SSG, описываем сервисы на брасе, назначаем из радиуса

survivor · November 27, 2012

Доброго дня!

Есть один момент, который не могу никак взять в толк: Описываю сервис на брасе:

policy-map type service L4REDIRECT
10 class type traffic WWW-TRAFFIC
 redirect to group HOME-CABINET

назначаю из радиуса:

cisco-avpair="ssg-account-info=AL4REDIRECT"

на циске прописываю:

aaa authorization subscriber-service default local

чтобы она искала описание сервиса локально, а не обращалась к радиусу (биллинг у меня ISG не поддерживает).

клиент коннектится по PPPoE, на Virtual-Template ничего для ISG не прописываю - все равно сессия "ip subscriber interface" при PPPoE получится, "service-policy type control" тоже опускаю за ненадобностью.

Все работает, http исправно редиректится на нужную страничку, остальной (разрешенный acl'ами) траффик идет нормально, проблем нет. Но кое-что хочется понять: насколько я знаю можно сессии навесить несколько сервисов, с разными приоритетами. Я это делал через "policy-map type control" привязанный статично к Virtual-Template интерфейсу, но что делать когда сервисы навешиваются из радиуса? А описываются на брасе. Я никаких механизмов регулирования приоритетов сервисов в этом случае не нашел, да, и как в моем случае привязать сервис только на IN или OUT?

Спасибо заранее!

survivor · November 27, 2012

Попробовал описать два сервиса:

policy-map type service L4REDIRECT
10 class type traffic WWW-TRAFFIC
 redirect to group HOME-CABINET
!
!
policy-map type service L4REDIRECT2
15 class type traffic NON-WWW-TRAFFIC
 redirect to group HOME-CABINET

и привязать к абоненту сразу оба:

cisco-avpair="ssg-account-info=AL4REDIRECT"
cisco-avpair="ssg-account-info=AL4REDIRECT2"

Оба сервиса сели и приоритеты учлись:

sh subscriber session username ...

Policy information:
 Authentication status: authen
 Active services associated with session:
   name "L4REDIRECT"
   name "L4REDIRECT2"
 Rules, actions and conditions executed:
   subscriber rule-map default-internal-rule
     condition always event service-start
       1 service-policy type service identifier service-name
   subscriber rule-map default-internal-rule
     condition always event service-start
       1 service-policy type service identifier service-name

Classifiers:
Class-id    Dir   Packets    Bytes                  Pri.  Definition
0           In    2          656                    0    Match Any
1           Out   0          0                      0    Match Any
30          In    5          1064                   15   Match ACL non-www-traffic
32          In    0          0                      10   Match ACL traffic-for-redirect
L4 Redirect:
Class-id   Rule cfg  Definition                               Source
30         #1   SVC  to group HOME-CABINET                    L4REDIRECT2
32         #1   SVC  to group HOME-CABINET                    L4REDIRECT

Configuration Sources:
Type  Active Time  AAA Service ID  Name
SVC   00:00:04     -               L4REDIRECT2
SVC   00:00:04     -               L4REDIRECT
USR   00:00:04     -               Peruser
INT   00:00:04     -               Virtual-Template1

Как я понимаю, в моем случае приоритеты можно задать только статично заранее в описании сервисов и нельзя их поменять из радиуса. Но как привязать сервис только на IN или только на OUT?

m1h · November 27, 2012

Но как привязать сервис только на IN или только на OUT?

в class-map более четко определить...

т.е. у вас будет два сервиса, в один попадут только ingress, в другой только egress пакеты

survivor · November 27, 2012

Ну это скучно как-то... :) а непосредственно привязать сервис к направлению траффика нельзя?

m1h · November 27, 2012

По всей видимости нет...

Я не нашел такого.

Кроме всего прочего, в policy-map type traffic нельзя делать 2 non-default класса.

