vanishox Posted August 17, 2012 Ребят, помогите пожалуйста, тема избита, и разобрана до косточек, но все таки нужен совет: 1. Поднимаю все тоже многострадальное PPPoE + ISG на ASR 1002. Для начала решил проверить как отдает freeradius сервисы на ASR1002. 2. Завел в радиусе тестового юзера: User3 Cisco-Account-Info = A1Mb 3. Завел на ASR аксесс листы, ТС, локально описал сервис 1Mb: Extended IP access list 101 10 permit ip any any class-map type traffic match-any ALLTRAFF match access-group output 101 match access-group input 101 policy-map type service 1Mb class type traffic ALLTRAFF police input 1000000 250000 250000 police output 1000000 250000 250000 4. Секция ааа: aaa group server radius MY_RADIUS server 10.10.10.10 auth-port 1812 acct-port 1813 ip radius source-interface Loopback0 aaa authentication ppp PPPOE group MY_RADIUS aaa authorization network PPPOE group MY_RADIUS aaa authorization subscriber-service default local ------------ хочу брать сервис локально с ASR aaa accounting update newinfo periodic 5 aaa accounting network PPPOE start-stop group MY_RADIUS aaa nas port extended aaa session-id common aaa policy interface-config allow-subinterface 4. ASR получает сервис от радиуса, но почему-то не применяет его: Кусок логов ASR: *Aug 15 11:08:00.371: RADIUS(0000016E): Started 5 sec timeout *Aug 15 11:08:00.373: RADIUS: Received from id 1645/158 83.167.65.183:1812, Access-Accept, len 38 *Aug 15 11:08:00.373: RADIUS: authenticator A6 3F 84 90 34 7E 0E 0E - 33 15 54 BC 56 E8 C1 1F *Aug 15 11:08:00.373: RADIUS: Framed-Protocol [7] 6 PPP [1] *Aug 15 11:08:00.373: RADIUS: Vendor, Cisco [26] 12 *Aug 15 11:08:00.373: RADIUS: ssg-account-info [250] 6 "A1Mb" *Aug 15 11:08:00.374: RADIUS(0000016E): Received from id 1645/158 *Aug 15 11:08:00.374: ppp286 PPP: Received LOGIN Response PASS *Aug 15 11:08:00.374: ppp286 PPP: Phase is FORWARDING, Attempting Forward *Aug 15 11:08:00.378: AAA/BIND(0000016E): Bind i/f Virtual-Access2.1 *Aug 15 11:08:00.378: Vi2.1 PPP: Phase is AUTHENTICATING, Authenticated User *Aug 15 11:08:00.378: Vi2.1 CHAP: O SUCCESS id 1 len 4 *Aug 15 11:08:00.378: [286]PPPoE 260: O contiguous pak, size 6 C2 23 03 01 00 04 *Aug 15 11:08:00.379: Vi2.1 PPP: Phase is UP *Aug 15 11:08:00.379: Vi2.1 IPCP: Protocol configured, start CP. state[initial] *Aug 15 11:08:00.379: Vi2.1 IPCP: Event[OPEN] State[initial to Starting] *Aug 15 11:08:00.379: Vi2.1 IPCP: O CONFREQ [starting] id 1 len 10 *Aug 15 11:08:00.379: Vi2.1 IPCP: Address 83.167.87.62 (0x030653A7573E) *Aug 15 11:08:00.379: [286]PPPoE 260: O ASR-PPPoE#sh subscriber service %No active services 5. На вскидку завел control policy на virtual-template: policy-map type control cpp class type control always event session-start 1 service-policy type service name 1Mb и interface Virtual-Template1 ip unnumbered Loopback0 no logging event link-status peer default ip address pool users keepalive 60 ppp authentication chap PPPOE ppp accounting PPPOE service-policy type control cpp end Сервис применяется, скорость режется. Все нормально: ASR-PPPoE#sh subscriber service Service "1Mb": Version 1: SVM ID : 8F000065 Child ID : 7B000066 Locked by : SVM-Printer [1] Locked by : PM-Service [1] Locked by : PM-Info [1] Locked by : FM-Bind [1] Locked by : TC-Child [1] Profile : 4354CD80 Profile name: 1Mb, 3 references password <hidden> username "1Mb" traffic-class "input access-group 101" traffic-class "output access-group 101" ssg-service-info "QU;1000000;250000;250000;D;1000000;250000;250000" Feature : TC Feature IDB type : Sub-if or not required Feature Data : 28 bytes: : 000000 00 00 7B 00 00 66 00 00 ..{..f.. : 000008 00 00 00 00 00 00 30 2A ......0* : 000010 67 00 00 00 00 00 00 00 g....... : 000018 00 00 43 46 ..cf Version 1: SVM ID : 7B000066 Parent ID : 8F000065 Locked by : SVM-Printer [1] Locked by : FM-Bind [1] Locked by : SM-SIP-Apply [1] Locked by : TC-Parent [1] Подскажите - где я ошибаюсь? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
