Jump to content
Калькуляторы

Вопрос по Cisco ISG сервисы, отличающиеся классами

Добрый день.

 

Есть ASR. Пытаюсь завести следующую схему: трафик абонента должен полиситься в зависимости от направления. Для этого создал 2 сервиса в базе радиуса, сразу привожу все строки, относящиеся к делу:

10.10.99.4     Cisco-Account-Info     =     AYANDEX
unlim-5m     Cisco-Service-Info     +=     QU;5120000;768000;768000;D;5120000;768000;768000
unlim-5m     Idle-Timeout     =     160
YANDEX     Cisco-Avpair     +=     ip:traffic-class=out access-group 190 priority 200
YANDEX     Cisco-Avpair     +=     ip:traffic-class=in access-group 190 priority 200
YANDEX     Cisco-Service-Info     +=     QU;52120000;3000000;3000000;D;52120000;3000000;3000000
YANDEX     Cisco-Avpair     +=     subscriber:accounting-list=ISG-AUTH-1
YANDEX     Acct-Interim-Interval     =     120
unlim-5m     Cisco-Avpair     +=     ip:traffic-class=in access-group 191 priority 100
unlim-5m     Cisco-Avpair     +=     ip:traffic-class=out access-group 191 priority 100
YANDEX     Cisco-Avpair     +=     ip:traffic-class=in default drop
YANDEX     Cisco-Avpair     +=     ip:traffic-class=out default drop
unlim-5m     Cisco-Avpair     +=     ip:traffic-class=in default drop
unlim-5m     Cisco-Avpair     +=     ip:traffic-class=out default drop
10.10.99.4     Cisco-Account-Info     +=     Aunlim-5m

Соответствующие access-list:

ASR1002#sh access-l 190
Extended IP access list 190
    10 permit ip any host 87.250.250.117
    20 permit ip any host 213.180.204.117
    30 permit ip host 87.250.250.117 any
    40 permit ip host 213.180.204.117 any
    50 permit ip any host 77.88.19.68
    60 permit ip host 77.88.19.68 any
    100 deny ip any any
ASR1002#sh access-l 191
Extended IP access list 191
    100 permit ip any any

И вывод sh sss ses:

#sh sss ses uid 56 det
Unique Session ID: 56
Identifier: 10.10.99.4
SIP subscriber access type(s): IP
Current SIP options: Req Fwding/Req Fwded
Session Up-time: 00:02:16, Last Changed: 00:02:16

Policy information:
  Context 2C644084: Handle E3000781
  AAA_id 000079A1: Flow_handle 0
  Authentication status: authen
  Downloaded User profile, excluding services:
    ssg-account-info     "AYANDEX"
    ssg-account-info     "Aunlim-5m"
  Downloaded User profile, including services:
    ssg-account-info     "AYANDEX"
    ssg-account-info     "Aunlim-5m"
    idletime             160 (0xA0)
    traffic-class        "in access-group 190 priority 200"
    traffic-class        "out access-group 190 priority 200"
    ssg-service-info     "QU;52120000;3000000;3000000;D;52120000;3000000;3000000"
    accounting-list      "ISG-AUTH-1"
    traffic-class        "in default drop"
    traffic-class        "out default drop"
  Config history for session (recent to oldest):
    Access-type: Web-service-logon Client: SM
     Policy event: Apply Config Success (Service)
      Profile name: YANDEX, 4 references 
        traffic-class        "in access-group 190 priority 200"
        traffic-class        "out access-group 190 priority 200"
        ssg-service-info     "QU;52120000;3000000;3000000;D;52120000;3000000;3000000"
        accounting-list      "ISG-AUTH-1"
        traffic-class        "in default drop"
        traffic-class        "out default drop"
    Access-type: Web-service-logon Client: SM
     Policy event: Apply Config Success (Service)
      Profile name: unlim-5m, 4 references 
        ssg-service-info     "QU;5120000;768000;768000;D;5120000;768000;768000"
        idletime             160 (0xA0)
        traffic-class        "in access-group 191 priority 100"
        traffic-class        "out access-group 191 priority 100"
        traffic-class        "in default drop"
        traffic-class        "out default drop"
    Access-type: IP Client: SM
     Policy event: Service Selection Request
      Profile name: 10.10.99.4, 2 references 
        ssg-account-info     "AYANDEX"
        ssg-account-info     "Aunlim-5m"
  Active services associated with session:
    name "YANDEX"
    name "unlim-5m"
  Rules, actions and conditions executed:
    subscriber rule-map ISG-CUSTOMERS-POLICY
      condition always event session-start
        10 authorize aaa list ISG-AUTH-1 identifier source-ip-address

