shafiev Posted October 11, 2012 (edited) Доброго времения суток. Встала задача организации переброски определенных абонентов( ипов ) на разные узлы. То есть к примеру 10.2.2.2 идет по обычному каналу, а другой идет по другому(или отрабатывается другим acl ) . В данный момент нормально отрабатывается переброс на биллинг. (Как в легендарном мануале l4redirect пара http://wiki.sirmax.n...a/index.php/ISG ) Как я предполагаю, это надо реализовать посредством l4redirect пары . Все это надо организовать на cisco 7201 на которой работает связка ISG + freeradius 2 и abills . Поделитесь мыслями возможно или как это с организовать. P.S Не хочеться делать это PBR(route-map ) посредством загрузки acl на циску посреством rshell / telnet/ ssh /tfpt /etc. Хочеться это через радиус соорганизовать . P.P.S Все это предполагается для отправки части абонента посредством запросов по WCCP на Websense . Исходной конфиг. version 12.2 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname BRAS ! boot-start-marker boot system disk0:c7200p-adventerprisek9-mz.122-33.SRE2.bin boot-end-marker ! security passwords min-length 1 enable secret 5 $1$E7AKTSoYiWGpNqo/ ! aaa new-model ! ! aaa group server radius ISG-RADIUS server 10.y.1.166 auth-port 1812 acct-port 1813 ! aaa authentication login ISG-AUTH-1 group ISG-RADIUS aaa authorization network ISG-AUTH-1 group ISG-RADIUS aaa authorization subscriber-service default local group ISG-RADIUS aaa accounting network ISG-AUTH-1 action-type start-stop group ISG-RADIUS ! ! ! ! ! aaa server radius dynamic-author client 10.y.1.166 server-key 7 382705 ! aaa session-id common clock timezone no ip source-route ip cef ! ! ! ! ip domain name ada no ipv6 cef ! subscriber feature prepaid TRAFFIC_PREPAID threshold time 1 seconds threshold volume 1 bytes interim-interval 1 minutes method-list author ISG-AUTH-1 method-list accounting ISG-AUTH-1 password isg ! service-policy type control ISG-CUSTOMERS-POLICY redirect server-group REDIRECT_NOPAY server ip 10.y.1.166 port 80 ! multilink bundle-name authenticated ! ! archive log config hidekeys username timur secret 5 $1$tNvK$JtLTcBzmRZ7MF/slQRl4m. username admins secret 5 $1$7Vo7$dWDUPSq4J/GLNxmssezeA. username naim privilege 15 secret 5 $1$qOuR$Y7RRLxr.7KdYkwq5o32VD0 ! ! ip ssh authentication-retries 5 class-map type traffic match-any CLASS-TO-REDIRECT match access-group input 197 match access-group output 197 ! class-map type control match-all ISG-IP-UNAUTH match timer UNAUTH-TIMER match authen-status unauthenticated ! policy-map type service LOCAL_L4R ip access-group 197 in ip access-group 197 out 1 class type traffic CLASS-TO-REDIRECT redirect to group REDIRECT_NOPAY ! ! policy-map type control ISG-CUSTOMERS-POLICY class type control ISG-IP-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event quota-depleted 1 set-param drop-traffic FALSE ! class type control always event credit-exhausted 1 service-policy type service name LOCAL_L4R ! class type control always event session-start 10 authorize aaa list ISG-AUTH-1 password isg identifier source-ip-address 20 set-timer UNAUTH-TIMER 1 30 service-policy type service name SERVICE_L4R ! class type control always event session-restart 10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address 20 set-timer UNAUTH-TIMER 1 30 service-policy type service name SERVICE_L4R ! ! ! ! ! ! ! ! interface FastEthernet0/0 ip address 10.y.1.139 255.255.0.0 speed auto duplex auto ! interface GigabitEthernet0/0 ip address 10.x.33.30 255.255.255.252 media-type rj45 speed auto duplex auto negotiation auto service-policy type control ISG-CUSTOMERS-POLICY ip subscriber routed initiator unclassified ip-address ! interface GigabitEthernet0/1 ip address 10.x.33.37 255.255.255.252 media-type rj45 speed auto duplex auto negotiation auto ! interface GigabitEthernet0/2 ip address 10.x.33.41 255.255.255.252 speed auto duplex auto negotiation auto ! interface GigabitEthernet0/3 no ip address shutdown speed auto duplex auto negotiation auto ! ! router eigrp 1 network 10.x.6.128 0.0.0.127 network 10.x.33.20 0.0.0.3 network 10.x.33.28 0.0.0.3 network 10.x.0.0 0.0.255.255 ! ! ! no ip http server no ip http