Jump to content

cisco ISG и несколько L4 redirect

shafiev
 Share

Recommended Posts

shafiev

shafiev

Posted
Posted (edited)

Доброго времения суток.

Встала задача организации переброски определенных абонентов( ипов ) на разные узлы. То есть к примеру 10.2.2.2 идет по обычному каналу, а другой идет по другому(или отрабатывается другим acl ) .

В данный момент нормально отрабатывается переброс на биллинг. (Как в легендарном мануале l4redirect пара http://wiki.sirmax.n...a/index.php/ISG )

Как я предполагаю, это надо реализовать посредством l4redirect пары .

Все это надо организовать на cisco 7201 на которой работает связка ISG + freeradius 2 и abills .

Поделитесь мыслями возможно или как это с организовать.

 

P.S Не хочеться делать это PBR(route-map ) посредством загрузки acl на циску посреством rshell / telnet/ ssh /tfpt /etc.

Хочеться это через радиус соорганизовать .

P.P.S Все это предполагается для отправки части абонента посредством запросов по WCCP на Websense .

 

Исходной конфиг.


version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname BRAS
!
boot-start-marker
boot system disk0:c7200p-adventerprisek9-mz.122-33.SRE2.bin
boot-end-marker
!
security passwords min-length 1
enable secret 5 $1$E7AKTSoYiWGpNqo/
!
aaa new-model
!
!
aaa group server radius ISG-RADIUS
server 10.y.1.166 auth-port 1812 acct-port 1813
!
aaa authentication login ISG-AUTH-1 group ISG-RADIUS
aaa authorization network ISG-AUTH-1 group ISG-RADIUS 
aaa authorization subscriber-service default local group ISG-RADIUS 
aaa accounting network ISG-AUTH-1
action-type start-stop
group ISG-RADIUS
!
!
!
!
!
aaa server radius dynamic-author
client 10.y.1.166
server-key 7 382705
!
aaa session-id common
clock timezone 
no ip source-route
ip cef
!
!
! 		
!
ip domain name ada
no ipv6 cef
!
subscriber feature prepaid TRAFFIC_PREPAID
threshold time 1 seconds
threshold volume 1 bytes
interim-interval 1 minutes
method-list author ISG-AUTH-1
method-list accounting ISG-AUTH-1
password isg
!
service-policy type control ISG-CUSTOMERS-POLICY
redirect server-group REDIRECT_NOPAY
server ip 10.y.1.166 port 80
!
multilink bundle-name authenticated
!
!
archive
log config
 hidekeys
username timur secret 5 $1$tNvK$JtLTcBzmRZ7MF/slQRl4m.
username admins secret 5 $1$7Vo7$dWDUPSq4J/GLNxmssezeA.
username naim privilege 15 secret 5 $1$qOuR$Y7RRLxr.7KdYkwq5o32VD0
!
!
ip ssh authentication-retries 5
class-map type traffic match-any CLASS-TO-REDIRECT
match access-group input 197
match access-group output 197
!
class-map type control match-all ISG-IP-UNAUTH
match timer UNAUTH-TIMER 
match authen-status unauthenticated 
!
policy-map type service LOCAL_L4R
ip access-group 197 in
ip access-group 197 out
1 class type traffic CLASS-TO-REDIRECT
 redirect to group REDIRECT_NOPAY
!
!
policy-map type control ISG-CUSTOMERS-POLICY
class type control ISG-IP-UNAUTH event timed-policy-expiry
 1 service disconnect
!
class type control always event quota-depleted
 1 set-param drop-traffic FALSE
!
class type control always event credit-exhausted
 1 service-policy type service name LOCAL_L4R
!
class type control always event session-start
 10 authorize aaa list ISG-AUTH-1 password isg identifier source-ip-address
 20 set-timer UNAUTH-TIMER 1
 30 service-policy type service name SERVICE_L4R
!
class type control always event session-restart
 10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address
 20 set-timer UNAUTH-TIMER 1
 30 service-policy type service name SERVICE_L4R
!
!
! 
!
!
!
!
!
interface FastEthernet0/0
ip address 10.y.1.139 255.255.0.0
speed auto
duplex auto
!
interface GigabitEthernet0/0
ip address 10.x.33.30 255.255.255.252
media-type rj45
speed auto
duplex auto
negotiation auto
service-policy type control ISG-CUSTOMERS-POLICY
ip subscriber routed
 initiator unclassified ip-address
!
interface GigabitEthernet0/1
ip address 10.x.33.37 255.255.255.252
media-type rj45
speed auto
duplex auto
negotiation auto
! 		
interface GigabitEthernet0/2
ip address 10.x.33.41 255.255.255.252
speed auto
duplex auto
negotiation auto
!
interface GigabitEthernet0/3
no ip address
shutdown
speed auto
duplex auto
negotiation auto
!
!
router eigrp 1
network 10.x.6.128 0.0.0.127
network 10.x.33.20 0.0.0.3
network 10.x.33.28 0.0.0.3
network 10.x.0.0 0.0.255.255
!
!
!
no ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 10.x.33.38
!
logging alarm informational
access-list 196 permit ip any any
access-list 197 permit tcp any any eq www
access-list 197 permit tcp any eq www any
access-list 197 permit udp any any eq domain
access-list 197 permit udp any eq domain any
access-list 197 deny   ip any any
access-list 198 permit tcp any any eq www
access-list 198 permit tcp any eq www any
access-list 198 permit udp any any eq domain
access-list 198 permit udp any eq domain any
access-list 198 permit tcp any any eq 9443
access-list 198 permit tcp any eq 9443 any
access-list 198 deny   ip any any
access-list compiled
!
!
radius-server attribute 44 include-in-access-req
radius-server attribute 44 extend-with-addr
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-accounting-req 
radius-server attribute 55 include-in-acct-req
radius-server attribute 31 mac format unformatted
radius-server host 10.2.1.166 auth-port 1812 acct-port 1813 key 7 141E010C
radius-server vsa send cisco-nas-port
radius-server vsa send accounting
radius-server vsa send authentication
!
control-plane
!
!
line con 0
stopbits 1
line aux 0
stopbits 1
line vty 0 4
exec-timeout 360 0
password 7 000
absolute-timeout 360
transport input all
line vty 5 15
exec-timeout 360 0
!
end

