Jump to content
Калькуляторы

Cisco ISG ip subscriber routed и фильтр для RADIUS как отправлять на Radius запросы только от свои сеток?

есть сиска ASR1006

там достаточно тривиально сконфигурен ISG

 

policy-map type control ISG-POLICY
class type control ISG-IP-UNAUTH event timed-policy-expiry
 1 service disconnect
!
class type control always event session-start
 10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address
 15 service-policy type service name pmts_l_BGP
 20 service-policy type service name pmts_l_Redirect
 30 set-timer IP-UNAUTH-TIMER 5
!
!

interface TenGigabitEthernet0/1/0.2101
encapsulation dot1Q 2101
ip address 10.29.0.1 255.255.255.0
ip nat inside
ip flow ingress
ip flow egress
no ip virtual-reassembly
service-policy type control ISG-POLICY
ip subscriber routed
 initiator unclassified ip-address
end

 

по каким-то ( невыясненным пока :( ) причинам прилетают в этот интерфейс пакеты с сурс-ип не из нашей сети, либо например с серыми адресами наших л3-свичей (ну здесь причина понятно - участие в трассировке)соответвенно на радиус отправляются совершенно ненужные запросы которые хотелось бы отфильтровать. Есть ли способ это сделать? То есть посылать запросы на радиус только для ип-шников из определенных сетей

иос - asr1000rp2-adventerprise.03.04.01.S.151-3.S1.bin

Share this post


Link to post
Share on other sites

где? прямо в этом интерфейсе? на радиус раньше чем дропаться не будет уходить?

Вы пробовали?

На железке куда сиска воткнута и до нее тоже, по определенным причинам пока не получится аксесс-лист навесить :(

Edited by SkyCaster

Share this post


Link to post
Share on other sites

Вот именно с этим софтом не пробовал. А так вообще раньше работало:)

Share this post


Link to post
Share on other sites

надо на интерфейс ацл-ку навешивать? или как то в policy-map надо service-police сделать отдельный?

Share this post


Link to post
Share on other sites

Просто acl на интерфейсе. Если уж прямо так хочется сделать это через ISG, то сделайте класс для ваших диапазонов и пускайте их в сеть просто так, без аутентификации и авторизации через радиус.

Share this post


Link to post
Share on other sites

у нас через радиус скорость навешивается, так что просто так нельзя пускать :(

спасибо за наводку, попробуем аксесс-лист навесить, надеюсь в радиус не пойдет перед дропом

Share this post


Link to post
Share on other sites

Трафик на ISG отправляйте не простым маршрутом, а pbr с нужных адресов.

Остальное в обход (ну или откуда он взялся - на анализ)

Share this post


Link to post
Share on other sites
Трафик на ISG отправляйте не простым маршрутом, а pbr с нужных адресов.

так и делали до недавнего времени. Но захотелось уйти от статического полисироутинга (сисок у нас несколько - хочется резервировать динамически), и вот такое полезло

пробовал анализировать нетфло - сессии которые поднимаются с инетовскими ип-шниками - там реально наши адреса обращаются туда, но почему то создается от имени dst ip, хз как :(

повесил на интерфейс ацлку - все нормально, сессии не создаются с левыми ип, на радиус запрос не нужных нет

будем наблюдать, как оно себя вести будет :)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this