[survivor]

Доброго дня!

 

Есть один момент, который не могу никак взять в толк: Описываю сервис на брасе:

policy-map type service L4REDIRECT
10 class type traffic WWW-TRAFFIC
 redirect to group HOME-CABINET

 

назначаю из радиуса:

cisco-avpair="ssg-account-info=AL4REDIRECT"

 

на циске прописываю:

aaa authorization subscriber-service default local 

чтобы она искала описание сервиса локально, а не обращалась к радиусу (биллинг у меня ISG не поддерживает).

 

клиент коннектится по PPPoE, на Virtual-Template ничего для ISG не прописываю - все равно сессия "ip subscriber interface" при PPPoE получится, "service-policy type control" тоже опускаю за ненадобностью.

 

Все работает, http исправно редиректится на нужную страничку, остальной (разрешенный acl'ами) траффик идет нормально, проблем нет. Но кое-что хочется понять: насколько я знаю можно сессии навесить несколько сервисов, с разными приоритетами. Я это делал через "policy-map type control" привязанный статично к Virtual-Template интерфейсу, но что делать когда сервисы навешиваются из радиуса? А описываются на брасе. Я никаких механизмов регулирования приоритетов сервисов в этом случае не нашел, да, и как в моем случае привязать сервис только на IN или OUT?

 

Спасибо заранее!

[survivor]

Попробовал описать два сервиса:

policy-map type service L4REDIRECT
10 class type traffic WWW-TRAFFIC
 redirect to group HOME-CABINET
!
!
policy-map type service L4REDIRECT2
15 class type traffic NON-WWW-TRAFFIC
 redirect to group HOME-CABINET

 

и привязать к абоненту сразу оба:

cisco-avpair="ssg-account-info=AL4REDIRECT"
cisco-avpair="ssg-account-info=AL4REDIRECT2"

 

Оба сервиса сели и приоритеты учлись:

sh subscriber session username ...

Policy information:
 Authentication status: authen
 Active services associated with session:
   name "L4REDIRECT"
   name "L4REDIRECT2"
 Rules, actions and conditions executed:
   subscriber rule-map default-internal-rule
     condition always event service-start
       1 service-policy type service identifier service-name
   subscriber rule-map default-internal-rule
     condition always event service-start
       1 service-policy type service identifier service-name

Classifiers:
Class-id    Dir   Packets    Bytes                  Pri.  Definition
0           In    2          656                    0    Match Any
1           Out   0          0                      0    Match Any
30          In    5          1064                   15   Match ACL non-www-traffic
32          In    0          0                      10   Match ACL traffic-for-redirect
L4 Redirect:
Class-id   Rule cfg  Definition                               Source
30         #1   SVC  to group HOME-CABINET                    L4REDIRECT2
32         #1   SVC  to group HOME-CABINET                    L4REDIRECT

Configuration Sources:
Type  Active Time  AAA Service ID  Name
SVC   00:00:04     -               L4REDIRECT2
SVC   00:00:04     -               L4REDIRECT
USR   00:00:04     -               Peruser
INT   00:00:04     -               Virtual-Template1

 

Как я понимаю, в моем случае приоритеты можно задать только статично заранее в описании сервисов и нельзя их поменять из радиуса. Но как привязать сервис только на IN или только на OUT?

[m1h]

Но как привязать сервис только на IN или только на OUT?

 

в class-map более четко определить...

т.е. у вас будет два сервиса, в один попадут только ingress, в другой только egress пакеты

[survivor]

Ну это скучно как-то... :) а непосредственно привязать сервис к направлению траффика нельзя?

[m1h]

По всей видимости нет...

Я не нашел такого.

Кроме всего прочего, в policy-map type traffic нельзя делать 2 non-default класса.