triam Posted August 17, 2012 Надо в Accept'е возвращать имена сервисов, которые навешиваются клиенту. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vanishox Posted August 17, 2012 Так я вроде с радиуса отдаю сервис: Sending Access-Accept of id 165 to 172.10.87.62 port 1645 Framed-Protocol = PPP Cisco-Account-Info = "A1Mb" И на ASR он тоже приходит: *Aug 17 09:21:49.411: RADIUS: Received from id 1645/165 10.10.10.10:1812, Access-Accept, len 38 *Aug 17 09:21:49.411: RADIUS: authenticator 18 F8 EE 21 C6 FA 4A 65 - D4 7B 4F 5F 22 53 4C F4 *Aug 17 09:21:49.411: RADIUS: Framed-Protocol [7] 6 PPP [1] *Aug 17 09:21:49.411: RADIUS: Vendor, Cisco [26] 12 *Aug 17 09:21:49.411: RADIUS: ssg-account-info [250] 6 "A1Mb" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vanishox Posted August 17, 2012 Может использовать другой радиус аттрибут? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
triam Posted August 17, 2012 http://www.cisco.com/en/US/docs/ios/solutions_docs/edge_ios/dep_ge.html Нужно ещё посылать N1Mb, чтобы активировать сервис на клиентской сессии. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vanishox Posted August 19, 2012 http://www.cisco.com/en/US/docs/ios/solutions_docs/edge_ios/dep_ge.html Нужно ещё посылать N1Mb, чтобы активировать сервис на клиентской сессии. Нужно кроме Cisco-Account-Info = Аservice_name... посылать еще аттрибут для активации самого сервиса? Я предполагал, что для активации сервиса достаточно будет только Cisco-Account-Info. Если не затруднит приведите пример, пожалуйста. В начале ссылки пишут что проверено было на с7200 и с7300, для АСР также подходит? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
triam Posted August 20, 2012 Для ACP тоже подходит. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vanishox Posted August 20, 2012 triam, постойте. Я запутался. Я правильно понимаю алгоритм работы SSG/ISG: 1. Пользователь проходит авторизацию на радиус сервере. 2. Авторизация прошла успешно - радиус сервер присылает User Profile вида: [ //localhost/Radius/UserLists/7301-users/00e0.8121.7dde/Attributes ] cisco-Avpair = subscriber:classname=C73-2 cisco-Avpair = accounting-list=AAA-MLIST Cisco-SSG-Account-Info = AINTERNET Cisco-SSG-Account-Info = AGAMING Cisco-SSG-Account-Info = AVOIP User-Name = User1 3. Затем ISG устройство увидев в этом профиле строчки вида - Cisco-SSG-Account-Info = AINTERNET, понимает, что ему нужно подгрузить сервис для данного юзера. 4. Устройство ISG смотрит у себя в конфиге откуда брать сервисы: 4.1 Либо из радиуса: - aaa authorization subscriber-service default local group хххRADIUSxxx 4.2 Либо брать локально без всякого радиуса: - aaa authorization subscriber-service default local - 4.1.1 В случае если с радиусом, то нужно чтобы в конфиге был задан пароль для авторизации сервисов вида: subscriber service password ХХХХХХХХХХХ 4.1.2 Завести в радиусе пользователя под этот сервис вида: INTERNET Service Profile This profile specifies one traffic class. Name = INTERNET Description = Password = ХХХХХХХХХХХ Enabled = TRUE Group~ = BaseProfile~ = AuthenticationScript~ = AuthorizationScript~ = UserDefined1 = AllowNullPassword = FALSE Attributes/ Cisco-AVPair = "ip:traffic-class=in access-group name INTERNET_ACL_IN" Cisco-AVPair = "ip:traffic-class=in default drop" Cisco-AVPair = "ip:traffic-class=out access-group name INTERNET_ACL_OUT" Cisco-AVPair = "ip:traffic-class=out default drop" Cisco-AVPair = subscriber:accounting-list=AAA_ACCNT_LIST Cisco-SSG-Service-Info = R10.10.10.0;255.255.255.0 Cisco-SSG-Service-Info = IINTERNET CheckItems/ 4.1.3 ISG устройство проходит авторизацию на радиусе для получения сервиса с данными для авторизации Username=Password: INTERNET = ХХХХХХХХХ 4.1.4 Радиус после авторизации высылает ISG уже сервис профиль с набором аттрибутов. И ISG его активирует и сервис поднимается. 