Перейти к содержимому
Калькуляторы

и снова про ISG/SSG я не хотел - меня заставили

Доброго дня суток!

 

Сразу скажу - меня в гугле не забанили - читал все про ssg/isg. Не раз. И до сих пор не могу уверенно сказать чем одно от другого отличается.... Любая статья про isg/ssg начинается сразу с описалова десятков class-map'ов, service-policy'ев, потом идут куски конфигов freeradius'а, потом срашные sql запросы к mysql, потом еще и еще... И это все делает prepaid тарифы, аутентифицирует по option-82, поднимает pppoe сессии, бросает абонента на портал где он аутентифицируется, меняет себе тарифы без дисконнекта... все это шейпит, считает траффик, работает через QinQ, оооооо боже..... красивые картинки - кубики внутри квадратиков из которых вылетают разноцветные трубочки!

 

Я привык любую сложную задачу разбивать на много простых подзадач и разбираясь по-очереди с каждой, двигаться от частного к общему. Понять ЧТО мы пытаемся достичь каждой подзадачей, КАК она работает, КАКИЕ исходные данные и КАКОЙ итоговый результат. Тут же блин все вместе перемешано, запутано - просто ядерный взрыв на макаронной фабрике - никак не могу разбить на составные части...

 

Во первых... Зачем это может быть нужно мне? Может просто забить? Сейчас абоненты аутентифицируются по логину/паролю, терминируются по pppoe over qinq, шейпятся через service-policy, все работает - все нравится. Ничего менять не хочу. Никаких гребаных порталов с паролями.

 

Но! Раньше у меня был человеческий wccp для абонентов с отрицательным балансом, который показывал им кукиш вместо интернета. Но нет, ***, циска сказала wccp - зло, будете юзать isg или ssg, там все ***то. Хорошо, сказал я - буду. Еще сюрпиз - удобный l4redirect с acl'ом (на который ссылаются все конфиги в интернете) - убрали. Тоже не по феншую. Юзайте traffic-class'ы. И вот тут начинается мое знакомство с isg... или ssg?

 

Вообщем... если кому не жалко пару минут свободного времени и кто-то разобрался в этой мешанине всего из вся - объясните с чего начинать, пожалуйста.

Мне не нужны тарифы по траффику, мне не нужны порталы с авторизацией, мне не нужно менять скорость без дисконнекта, мне не нужно авторизовывать абонента по номеру порта. Я знаю как сконфигурировать pppoe, aaa, radius, свой биллинг, policy-map'ы и class-map'ы.

 

Я просто хочу осовременить существующую работающую конфигурацию новомодным словом isg/ssg. Хочу рубить то же полено и так же как раньше, но не топором, а бензопилой. И только потом, думается мне, стоит начинать пытаться использовать все преимущества новой технологии...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все просто. Сначала определяемся на какой железке вы планируете делать ISG/SSG =)

Затем смотрим есть ли для этой железки ISG, если нет то довольствуемся SSG=)

 

После шага один надо почитать родной мануал от циски =) это конечно не очевидно, но для этого и нужен форум:)

 

После прочтения мануала делаем все мелкими простыми и понятными шагами. Сначала, чтобы клиент аутентифицировался, затем чтобы шейпился согласно тарифу ( тут кстати очень пригодятся знания radius =) )

 

Следующий простой шаг включение редиректа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мне не нужны тарифы по траффику, мне не нужны порталы с авторизацией, мне не нужно менять скорость без дисконнекта, мне не нужно авторизовывать абонента по номеру порта.

Вам все это срочно понадобится сразу же как поднимите нормально сессии с ТС)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все просто. Сначала определяемся на какой железке вы планируете делать ISG/SSG =)

Затем смотрим есть ли для этой железки ISG, если нет то довольствуемся SSG=)

 

После шага один надо почитать родной мануал от циски =) это конечно не очевидно, но для этого и нужен форум:)

 

После прочтения мануала делаем все мелкими простыми и понятными шагами. Сначала, чтобы клиент аутентифицировался, затем чтобы шейпился согласно тарифу ( тут кстати очень пригодятся знания radius =) )

 

Следующий простой шаг включение редиректа.

 

Меня удивляет как порой странно люди распоряжаются своим временем... вот я здесь (на форуме) потому что надеюсь найти то, что не нашел в других местах и в результате получить помощь и не зря потратить лишний час своей жизни. А вот Вы здесь зачем? Написать 100 слов абсолютно не несущих никакой полезной информации? Проверить клавиатуру? Это конечно не очевидно, но есть много других способов интересно провести время.