[TRIada]

Что-то не получается мне повысить скорость к определенному айпи в рамках pppoe сессии.

class-map type traffic match-any CLS_ACCEPT
 match access-group output name ACL_ACCEPT
 match access-group input name ACL_ACCEPT
!
class-map type traffic match-any CLS_NOSHAPE
 match access-group output name ACL_NOSHAPE
 match access-group input name ACL_NOSHAPE
!
policy-map type service FWPOL_ACCEPT
 service local
 20 class type traffic CLS_ACCEPT
 !
 class type traffic default in-out
 !
!
policy-map type service FWPOL_DEFAULT
 service local
 10 class type traffic CLS_ACCEPT
  police input 512000
  police output 512000
 !
!
policy-map type service FWPOL_NOSHAPE
 service local
 40 class type traffic CLS_NOSHAPE
  police input 90000000
  police output 90000000
 !
!
ip access-list extended ACL_ACCEPT
 permit ip any any
ip access-list extended ACL_NOSHAPE
 permit ip 10.139.0.0 0.0.255.255 10.139.0.0 0.0.255.255
 permit ip any 10.10.0.0 0.0.255.255
 permit ip 10.10.0.0 0.0.255.255 any

в сессии вижу

Type: PPPoE, UID: 225, State: authen, Identity: 100013
IPv4 Address: 172.19.0.155
Session Up-time: 00:05:24, Last Changed: 00:05:25
Interface: Virtual-Access2.348
Switch-ID: 1422596

Policy information:
  Authentication status: authen
  Active services associated with session:
    name "FWPOL_ACCEPT"
    name "FWPOL_NOSHAPE"
  Rules, actions and conditions executed:
    subscriber rule-map default-internal-rule
      condition always event service-start
        1 service-policy type service identifier service-name
    subscriber rule-map default-internal-rule
      condition always event service-start
        1 service-policy type service identifier service-name

Classifiers:
Class-id    Dir   Packets    Bytes                  Pri.  Definition
0           In    24679      12301984               0    Match Any
1           Out   21321      12763310               0    Match Any
22          In    24679      12301984               0    Match ACL ACL_ACCEPT
23          Out   21321      12763310               0    Match ACL ACL_ACCEPT
52          In    0          0                      40   Match ACL ACL_NOSHAPE
53          Out   0          0                      40   Match ACL ACL_NOSHAPE

Features:

IP Config:
M=Mandatory, T=Tag, Mp=Mandatory pool
Flags  Peer IP Address                  Pool Name             Interface
       172.19.0.155                     [None]                [None]
       ::                               [None]                [None]

Interface Config:
Class-id  Configuration Status           Source
0          This feature is enabled       Peruser

Absolute Timeout:
Class-id   Timeout Value    Time Remaining       Source
0          86400            23:54:35             Peruser

Idle Timeout:
Class-id   Dir  Timeout value   Idle-Time            Source
1          Out  4200            00:00:09             Peruser

Policing:
Class-id   Dir  Avg. Rate   Normal Burst  Excess Burst Source
0          In   4000000     750000        0            Peruser
1          Out  4000000     750000        1500000      Peruser
52         In   90000000    16875000      33750000     FWPOL_NOSHAPE
53         Out  90000000    16875000      33750000     FWPOL_NOSHAPE

Configuration Sources:
Type  Active Time  AAA Service ID  Name
SVC   00:05:25     -               FWPOL_ACCEPT
SVC   00:05:25     -               FWPOL_NOSHAPE
USR   00:05:25     -               Peruser
INT   00:05:25     -               Virtual-Template128

Если добавить в ACL_ACCEPT исключение для айпи, которые прописаны в ACL_NOSHAPE, появляются матчи, но скорость все равно 4мбита. Как вообще тут приоритеты работают, чем выше цифра тем выше или как? Хочу сделать так, чтобы сначала проверялось условие в ACL_NOSHAPE. Эти сервисы прилетают с bgbilling через cisco-SSG-Account-Info=AFWPOL_NOSHAPE итп.

asr1002 - asr1000rp1-adventerprisek9.03.16.09.S.155-3.S9-ext

Изменено 10 декабря, 2020 пользователем TRIada
неправильно написал access-list ACL_NOSHAPE

[zhenya`]

Вы скорость назначаете на сессию. Вам надо разные сервисы под разные скорости.