Перейти к содержимому
Калькуляторы

ISG l4redirect with ACL on ASR1000

Добрый день,

возникла задача выборочного редиректа запросов пользователей с помощью функционала ISG.

 

На маршрутизаторах серии 7206 задача решается довольно просто через навешивание пользователю сервиса, включающий в себя атрибут:

redirect list 111 to ip WEB_IP_ADDRESS port 80,

где в 111 аксес-листе задаются правила какие запросы клиента редиректить, а какие нет.

 

А вот на ASR1000 такой вариант не подходит, т.к. она не понимает redirect совместно с ACL:

SSS AAA AUTHOR [uid:44]: Subscriber service profile has invalid configuration

 

в случае если передавать атрибут:

redirect to ip WEB_IP_ADDRESS port 80

сервис успешно загружается.

 

В мануалах на cisco.com нет ни слова о том есть ли возможность redirect with acl. Все примеры l4redirect на ASR1000 приводятся без аксес листов.

 

Возможно ли решить эту задачу другим способом?

 

P.S. Тесты проводились на версии IOS XE: 2.4.0, 2.6.0, 2.6.2.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На цискокоме висит это ограничение:

In Cisco IOS XE software, access lists cannot be configured as match criteria in an ISG Layer 4 redirect configuration. As an alternative, Layer 4 redirect should be configured in ISG traffic class services.

 

И в нем же подсказано решение - выделить трафик который вы хотите пропустить без редиректа в отдельный класс, а редирект вешать в другой класс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На цискокоме висит это ограничение:

In Cisco IOS XE software, access lists cannot be configured as match criteria in an ISG Layer 4 redirect configuration. As an alternative, Layer 4 redirect should be configured in ISG traffic class services.

 

И в нем же подсказано решение - выделить трафик который вы хотите пропустить без редиректа в отдельный класс, а редирект вешать в другой класс.

 

Спасибо.

 

Но предложенное решение имеет все же ограничение, оно позволяет разделить трафик по классам и в зависимости от них делать редирект. Но не позволяет в рамках одной подсети делать различные редиректы, т.е задача стоит привязывать редиректы не к подсети, а к пользователю. (текущая конфигурация биллинг+радиус не позволяет выдавать разные подсети под различные группы пользователей, но позволяет выдавать разные атрибуты на различные группы пользователей)

Изменено пользователем Nallika

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что мешает получать с радиуса сервис редиректа для нужных кастомеров, т.е исключить "10 service-policy type service name LK_REDIRECT" из зolicy-map и навесить кому нужно в радиусе Cisco-Account-Info += ALK_REDIRECT ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Были попытки активировать нужному клиенту вложенные серсисы, но получала на ASR:

SSS AAA AUTHOR [uid:7]: Subscriber service profile is is misconfigured with SSG Account-Info attribute (26,9,250); Deleting it.

 

Но избавившись, от вложенности - все заработало как нужно. Спасибо большое за помощь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.