Перейти к содержимому
Калькуляторы

ASR1004, ISG, BGBilling. L4Redirect, dns трафик Под редирект попадают и обращения к dns серверу

Всем привет.

Есть сабжевая железка, настраиваем связку с bgbilling'ом, получилось, практически, все, за исключением сервиса включаещего l4redirect.

Необходимо чтобы при отрицательном балансе(или еще по каким-либо причинам) абоненту прилетал с радиуса сервис, в котором указано, что нужно редиректить на определенный ip(например в личный кабинет).

Сервис в настройках радиуса выглядит так

nas.radius.inetOption.5.attributes=cisco-avpair=ip:l4redirect=redirect  to ip 94.х.у.26 port 80;cisco-avpair=ip:traffic-class=input access-group name L4R-in priority 1;cisco-avpair=ip:traffic-class=output access-group name L4R-out priority 1;

На ASR

Extended IP access list L4R-in
   10 deny ip 10.75.24.0 0.0.7.255 host 94.x.y.58
   1000 permit ip any any
Extended IP access list L4R-out
   10 deny ip host 94.x.y.58 any
   1000 permit ip any any

При таких аксес листах в sh redir translations пусто, если сделать permit any any единственным правилом, то видим следующее

#sh redir translations ip 10.75.24.60
     Source IP/port    Destination IP/port         Server IP/port   Prot
   10.75.24.60 45163    94.х.у.58    53    94.х.у.26    80   UDP

Здесь мы видим что и траик к dns серверу был завернут в редирект. Так вот, как заставить сабжевую связку трафик на 53 udp порт не редиректить(если клиент с сервисом включающим l4redirect вбивает ip в браузер, то редирект работает правильно). На 72-ой кошке на стенде все завелось с пол оборота, но там мы использовали

nas.radius.inetOption.5.attributes=cisco-avpair=ip:l4redirect=redirect list 199 to group NO-MONEY-NO-HONEY

В ios который на ASR(asr1000rp1-advipservicesk9.03.02.02.S.151-1.S2) нельзя использовать redirect list 199 .

Сам сервис на ASR выглядит так

 

#sh subscriber service 
 Service "INET_FAKE":
   Version 1:
     SVM ID                : EF0001FA
     Child ID              : 7C0001FB
     Locked by             : SVM-Printer            [1]
     Locked by             : PM-Service             [1]
     Locked by             : PM-Info                [1]
     Locked by             : FM-Bind                [1]
     Locked by             : TC-Child               [1]
     Profile               : 309F09B4
       Profile name: INET_FAKE, 4 references 
         l4redirect           "redirect  to ip 94.х.у.26 port 80"
         traffic-class        "input access-group name L4R-in priority 1"
         traffic-class        "output access-group name L4R-out priority 1"
     Feature               : TC
         Feature IDB type      : Sub-if or not required
         Feature Data          : 28 bytes:
                               : 000000 00 00 7C 00 01 FB 00 00  ..|.....
                               : 000008 00 01 00 00 00 00 45 77  ......ew
                               : 000010 DF 8C 00 00 00 01 00 00  ........
                               : 000018 00 00 45 06              ..e.
     Version 1:
       SVM ID                : 7C0001FB
       Parent ID             : EF0001FA
       Locked by             : SVM-Printer            [1]
       Locked by             : FM-Bind                [1]
       Locked by             : SM-SIP-Apply           [1]
       Locked by             : TC-Parent              [1]
       Feature               : L4 Redirect
         Feature IDB type      : Sub-if or not required
         Feature Data          : 20 bytes:
                               : 000000 00 00 3B 98 95 70 3B 98  ..;..p;.
                               : 000008 95 70 00 00 00 01 00 00  .p......
                               : 000010 00 00 00 00              ....

Изменено пользователем FessAectan

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вам надо повесить клиенту несколько сервисов:

1. более приоритетный - разрешить хождение трафика до NS, и сервера куда редиректите

2. менее приоритетный - собственно сам редирект, который у вас описан выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вам надо повесить клиенту несколько сервисов:

1. более приоритетный - разрешить хождение трафика до NS, и сервера куда редиректите

2. менее приоритетный - собственно сам редирект, который у вас описан выше.

Благодарю, как только проверим отпишусь.

Проверил наконецто, все ок, осталось биллинг научить этой схеме.

Изменено пользователем FessAectan

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вам надо повесить клиенту несколько сервисов:

1. более приоритетный - разрешить хождение трафика до NS, и сервера куда редиректите

2. менее приоритетный - собственно сам редирект, который у вас описан выше.

У нас не работал l4redirect, если клиенту навесить больше 1го сервиса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вам надо повесить клиенту несколько сервисов:

1. более приоритетный - разрешить хождение трафика до NS, и сервера куда редиректите

2. менее приоритетный - собственно сам редирект, который у вас описан выше.

У нас не работал l4redirect, если клиенту навесить больше 1го сервиса.

 

приоритеты правильно были выставлены?

у всех всё работает...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

приоритеты правильно были выставлены?

у всех всё работает...

А как выставляются приоритеты сервисов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а можно использовать l4redirect без ISG?

у меня просто pppoe на ASR терминируются - через avpair service-police гоняю

wccp через avpair не хотит вешаться, l4redirect отправляется - но циска говорит что сервис не сконфигурирован

 

я сделал акцесс лист и редирект сервер... pppoe сессии отправляю

cisco-avpair=ip:l4redirect=redirect list 180 to group REDIR-LK

 

ответ с debug radius на циске

Service () is configured incorrectly, service_failed event will be thrown

 

можно ли как то эту изюминку от ISG задействовать без самого ISG?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.