4.2 Второй вариант - тот, что у меня - брать сервис локально из своего конфига. Для этого ведь не нужно проходить какую-либо авторизацию, просто нужно применить готовый сервис? - Вот этот момент я не могу понять - есть еще какие-то действия, которые должна выполнить ISG железка? - Должен прийти какой-то финальный аттрибут, который скажет ей: "Да, бери сервис хоть из радиуса, хоть из конфига и вперед!"? - Как он должен выглядеть? Можно конкретный пример? - Что-то типа: Cisco-SSG-Service-Info = IINTERNET - Или нужно использовать такие аттрибуты: cisco-avpair+="subscriber:service-name=INTERNET" cisco-avpair+="subscriber:command=activate-service" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
leveler Posted August 20, 2012 А show subscriber session тоже не показывает? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vanishox Posted August 20, 2012 ASR-PPPoE#sh subscriber session Current Subscriber Information: Total sessions 1 Uniq ID Interface State Service Identifier Up-time 300 Vi2.1 authen Local Term User3 00:00:10 Cессия поднимается, только ограничение в 1 Мбит не действует. Версия IOS ASR1002 : Cisco IOS Software, IOS-XE Software (PPC_LINUX_IOSD-ADVIPSERVICESK9-M), Version 15.1(1)S, RELEASE SOFTWARE (fc1) Cisco IOS-XE software, Copyright © 2005-2010 by cisco Systems, Inc. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
triam Posted August 20, 2012 Я тоже сначала путал Authentification (проверку пароля) и Authorisation (разрешения доступа) Так вот, когда проходит аутентификация пользователя вы в Access-Accept возвращаете дополнительные поля, в нашем случае имена сервисов, которые надо применить к данной сессии. И не только применить, но и "включить прямо сейчас" или активировать. Процесс проверки логина и пароля - это аутентификация, а процесс навешивания сервисов и ограничений с помощью сервисов - это авторизация. Ошибка у вас в пункте 4.1.4 без команды ISG ничего не активирует. Leveler правильно сказал, покажите вывод команды show subscriber session detail Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
leveler Posted August 21, 2012 2triam: в State может быть одно из двух значений: аутентифицировано или неутентифицировано. Поэтому авторизация к делу не относится. Зато наличие самой строки значение имеет. Ковыряясь с ISG я заметил, что если строки записи вообще нет, то что-то не подгружается, или где-то ошибка. В моём случае ошибка была в том, что я политику аккаунтинга навешивал и на пользователя, и на профиль. Раз строка есть, теперь действительно интересно взглянуть на детальный профиль конкретного пользователя. 2vanishox: Для сессии с UID 300 вот так будет выглядеть команда: show subscriber session uid 300 Там очень много полезной информации. Кстати, а почему не хотите с сервера RADIUS профиль пользователя забирать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vanishox Posted August 21, 2012 (edited) Вот вывод show subscriber session detailed: -------------------------------------------------- Unique Session ID: 300 Identifier: User3 SIP subscriber access type(s): PPPoE/PPP Current SIP options: Req Fwding/Req Fwded Session Up-time: 00:02:25, Last Changed: 00:02:25 Interface: Virtual-Access2.1 Policy information: Context 433809E4: Handle 25000179 AAA_id 00000180: Flow_handle 0 Authentication status: authen Configuration sources associated with this session: Interface: Virtual-Template1, Active Time = 00:02:25 Кстати, а почему не хотите с сервера RADIUS профиль пользователя забирать? Вы имеете ввиду сами сервисы? Если да, то в дальнейшем я так и думаю сделать, сейчас я только начал работать с ISG и решил начать с малого. Edited August 21, 2012 by vanishox Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
