Minotaur Опубликовано 19 февраля, 2011 · Жалоба Приветствую! На Cisco ISG хочу описать сервисы локально, а не отдавать их через Radius. Возникла проблема с привязыванием этих сервисов к сессии. Сервис описываю примерно так: class-map type traffic match-any cmt-Any-Traffic match access-group output name acl-Any match access-group input name acl-Any ! policy-map type service pms-1M class type traffic cmt-Any-Traffic police input 1000000 187500 375000 police output 1000000 187500 375000 ! ! ip access-list extended acl-Any permit ip any any Policy для подписчика определено следующим образом: policy-map type control DHCP-Subscriber class type control always event session-start 10 authorize aaa list DHCP-BRAS identifier remote-id plus circuit-id plus mac-address separator # 20 service disconnect ! class type control always event session-restart 10 authorize aaa list DHCP-BRAS identifier remote-id plus circuit-id plus mac-address separator # ! И вот тут начинается самое интересное. В доке http://www.cisco.com/en/US/docs/ios/isg/co....html#wp1055049 написано, какой именно Radius-атрибут нужно отдать в сторону Cisco, чтобы привязка произошла. Отдаю его, как написано: Sending Access-Accept of id 214 to 178.214.192.68 port 1645 Cisco-AVPair = "subscriber:keepalive=protocol ARP" Cisco-Service-Info = "Apms-1M" Service-Type = Framed-User Но ISG упорно не привязывает его: bras1-gdr.ki#show sss session detailed [...] Config history for session (recent to oldest): Access-type: IP Client: DHCP Policy event: Session-Update Profile name: apply-config-only, 2 references clid-mac-addr 00 1D 60 B7 9C 00 addr 178.214.200.1 netmask 255.255.255.255 config-source-dpm True remote-id-tag "000600226b2a8d52" circuit-id-tag "00040021010e" Access-type: IP Client: SM Policy event: Service Selection Request Profile name: 000600226b2a8d52#00040021010e#001d.60b7.9c00, 2 references keepalive "protocol ARP" ssg-service-info "Apms-1M" service-type 2 [Framed] Rules, actions and conditions executed: subscriber rule-map DHCP-Subscriber condition always event session-restart 10 authorize aaa list DHCP-BRAS identifier remote-id#circuit-id#mac-address Session inbound features: Feature: subscriber session keepalive configuration source: Per-user Idle period 10 sec, Attempts 5, Interval 1 sec Request/Response protocol ARP Directly connnected subscriber, IP: 178.214.200.1 MAC: 001d.60b7.9c00 Subscriber access interface: GigabitEthernet0/2.33 Configuration sources associated with this session: Interface: GigabitEthernet0/2.33, Active Time = 00:17:02 Как видно, в выводе намека на Feature: policing нету вообще. Включал дебаг sss session, sss feature name policing - пока разумного объяснения не нашел. Платформа - 7206 NPE-G2, IOS: Version 12.2(33)SRD3. Кто-то сталкивался? Помогите советом пожалуйста! Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tsolodov Опубликовано 21 февраля, 2011 · Жалоба Покажи что в aaa authorization subscriber-service Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vovan-pmr Опубликовано 21 февраля, 2011 · Жалоба да, наверно проблемка в этом. должно быть: aaa authorization subscriber-service default local group Radius Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Minotaur Опубликовано 21 февраля, 2011 · Жалоба Покажи что в aaa authorization subscriber-serviceЕсть строка aaa authorization subscriber-service default group ISG-RADIUS Но на радиус-сервере я не вижу попытки авторизации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Minotaur Опубликовано 21 февраля, 2011 · Жалоба Да, и к тому же, я так думаю, что сервис не должен проходить авторизацию, если это не описано в policy-map? Допустим, что у меня радиус всегда отдает правильный сервис, и мне не нужно его дополнительно авторизировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Minotaur Опубликовано 21 февраля, 2011 · Жалоба Спасибо, коллеги. Разобрался. Все-таки нужно с радиуса отдавать не Cisco-Service-Info, а Cisco-Account-Info. Все заработало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...