Cisco ISG и привязка сервисов

[Minotaur]

Приветствую!

 

На Cisco ISG хочу описать сервисы локально, а не отдавать их через Radius. Возникла проблема с привязыванием этих сервисов к сессии.

Сервис описываю примерно так:

class-map type traffic match-any cmt-Any-Traffic
match access-group output name acl-Any
match access-group input name acl-Any
!
policy-map type service pms-1M
class type traffic cmt-Any-Traffic
  police input 1000000 187500 375000
  police output 1000000 187500 375000
!
!
ip access-list extended acl-Any
permit ip any any

 

Policy для подписчика определено следующим образом:

policy-map type control DHCP-Subscriber
class type control always event session-start
  10 authorize aaa list DHCP-BRAS identifier remote-id plus circuit-id plus mac-address separator #
  20 service disconnect
!
class type control always event session-restart
  10 authorize aaa list DHCP-BRAS identifier remote-id plus circuit-id plus mac-address separator #
!

 

И вот тут начинается самое интересное. В доке http://www.cisco.com/en/US/docs/ios/isg/co....html#wp1055049 написано, какой именно Radius-атрибут нужно отдать в сторону Cisco, чтобы привязка произошла. Отдаю его, как написано:

Sending Access-Accept of id 214 to 178.214.192.68 port 1645
        Cisco-AVPair = "subscriber:keepalive=protocol ARP"
        Cisco-Service-Info = "Apms-1M"
        Service-Type = Framed-User

Но ISG упорно не привязывает его:

bras1-gdr.ki#show sss session detailed
[...]
  Config history for session (recent to oldest):
    Access-type: IP Client: DHCP
     Policy event: Session-Update
      Profile name: apply-config-only, 2 references
        clid-mac-addr        00 1D 60 B7 9C 00
        addr                 178.214.200.1
        netmask              255.255.255.255
        config-source-dpm    True
        remote-id-tag        "000600226b2a8d52"
        circuit-id-tag       "00040021010e"
    Access-type: IP Client: SM
     Policy event: Service Selection Request
      Profile name: 000600226b2a8d52#00040021010e#001d.60b7.9c00, 2 references
        keepalive            "protocol ARP"
        ssg-service-info     "Apms-1M"
        service-type         2 [Framed]
  Rules, actions and conditions executed:
    subscriber rule-map DHCP-Subscriber
      condition always event session-restart
        10 authorize aaa list DHCP-BRAS identifier remote-id#circuit-id#mac-address

Session inbound features:

Feature: subscriber session keepalive
   configuration source: Per-user
   Idle period 10 sec, Attempts 5, Interval 1 sec
   Request/Response protocol ARP
   Directly connnected subscriber, IP: 178.214.200.1 MAC: 001d.60b7.9c00
   Subscriber access interface: GigabitEthernet0/2.33
Configuration sources associated with this session:
Interface: GigabitEthernet0/2.33, Active Time = 00:17:02

 

Как видно, в выводе намека на Feature: policing нету вообще.

Включал дебаг sss session, sss feature name policing - пока разумного объяснения не нашел.

Платформа - 7206 NPE-G2, IOS: Version 12.2(33)SRD3.

 

Кто-то сталкивался? Помогите советом пожалуйста! Спасибо.

[tsolodov]

Покажи что в aaa authorization subscriber-service

[vovan-pmr]

да, наверно проблемка в этом. должно быть:

aaa authorization subscriber-service default local group Radius

[Minotaur]

Покажи что в aaa authorization subscriber-service

Есть строка

aaa authorization subscriber-service default group ISG-RADIUS

Но на радиус-сервере я не вижу попытки авторизации.

[Minotaur]

Да, и к тому же, я так думаю, что сервис не должен проходить авторизацию, если это не описано в policy-map?

Допустим, что у меня радиус всегда отдает правильный сервис, и мне не нужно его дополнительно авторизировать.

[Minotaur]

Спасибо, коллеги. Разобрался. Все-таки нужно с радиуса отдавать не Cisco-Service-Info, а Cisco-Account-Info.

Все заработало.