leveler Posted August 21, 2012 2vanishox: а вывод моей команды что показывает то? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vanishox Posted August 21, 2012 Ссори, забыл выложить - вот он. ASR-PPPoE#show subscriber session uid 300 Unique Session ID: 300 Identifier: User3 SIP subscriber access type(s): PPPoE/PPP Current SIP options: Req Fwding/Req Fwded Session Up-time: 00:00:57, Last Changed: 00:00:57 Interface: Virtual-Access2.1 Policy information: Authentication status: authen Configuration sources associated with this session: Interface: Virtual-Template1, Active Time = 00:00:57 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Bambuk Posted August 21, 2012 Пропишите на Virtual-Template ppp authorization PPPOE без этого оно не будет сервисы из Access-Accept применять. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
triam Posted August 21, 2012 Пропишите на Virtual-Template ppp authorization PPPOE без этого оно не будет сервисы из Access-Accept применять. У меня применяются =) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Bambuk Posted August 21, 2012 Пропишите на Virtual-Template ppp authorization PPPOE без этого оно не будет сервисы из Access-Accept применять. У меня применяются =) У тебя наверное aaa authorization network default ... есть Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
triam Posted August 21, 2012 У меня применяются =) У тебя наверное aaa authorization network default ... есть Да, да =) ПРо него совсем забыл. Есть такое aaa authorization network default if-authentificated Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vanishox Posted August 22, 2012 Ребята, спасибо огромное - все заработало. Теперь осталось понять схему: 1. Пользователь проходит АУТЕНТИФИКАЦИЮ на радиус сервере. 2. АУТЕНТИФИКАЦИЯ прошла успешно - радиус сервер присылает User Profile с именем сервиса - "A1Mb". 3. Затем ISG устройство увидев в этом профиле строчки вида - Cisco-Account-Info = A1Mb, понимает, что ему нужно подгрузить сервис (ограничить доступ) для данного юзера - то есть АВТОРИЗОВАТЬ. 4. Вот отсюда поподробнее можно? Если в конфиге - aaa authorization subscriber-service default local, то авторизация должна висеть на Virtual-Template ? Если в радиусе - aaa authorization subscriber-service default local group хххRADIUSxxx, то в секции ааа должна быть - aaa authorization network default ....? Что делает ISG железка затем? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
triam Posted August 23, 2012 Я сейчас отточу конфиг и выложу свой пример с описанием. Предлагую остальным сделать тоже самое =) Лучше разберёмся. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vanishox Posted August 23, 2012 (edited) Двинулся дальше - забираю сервисы с радиуса: 1. В радиусе такие данные: table radcheck: User3 User-Password == Test3 1Mb User-Password == 123 NEED-PAY User-Password == 123 OG_SRV User-Password == 123 table radreply: #Здесь сервисы которые будем отдавать прошедшему регистрацию пользователю. User3 Cisco-Account-Info = AOG_SRV User3 Cisco-Account-Info += ANEED-PAY #Здесь аттрибуты для сервиса, который разрешает хождение траффика до днс и других серверов, доступных без редиректа #(приоритет ниже чем у редиректа, чтобы сервис отрабатывал перед редиректом) OG_SRV Cisco-AVpair = ip:traffic-class=input access-group name VirtualPurse_IN priority 2 OG_SRV Cisco-AVpair += ip:traffic-class=output