Macro Posted April 22, 2011 Posted April 22, 2011 На Cisco 7206 работает ISG, в частности L4 redirect. Сервис скачивается с радиус сервера в виде: Cisco-AVpair += ip:l4redirect=redirect list 180 to group WIFI-PORTAL 180 аксесс лист - это список исключенных ИП адресов из редиректа. Router#sh access-lists 180 Extended IP access list 180 10 deny ip any host 10.220.51.1 20 deny ip any host xx.xxx.21.153 30 deny ip any host xx.xx.21.149 40 deny ip any host xx.xx.21.148 50 deny ip any host xx.xx.21.52 60 deny ip any host 192.168.1.2 70 deny ip any host xx.xx.21.170 80 permit tcp any any eq www 90 permit tcp any any eq 443 100 permit tcp any any eq 9999 Группы редирект: redirect server-group WIFI-PORTAL server ip xx.xx.21.170 При переходе на Cisco ASR 1002 с IOS XE на борту, не работает редирект. Синтаксис неправильный, из мануала вычитал что ISG на IOS XE не поддерживает access-list в l4 redirect. http://www.cisco.com/en/US/docs/ios-xml/ios/isg/configuration/xe-3s/Redirecting_Subscriber_Traffic_U sing_ISG_Layer_4_Redirect.html#GUID-9A9C64DA-6F6C-471E-8CB1-126F8AD69BEF In Cisco IOS XE software, access lists cannot be configured as match criteria in an ISG Layer 4 redirect configuration. As an alternative, Layer 4 redirect should be configured in ISG traffic class services. И вопрос, как я могу исключить ИП адреса из л4 редиректа? Вставить ник Quote
Nallika Posted April 22, 2011 Posted April 22, 2011 Как было сказано в теме http://forum.nag.ru/forum/index.php?showtopic=66040&view=findpost&p=608114 проблема решается с помощью ISG traffic class services. Для того чтобы реализовать этот способ, вам нужно сервис редиректа локально и с помощью аксес листов пускать требующий редиректа трафик в отдельный класс. Например можно сделать вот так: class-map type traffic match-any LK match access-group input 111 policy-map type service LK_REDIRECT service local class type traffic LK redirect to group WIFI-PORTAL ! ! policy-map type control PPPoE class type control always event session-start 10 service-policy type service name LK_REDIRECT В 111 аксес листе указываете адреса, которые нужно исключить из редиректа: Extended IP access list 111 10 deny tcp 10.250.0.0 0.0.255.255 host IP_ADDRESS eq www ... 60 permit ip 10.250.0.0 0.0.255.255 any где 10.250.0.0 - подсеть, в которой находятся клиенты, трафик которых подлежит редиректу. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.