 

Мне не нужны тарифы по траффику, мне не нужны порталы с авторизацией, мне не нужно менять скорость без дисконнекта, мне не нужно авторизовывать абонента по номеру порта.

Вам все это срочно понадобится сразу же как поднимите нормально сессии с ТС)

 

Верю, верю :) но начинать надо с простого...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все просто. Сначала определяемся на какой железке вы планируете делать ISG/SSG =)

Затем смотрим есть ли для этой железки ISG, если нет то довольствуемся SSG=)

 

После шага один надо почитать родной мануал от циски =) это конечно не очевидно, но для этого и нужен форум:)

 

После прочтения мануала делаем все мелкими простыми и понятными шагами. Сначала, чтобы клиент аутентифицировался, затем чтобы шейпился согласно тарифу ( тут кстати очень пригодятся знания radius =) )

 

Следующий простой шаг включение редиректа.

 

Меня удивляет как порой странно люди распоряжаются своим временем... вот я здесь (на форуме) потому что надеюсь найти то, что не нашел в других местах и в результате получить помощь и не зря потратить лишний час своей жизни. А вот Вы здесь зачем? Написать 100 слов абсолютно не несущих никакой полезной информации? Проверить клавиатуру? Это конечно не очевидно, но есть много других способов интересно провести время.

 

Мне не нужны тарифы по траффику, мне не нужны порталы с авторизацией, мне не нужно менять скорость без дисконнекта, мне не нужно авторизовывать абонента по номеру порта.

Вам все это срочно понадобится сразу же как поднимите нормально сессии с ТС)

 

Верю, верю :) но начинать надо с простого...

Не, ну вы-то оставили значительное более полезное сообщение. ))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

lm

для тех, кто в танке - я вообще-то создал эту тему, в которой попросил людей, разобравшихся в той каше/малаше, которую представляют из себя доки по isg - помочь мне найти концы... да, я считаю это полезным сообщением и кажется ошибся форумом, потому как пока отреагировала только странная группа юмористов троллей.

Кто-нибудь что-нибудь полезное по теме скажет или будем дальше друг над другом стебаться?

Не знаю как у Вас - у меня есть более полезные дела.

 

Еще раз - спасибо всем за внимание к моей теме - давайте вместе еще раз прочтем начало и попробуем вернуться к сути. Если что-то знаете - поделитесь пожалуйста. Буду чрезвычайно признателен. Ссылки мне не нужны. Гугл видел. Меня интересуют ваши мысли и опыт, если они есть и если вы конечно не прочь ими делиться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

lm

для тех, кто в танке - я вообще-то создал эту тему...

)))))

Извини, действительно не обратил внимания. )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще раз - спасибо всем за внимание к моей теме - давайте вместе еще раз прочтем начало и попробуем вернуться к сути. Если что-то знаете - поделитесь пожалуйста. Буду чрезвычайно признателен. Ссылки мне не нужны. Гугл видел. Меня интересуют ваши мысли и опыт, если они есть и если вы конечно не прочь ими делиться.

Да где же стеб. Если не нужны ссылки то все что остается - набор проблем. Что вы хотите конкретно услышать? Вот у меня наприме ничего не заработало сходу.

Причин было много, очень вряд ли у вас будут такие же, т.к. большинство проблем была в разных багах разных версий ios-xe ASR 1000 серии.

Вам это сообщение полезно?

Даже если человек хочет помочь трудно сказать то не знаю что

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Даже если человек хочет помочь трудно сказать то не знаю что

это верно, как говорится в правильно поставленном вопросе - половина ответа. Виноватс - слишком туманно спросил.

 

Давайте тогда попробую конкретизировать.

В моем случае мне нужен ISG ТОЛЬКО (пока) для редиректа. Редирект я делаю из радиуса av парой ip:l4redirect to ip .. 80.

Но мне нужно указать что именно редиректить, так? Значит выдаю av пару ip:traffic-class и acl

Пока все понятно, но циска это не кушает, так как ssg или блин isg :) должен быть включен на брасе. Что минимальное нужно для этого?

Есть куча готовых конфигов в интернете, с этим нет проблем, но они как правило используют все все все преимущества isg, а мне хочется понять ЧТО для ЧЕГО?

