Jump to content
Калькуляторы

Cisco ISG и привязка сервисов Как привязать к сессии сервис, описанный локально?

Приветствую!

 

На Cisco ISG хочу описать сервисы локально, а не отдавать их через Radius. Возникла проблема с привязыванием этих сервисов к сессии.

Сервис описываю примерно так:

class-map type traffic match-any cmt-Any-Traffic
match access-group output name acl-Any
match access-group input name acl-Any
!
policy-map type service pms-1M
class type traffic cmt-Any-Traffic
  police input 1000000 187500 375000
  police output 1000000 187500 375000
!
!
ip access-list extended acl-Any
permit ip any any

 

Policy для подписчика определено следующим образом:

policy-map type control DHCP-Subscriber
class type control always event session-start
  10 authorize aaa list DHCP-BRAS identifier remote-id plus circuit-id plus mac-address separator #
  20 service disconnect
!
class type control always event session-restart
  10 authorize aaa list DHCP-BRAS identifier remote-id plus circuit-id plus mac-address separator #
!

 

И вот тут начинается самое интересное. В доке http://www.cisco.com/en/US/docs/ios/isg/co....html#wp1055049 написано, какой именно Radius-атрибут нужно отдать в сторону Cisco, чтобы привязка произошла. Отдаю его, как написано:

Sending Access-Accept of id 214 to 178.214.192.68 port 1645
        Cisco-AVPair = "subscriber:keepalive=protocol ARP"
        Cisco-Service-Info = "Apms-1M"
        Service-Type = Framed-User

Но ISG упорно не привязывает его:

bras1-gdr.ki#show sss session detailed
[...]
  Config history for session (recent to oldest):
    Access-type: IP Client: DHCP
     Policy event: Session-Update
      Profile name: apply-config-only, 2 references
        clid-mac-addr        00 1D 60 B7 9C 00
        addr                 178.214.200.1
        netmask              255.255.255.255
        config-source-dpm    True
        remote-id-tag        "000600226b2a8d52"
        circuit-id-tag       "00040021010e"
    Access-type: IP Client: SM
     Policy event: Service Selection Request
      Profile name: 000600226b2a8d52#00040021010e#001d.60b7.9c00, 2 references
        keepalive            "protocol ARP"
        ssg-service-info     "Apms-1M"
        service-type         2 [Framed]
  Rules, actions and conditions executed:
    subscriber rule-map DHCP-Subscriber
      condition always event session-restart
        10 authorize aaa list DHCP-BRAS identifier remote-id#circuit-id#mac-address

Session inbound features:

Feature: subscriber session keepalive
   configuration source: Per-user
   Idle period 10 sec, Attempts 5, Interval 1 sec
   Request/Response protocol ARP
   Directly connnected subscriber, IP: 178.214.200.1 MAC: 001d.60b7.9c00
   Subscriber access interface: GigabitEthernet0/2.33
Configuration sources associated with this session:
Interface: GigabitEthernet0/2.33, Active Time = 00:17:02

 

Как видно, в выводе намека на Feature: policing нету вообще.

Включал дебаг sss session, sss feature name policing - пока разумного объяснения не нашел.

Платформа - 7206 NPE-G2, IOS: Version 12.2(33)SRD3.

 

Кто-то сталкивался? Помогите советом пожалуйста! Спасибо.

Share this post


Link to post
Share on other sites

да, наверно проблемка в этом. должно быть:

aaa authorization subscriber-service default local group Radius

Share this post


Link to post
Share on other sites
Покажи что в aaa authorization subscriber-service
Есть строка

aaa authorization subscriber-service default group ISG-RADIUS

Но на радиус-сервере я не вижу попытки авторизации.

Share this post


Link to post
Share on other sites

Да, и к тому же, я так думаю, что сервис не должен проходить авторизацию, если это не описано в policy-map?

Допустим, что у меня радиус всегда отдает правильный сервис, и мне не нужно его дополнительно авторизировать.

Share this post


Link to post
Share on other sites

Спасибо, коллеги. Разобрался. Все-таки нужно с радиуса отдавать не Cisco-Service-Info, а Cisco-Account-Info.

Все заработало.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this