John_obn Опубликовано 14 января, 2011 · Жалоба Добрый день. Есть ASR. Пытаюсь завести следующую схему: трафик абонента должен полиситься в зависимости от направления. Для этого создал 2 сервиса в базе радиуса, сразу привожу все строки, относящиеся к делу: 10.10.99.4 Cisco-Account-Info = AYANDEX unlim-5m Cisco-Service-Info += QU;5120000;768000;768000;D;5120000;768000;768000 unlim-5m Idle-Timeout = 160 YANDEX Cisco-Avpair += ip:traffic-class=out access-group 190 priority 200 YANDEX Cisco-Avpair += ip:traffic-class=in access-group 190 priority 200 YANDEX Cisco-Service-Info += QU;52120000;3000000;3000000;D;52120000;3000000;3000000 YANDEX Cisco-Avpair += subscriber:accounting-list=ISG-AUTH-1 YANDEX Acct-Interim-Interval = 120 unlim-5m Cisco-Avpair += ip:traffic-class=in access-group 191 priority 100 unlim-5m Cisco-Avpair += ip:traffic-class=out access-group 191 priority 100 YANDEX Cisco-Avpair += ip:traffic-class=in default drop YANDEX Cisco-Avpair += ip:traffic-class=out default drop unlim-5m Cisco-Avpair += ip:traffic-class=in default drop unlim-5m Cisco-Avpair += ip:traffic-class=out default drop 10.10.99.4 Cisco-Account-Info += Aunlim-5m Соответствующие access-list: ASR1002#sh access-l 190 Extended IP access list 190 10 permit ip any host 87.250.250.117 20 permit ip any host 213.180.204.117 30 permit ip host 87.250.250.117 any 40 permit ip host 213.180.204.117 any 50 permit ip any host 77.88.19.68 60 permit ip host 77.88.19.68 any 100 deny ip any any ASR1002#sh access-l 191 Extended IP access list 191 100 permit ip any any И вывод sh sss ses: #sh sss ses uid 56 det Unique Session ID: 56 Identifier: 10.10.99.4 SIP subscriber access type(s): IP Current SIP options: Req Fwding/Req Fwded Session Up-time: 00:02:16, Last Changed: 00:02:16 Policy information: Context 2C644084: Handle E3000781 AAA_id 000079A1: Flow_handle 0 Authentication status: authen Downloaded User profile, excluding services: ssg-account-info "AYANDEX" ssg-account-info "Aunlim-5m" Downloaded User profile, including services: ssg-account-info "AYANDEX" ssg-account-info "Aunlim-5m" idletime 160 (0xA0) traffic-class "in access-group 190 priority 200" traffic-class "out access-group 190 priority 200" ssg-service-info "QU;52120000;3000000;3000000;D;52120000;3000000;3000000" accounting-list "ISG-AUTH-1" traffic-class "in default drop" traffic-class "out default drop" Config history for session (recent to oldest): Access-type: Web-service-logon Client: SM Policy event: Apply Config Success (Service) Profile name: YANDEX, 4 references traffic-class "in access-group 190 priority 200" traffic-class "out access-group 190 priority 200" ssg-service-info "QU;52120000;3000000;3000000;D;52120000;3000000;3000000" accounting-list "ISG-AUTH-1" traffic-class "in default drop" traffic-class "out default drop" Access-type: Web-service-logon Client: SM Policy event: Apply Config Success (Service) Profile name: unlim-5m, 4 references ssg-service-info "QU;5120000;768000;768000;D;5120000;768000;768000" idletime 160 (0xA0) traffic-class "in access-group 191 priority 100" traffic-class "out access-group 191 priority 100" traffic-class "in default drop" traffic-class "out default drop" Access-type: IP Client: SM Policy event: Service Selection Request Profile name: 10.10.99.4, 2 references ssg-account-info "AYANDEX" ssg-account-info "Aunlim-5m" Active services associated with session: name "YANDEX" name "unlim-5m" Rules, actions and conditions executed: subscriber rule-map ISG-CUSTOMERS-POLICY condition always event session-start 10 authorize aaa list ISG-AUTH-1 identifier source-ip-address Session inbound features: Traffic classes: Traffic class session ID: 64 ACL Name: 191, Packets = 12678, Bytes = 11968005 Traffic class session ID: 63 ACL Name: 190, Packets = 0, Bytes = 0 Default traffic is dropped Unmatched Packets = 0, Re-classified packets (redirected) = 0 Session outbound features: Traffic classes: Traffic class session ID: 64 ACL Name: 191, Packets = 11791, Bytes = 12379405 Traffic class session ID: 63 ACL Name: 190, Packets = 0, Bytes = 0 Default traffic is dropped Unmatched Packets = 0, Re-classified packets (redirected) = 0 Configuration sources associated with this session: Service: YANDEX, Active Time = 00:02:16 AAA Service ID = 234881063 Service: unlim-5m, Active Time = 00:02:16 Interface: GigabitEthernet0/0/2.11, Active Time = 00:02:16 Почему то трафик от/до acl 190 полисится как в сервисе unlim-5m. Понимаю, что потому что этот трафик почему то не считается в своем классе, т.к. соответствующие счетчики в последних строках sh sss ses не увеличиваются. Подскажите, пожалуйста, что делаю не так? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 14 января, 2011 (изменено) · Жалоба Матчится первый подходящий класс. Попробуйте сервисы раздать в другом порядке. 10.10.99.4 Cisco-Account-Info = Aunlim-5m 10.10.99.4 Cisco-Account-Info += AYANDEX Изменено 14 января, 2011 пользователем Дегтярев Илья Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
John_obn Опубликовано 14 января, 2011 · Жалоба Пробовал менять и порядок сервисов для юзера и priority в traffic-class. Все равно весь трафик матчится в сервис unlim-5m и соответственно полисится. Priority по идее должен же устанавливать приоритет классов, если они пересекаются, верно? Если да, то почему то этого не происходит. Пробовал оставлять только сервис YANDEX - все ок: трафик идет только до узлов указанных в 190 acl и полисится согласно сервису YANDEX. Есть еще предположения? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 14 января, 2011 · Жалоба чем меньше значение priority тем трафик класс приоритетнее у вас яндекс считается менее приоритетным чем анлим-5 а так в acl 191 указаны все направления то траф только в него и попадает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
John_obn Опубликовано 14 января, 2011 · Жалоба чем меньше значение priority тем трафик класс приоритетнееу вас яндекс считается менее приоритетным чем анлим-5 а так в acl 191 указаны все направления то траф только в него и попадает Как я уже писал в предыдущем сообщении, ставил приоритет для трафик-класса YANDEX ниже, чем для unlim-5m. Результат неизменный.clear sss ses all делал конечно же. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 14 января, 2011 · Жалоба да вы хоть 20 раз сессию почистите - если профиль уже залит на циску - сбросить его можно только ребутом ставьте на яндекс приоритет меньше и ребутайте циску Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
John_obn Опубликовано 14 января, 2011 · Жалоба Спасибо. Помогло. Думал что как то можно по другому почистить кеш сервиса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 14 января, 2011 · Жалоба Спасибо. Помогло. Думал что как то можно по другому почистить кеш сервиса. наливай! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
John_obn Опубликовано 14 января, 2011 · Жалоба Все же странно, зачем тогда каждый раз циска с радиуса загружает эти профили, когда клиент авторизуется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...