access-group name VirtualPurse_OUT priority 2 OG_SRV Cisco-Service-Info += QU;1000000;D;1000000 #Здесь аттрибуты для сервиса редиректа, который будет перенаправлять траффик пользователя до нужного нам сервера #(приоритет выше чем у сервиса до открытых серверов, чтобы сервис отрабатывал после OG_SRV) NEED-PAY Cisco-AVpair = ip:l4redirect=redirect to ip 10.10.65.2 port 8080 NEED-PAY Cisco-AVpair += ip:traffic-class=output access-group name REDIR-TRAFF priority 3 NEED-PAY Cisco-AVpair += ip:traffic-class=input access-group name REDIR-TRAFF priority 3 2. Сервисы отдаются на ASR без проблем: ASR-PPPoE#sh subscriber service Service "NEED-PAY": Version 1: SVM ID : 4900009C Child ID : FA00009E Locked by : SVM-Printer [1] Locked by : PM-Service [1] Locked by : PM-Info [1] Locked by : FM-Bind [1] Locked by : TC-Child [1] Profile : 4354CDA0 Profile name: NEED-PAY, 4 references l4redirect "redirect to ip 10.10.65.2 port 8080" traffic-class "output access-group name REDIR-TRAFF priority 3" traffic-class "input access-group name REDIR-TRAFF priority 3" Feature : TC Feature IDB type : Sub-if or not required Feature Data : 28 bytes: : 000000 00 00 FA 00 00 9E 00 00 ........ : 000008 00 03 00 00 00 00 43 50 ......cp : 000010 EA 48 00 00 00 03 00 00 .h...... : 000018 00 00 43 52 ..cr Version 1: SVM ID : FA00009E Parent ID : 4900009C Locked by : SVM-Printer [1] Locked by : FM-Bind [1] Locked by : SM-SIP-Apply [1] Locked by : TC-Parent [1] Feature : L4 Redirect Feature IDB type : Sub-if or not required Feature Data : 20 bytes: : 000000 00 00 39 3A C9 A4 39 3A ..9:..9: : 000008 C9 A4 00 00 00 01 00 00 ........ : 000010 00 00 00 00 .... Service "OG_SRV": Version 1: SVM ID : A700009D Child ID : 9700009F Locked by : SVM-Printer [1] Locked by : PM-Service [1] Locked by : PM-Info [1] Locked by : FM-Bind [1] Locked by : TC-Child [1] Profile : 4354CD60 Profile name: OG_SRV, 4 references traffic-class "input access-group name VirtualPurse_IN priority 2" traffic-class "output access-group name VirtualPurse_OUT priority 2" ssg-service-info "QU;1000000;D;1000000" Feature : TC Feature IDB type : Sub-if or not required Feature Data : 28 bytes: : 000000 00 00 97 00 00 9F 00 00 ........ : 000008 00 02 00 00 00 00 42 A2 ......b. : 000010 1A 7C 00 00 00 02 00 00 .|...... : 000018 00 00 43 52 ..cr Version 1: SVM ID : 9700009F Parent ID : A700009D Locked by : SVM-Printer [1] Locked by : FM-Bind [1] Locked by : SM-SIP-Apply [1] Locked by : TC-Parent [1] 3. Но почему-то все запросы на DNS сервер заворачиваются на сервер для редиректа - порт 8080. (Отмечу - что сервер ДНС и червер редиректа имеет один и тот же IP). ASR-PPPoE# sh redirect translations Source IP/port Destination IP/port Server IP/port Prot 172.16.87.56 50978 10.10.65.2 53 10.10.65.2 8080 UDP 172.16.87.56 54197 10.10.65.2 53 10.10.65.2 8080 UDP 172.16.87.56 55562 10.10.65.2 53 10.10.65.2 8080 UDP 172.16.87.56 56138 10.10.65.2 53 10.10.65.2 8080 UDP 172.16.87.56 59255 10.10.65.2 53 10.10.65.2 8080 UDP 172.16.87.56 60094 10.10.65.2 53 10.10.65.2 8080 UDP 172.16.87.56 60274 10.10.65.2 53 10.10.65.2 8080 UDP 172.16.87.56 61218 10.10.65.2 53 10.10.65.2 8080 UDP 172.16.87.56 63389 10.10.65.2 53 10.10.65.2 8080 UDP 172.16.87.56 65353 10.10.65.2 53 10.10.65.2 8080 UDP Total Number of Translations: 11 4. Вот аксесс листы: #Для серверов без редиректа ip access-list extended VirtualPurse_IN permit ip any host 10.10.65.2 permit ip any host 10.10.66.166 permit ip any host 10.10.65.42 permit ip any host 10.10.65.171 permit ip any host 10.10.65.169 deny ip any any ip access-list extended VirtualPurse_OUT permit ip host 10.10.65.2 any permit ip host 10.10.66.166 any permit ip host 10.10.65.42 any permit ip host 10.10.65.171 any permit ip host 10.10.65.169 any deny ip any any #Для редиректа ip access-list extended REDIR-TRAFF permit ip any any Не могу понять - где я ошибся? Edited August 23, 2012 by vanishox Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vanishox Posted August 23, 2012 2triam - конечно же выкладывайте на примере всегда проще разобраться :). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
