SkyCaster Posted December 21, 2011 Posted December 21, 2011 есть сиска ASR1006 там достаточно тривиально сконфигурен ISG policy-map type control ISG-POLICY class type control ISG-IP-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event session-start 10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address 15 service-policy type service name pmts_l_BGP 20 service-policy type service name pmts_l_Redirect 30 set-timer IP-UNAUTH-TIMER 5 ! ! interface TenGigabitEthernet0/1/0.2101 encapsulation dot1Q 2101 ip address 10.29.0.1 255.255.255.0 ip nat inside ip flow ingress ip flow egress no ip virtual-reassembly service-policy type control ISG-POLICY ip subscriber routed initiator unclassified ip-address end по каким-то ( невыясненным пока :( ) причинам прилетают в этот интерфейс пакеты с сурс-ип не из нашей сети, либо например с серыми адресами наших л3-свичей (ну здесь причина понятно - участие в трассировке)соответвенно на радиус отправляются совершенно ненужные запросы которые хотелось бы отфильтровать. Есть ли способ это сделать? То есть посылать запросы на радиус только для ип-шников из определенных сетей иос - asr1000rp2-adventerprise.03.04.01.S.151-3.S1.bin Вставить ник Quote
SkyCaster Posted December 21, 2011 Author Posted December 21, 2011 (edited) где? прямо в этом интерфейсе? на радиус раньше чем дропаться не будет уходить? Вы пробовали? На железке куда сиска воткнута и до нее тоже, по определенным причинам пока не получится аксесс-лист навесить :( Edited December 21, 2011 by SkyCaster Вставить ник Quote
triam Posted December 21, 2011 Posted December 21, 2011 Вот именно с этим софтом не пробовал. А так вообще раньше работало:) Вставить ник Quote
SkyCaster Posted December 21, 2011 Author Posted December 21, 2011 надо на интерфейс ацл-ку навешивать? или как то в policy-map надо service-police сделать отдельный? Вставить ник Quote
triam Posted December 21, 2011 Posted December 21, 2011 Просто acl на интерфейсе. Если уж прямо так хочется сделать это через ISG, то сделайте класс для ваших диапазонов и пускайте их в сеть просто так, без аутентификации и авторизации через радиус. Вставить ник Quote
SkyCaster Posted December 22, 2011 Author Posted December 22, 2011 у нас через радиус скорость навешивается, так что просто так нельзя пускать :( спасибо за наводку, попробуем аксесс-лист навесить, надеюсь в радиус не пойдет перед дропом Вставить ник Quote
Дегтярев Илья Posted December 22, 2011 Posted December 22, 2011 Трафик на ISG отправляйте не простым маршрутом, а pbr с нужных адресов. Остальное в обход (ну или откуда он взялся - на анализ) Вставить ник Quote
SkyCaster Posted December 22, 2011 Author Posted December 22, 2011 Трафик на ISG отправляйте не простым маршрутом, а pbr с нужных адресов. так и делали до недавнего времени. Но захотелось уйти от статического полисироутинга (сисок у нас несколько - хочется резервировать динамически), и вот такое полезло пробовал анализировать нетфло - сессии которые поднимаются с инетовскими ип-шниками - там реально наши адреса обращаются туда, но почему то создается от имени dst ip, хз как :( повесил на интерфейс ацлку - все нормально, сессии не создаются с левыми ип, на радиус запрос не нужных нет будем наблюдать, как оно себя вести будет :) Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.