Jump to content
Калькуляторы

Идентификачия сесси по нескольким IP

Есть следующий конфиг

 class type control always event session-start
  10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address

 

в результате на основании src ip создается сессия.

 

Возможно ли реализовать для нескольких ip одну сессию или объединить несколько сессий? или это возможно если указать в качестве identifier circuit-id

 

Share this post


Link to post
Share on other sites
Есть следующий конфиг

 class type control always event session-start
  10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address

 

в результате на основании src ip создается сессия.

 

Возможно ли реализовать для нескольких ip одну сессию или объединить несколько сессий? или это возможно если указать в качестве identifier circuit-id

Если эти ип можно обьединить в общую подсеть - можно отдать при авторизации в ответе радиуса атрибут Framed-IP-Netmask и тогда первый авторизовавшийся ип позволит выпустить всю эту подсеть. Здесь на форумах уже обсуждалось вроде.

Share this post


Link to post
Share on other sites

Хочу поднять тему - очень похожая ситуация у меня:

Клиенты подключены по схеме vlan-per-port с IP-unnumbered и DHCP релеем (+opt82) на ISG роутер. На ISG роутер клиенты приходят на:

ip subscriber routed
initiator dhcp

аутентификация идет по opt-82:

policy-map type control IPoE
class type control always event session-start
 1 authorize aaa list IPoE-AAA password ISG identifier remote-id plus circuit-id 

 

Проблема в том, что у каждого клиента может быть подключено до 5 устройств и всем надо дать внешний динамический IP.

С аутентификацией проблем нет - порт все тот же. Но как быть с сессиями - как сделать, чтобы была одна сессия для группы адресов, которые не группируются в один subnet?

 

Наверное можно оставить много сессий для одного клиента и включить мультилогин в биллинге, но что-то подсказывает что это не лучшее решение...

Edited by survivor

Share this post


Link to post
Share on other sites

Главное чтобы скорость выдавало на группу а не на каждый в отдельности.

Share this post


Link to post
Share on other sites

Главное чтобы скорость выдавало на группу а не на каждый в отдельности.

 

Действительно, об этом я и забыл - но ведь скорость навешивается на сессию, значит в случае мультилогина каждый IP будет иметь всю скорость тарифа!

Share this post


Link to post
Share on other sites

Зависит от того как оно шейпит.

Если на л2 на интерфейсе то может и общая скорость на все ип адреса будет.

Share this post


Link to post
Share on other sites

Зависит от того как оно шейпит.

Если на л2 на интерфейсе то может и общая скорость на все ип адреса будет.

 

ну это-то да. Но не мой случай. У меня клиенты на L3 затерминированы на уровне агрегации и на ISG уже приходят все в один интерфейс:

ip subscriber routed
initiator dhcp

Edited by survivor

Share this post


Link to post
Share on other sites

Получается единственный способ дать клиентам на доступе несколько динамических глобальных адресов - подключить их к ISG роутеру по l2-connected, со всеми вытекающими из этого последствиями: хреновой тучей сабинтерфейсов, qiniq до ядра из-за чего проблемы с клиентами у которых одинаковые мак адреса (outer влан то один), чудовищная мак таблица в ядре, бегающие куда не надо броадкасты и не работающий в qinq по inner влану igmp snooping (именно снупинг)... А жаль очень хотелось сделать L3 сеть, с нормальным резервированием по OSPF/EIGRP.

Хотя есть вариант дать клиентам серые адреса, аж /24 на каждого и сделать IP Subnet Session в ISG, но ИМХО серые адреса на доступе - моветон.

Share this post


Link to post
Share on other sites

либо искать реализацию исг где можно на л3 много адресов под один акк сразу

Share this post


Link to post
Share on other sites

либо искать реализацию исг где можно на л3 много адресов под один акк сразу

 

У меня уже есть ASR1002, покупать что-то еще я себе позволить не могу :))

Share this post


Link to post
Share on other sites

тогда пинайте индусов чтобы прошивку допиливали :)

Share this post


Link to post
Share on other sites

Получается единственный способ дать клиентам на доступе несколько динамических глобальных адресов - подключить их к ISG роутеру по l2-connected, со всеми вытекающими из этого последствиями: хреновой тучей сабинтерфейсов, qiniq до ядра из-за чего проблемы с клиентами у которых одинаковые мак адреса (outer влан то один), чудовищная мак таблица в ядре, бегающие куда не надо броадкасты и не работающий в qinq по inner влану igmp snooping (именно снупинг)... А жаль очень хотелось сделать L3 сеть, с нормальным резервированием по OSPF/EIGRP.

 

Т.е. у вас объёмы большие, а сеть до сих пор не MPLS? l2-тунели через mpls тоже можно нормально резервировать

Share this post


Link to post
Share on other sites

да, mpls это добро, согласен. Но сейчас не об том речь...

 

Я тут внезапно осознал, что и l2-connected мне не поможет!

For Layer 2-connected IP subscribers, both the subscriber MAC address (unique within a VLAN) and the IP address, serve as keys for the IP session and are used in the following directions:

 

•In the upstream direction, the VLAN ID and source MAC address of an IP packet are used to identify the IP session.

•In the downstream direction, the destination IP address and the VLAN ID of an IP packet are used to identify the IP subscriber context.

 

То есть в случае нескольких IP у клиента на него будет столько же сессий, так как каждая сессия будет идентифицироваться из всего траффика уникальной парой IP/MAC. Правда пытаться авторизоваться в биллинге это все будет одним и тем же circuit-id, если разрешить мультилогин, то все IP получат доступ, только вот у каждого IP будет ВСЯ тарифная скорость.

 

Что же делать?

Share this post


Link to post
Share on other sites

Мне пресэйлы ненавязчиво предлагали пересмотреть модель предоставления услуги =) Сложилось впечатление, что производители брасов этот наш IPoE вообще как-то недолюбливают и пилят в последнюю очередь =) То ли дело старые добрые pppoe/l2tp и т.п.

 

Тестил и внедрял ISG около года назад. С L3 все было грустно - либо вообще только один IP (SE100), либо непрерывная подсеть (Cisco ISG).

L2 до BRAS, несмотря на наличие MPLS, не рассматривали - не было ни нужды, ни желания тащить весь трафик клиентов до браса. И с резервированием вопросы все равно будут.

 

В нашем случае у большинства сабскрайберов были небольшие подсети. Внедрили ISG на 7200, закрыв большую часть потребностей. Немногочисленные частные случаи добивали персональными полиси-мапами на точках подключения.

Найти более удачное решение не удалось. Надеюсь, вам повезет больше =)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this