leveler Posted August 24, 2012 Покажите show subscriber session uid <UID>. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vanishox Posted August 24, 2012 (edited) ASR-PPPoE#sh subscriber session uid 356 detailed Unique Session ID: 356 Identifier: User3 SIP subscriber access type(s): PPPoE/PPP Current SIP options: Req Fwding/Req Fwded Session Up-time: 00:01:31, Last Changed: 00:01:31 Interface: Virtual-Access2.1 Policy information: Context 43380808: Handle 9B0001D3 AAA_id 000001A9: Flow_handle 0 Authentication status: authen Downloaded User profile, excluding services: ssg-account-info "AOG_SRV" ssg-account-info "ANEED-PAY" Framed-Protocol 1 [PPP] username "User3" Downloaded User profile, including services: ssg-account-info "AOG_SRV" ssg-account-info "ANEED-PAY" Framed-Protocol 1 [PPP] username "User3" l4redirect "redirect to ip 10.10.65.2 port 8080" traffic-class "input access-group name VirtualPurse_IN priority 2" traffic-class "output access-group name VirtualPurse_OUT priority 2" ssg-service-info "QU;10000;D;10000" Config history for session (recent to oldest): Access-type: Web-service-logon Client: SM Policy event: Apply Config Success (Service) Profile name: OG_SRV, 4 references traffic-class "input access-group name VirtualPurse_IN priority 2" traffic-class "output access-group name VirtualPurse_OUT priority 2" ssg-service-info "QU;10000;D;10000" Access-type: Web-service-logon Client: SM Policy event: Apply Config Success (Service) Profile name: NEED-PAY, 4 references l4redirect "redirect to ip 10.10.65.2 port 8080" traffic-class "output access-group name REDIR-TRAFF priority 3" traffic-class "input access-group name REDIR-TRAFF priority 3" Access-type: PPP Client: SM Policy event: Process Config Connecting Profile name: User3, 2 references ssg-account-info "AOG_SRV" ssg-account-info "ANEED-PAY" Framed-Protocol 1 [PPP] username "User3" Active services associated with session: name "OG_SRV" name "NEED-PAY" Session inbound features: Traffic classes: Traffic class session ID: 357 ACL Name: REDIR-TRAFF, Packets = 196, Bytes = 12135 Traffic class session ID: 358 ACL Name: VirtualPurse_IN, Packets = 2, Bytes = 656 Unmatched Packets = 0, Re-classified packets (redirected) = 2 Feature: Layer 4 Redirect Rule table is empty Session outbound features: Traffic classes: Traffic class session ID: 357 ACL Name: REDIR-TRAFF, Packets = 0, Bytes = 0 Traffic class session ID: 358 ACL Name: VirtualPurse_OUT, Packets = 1, Bytes = 356 Unmatched Packets = 0, Re-classified packets (redirected) = 0 Configuration sources associated with this session: Service: OG_SRV, Active Time = 00:01:31 Service: NEED-PAY, Active Time = 00:01:31 Interface: Virtual-Template1, Active Time = 00:01:31 Я так понимаю проблема в этом? Downloaded User profile, including services: ssg-account-info "AOG_SRV" ssg-account-info "ANEED-PAY" Framed-Protocol 1 [PPP] username "User3" l4redirect "redirect to ip 10.10.65.2 port 8080" traffic-class "input access-group name VirtualPurse_IN priority 2" traffic-class "output access-group name VirtualPurse_OUT priority 2" ssg-service-info "QU;10000;D;10000" Config history for session (recent to oldest): Только не пойму почему - я же в профиле пользователя отдаю только сервисы - AOG_SRV и ANEED-PAY. Edited August 24, 2012 by vanishox Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
