но как быть с сессиями - как сделать, чтобы была одна сессия для группы адресов, которые не группируются в один subnet?

 

Наверное можно оставить много сессий для одного клиента и включить мультилогин в биллинге, но что-то подсказывает что это не лучшее решение...

Изменено 3 сентября, 2012 пользователем survivor

[Ivan_83]

Главное чтобы скорость выдавало на группу а не на каждый в отдельности.

[survivor]

Главное чтобы скорость выдавало на группу а не на каждый в отдельности.

 

Действительно, об этом я и забыл - но ведь скорость навешивается на сессию, значит в случае мультилогина каждый IP будет иметь всю скорость тарифа!

[Ivan_83]

Зависит от того как оно шейпит.

Если на л2 на интерфейсе то может и общая скорость на все ип адреса будет.

[survivor]

Зависит от того как оно шейпит.

Если на л2 на интерфейсе то может и общая скорость на все ип адреса будет.

 

ну это-то да. Но не мой случай. У меня клиенты на L3 затерминированы на уровне агрегации и на ISG уже приходят все в один интерфейс:

ip subscriber routed
initiator dhcp

Изменено 3 сентября, 2012 пользователем survivor

[survivor]

Получается единственный способ дать клиентам на доступе несколько динамических глобальных адресов - подключить их к ISG роутеру по l2-connected, со всеми вытекающими из этого последствиями: хреновой тучей сабинтерфейсов, qiniq до ядра из-за чего проблемы с клиентами у которых одинаковые мак адреса (outer влан то один), чудовищная мак таблица в ядре, бегающие куда не надо броадкасты и не работающий в qinq по inner влану igmp snooping (именно снупинг)... А жаль очень хотелось сделать L3 сеть, с нормальным резервированием по OSPF/EIGRP.

Хотя есть вариант дать клиентам серые адреса, аж /24 на каждого и сделать IP Subnet Session в ISG, но ИМХО серые адреса на доступе - моветон.

[Ivan_83]

либо искать реализацию исг где можно на л3 много адресов под один акк сразу

[survivor]

либо искать реализацию исг где можно на л3 много адресов под один акк сразу

 

У меня уже есть ASR1002, покупать что-то еще я себе позволить не могу :))

[Ivan_83]

тогда пинайте индусов чтобы прошивку допиливали :)

[s.lobanov]

Получается единственный способ дать клиентам на доступе несколько динамических глобальных адресов - подключить их к ISG роутеру по l2-connected, со всеми вытекающими из этого последствиями: хреновой тучей сабинтерфейсов, qiniq до ядра из-за чего проблемы с клиентами у которых одинаковые мак адреса (outer влан то один), чудовищная мак таблица в ядре, бегающие куда не надо броадкасты и не работающий в qinq по inner влану igmp snooping (именно снупинг)... А жаль очень хотелось сделать L3 сеть, с нормальным резервированием по OSPF/EIGRP.

 

Т.е. у вас объёмы большие, а сеть до сих пор не MPLS? l2-тунели через mpls тоже можно нормально резервировать

[survivor]

да, mpls это добро, согласен. Но сейчас не об том речь...

 

Я тут внезапно осознал, что и l2-connected мне не поможет!

For Layer 2-connected IP subscribers, both the subscriber MAC address (unique within a VLAN) and the IP address, serve as keys for the IP session and are used in the following directions:

 

•In the upstream direction, the VLAN ID and source MAC address of an IP packet are used to identify the IP session.

•In the downstream direction, the destination IP address and the VLAN ID of an IP packet are used to identify the IP subscriber context.

 

То есть в случае нескольких IP у клиента на него будет столько же сессий, так как каждая сессия будет идентифицироваться из всего траффика уникальной парой IP/MAC. Правда пытаться авторизоваться в биллинге это все будет одним и тем же circuit-id, если разрешить мультилогин, то все IP получат доступ, только вот у каждого IP будет ВСЯ тарифная скорость.

 

Что же делать?

[shellsmith]

Мне пресэйлы ненавязчиво предлагали пересмотреть модель предоставления услуги =) Сложилось впечатление, что производители брасов этот наш IPoE вообще как-то недолюбливают и пилят в последнюю очередь =) То ли дело старые добрые pppoe/l2tp и т.п.

 

Тестил и внедрял ISG около года назад. С L3 все было грустно - либо вообще только один IP (SE100), либо непрерывная подсеть (Cisco ISG).

L2 до BRAS, несмотря на наличие MPLS, не рассматривали - не было ни нужды, ни желания тащить весь трафик клиентов до браса. И с резервированием вопросы все равно будут.

 

В нашем случае у большинства сабскрайберов были небольшие подсети. Внедрили ISG на 7200, закрыв большую часть потребностей. Немногочисленные частные случаи добивали персональными полиси-мапами на точках подключения.

Найти более удачное решение не удалось. Надеюсь, вам повезет больше =)