Session inbound features:
Traffic classes:
  Traffic class session ID: 64
   ACL Name: 191, Packets = 12678, Bytes = 11968005
  Traffic class session ID: 63
   ACL Name: 190, Packets = 0, Bytes = 0
Default traffic is dropped
Unmatched Packets = 0, Re-classified packets (redirected) = 0

Session outbound features:
Traffic classes:
  Traffic class session ID: 64
   ACL Name: 191, Packets = 11791, Bytes = 12379405
  Traffic class session ID: 63
   ACL Name: 190, Packets = 0, Bytes = 0
Default traffic is dropped
Unmatched Packets = 0, Re-classified packets (redirected) = 0

Configuration sources associated with this session:
Service: YANDEX, Active Time = 00:02:16
  AAA Service ID = 234881063
Service: unlim-5m, Active Time = 00:02:16
Interface: GigabitEthernet0/0/2.11, Active Time = 00:02:16

Почему то трафик от/до acl 190 полисится как в сервисе unlim-5m. Понимаю, что потому что этот трафик почему то не считается в своем классе, т.к. соответствующие счетчики в последних строках sh sss ses не увеличиваются. Подскажите, пожалуйста, что делаю не так?

 

Share this post


Link to post
Share on other sites

Матчится первый подходящий класс.

Попробуйте сервисы раздать в другом порядке.

 

10.10.99.4 Cisco-Account-Info = Aunlim-5m

10.10.99.4 Cisco-Account-Info += AYANDEX

Edited by Дегтярев Илья

Share this post


Link to post
Share on other sites

Пробовал менять и порядок сервисов для юзера и priority в traffic-class. Все равно весь трафик матчится в сервис unlim-5m и соответственно полисится. Priority по идее должен же устанавливать приоритет классов, если они пересекаются, верно? Если да, то почему то этого не происходит. Пробовал оставлять только сервис YANDEX - все ок: трафик идет только до узлов указанных в 190 acl и полисится согласно сервису YANDEX. Есть еще предположения?

Share this post


Link to post
Share on other sites

чем меньше значение priority тем трафик класс приоритетнее

у вас яндекс считается менее приоритетным чем анлим-5 а так в acl 191 указаны все направления то траф только в него и попадает

Share this post


Link to post
Share on other sites
чем меньше значение priority тем трафик класс приоритетнее

у вас яндекс считается менее приоритетным чем анлим-5 а так в acl 191 указаны все направления то траф только в него и попадает

Как я уже писал в предыдущем сообщении, ставил приоритет для трафик-класса YANDEX ниже, чем для unlim-5m. Результат неизменный.

clear sss ses all делал конечно же.

 

Share this post


Link to post
Share on other sites

да вы хоть 20 раз сессию почистите - если профиль уже залит на циску - сбросить его можно только ребутом

ставьте на яндекс приоритет меньше и ребутайте циску

Share this post


Link to post
Share on other sites

Спасибо. Помогло. Думал что как то можно по другому почистить кеш сервиса.

Share this post


Link to post
Share on other sites
Спасибо. Помогло. Думал что как то можно по другому почистить кеш сервиса.

наливай!

Share this post


Link to post
Share on other sites

Все же странно, зачем тогда каждый раз циска с радиуса загружает эти профили, когда клиент авторизуется.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this