SkyCaster Опубликовано 21 декабря, 2011 · Жалоба есть сиска ASR1006 там достаточно тривиально сконфигурен ISG policy-map type control ISG-POLICY class type control ISG-IP-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event session-start 10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address 15 service-policy type service name pmts_l_BGP 20 service-policy type service name pmts_l_Redirect 30 set-timer IP-UNAUTH-TIMER 5 ! ! interface TenGigabitEthernet0/1/0.2101 encapsulation dot1Q 2101 ip address 10.29.0.1 255.255.255.0 ip nat inside ip flow ingress ip flow egress no ip virtual-reassembly service-policy type control ISG-POLICY ip subscriber routed initiator unclassified ip-address end по каким-то ( невыясненным пока :( ) причинам прилетают в этот интерфейс пакеты с сурс-ип не из нашей сети, либо например с серыми адресами наших л3-свичей (ну здесь причина понятно - участие в трассировке)соответвенно на радиус отправляются совершенно ненужные запросы которые хотелось бы отфильтровать. Есть ли способ это сделать? То есть посылать запросы на радиус только для ип-шников из определенных сетей иос - asr1000rp2-adventerprise.03.04.01.S.151-3.S1.bin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
triam Опубликовано 21 декабря, 2011 · Жалоба ip access-list ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SkyCaster Опубликовано 21 декабря, 2011 (изменено) · Жалоба где? прямо в этом интерфейсе? на радиус раньше чем дропаться не будет уходить? Вы пробовали? На железке куда сиска воткнута и до нее тоже, по определенным причинам пока не получится аксесс-лист навесить :( Изменено 21 декабря, 2011 пользователем SkyCaster Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
triam Опубликовано 21 декабря, 2011 · Жалоба Вот именно с этим софтом не пробовал. А так вообще раньше работало:) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SkyCaster Опубликовано 21 декабря, 2011 · Жалоба надо на интерфейс ацл-ку навешивать? или как то в policy-map надо service-police сделать отдельный? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
triam Опубликовано 21 декабря, 2011 · Жалоба Просто acl на интерфейсе. Если уж прямо так хочется сделать это через ISG, то сделайте класс для ваших диапазонов и пускайте их в сеть просто так, без аутентификации и авторизации через радиус. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SkyCaster Опубликовано 22 декабря, 2011 · Жалоба у нас через радиус скорость навешивается, так что просто так нельзя пускать :( спасибо за наводку, попробуем аксесс-лист навесить, надеюсь в радиус не пойдет перед дропом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 22 декабря, 2011 · Жалоба Трафик на ISG отправляйте не простым маршрутом, а pbr с нужных адресов. Остальное в обход (ну или откуда он взялся - на анализ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SkyCaster Опубликовано 22 декабря, 2011 · Жалоба Трафик на ISG отправляйте не простым маршрутом, а pbr с нужных адресов. так и делали до недавнего времени. Но захотелось уйти от статического полисироутинга (сисок у нас несколько - хочется резервировать динамически), и вот такое полезло пробовал анализировать нетфло - сессии которые поднимаются с инетовскими ип-шниками - там реально наши адреса обращаются туда, но почему то создается от имени dst ip, хз как :( повесил на интерфейс ацлку - все нормально, сессии не создаются с левыми ип, на радиус запрос не нужных нет будем наблюдать, как оно себя вести будет :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...