Jump to content
Калькуляторы

IOS XE + ISG: L4 redirect Как исключить IP адрес из редиректа?

На Cisco 7206 работает ISG, в частности L4 redirect.

Сервис скачивается с радиус сервера в виде:

 

Cisco-AVpair += ip:l4redirect=redirect list 180 to group WIFI-PORTAL

 

180 аксесс лист - это список исключенных ИП адресов из редиректа.

Router#sh access-lists 180

Extended IP access list 180

10 deny ip any host 10.220.51.1

20 deny ip any host xx.xxx.21.153

30 deny ip any host xx.xx.21.149

40 deny ip any host xx.xx.21.148

50 deny ip any host xx.xx.21.52

60 deny ip any host 192.168.1.2

70 deny ip any host xx.xx.21.170

80 permit tcp any any eq www

90 permit tcp any any eq 443

100 permit tcp any any eq 9999

 

Группы редирект:

redirect server-group WIFI-PORTAL

server ip xx.xx.21.170

 

При переходе на Cisco ASR 1002 с IOS XE на борту, не работает редирект. Синтаксис неправильный, из мануала вычитал что ISG на IOS XE не поддерживает access-list в l4 redirect.

 

http://www.cisco.com/en/US/docs/ios-xml/ios/isg/configuration/xe-3s/Redirecting_Subscriber_Traffic_U sing_ISG_Layer_4_Redirect.html#GUID-9A9C64DA-6F6C-471E-8CB1-126F8AD69BEF

 

In Cisco IOS XE software, access lists cannot be configured as match criteria in an ISG Layer 4 redirect configuration. As an alternative, Layer 4 redirect should be configured in ISG traffic class services.

 

И вопрос, как я могу исключить ИП адреса из л4 редиректа?

Share this post


Link to post
Share on other sites

Как было сказано в теме http://forum.nag.ru/forum/index.php?showtopic=66040&view=findpost&p=608114 проблема решается с помощью ISG traffic class services. Для того чтобы реализовать этот способ, вам нужно сервис редиректа локально и с помощью аксес листов пускать требующий редиректа трафик в отдельный класс. Например можно сделать вот так:

 

class-map type traffic match-any LK

match access-group input 111

 

policy-map type service LK_REDIRECT

service local

class type traffic LK

redirect to group WIFI-PORTAL

!

!

policy-map type control PPPoE

class type control always event session-start

10 service-policy type service name LK_REDIRECT

 

В 111 аксес листе указываете адреса, которые нужно исключить из редиректа:

Extended IP access list 111

10 deny tcp 10.250.0.0 0.0.255.255 host IP_ADDRESS eq www

...

60 permit ip 10.250.0.0 0.0.255.255 any

где 10.250.0.0 - подсеть, в которой находятся клиенты, трафик которых подлежит редиректу.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this