Jump to content
Калькуляторы

ISG l4redirect with ACL on ASR1000

Добрый день,

возникла задача выборочного редиректа запросов пользователей с помощью функционала ISG.

 

На маршрутизаторах серии 7206 задача решается довольно просто через навешивание пользователю сервиса, включающий в себя атрибут:

redirect list 111 to ip WEB_IP_ADDRESS port 80,

где в 111 аксес-листе задаются правила какие запросы клиента редиректить, а какие нет.

 

А вот на ASR1000 такой вариант не подходит, т.к. она не понимает redirect совместно с ACL:

SSS AAA AUTHOR [uid:44]: Subscriber service profile has invalid configuration

 

в случае если передавать атрибут:

redirect to ip WEB_IP_ADDRESS port 80

сервис успешно загружается.

 

В мануалах на cisco.com нет ни слова о том есть ли возможность redirect with acl. Все примеры l4redirect на ASR1000 приводятся без аксес листов.

 

Возможно ли решить эту задачу другим способом?

 

P.S. Тесты проводились на версии IOS XE: 2.4.0, 2.6.0, 2.6.2.

Share this post


Link to post
Share on other sites

На цискокоме висит это ограничение:

In Cisco IOS XE software, access lists cannot be configured as match criteria in an ISG Layer 4 redirect configuration. As an alternative, Layer 4 redirect should be configured in ISG traffic class services.

 

И в нем же подсказано решение - выделить трафик который вы хотите пропустить без редиректа в отдельный класс, а редирект вешать в другой класс.

Share this post


Link to post
Share on other sites

На цискокоме висит это ограничение:

In Cisco IOS XE software, access lists cannot be configured as match criteria in an ISG Layer 4 redirect configuration. As an alternative, Layer 4 redirect should be configured in ISG traffic class services.

 

И в нем же подсказано решение - выделить трафик который вы хотите пропустить без редиректа в отдельный класс, а редирект вешать в другой класс.

 

Спасибо.

 

Но предложенное решение имеет все же ограничение, оно позволяет разделить трафик по классам и в зависимости от них делать редирект. Но не позволяет в рамках одной подсети делать различные редиректы, т.е задача стоит привязывать редиректы не к подсети, а к пользователю. (текущая конфигурация биллинг+радиус не позволяет выдавать разные подсети под различные группы пользователей, но позволяет выдавать разные атрибуты на различные группы пользователей)

Edited by Nallika

Share this post


Link to post
Share on other sites

А что мешает получать с радиуса сервис редиректа для нужных кастомеров, т.е исключить "10 service-policy type service name LK_REDIRECT" из зolicy-map и навесить кому нужно в радиусе Cisco-Account-Info += ALK_REDIRECT ?

Share this post


Link to post
Share on other sites

Были попытки активировать нужному клиенту вложенные серсисы, но получала на ASR:

SSS AAA AUTHOR [uid:7]: Subscriber service profile is is misconfigured with SSG Account-Info attribute (26,9,250); Deleting it.

 

Но избавившись, от вложенности - все заработало как нужно. Спасибо большое за помощь.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this