secure-server ip route 0.0.0.0 0.0.0.0 10.x.33.38 ! logging alarm informational access-list 196 permit ip any any access-list 197 permit tcp any any eq www access-list 197 permit tcp any eq www any access-list 197 permit udp any any eq domain access-list 197 permit udp any eq domain any access-list 197 deny ip any any access-list 198 permit tcp any any eq www access-list 198 permit tcp any eq www any access-list 198 permit udp any any eq domain access-list 198 permit udp any eq domain any access-list 198 permit tcp any any eq 9443 access-list 198 permit tcp any eq 9443 any access-list 198 deny ip any any access-list compiled ! ! radius-server attribute 44 include-in-access-req radius-server attribute 44 extend-with-addr radius-server attribute 8 include-in-access-req radius-server attribute 32 include-in-accounting-req radius-server attribute 55 include-in-acct-req radius-server attribute 31 mac format unformatted radius-server host 10.2.1.166 auth-port 1812 acct-port 1813 key 7 141E010C radius-server vsa send cisco-nas-port radius-server vsa send accounting radius-server vsa send authentication ! control-plane ! ! line con 0 stopbits 1 line aux 0 stopbits 1 line vty 0 4 exec-timeout 360 0 password 7 000 absolute-timeout 360 transport input all line vty 5 15 exec-timeout 360 0 ! end Edited October 11, 2012 by shafiev Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
triam Posted October 11, 2012 Вы хотите направлять балансировать весь трафик клиента средствами l4redirect ? Если вы хотите просто редиректить клиентов на разные странички, то выдавайте разные сервисы - разным клиентам. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shafiev Posted October 11, 2012 Вы хотите направлять балансировать весь трафик клиента средствами l4redirect ? Если вы хотите просто редиректить клиентов на разные странички, то выдавайте разные сервисы - разным клиентам. Нет я балансировать весь траф не хочу. >Если вы хотите просто редиректить клиентов на разные странички, то выдавайте разные сервисы - разным клиентам. ок , но там толи приоритеты,то ли еще,что-то но вот если у меня поставить после class type control always event session-start 10 authorize aaa list ISG-AUTH-1 password isg identifier source-ip-address 20 set-timer UNAUTH-TIMER 1 30 service-policy type service name SERVICE_L4R это 40 service-policy type service name WEBSENSE_ACCESS + я предварительно и users редирект на новую группу написал redirect server-group TO_WEBSENSE server ip 10.н.я.ы1 port 80 ! То отрабатывается то что приоритетней ( то есть 30 [ можно ставить туда и WEBSENSE_ACCESS и также SERVICE_L4R ] , и на другое правило уже никакого пакета не приходит ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
config Posted October 11, 2012 Передавайте параметры редиректа ip адрес и порт и acl в AVP c радиуса. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shafiev Posted October 11, 2012 Передавайте параметры редиректа ip адрес и порт и acl в AVP c радиуса. Так и было прописанно , но все равно эффекта нету . Походу придеться смореть в сторону VRF ( что-то походу http://tsolodov.blog...r-1002-isg.html ) смореть. SERVICE_L4R User-Password == "cisco", Auth-Type = Accept Cisco-AVPair += "ip:l4redirect=redirect list 197 to group REDIRECT_NOPAY", Cisco-AVpair += "traffic-class=input access-group 198", Cisco-AVpair += "traffic-class=output access-group 198", Cisco-AVPair += "ip:traffic-class=out default drop", Cisco-AVPair += "ip:traffic-class=in default drop", Idle-Timeout = "600" BILLING_ACCESS Password == "isg", Auth-Type = Accept Cisco-AVPair += "ip:traffic-class=in access-group 195 priority 4", Cisco-AVPair += "ip:traffic-class=out access-group 195 priority4", Cisco-Account-Info += "QU;512000;256000;D;512000;256000" WEBSENSE_ACCESS Password == "cisco", Auth-Type = Accept Cisco-AVPair += "ip:l4redirect=redirect list 197 to group TO_WEBSENSE", Cisco-AVpair += "traffic-class=input access-group 198", Cisco-AVpair += "traffic-class=output access-group 198", Cisco-AVPair += "ip:traffic-class=out default drop", Cisco-AVPair += "ip:traffic-class=in default drop", Idle-Timeout = "60" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