В одних случаях - вроде как:

subscriber service password <пароль сервисных групп>

зачем-то в радиусе заводят пользователей сервисных груп

кто-то говорит нужно на gig0/0

ip subscriber interface

где-то пишут на virtual-template

ip subscriber routed
 initiator unclassified ip-address

кто-то уверяет нужно:

subscriber authorization enable

 

и самое главно ВСЕ создают ТОННЫ policy-map'ов type control которые ни к чему нигде не привязываются

 

 

Вотс... как-то так

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для тех кто в танке перевожу на доступный язык:

Редирект можно сделать навешиванием сервиса с редиректом на клиентскую сессию.

Сделать можно двумя способами:

.... Ой тест клавы закончился.....

 

Гуглим по двум словам isg vleonov жмем первую ссылку и настраиваем как там написано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У нас стоят ESR10K8, с PRE-2, IOS: 12.2(33)SB11

Доступ по PPPoE, частично внедрены фичи ISG. В частности полисинг через TC, с двумя классами - день и ночь, а так же редирект на "попрошайку".

На попрошайку редеректим так:

subscriber service password XXXXXXXXXXXXXXXXXXXXXXX
subscriber authorization enable
!
redirect server-group NEED-PAY
server ip A.B.C.D port 8899
!
class-map type traffic match-any REDIR-CLASS
match access-group input name REDIR-TRAFF
!
! все что попадает под permit - редиректится
ip access-list extended REDIR-TRAFF
permit tcp any any eq 3128
permit tcp any any eq 8080
permit tcp any any eq 81
deny   tcp any host D.E.F.G.H eq www -наши сервера, трафик к ним не редиректится
permit tcp any any eq www
!

 

Биллинг позволяет иметь набор аттрибутов для определенного статуса аккаунта(Активен, Заблокирован, Отключен).

Для статуса Заблокирован(по сути, при отрицательном балансе) есть свой набор аттрибутов.

attr.png

 

ip access-list extended OPEN-GARDEN
permit tcp any any eq www
permit tcp any any eq 81
permit tcp any any eq 8080
permit tcp any any eq 3128
permit ip any host X.X.X.X -IP на которые разрешаем ходить
ip access-list extended REDIR-OUT
permit ip X.X.X.X 0.0.255.255 any -пакеты в сторону абонента только из наших сетей

 

Ну и сервис собственно:

 

policy-map type service NEED-PAY
class type traffic REDIR-CLASS
 redirect to group NEED-PAY

 

Вроде все. Может немного мутновато, но как смог. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SSG/ISG - задача "в себе". Она разбивается фактически на две подзадачи: настройку циски, и настройку радиуса. Можно и без радиуса - но тогда придётся городить те самые тонны полиси-мапов. Есть еще третья задача - внесение данных в RADIUS, но она уже к настройке не относится.

 

В плане пояснений - взгляните на теорию ISG у циски: http://www.cisco.com/en/US/docs/ios/isg/configuration/guide/12_2sr/isg_12_2sr_book.html

Здесь разжевывается всё - что такое сервисные группы, зачем они нужны, и с чем их есть. Объем информации гигантский, но если хотите разбираться "от простого" - придётся все переварить. С блокнотиком и кофе.

 

Мою цепочку статей Вы, как я понимаю, читали.

Если интересует часть циски - внимательно перечитайте 2 часть: http://alex-at.ru/cisco/2-ssg-cisco-7206-pppoe

 

Дело в том, что механизм SSG/ISG - действительно объемный. Подробнее, чем сама циска (я в начале поста ссылку привёл) Вам не расскажет никто - долго это, разве что какие-то специальные курсы где-то вести по теме, но это не дёшево.

 

Большинство статей (и мои - не исключение) представляют собой упрощенную схему внедрения, применимую для конкретной задачи. Когда я писал статью, я ориентировался на максимальную гибкость решения в плане абонентов с доступом в Internet, поэтому изначально была выбрана схема с RADIUS и сервисными группами.

Изменено пользователем Alex/AT

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для тех кто в танке перевожу на доступный язык:

Редирект можно сделать навешиванием сервиса с редиректом на клиентскую сессию.

Сделать можно двумя способами:

.... Ой тест клавы закончился.....

 

Гуглим по двум словам isg vleonov жмем первую ссылку и настраиваем как там написано.

 

Сделайте, пожалуйста, еще тест монитора - чтоб научиться читать в дополнение к искусству писать...

Я пишу, что видел и читал все эти монструозные описаловы всего со всем и в результате запутался в конец. Поэтому и обратился с просьбой помочь найти концы. А вы мне даете линк на еще один чудовищный документ.

