tsolodov Опубликовано 21 февраля, 2011 (изменено) · Жалоба Всем привет. Кто знает как на всей сессии у определенного пользователя выставить определенное значение dscp у пакета? interface GigabitEthernet0/0/0.283 description pogran-2-oka-1-vlan283 encapsulation dot1Q 283 ip vrf forwarding ISG ip address 10.0.2.66 255.255.255.224 cdp enable service-policy type control S1 ip subscriber routed initiator unclassified ip-address end вот профиль пользователя: Cisco-Account-Info += "AWORLD-102400-102400" Cisco-Account-Info += "AIX-61440-61440" Вот что пытался сделать: policy-map SNAT1 class class-default set dscp 11 policy-map type service SNAT service-policy input SNAT1 service-policy output SNAT1 К пользователю профайл прикреплял, но когда прошелся tcpdump'ом, то увидел что dscp 0 у всех пакетов. Изменено 21 февраля, 2011 пользователем tsolodov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tsolodov Опубликовано 21 февраля, 2011 · Жалоба ISG#sh sss session uid 16 detailed Unique Session ID: 16 Identifier: 10.91.0.101 SIP subscriber access type(s): IP Current SIP options: Req Fwding/Req Fwded Session Up-time: 00:00:42, Last Changed: 00:00:42 Policy information: Context 3C7AED70: Handle A8000024 AAA_id 00000013: Flow_handle 0 Authentication status: authen Downloaded User profile, including services: username "SNAT" sub-policy-In "SNAT1" sub-policy-Out "SNAT1" ssg-service-info "QU;62914560;11796480;D;62914560;11796480" traffic-class "in access-group name IX-TO priority 7" traffic-class "out access-group name IX-FROM priority 7" Config history for session (recent to oldest): Access-type: Web-service-logon Client: SM Policy event: Apply Config Success (Service) Profile name: IX-61440-61440, 4 references ssg-service-info "QU;62914560;11796480;D;62914560;11796480" traffic-class "in access-group name IX-TO priority 7" traffic-class "out access-group name IX-FROM priority 7" Access-type: Web-service-logon Client: SM Policy event: Apply Config Success (Service) Profile name: WORLD-102400-102400, 4 references ssg-service-info "QU;104857600;19660800;D;104857600;19660800" traffic-class "in access-group 101 priority 10" traffic-class "out access-group 101 priority 10" Access-type: Web-service-logon Client: SM Policy event: Apply Config Success (Service) Profile name: SNAT, 4 references password <hidden> username "SNAT" sub-policy-In "SNAT1" sub-policy-Out "SNAT1" Access-type: IP Client: SM Policy event: Service Selection Request Profile name: 10.91.0.101, 2 references Active services associated with session: name "IX-61440-61440" name "WORLD-102400-102400" name "SNAT" Rules, actions and conditions executed: subscriber rule-map S1 condition always event session-start 10 authorize aaa list ISG-AUTH identifier source-ip-address Session inbound features: Feature: QoS Policy Map Input Policy Map: SNAT1 Traffic classes: Traffic class session ID: 17 ACL Name: 101, Packets = 0, Bytes = 0 Traffic class session ID: 18 ACL Name: IX-TO, Packets = 0, Bytes = 0 Unmatched Packets = 0, Re-classified packets (redirected) = 0 Session outbound features: Feature: QoS Policy Map Output Policy Map: SNAT1 Traffic classes: Traffic class session ID: 17 ACL Name: 101, Packets = 0, Bytes = 0 Traffic class session ID: 18 ACL Name: IX-FROM, Packets = 0, Bytes = 0 Unmatched Packets = 0, Re-classified packets (redirected) = 0 Configuration sources associated with this session: Service: IX-61440-61440, Active Time = 00:00:42 Service: WORLD-102400-102400, Active Time = 00:00:42 Service: SNAT, Active Time = 00:00:42 Interface: GigabitEthernet0/0/0.283, Active Time = 00:00:42 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zander Опубликовано 21 февраля, 2011 · Жалоба А коммутатор не обнуляет ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tsolodov Опубликовано 21 февраля, 2011 · Жалоба Правильный вопрос)))) Поставил mls qos trust dscp на коммутаторе к которому подключен ASR. не помогло, понится мне что на 7604 нужно было делать dscp rewrite enable, на ASR 1002 возможно эту штуку тоже включать нужно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zander Опубликовано 21 февраля, 2011 (изменено) · Жалоба trust dscp на транковом порту думаю не будет работать... А что за коммутатор ? UPD: http://www.securitylab.ru/forum/forum24/topic28205/ не ? Изменено 21 