ASR1004, ISG, BGBilling. L4Redirect, dns трафик

[FessAectan]

Всем привет.

Есть сабжевая железка, настраиваем связку с bgbilling'ом, получилось, практически, все, за исключением сервиса включаещего l4redirect.

Необходимо чтобы при отрицательном балансе(или еще по каким-либо причинам) абоненту прилетал с радиуса сервис, в котором указано, что нужно редиректить на определенный ip(например в личный кабинет).

Сервис в настройках радиуса выглядит так

nas.radius.inetOption.5.attributes=cisco-avpair=ip:l4redirect=redirect  to ip 94.х.у.26 port 80;cisco-avpair=ip:traffic-class=input access-group name L4R-in priority 1;cisco-avpair=ip:traffic-class=output access-group name L4R-out priority 1;

На ASR

Extended IP access list L4R-in
   10 deny ip 10.75.24.0 0.0.7.255 host 94.x.y.58
   1000 permit ip any any
Extended IP access list L4R-out
   10 deny ip host 94.x.y.58 any
   1000 permit ip any any

При таких аксес листах в sh redir translations пусто, если сделать permit any any единственным правилом, то видим следующее

#sh redir translations ip 10.75.24.60
     Source IP/port    Destination IP/port         Server IP/port   Prot
   10.75.24.60 45163    94.х.у.58    53    94.х.у.26    80   UDP

Здесь мы видим что и траик к dns серверу был завернут в редирект. Так вот, как заставить сабжевую связку трафик на 53 udp порт не редиректить(если клиент с сервисом включающим l4redirect вбивает ip в браузер, то редирект работает правильно). На 72-ой кошке на стенде все завелось с пол оборота, но там мы использовали

nas.radius.inetOption.5.attributes=cisco-avpair=ip:l4redirect=redirect list 199 to group NO-MONEY-NO-HONEY

В ios который на ASR(asr1000rp1-advipservicesk9.03.02.02.S.151-1.S2) нельзя использовать redirect list 199 .

Сам сервис на ASR выглядит так

 

#sh subscriber service 
 Service "INET_FAKE":
   Version 1:
     SVM ID                : EF0001FA
     Child ID              : 7C0001FB
     Locked by             : SVM-Printer            [1]
     Locked by             : PM-Service             [1]
     Locked by             : PM-Info                [1]
     Locked by             : FM-Bind                [1]
     Locked by             : TC-Child               [1]
     Profile               : 309F09B4
       Profile name: INET_FAKE, 4 references 
         l4redirect           "redirect  to ip 94.х.у.26 port 80"
         traffic-class        "input access-group name L4R-in priority 1"
         traffic-class        "output access-group name L4R-out priority 1"
     Feature               : TC
         Feature IDB type      : Sub-if or not required
         Feature Data          : 28 bytes:
                               : 000000 00 00 7C 00 01 FB 00 00  ..|.....
                               : 000008 00 01 00 00 00 00 45 77  ......ew
                               : 000010 DF 8C 00 00 00 01 00 00  ........
                               : 000018 00 00 45 06              ..e.
     Version 1:
       SVM ID                : 7C0001FB
       Parent ID             : EF0001FA
       Locked by             : SVM-Printer            [1]
       Locked by             : FM-Bind                [1]
       Locked by             : SM-SIP-Apply           [1]
       Locked by             : TC-Parent              [1]
       Feature               : L4 Redirect
         Feature IDB type      : Sub-if or not required
         Feature Data          : 20 bytes:
                               : 000000 00 00 3B 98 95 70 3B 98  ..;..p;.
                               : 000008 95 70 00 00 00 01 00 00  .p......
                               : 000010 00 00 00 00              ....

Edited December 2, 2011 by FessAectan

[John_obn]

Вам надо повесить клиенту несколько сервисов:

1. более приоритетный - разрешить хождение трафика до NS, и сервера куда редиректите

2. менее приоритетный - собственно сам редирект, который у вас описан выше.

[FessAectan]

Вам надо повесить клиенту несколько сервисов:

1. более приоритетный - разрешить хождение трафика до NS, и сервера куда редиректите

2. менее приоритетный - собственно сам редирект, который у вас описан выше.

Благодарю, как только проверим отпишусь.

Проверил наконецто, все ок, осталось биллинг научить этой схеме.

Edited December 12, 2011 by FessAectan

[evgenich]

Вам надо повесить клиенту несколько сервисов:

1. более приоритетный - разрешить хождение трафика до NS, и сервера куда редиректите

2. менее приоритетный - собственно сам редирект, который у вас описан выше.

У нас не работал l4redirect, если клиенту навесить больше 1го сервиса.

[bokl]

Вам надо повесить клиенту несколько сервисов:

1. более приоритетный - разрешить хождение трафика до NS, и сервера куда редиректите

2. менее приоритетный - собственно сам редирект, который у вас описан выше.

У нас не работал l4redirect, если клиенту навесить больше 1го сервиса.

 

приоритеты правильно были выставлены?

у всех всё работает...

[Minotaur]

приоритеты правильно были выставлены?

у всех всё работает...

А как выставляются приоритеты сервисов?

[Ko_stik]

а можно использовать l4redirect без ISG?

у меня просто pppoe на ASR терминируются - через avpair service-police гоняю

wccp через avpair не хотит вешаться, l4redirect отправляется - но циска говорит что сервис не сконфигурирован

 

я сделал акцесс лист и редирект сервер... pppoe сессии отправляю

cisco-avpair=ip:l4redirect=redirect list 180 to group REDIR-LK

 

ответ с debug radius на циске

Service () is configured incorrectly, service_failed event will be thrown

 

можно ли как то эту изюминку от ISG задействовать без самого ISG?