 

В конце концов, делиться или нет опытом и знаниями - ваша свобода выбора, не хотите - ну и на здоровье :) Зачем тогда флудите в этой теме и отвлекаете бессмысленным словоблудием. Еще раз - пожалуйста, не давайте мне ссылок, гугл есть у всех.

 

Кстати, в том линке, на который вы мне указали, редирект, делается так:

ip:l4redirect=redirect list 100 to groupredirect-sg

а я начал с того, что redirect с acl'ом на новых цисках уже не поддерживается, отсюда и начинаются проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SSG/ISG - задача "в себе". Она разбивается фактически на две подзадачи: настройку циски, и настройку радиуса. Можно и без радиуса - но тогда придётся городить те самые тонны полиси-мапов. Есть еще третья задача - внесение данных в RADIUS, но она уже к настройке не относится.

 

В плане пояснений - взгляните на теорию ISG у циски: http://www.cisco.com/en/US/docs/ios/isg/configuration/guide/12_2sr/isg_12_2sr_book.html

Здесь разжевывается всё - что такое сервисные группы, зачем они нужны, и с чем их есть. Объем информации гигантский, но если хотите разбираться "от простого" - придётся все переварить. С блокнотиком и кофе.

 

Мою цепочку статей Вы, как я понимаю, читали.

Если интересует часть циски - внимательно перечитайте 2 часть: http://alex-at.ru/cisco/2-ssg-cisco-7206-pppoe

 

Дело в том, что механизм SSG/ISG - действительно объемный. Подробнее, чем сама циска (я в начале поста ссылку привёл) Вам не расскажет никто - долго это, разве что какие-то специальные курсы где-то вести по теме, но это не дёшево.

 

Большинство статей (и мои - не исключение) представляют собой упрощенную схему внедрения, применимую для конкретной задачи. Когда я писал статью, я ориентировался на максимальную гибкость решения в плане абонентов с доступом в Internet, поэтому изначально была выбрана схема с RADIUS и сервисными группами.

 

Хм, у меня простая конкретная задача. Неужто знающему человеку, который нашел время посетить эту тему, почитать, утрудить себя ответом... так сложно ответить на простые в сущности вопросы:

1) В чем таки разница между ISG и SSG? Конкретно, человеческим языком. Не маркетологовским :)

2) С чего начинается ISG/SSG?

Можно ли этот функционал глобально отключить/включить?

Какая минимальная interface-level команда нужна на virtual-template чтобы можно было из радиуса загружать ip:traffic-class'ы

Зачем в большинстве примеров в радиусе заводятся пользователи - сервисные группы? Что брас отправляет запросы в радиус не для конкретных абонентов, а для этих пользователей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

StSphinx

 

Вам - огромное человеческое спасибо!

av пара ssg-account-info, которая указывает на policy-map type service который собственно и редиректит нужный тип траффика - это как раз то самое, что было мне нужно! :)))

Теперь дальше разбираться будет гораздо легче!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1) Не маркетологовским? Ни в чём. Разные названия для разных версий одного софта. Функционал, естественно, тоже апгрейженный, но не суть.

2) Начинается с понимания: что такое Subscriber, и что такое Service.

 

Можно ли глобально? Фактически, он привязывается к интерфейсам и Subscriber'ам, поэтому включается поинтерфейсно. Есть ряд глобальных же настроек.

 

Минимальная? Минимальная - у меня в цикле статей.

 

Сервисная группа - это описание сервиса. Как раз таки и включающая фильтр трафика и параметры трафика. К пользователю привязываются сервисы. Фактически, сервис - такой же пользователь для RADIUS, но описывающий параметры сервиса.

 

Брас отправляет в радиус авторизацию пользователя с именем сервисной группы и сервисным паролем. В ответ надеется получить список параметров сервиса.

Изменено пользователем Alex/AT

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

StSphinx

Только у вас в радиусе "ANEED-PAY", а конфиге циски - "NEED-PAY"... это опечатка или я что-то не догнал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1) Не маркетологовским? Ни в чём. Разные названия для разных версий одного софта. Функционал, естественно, тоже апгрейженный, но не суть.

2) Начинается с понимания: что такое Subscriber, и что такое Service.

 

Можно ли глобально? Фактически, он привязывается к интерфейсам и Subscriber'ам, поэтому включается поинтерфейсно. Есть ряд глобальных же настроек.

 

Минимальная? Минимальная - у меня в цикле статей.

 

Сервисная группа - это описание сервиса. Как раз таки и включающая фильтр трафика и параметры трафика. К пользователю привязываются сервисы. Фактически, сервис - такой же пользователь для RADIUS, но описывающий параметры сервиса.

