hades Опубликовано 25 октября, 2010 · Жалоба Есть следующий конфиг class type control always event session-start 10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address в результате на основании src ip создается сессия. Возможно ли реализовать для нескольких ip одну сессию или объединить несколько сессий? или это возможно если указать в качестве identifier circuit-id Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
IbZ Опубликовано 1 ноября, 2010 · Жалоба Есть следующий конфиг class type control always event session-start 10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address в результате на основании src ip создается сессия. Возможно ли реализовать для нескольких ip одну сессию или объединить несколько сессий? или это возможно если указать в качестве identifier circuit-id Если эти ип можно обьединить в общую подсеть - можно отдать при авторизации в ответе радиуса атрибут Framed-IP-Netmask и тогда первый авторизовавшийся ип позволит выпустить всю эту подсеть. Здесь на форумах уже обсуждалось вроде. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 3 сентября, 2012 (изменено) · Жалоба Хочу поднять тему - очень похожая ситуация у меня: Клиенты подключены по схеме vlan-per-port с IP-unnumbered и DHCP релеем (+opt82) на ISG роутер. На ISG роутер клиенты приходят на: ip subscriber routed initiator dhcp аутентификация идет по opt-82: policy-map type control IPoE class type control always event session-start 1 authorize aaa list IPoE-AAA password ISG identifier remote-id plus circuit-id Проблема в том, что у каждого клиента может быть подключено до 5 устройств и всем надо дать внешний динамический IP. С аутентификацией проблем нет - порт все тот же. Но как быть с сессиями - как сделать, чтобы была одна сессия для группы адресов, которые не группируются в один subnet? Наверное можно оставить много сессий для одного клиента и включить мультилогин в биллинге, но что-то подсказывает что это не лучшее решение... Изменено 3 сентября, 2012 пользователем survivor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 3 сентября, 2012 · Жалоба Главное чтобы скорость выдавало на группу а не на каждый в отдельности. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 3 сентября, 2012 · Жалоба Главное чтобы скорость выдавало на группу а не на каждый в отдельности. Действительно, об этом я и забыл - но ведь скорость навешивается на сессию, значит в случае мультилогина каждый IP будет иметь всю скорость тарифа! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 3 сентября, 2012 · Жалоба Зависит от того как оно шейпит. Если на л2 на интерфейсе то может и общая скорость на все ип адреса будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 3 сентября, 2012 (изменено) · Жалоба Зависит от того как оно шейпит. Если на л2 на интерфейсе то может и общая скорость на все ип адреса будет. ну это-то да. Но не мой случай. У меня клиенты на L3 затерминированы на уровне агрегации и на ISG уже приходят все в один интерфейс: ip subscriber routed initiator dhcp Изменено 3 сентября, 2012 пользователем survivor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 3 сентября, 2012 · Жалоба Получается единственный способ дать клиентам на доступе несколько динамических глобальных адресов - подключить их к ISG роутеру по l2-connected, со всеми вытекающими из этого последствиями: хреновой тучей сабинтерфейсов, qiniq до ядра из-за чего проблемы с клиентами у которых одинаковые мак адреса (outer влан то один), чудовищная мак таблица в ядре, бегающие куда не надо броадкасты и не работающий в qinq по inner влану igmp snooping (именно снупинг)... А жаль очень хотелось сделать L3 сеть, с нормальным резервированием по OSPF/EIGRP. Хотя есть вариант дать клиентам серые адреса, аж /24 на каждого и сделать IP Subnet Session в ISG, но ИМХО серые адреса на доступе - моветон. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 3 сентября, 2012 · Жалоба либо искать реализацию исг где можно на л3 много адресов под один акк сразу Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 3 сентября, 2012 · Жалоба либо искать реализацию исг где можно на л3 много адресов под один акк сразу У меня уже есть ASR1002, покупать что-то еще я себе позволить не могу :)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 3 сентября, 2012 · Жалоба тогда пинайте индусов чтобы прошивку допиливали :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 3 сентября, 2012 · Жалоба Получается единственный способ дать клиентам на доступе несколько динамических глобальных адресов - подключить их к ISG роутеру по l2-connected, со всеми вытекающими из этого последствиями: хреновой тучей сабинтерфейсов, qiniq до ядра из-за чего проблемы с клиентами у которых одинаковые мак адреса (outer влан то один), чудовищная мак таблица в ядре, бегающие куда не надо броадкасты и не работающий в qinq по inner влану igmp snooping (именно снупинг)... А жаль очень хотелось сделать L3 сеть, с нормальным резервированием по OSPF/EIGRP. Т.е. у вас объёмы большие, а сеть до сих пор не MPLS? l2-тунели через mpls тоже можно нормально резервировать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 4 сентября, 2012 · Жалоба да, mpls это добро, согласен. Но сейчас не об том речь... Я тут внезапно осознал, что и l2-connected мне не поможет! For Layer 2-connected IP subscribers, both the subscriber MAC address (unique within a VLAN) and the IP address, serve as keys for the IP session and are used in the following directions: •In the upstream direction, the VLAN ID and source MAC address of an IP packet are used to identify the IP session. •In the downstream direction, the destination IP address and the VLAN ID of an IP packet are used to identify the IP subscriber context. То есть в случае нескольких IP у клиента на него будет столько же сессий, так как каждая сессия будет идентифицироваться из всего траффика уникальной парой IP/MAC. Правда пытаться авторизоваться в биллинге это все будет одним и тем же circuit-id, если разрешить мультилогин, то все IP получат доступ, только вот у каждого IP будет ВСЯ тарифная скорость. Что же делать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shellsmith Опубликовано 5 сентября, 2012 · Жалоба Мне пресэйлы ненавязчиво предлагали пересмотреть модель предоставления услуги =) Сложилось впечатление, что производители брасов этот наш IPoE вообще как-то недолюбливают и пилят в последнюю очередь =) То ли дело старые добрые pppoe/l2tp и т.п. Тестил и внедрял ISG около года назад. С L3 все было грустно - либо вообще только один IP (SE100), либо непрерывная подсеть (Cisco ISG). L2 до BRAS, несмотря на наличие MPLS, не рассматривали - не было ни нужды, ни желания тащить весь трафик клиентов до браса. И с резервированием вопросы все равно будут. В нашем случае у большинства сабскрайберов были небольшие подсети. Внедрили ISG на 7200, закрыв большую часть потребностей. Немногочисленные частные случаи добивали персональными полиси-мапами на точках подключения. Найти более удачное решение не удалось. Надеюсь, вам повезет больше =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...