Edited by shafiev
triam

triam

Posted
Posted

Вы хотите направлять балансировать весь трафик клиента средствами l4redirect ?

Если вы хотите просто редиректить клиентов на разные странички, то выдавайте разные сервисы - разным клиентам.

shafiev

shafiev

Posted
  • Author
Posted

Вы хотите направлять балансировать весь трафик клиента средствами l4redirect ?

Если вы хотите просто редиректить клиентов на разные странички, то выдавайте разные сервисы - разным клиентам.

 

Нет я балансировать весь траф не хочу.

 

>Если вы хотите просто редиректить клиентов на разные странички, то выдавайте разные сервисы - разным клиентам.

 

ок , но там толи приоритеты,то ли еще,что-то но вот если у меня поставить после 

class type control always event session-start
 10 authorize aaa list ISG-AUTH-1 password isg identifier source-ip-address
 20 set-timer UNAUTH-TIMER 1
 30 service-policy type service name SERVICE_L4R

 

это 40 service-policy type service name WEBSENSE_ACCESS

+ я предварительно и users редирект на новую группу написал

 

redirect server-group TO_WEBSENSE
server ip 10.н.я.ы1 port 80
!

 

То отрабатывается то что приоритетней ( то есть 30 [ можно ставить туда и WEBSENSE_ACCESS и также SERVICE_L4R ]

, и на другое правило уже никакого пакета не приходит )

shafiev

shafiev

Posted
  • Author
Posted

Передавайте параметры редиректа ip адрес и порт и acl в AVP c радиуса.

 

Так и было прописанно , но все равно эффекта нету .

Походу придеться смореть в сторону VRF ( что-то походу http://tsolodov.blog...r-1002-isg.html ) смореть.

 

SERVICE_L4R 	User-Password == "cisco", Auth-Type = Accept
           	Cisco-AVPair += "ip:l4redirect=redirect list 197 to group REDIRECT_NOPAY",
           	Cisco-AVpair += "traffic-class=input access-group 198",
           	Cisco-AVpair += "traffic-class=output access-group 198",
           	Cisco-AVPair += "ip:traffic-class=out default drop",
           	Cisco-AVPair += "ip:traffic-class=in default drop",
           	Idle-Timeout =  "600"


BILLING_ACCESS  Password == "isg", Auth-Type = Accept
           	Cisco-AVPair += "ip:traffic-class=in access-group 195 priority 4",
           	Cisco-AVPair += "ip:traffic-class=out access-group 195 priority4",
           	Cisco-Account-Info += "QU;512000;256000;D;512000;256000"



WEBSENSE_ACCESS Password == "cisco", Auth-Type = Accept
           	Cisco-AVPair += "ip:l4redirect=redirect list 197 to group TO_WEBSENSE",
           	Cisco-AVpair += "traffic-class=input access-group 198",
           	Cisco-AVpair += "traffic-class=output access-group 198",
           	Cisco-AVPair += "ip:traffic-class=out default drop",
           	Cisco-AVPair += "ip:traffic-class=in default drop",
           	Idle-Timeout =  "60"

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.