 

Брас отправляет в радиус авторизацию пользователя с именем сервисной группы и сервисным паролем. В ответ надеется получить список параметров сервиса.

 

 

Ага, все потихоньку проясняется... Все, теперь самое время вернуться к мануалам. Если не трудно, уточните плз, какие именно статьи ваши?

 

блин :) сорри, конечно же: : http://alex-at.ru

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

StSphinx

Только у вас в радиусе "ANEED-PAY", а конфиге циски - "NEED-PAY"... это опечатка или я что-то не догнал?

 

Это не опечатка. Так этим атрибутом назначается автоматически активирующийся сервис.

 

http://www.cisco.com/en/US/docs/ios/12_2sb/isg/coa/guide/isgcaapa.html - вот тут описаны атрибуты их их значения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

StSphinx

Только у вас в радиусе "ANEED-PAY", а конфиге циски - "NEED-PAY"... это опечатка или я что-то не догнал?

 

Это не опечатка. Так этим атрибутом назначается автоматически активирующийся сервис.

 

http://www.cisco.com/en/US/docs/ios/12_2sb/isg/coa/guide/isgcaapa.html - вот тут описаны атрибуты их их значения.

 

О как... тогда еще один вопрос - у вас ssg-account-info загружается на брас как av-пара, а в линке (http://www.cisco.com/en/US/docs/ios/12_2sb/isg/coa/guide/isgcaapa.html) такой av-пары нет, но есть просто account-info, причем в списке "Cisco Vendor specific non-AVPair attributes".

Как же у вас это работает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Alex/AT

По вашему совету еще раз перечитал http://alex-at.ru/cisco/2-ssg-cisco-7206-pppoe

единственная незнакомая и не используемая мной в текущей конфигурации команда это:

subscriber service password 

 

 

вопрос так и остался открытым: как минимально включить ssg на брасе?

Что прописать на virtual-template интерфейсе, что прописать на gig интерфейсе, откуда приходит траффик абонентов?

В доках видел на gig:

ip subscriber interface

так?

Еще видел:

ip subscriber routed
 initiator unclassified ip-address

Но в случае с PPPoE это же не нужно, так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

StSphinx

Только у вас в радиусе "ANEED-PAY", а конфиге циски - "NEED-PAY"... это опечатка или я что-то не догнал?

 

Это не опечатка. Так этим атрибутом назначается автоматически активирующийся сервис.

 

http://www.cisco.com/en/US/docs/ios/12_2sb/isg/coa/guide/isgcaapa.html - вот тут описаны атрибуты их их значения.

 

О как... тогда еще один вопрос - у вас ssg-account-info загружается на брас как av-пара, а в линке (http://www.cisco.com/en/US/docs/ios/12_2sb/isg/coa/guide/isgcaapa.html) такой av-пары нет, но есть просто account-info, причем в списке "Cisco Vendor specific non-AVPair attributes".

Как же у вас это работает?

 

Можно передавать, как это делается у нас - через AvPair, либо через Cisco Vendor specific non-AVPair attributes.

Идеологически верным , как я понимаю, является второй способ. Но у нас вот так и это работает.

И еще, по моему представлению, первый способ, это SSG way, второй - ISG. Думаю кто-то более опытный это либо подтвердит, либо опровергнет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть еще такой вариант:

policy-map type control ISG3
class type control always event session-start
 10 authenticate aaa list PPPoE

interface Virtual-Template1
 service-policy type control ISG3

 

просто в каждом мануале своя страшная схема со всеми-всеми наворотами и своя отличная от других конфигурация!

и самое веселое в этом то, что не объясняется в каком случае что служит для чего

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть еще такой вариант:

policy-map type control ISG3
class type control always event session-start
 10 authenticate aaa list PPPoE

interface Virtual-Template1
 service-policy type control ISG3

 

просто в каждом мануале своя страшная схема со всеми-всеми наворотами и своя отличная от других конфигурация!

и самое веселое в этом то, что не объясняется в каком случае что служит для чего

 

Ну так чтобы понять что для чего и стоит немного разобраться с идеологией. А это как раз те самые Subscriber, Service.

По поводу идеологии посмотрите pdf'ку в аттаче.

Service_Control_vleonov-RUS.pdf

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может кто знает. Возможно ли на ISG сделать некий аналог Policy routing ? Когда пользователям одного класса разрешается выход через gw1, а пользователяем другого - через gw2. Управление этим делом желательно из радиуса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.