Jump to content
Калькуляторы

ASR1004, ISG, BGBilling. L4Redirect, dns трафик Под редирект попадают и обращения к dns серверу

Всем привет.

Есть сабжевая железка, настраиваем связку с bgbilling'ом, получилось, практически, все, за исключением сервиса включаещего l4redirect.

Необходимо чтобы при отрицательном балансе(или еще по каким-либо причинам) абоненту прилетал с радиуса сервис, в котором указано, что нужно редиректить на определенный ip(например в личный кабинет).

Сервис в настройках радиуса выглядит так

nas.radius.inetOption.5.attributes=cisco-avpair=ip:l4redirect=redirect  to ip 94.х.у.26 port 80;cisco-avpair=ip:traffic-class=input access-group name L4R-in priority 1;cisco-avpair=ip:traffic-class=output access-group name L4R-out priority 1;

На ASR

Extended IP access list L4R-in
   10 deny ip 10.75.24.0 0.0.7.255 host 94.x.y.58
   1000 permit ip any any
Extended IP access list L4R-out
   10 deny ip host 94.x.y.58 any
   1000 permit ip any any

При таких аксес листах в sh redir translations пусто, если сделать permit any any единственным правилом, то видим следующее

#sh redir translations ip 10.75.24.60
     Source IP/port    Destination IP/port         Server IP/port   Prot
   10.75.24.60 45163    94.х.у.58    53    94.х.у.26    80   UDP

Здесь мы видим что и траик к dns серверу был завернут в редирект. Так вот, как заставить сабжевую связку трафик на 53 udp порт не редиректить(если клиент с сервисом включающим l4redirect вбивает ip в браузер, то редирект работает правильно). На 72-ой кошке на стенде все завелось с пол оборота, но там мы использовали

nas.radius.inetOption.5.attributes=cisco-avpair=ip:l4redirect=redirect list 199 to group NO-MONEY-NO-HONEY

В ios который на ASR(asr1000rp1-advipservicesk9.03.02.02.S.151-1.S2) нельзя использовать redirect list 199 .

Сам сервис на ASR выглядит так

 

#sh subscriber service 
 Service "INET_FAKE":
   Version 1:
     SVM ID                : EF0001FA
     Child ID              : 7C0001FB
     Locked by             : SVM-Printer            [1]
     Locked by             : PM-Service             [1]
     Locked by             : PM-Info                [1]
     Locked by             : FM-Bind                [1]
     Locked by             : TC-Child               [1]
     Profile               : 309F09B4
       Profile name: INET_FAKE, 4 references 
         l4redirect           "redirect  to ip 94.х.у.26 port 80"
         traffic-class        "input access-group name L4R-in priority 1"
         traffic-class        "output access-group name L4R-out priority 1"
     Feature               : TC
         Feature IDB type      : Sub-if or not required
         Feature Data          : 28 bytes:
                               : 000000 00 00 7C 00 01 FB 00 00  ..|.....
                               : 000008 00 01 00 00 00 00 45 77  ......ew
                               : 000010 DF 8C 00 00 00 01 00 00  ........
                               : 000018 00 00 45 06              ..e.
     Version 1:
       SVM ID                : 7C0001FB
       Parent ID             : EF0001FA
       Locked by             : SVM-Printer            [1]
       Locked by             : FM-Bind                [1]
       Locked by             : SM-SIP-Apply           [1]
       Locked by             : TC-Parent              [1]
       Feature               : L4 Redirect
         Feature IDB type      : Sub-if or not required
         Feature Data          : 20 bytes:
                               : 000000 00 00 3B 98 95 70 3B 98  ..;..p;.
                               : 000008 95 70 00 00 00 01 00 00  .p......
                               : 000010 00 00 00 00              ....

Edited by FessAectan

Share this post


Link to post
Share on other sites

Вам надо повесить клиенту несколько сервисов:

1. более приоритетный - разрешить хождение трафика до NS, и сервера куда редиректите

2. менее приоритетный - собственно сам редирект, который у вас описан выше.

Share this post


Link to post
Share on other sites

Вам надо повесить клиенту несколько сервисов:

1. более приоритетный - разрешить хождение трафика до NS, и сервера куда редиректите

2. менее приоритетный - собственно сам редирект, который у вас описан выше.

Благодарю, как только проверим отпишусь.

Проверил наконецто, все ок, осталось биллинг научить этой схеме.

Edited by FessAectan

Share this post


Link to post
Share on other sites

Вам надо повесить клиенту несколько сервисов:

1. более приоритетный - разрешить хождение трафика до NS, и сервера куда редиректите

2. менее приоритетный - собственно сам редирект, который у вас описан выше.

У нас не работал l4redirect, если клиенту навесить больше 1го сервиса.

Share this post


Link to post
Share on other sites

Вам надо повесить клиенту несколько сервисов:

1. более приоритетный - разрешить хождение трафика до NS, и сервера куда редиректите

2. менее приоритетный - собственно сам редирект, который у вас описан выше.

У нас не работал l4redirect, если клиенту навесить больше 1го сервиса.

 

приоритеты правильно были выставлены?

у всех всё работает...

Share this post


Link to post
Share on other sites

приоритеты правильно были выставлены?

у всех всё работает...

А как выставляются приоритеты сервисов?

Share this post


Link to post
Share on other sites

а можно использовать l4redirect без ISG?

у меня просто pppoe на ASR терминируются - через avpair service-police гоняю

wccp через avpair не хотит вешаться, l4redirect отправляется - но циска говорит что сервис не сконфигурирован

 

я сделал акцесс лист и редирект сервер... pppoe сессии отправляю

cisco-avpair=ip:l4redirect=redirect list 180 to group REDIR-LK

 

ответ с debug radius на циске

Service () is configured incorrectly, service_failed event will be thrown

 

можно ли как то эту изюминку от ISG задействовать без самого ISG?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this