FessAectan Опубликовано 2 декабря, 2011 (изменено) · Жалоба Всем привет. Есть сабжевая железка, настраиваем связку с bgbilling'ом, получилось, практически, все, за исключением сервиса включаещего l4redirect. Необходимо чтобы при отрицательном балансе(или еще по каким-либо причинам) абоненту прилетал с радиуса сервис, в котором указано, что нужно редиректить на определенный ip(например в личный кабинет). Сервис в настройках радиуса выглядит так nas.radius.inetOption.5.attributes=cisco-avpair=ip:l4redirect=redirect to ip 94.х.у.26 port 80;cisco-avpair=ip:traffic-class=input access-group name L4R-in priority 1;cisco-avpair=ip:traffic-class=output access-group name L4R-out priority 1; На ASR Extended IP access list L4R-in 10 deny ip 10.75.24.0 0.0.7.255 host 94.x.y.58 1000 permit ip any any Extended IP access list L4R-out 10 deny ip host 94.x.y.58 any 1000 permit ip any any При таких аксес листах в sh redir translations пусто, если сделать permit any any единственным правилом, то видим следующее #sh redir translations ip 10.75.24.60 Source IP/port Destination IP/port Server IP/port Prot 10.75.24.60 45163 94.х.у.58 53 94.х.у.26 80 UDP Здесь мы видим что и траик к dns серверу был завернут в редирект. Так вот, как заставить сабжевую связку трафик на 53 udp порт не редиректить(если клиент с сервисом включающим l4redirect вбивает ip в браузер, то редирект работает правильно). На 72-ой кошке на стенде все завелось с пол оборота, но там мы использовали nas.radius.inetOption.5.attributes=cisco-avpair=ip:l4redirect=redirect list 199 to group NO-MONEY-NO-HONEY В ios который на ASR(asr1000rp1-advipservicesk9.03.02.02.S.151-1.S2) нельзя использовать redirect list 199 . Сам сервис на ASR выглядит так #sh subscriber service Service "INET_FAKE": Version 1: SVM ID : EF0001FA Child ID : 7C0001FB Locked by : SVM-Printer [1] Locked by : PM-Service [1] Locked by : PM-Info [1] Locked by : FM-Bind [1] Locked by : TC-Child [1] Profile : 309F09B4 Profile name: INET_FAKE, 4 references l4redirect "redirect to ip 94.х.у.26 port 80" traffic-class "input access-group name L4R-in priority 1" traffic-class "output access-group name L4R-out priority 1" Feature : TC Feature IDB type : Sub-if or not required Feature Data : 28 bytes: : 000000 00 00 7C 00 01 FB 00 00 ..|..... : 000008 00 01 00 00 00 00 45 77 ......ew : 000010 DF 8C 00 00 00 01 00 00 ........ : 000018 00 00 45 06 ..e. Version 1: SVM ID : 7C0001FB Parent ID : EF0001FA Locked by : SVM-Printer [1] Locked by : FM-Bind [1] Locked by : SM-SIP-Apply [1] Locked by : TC-Parent [1] Feature : L4 Redirect Feature IDB type : Sub-if or not required Feature Data : 20 bytes: : 000000 00 00 3B 98 95 70 3B 98 ..;..p;. : 000008 95 70 00 00 00 01 00 00 .p...... : 000010 00 00 00 00 .... Изменено 2 декабря, 2011 пользователем FessAectan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
John_obn Опубликовано 2 декабря, 2011 · Жалоба Вам надо повесить клиенту несколько сервисов: 1. более приоритетный - разрешить хождение трафика до NS, и сервера куда редиректите 2. менее приоритетный - собственно сам редирект, который у вас описан выше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FessAectan Опубликовано 2 декабря, 2011 (изменено) · Жалоба Вам надо повесить клиенту несколько сервисов: 1. более приоритетный - разрешить хождение трафика до NS, и сервера куда редиректите 2. менее приоритетный - собственно сам редирект, который у вас описан выше. Благодарю, как только проверим отпишусь. Проверил наконецто, все ок, осталось биллинг научить этой схеме. Изменено 12 декабря, 2011 пользователем FessAectan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
evgenich Опубликовано 3 февраля, 2012 · Жалоба Вам надо повесить клиенту несколько сервисов: 1. более приоритетный - разрешить хождение трафика до NS, и сервера куда редиректите 2. менее приоритетный - собственно сам редирект, который у вас описан выше. У нас не работал l4redirect, если клиенту навесить больше 1го сервиса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bokl Опубликовано 3 февраля, 2012 · Жалоба Вам надо повесить клиенту несколько сервисов: 1. более приоритетный - разрешить хождение трафика до NS, и сервера куда редиректите 2. менее приоритетный - собственно сам редирект, который у вас описан выше. У нас не работал l4redirect, если клиенту навесить больше 1го сервиса. приоритеты правильно были выставлены? у всех всё работает... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Minotaur Опубликовано 6 февраля, 2012 · Жалоба приоритеты правильно были выставлены? у всех всё работает... А как выставляются приоритеты сервисов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ko_stik Опубликовано 7 февраля, 2012 · Жалоба а можно использовать l4redirect без ISG? у меня просто pppoe на ASR терминируются - через avpair service-police гоняю wccp через avpair не хотит вешаться, l4redirect отправляется - но циска говорит что сервис не сконфигурирован я сделал акцесс лист и редирект сервер... pppoe сессии отправляю cisco-avpair=ip:l4redirect=redirect list 180 to group REDIR-LK ответ с debug radius на циске Service () is configured incorrectly, service_failed event will be thrown можно ли как то эту изюминку от ISG задействовать без самого ISG? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...