Перейти к содержимому
Калькуляторы

Cisco ISG ip subscriber routed и фильтр для RADIUS как отправлять на Radius запросы только от свои сеток?

есть сиска ASR1006

там достаточно тривиально сконфигурен ISG

 

policy-map type control ISG-POLICY
class type control ISG-IP-UNAUTH event timed-policy-expiry
 1 service disconnect
!
class type control always event session-start
 10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address
 15 service-policy type service name pmts_l_BGP
 20 service-policy type service name pmts_l_Redirect
 30 set-timer IP-UNAUTH-TIMER 5
!
!

interface TenGigabitEthernet0/1/0.2101
encapsulation dot1Q 2101
ip address 10.29.0.1 255.255.255.0
ip nat inside
ip flow ingress
ip flow egress
no ip virtual-reassembly
service-policy type control ISG-POLICY
ip subscriber routed
 initiator unclassified ip-address
end

 

по каким-то ( невыясненным пока :( ) причинам прилетают в этот интерфейс пакеты с сурс-ип не из нашей сети, либо например с серыми адресами наших л3-свичей (ну здесь причина понятно - участие в трассировке)соответвенно на радиус отправляются совершенно ненужные запросы которые хотелось бы отфильтровать. Есть ли способ это сделать? То есть посылать запросы на радиус только для ип-шников из определенных сетей

иос - asr1000rp2-adventerprise.03.04.01.S.151-3.S1.bin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

где? прямо в этом интерфейсе? на радиус раньше чем дропаться не будет уходить?

Вы пробовали?

На железке куда сиска воткнута и до нее тоже, по определенным причинам пока не получится аксесс-лист навесить :(

Изменено пользователем SkyCaster

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот именно с этим софтом не пробовал. А так вообще раньше работало:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

надо на интерфейс ацл-ку навешивать? или как то в policy-map надо service-police сделать отдельный?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просто acl на интерфейсе. Если уж прямо так хочется сделать это через ISG, то сделайте класс для ваших диапазонов и пускайте их в сеть просто так, без аутентификации и авторизации через радиус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у нас через радиус скорость навешивается, так что просто так нельзя пускать :(

спасибо за наводку, попробуем аксесс-лист навесить, надеюсь в радиус не пойдет перед дропом

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Трафик на ISG отправляйте не простым маршрутом, а pbr с нужных адресов.

Остальное в обход (ну или откуда он взялся - на анализ)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Трафик на ISG отправляйте не простым маршрутом, а pbr с нужных адресов.

так и делали до недавнего времени. Но захотелось уйти от статического полисироутинга (сисок у нас несколько - хочется резервировать динамически), и вот такое полезло

пробовал анализировать нетфло - сессии которые поднимаются с инетовскими ип-шниками - там реально наши адреса обращаются туда, но почему то создается от имени dst ip, хз как :(

повесил на интерфейс ацлку - все нормально, сессии не создаются с левыми ип, на радиус запрос не нужных нет

будем наблюдать, как оно себя вести будет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.