февраля, 2011 пользователем zander Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tsolodov Опубликовано 22 февраля, 2011 (изменено) · Жалоба trust dscp на транковом порту думаю не будет работать... А что за коммутатор ? UPD: http://www.securitylab.ru/forum/forum24/topic28205/ не ? не совсем коммутатор) MLR Cisco 7604 схема client------------ASR1002----------Cisco 7604-----------PC Linux(на нем запускаю tcpdump)-------INET На самом деле траффик из вне размечается и приходит к клиенту с dscp, а я хочу чтобы трафик от клиента в внешний мир размечался тоже, но не выходит пока( Изменено 22 февраля, 2011 пользователем tsolodov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 22 февраля, 2011 · Жалоба А навешивать сервисполиси не через сервис, а на саму сессию не пробовали? Через Cisco-AV-Pair = "ip:sub-qos-policy-in=SNAT1" Cisco-AV-Pair = "ip:sub-qos-policy-out=SNAT1" при авторизации сессии. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tsolodov Опубликовано 22 февраля, 2011 · Жалоба А навешивать сервисполиси не через сервис, а на саму сессию не пробовали?Через Cisco-AV-Pair = "ip:sub-qos-policy-in=SNAT1" Cisco-AV-Pair = "ip:sub-qos-policy-out=SNAT1" при авторизации сессии. Note Actual MQC policy must be predefined on the ISG. Only Supported for PPP session. У меня IPoE Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tsolodov Опубликовано 22 февраля, 2011 · Жалоба interface GigabitEthernet0/0/0.283 description pogran-2-oka-1-vlan283 encapsulation dot1Q 283 ip vrf forwarding ISG ip address 10.0.2.66 255.255.255.224 cdp enable service-policy input SNAT1 service-policy output SNAT1 ip subscriber routed Сделал так(убрал service-policy type control S1), не работает. т.е. на ASR 1002 не ставится срабатывает ploicy-map на интерфейсе. Никак не пойму где затык. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zander Опубликовано 22 февраля, 2011 · Жалоба А порт, в который воткнут tcpdump не сбрасывает DSCP ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tsolodov Опубликовано 22 февраля, 2011 · Жалоба А порт, в который воткнут tcpdump не сбрасывает DSCP ? Нет 100%, т.к. через этот порт, только по разным vlan идет трафик в разные стороны, с одной стороны траффик из вне идет с dscp 1, он не затирается и доходит до клиента. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 22 февраля, 2011 · Жалоба А навешивать сервисполиси не через сервис, а на саму сессию не пробовали?Через Cisco-AV-Pair = "ip:sub-qos-policy-in=SNAT1" Cisco-AV-Pair = "ip:sub-qos-policy-out=SNAT1" при авторизации сессии. Note Actual MQC policy must be predefined on the ISG. Only Supported for PPP session. У меня IPoE Вы попробуйте. Если речь про ASR, то в 2.2 там появились усовершенствования на эту тему. Я специально выяснял это, когда бодался с cisco по одному SR открытому насчет IP сессий. Вот что мне ответили: Finally, if a QoS policy is configured right under the interface andthen the RADIUS server tells to use another policy, then the QoS policy imposed by the RADIUS server overrides the static configuration. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tsolodov Опубликовано 22 февраля, 2011 · Жалоба Полиси мап привесилась, но dscp так и не меняется((( ISG#show sss session uid 7 detailed Unique Session ID: 7 Identifier: 10.91.0.101 SIP subscriber access type(s): IP Current SIP options: Req Fwding/Req Fwded Session Up-time: 00:58:17, Last Changed: 00:58:17 Policy information: Context 2C0FA170: Handle F000000F AAA_id 00000010: Flow_handle 0 Authentication status: authen Downloaded User profile, excluding services: sub-qos-policy-in "SNAT1" sub-qos-policy-out "SNAT1" Downloaded User profile, including services: sub-qos-policy-in "SNAT1" sub-qos-policy-out "SNAT1" Config history for session (recent to oldest): Access-type: Web-service-logon Client: SM Policy event: Apply Config Success (Unapplied) (Service) Profile name: IX-61440-61440, 3 references ssg-service-info "QU;62914560;11796480;D;62914560;11796480" traffic-class "in access-group name IX-TO priority 7" traffic-class "out access-group name IX-FROM priority 7" Access-type: Web-service-logon Client: SM Policy event: Apply Config Success (Unapplied) (Service) Profile name: WORLD-102400-102400, 3 references ssg-service-info "QU;104857600;19660800;D;104857600;19660800" traffic-class "in access-group 101 priority 10" traffic-class "out access-group 101 priority 10" Access-type: Web-service-logon Client: SM Policy event: Apply Config Success (Service) Profile name: IX-61440-61440, 3 references ssg-service-info "QU;62914560;11796480;D;62914560;11796480" traffic-class "in access-group name IX-TO priority 7" traffic-class "out access-group name IX-FROM priority 7" Access-type: Web-service-logon Client: SM Policy event: Apply Config Success (Service) Profile name: WORLD-102400-102400, 3 references ssg-service-info "QU;104857600;19660800;D;104857600;19660800" traffic-class "in access-group 101 priority 10" traffic-class "out access-group 101 priority 10" Access-type: IP Client: SM Policy event: Service Selection Request Profile name: 10.91.0.101, 2 references sub-qos-policy-in "SNAT1" sub-qos-policy-out "SNAT1" Rules, actions and conditions executed: subscriber rule-map S1 condition always event session-start 10 authorize aaa list ISG-AUTH identifier source-ip-address Session inbound features: Feature: QoS Policy Map Input Policy Map: SNAT1 Session outbound features: Feature: QoS Policy Map Output Policy Map: SNAT1 Configuration sources associated with this session: Interface: GigabitEthernet0/0/0.283, Active Time = 00:58:17 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zander Опубликовано 22 февраля, 2011 · Жалоба А если послушать прямо с маршрутизатора, без коммутатора ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tsolodov Опубликовано 22 февраля, 2011 · Жалоба Сделаю позже, отпишу, а то пока работы наволилось много))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Oleg Gawriloff Опубликовано 19 июля, 2011 · Жалоба Заработало по итогу? И такой вопрос: а как вы генерируете ACLи IX-TO/IX-FROM? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 20 июля, 2011 (изменено) · Жалоба На 76* циске c 720-3B, помню, не получалось менять параметры COS при приеме пакета - только на отправке. Может быть тут тот же случай? Не умеет циска менять DSCP для входящего трафика? Или надо какую-то опцию включить? Изменено 20 июля, 2011 пользователем Tosha Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 21 июля, 2011 · Жалоба А навешивать сервисполиси не через сервис, а на саму сессию не пробовали?Через Cisco-AV-Pair = "ip:sub-qos-policy-in=SNAT1" Cisco-AV-Pair = "ip:sub-qos-policy-out=SNAT1" при авторизации сессии. Note Actual MQC policy must be predefined on the ISG. Only Supported for PPP session. У меня IPoE У меня с траффик классами на IPoE тоже не получилось. Понял, что смысл пробовать есть только через MQC, который для провайдера как зайцу пятая нога. И вообще, тут засада, там засада, просто трындец. Наг ведь не спроста взялся за редбек, у него есть конкурентные преимущества, а у циски они остались только в сегменте бордеров. Даже как агрегаторы уже не везде пролазят, т.к. MPLS TE и прочее в плачевном состоянии. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 25 октября, 2019 · Жалоба Подниму старую тему. Есть asr1001x-universalk9.03.16.05.S.155-3.S5-ext.SPA.bin. Задача через Radius вместе с сервисом отдавать также его параметры DSCP для определенной полосы пропускания. Т.е. на маршрутизаторе ручками я могу сделать так: policy-map 50m class class-default police cir 51200000 conform-action set-dscp-transmit af11 exceed-action set-dscp-transmit default violate-action set-dscp-transmit default policy-map type service 50m service-policy input 50m service-policy output 50m Вопрос, могу ли как это это делать через Радиус, ну что бы не плодить это все на роутере для каждого тарифа? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 8 ноября, 2019 · Жалоба В общем, попробовал собрать на тестовом стенде. Сервис применяется: SERVICE-TEST Auth-Type := Accept User-Password == "cisco", Cisco-AVPair += "ip:sub-qos-policy-in=isgPolicy", Cisco-AVPair += "ip:sub-qos-policy-out=isgPolicy", Cisco-AVPair += "ip:qos-policy-in=add-class(sub, (class-default), police(15000000,0,0,transmit,drop,drop))", Cisco-AVPair += "ip:qos-policy-out=add-class(sub, (class-default), police(15000000,0,0,transmit,drop,drop))", Idle-Timeout = "600" Но если в в полиси вместо transmit поставить set-ip-dscp(10), то ругается на wrong action. Никто не знает как это победить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...