TRIada · December 10, 2020

Что-то не получается мне повысить скорость к определенному айпи в рамках pppoe сессии.

class-map type traffic match-any CLS_ACCEPT
 match access-group output name ACL_ACCEPT
 match access-group input name ACL_ACCEPT
!
class-map type traffic match-any CLS_NOSHAPE
 match access-group output name ACL_NOSHAPE
 match access-group input name ACL_NOSHAPE
!
policy-map type service FWPOL_ACCEPT
 service local
 20 class type traffic CLS_ACCEPT
 !
 class type traffic default in-out
 !
!
policy-map type service FWPOL_DEFAULT
 service local
 10 class type traffic CLS_ACCEPT
  police input 512000
  police output 512000
 !
!
policy-map type service FWPOL_NOSHAPE
 service local
 40 class type traffic CLS_NOSHAPE
  police input 90000000
  police output 90000000
 !
!
ip access-list extended ACL_ACCEPT
 permit ip any any
ip access-list extended ACL_NOSHAPE
 permit ip 10.139.0.0 0.0.255.255 10.139.0.0 0.0.255.255
 permit ip any 10.10.0.0 0.0.255.255
 permit ip 10.10.0.0 0.0.255.255 any

в сессии вижу

Type: PPPoE, UID: 225, State: authen, Identity: 100013
IPv4 Address: 172.19.0.155
Session Up-time: 00:05:24, Last Changed: 00:05:25
Interface: Virtual-Access2.348
Switch-ID: 1422596

Policy information:
  Authentication status: authen
  Active services associated with session:
    name "FWPOL_ACCEPT"
    name "FWPOL_NOSHAPE"
  Rules, actions and conditions executed:
    subscriber rule-map default-internal-rule
      condition always event service-start
        1 service-policy type service identifier service-name
    subscriber rule-map default-internal-rule
      condition always event service-start
        1 service-policy type service identifier service-name

Classifiers:
Class-id    Dir   Packets    Bytes                  Pri.  Definition
0           In    24679      12301984               0    Match Any
1           Out   21321      12763310               0    Match Any
22          In    24679      12301984               0    Match ACL ACL_ACCEPT
23          Out   21321      12763310               0    Match ACL ACL_ACCEPT
52          In    0          0                      40   Match ACL ACL_NOSHAPE
53          Out   0          0                      40   Match ACL ACL_NOSHAPE

Features:

IP Config:
M=Mandatory, T=Tag, Mp=Mandatory pool
Flags  Peer IP Address                  Pool Name             Interface
       172.19.0.155                     [None]                [None]
       ::                               [None]                [None]

Interface Config:
Class-id  Configuration Status           Source
0          This feature is enabled       Peruser

Absolute Timeout:
Class-id   Timeout Value    Time Remaining       Source
0          86400            23:54:35             Peruser

Idle Timeout:
Class-id   Dir  Timeout value   Idle-Time            Source
1          Out  4200            00:00:09             Peruser

Policing:
Class-id   Dir  Avg. Rate   Normal Burst  Excess Burst Source
0          In   4000000     750000        0            Peruser
1          Out  4000000     750000        1500000      Peruser
52         In   90000000    16875000      33750000     FWPOL_NOSHAPE
53         Out  90000000    16875000      33750000     FWPOL_NOSHAPE

Configuration Sources:
Type  Active Time  AAA Service ID  Name
SVC   00:05:25     -               FWPOL_ACCEPT
SVC   00:05:25     -               FWPOL_NOSHAPE
USR   00:05:25     -               Peruser
INT   00:05:25     -               Virtual-Template128

Если добавить в ACL_ACCEPT исключение для айпи, которые прописаны в ACL_NOSHAPE, появляются матчи, но скорость все равно 4мбита. Как вообще тут приоритеты работают, чем выше цифра тем выше или как? Хочу сделать так, чтобы сначала проверялось условие в ACL_NOSHAPE. Эти сервисы прилетают с bgbilling через cisco-SSG-Account-Info=AFWPOL_NOSHAPE итп.

asr1002 - asr1000rp1-adventerprisek9.03.16.09.S.155-3.S9-ext

Edited December 10, 2020 by TRIada
неправильно написал access-list ACL_NOSHAPE

zhenya` · December 10, 2020

Вы скорость назначаете на сессию. Вам надо разные сервисы под разные скорости.

Sign In

SSG, описываем сервисы на брасе, назначаем из радиуса

Recommended Posts

survivor

survivor

m1h

survivor

m1h

TRIada

zhenya`

Join the conversation