Jump to content
Калькуляторы

Редирект

Доброго времени суток!

Кто-нибудь настраивал редирект в личный кабинет? АСР Ланбиллинг, ну, думаю принцип везде один и тот же. Брас 72 циска. Подскажите, кто шарит.

Share this post


Link to post
Share on other sites

на циске акцес лист в который биллинг вносит IP не заблокированных абонентов. Далее этот лист используется в route map для подмены ip next hop. Таким образом если абонент зпаблокирован (его IP отсутствует в акцес листе) то во всех пакетах от этого абонента подменяется next hop, далее такие пакеты прилетают на подставленный циской next hop IP и натятся там на сам этот IP. Ну а на этом IP уже работает Apache, Nginx, размещена соответствующая страница - заглушка и тп.

Вот вкратце как то так.

Edited by biox

Share this post


Link to post
Share on other sites

Я настраивал. можешь тоже аплодировать.

На 7201 и всяких АSR1000 используется L4Redirect на долговую страницу, при этом с неё есть ссылки на сайт платежной системы и личного кабинета.

Трафик на нужные ip-адреса через акссес лист ходит, а все остальное редиректится на долговую. Серверу на котором у тебя долговая страница фиолетово, какая у тебя сетка public или private, лишь бы он знал до неё маршрут.

Вообщем-то здесь описано как это настроить:

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/isg/configuration/xe-3s/asr1000/isg-xe-3s-asr1000-book/isg-l4-redirect.html

 

PS l4r не отработает если субскрайберу навешано больше одного сервиса.

Share this post


Link to post
Share on other sites

yakov2000,

Благодарю. Попробую разобраться. Я примерно понял суть. Реализацией займусь чуть позже. Выложу результаты, если кому-то понадобятся.

Share this post


Link to post
Share on other sites

Добрый день!

Есть проблема с l4redirect. Настройка идёт на asr1002

Всё по стандарту:

 

class type control always event access-reject

1 service-policy type service name SERVICE-TRUSTED

2 service-policy type service name LOCAL_L4R

3 set-timer UNAUTH-TIMER 3

 

В сервисе SERVICE-TRUSTED добавлены разрешённые сайты. Но почему то даже на разрешённые не попадаю, а сразу редиректит. Отрабатывает 2 сервис, а не первый. Если удаляю l4redirect появляется возможность посещения разрешённых сайтов.

Что может быть?

Edited by artem4103

Share this post


Link to post
Share on other sites

Добрый день!

Есть проблема с l4redirect. Настройка идёт на asr1002

Всё по стандарту:

 

class type control always event access-reject

1 service-policy type service name SERVICE-TRUSTED

2 service-policy type service name LOCAL_L4R

3 set-timer UNAUTH-TIMER 3

 

В сервисе SERVICE-TRUSTED добавлены разрешённые сайты. Но почему то даже на разрешённые не попадаю, а сразу редиректит. Отрабатывает 2 сервис, а не первый. Если удаляю l4redirect появляется возможность посещения разрешённых сайтов.

Что может быть?

 

Разбираюсь с абсолютно такой же проблемой. Конфиг:

policy-map type service SERVICE-PERMITED-DEST
1 class type traffic CLASS-PERMITED-DEST
!
class type traffic default input
 drop
!
!
policy-map type control ISG-CUSTOMER-POLICY
class type control ISG-IP-UNAUTH event timed-policy-expiry
 1 service disconnect
!
class type control SUBSCRIBER-NETWORKS event session-start
 5 service-policy type service name SERVICE-RKN-BLOCKED
 10 authorize aaa list ISG-AUTH-1 password 100.67.0.61 identifier source-ip-address
!
class type control SUBSCRIBER-NETWORKS event access-reject
 20 set-timer UNAUTH-TIMER 3
 30 service-policy type service name SERVICE-PERMITED-DEST
 40 service-policy type service name REDIRECT-SERVICE

Пробовал 20, 30 и 40 перемещать в event session-start, удалив event access-reject, ничего не изменяется. При попытке захода на сайт из списка CLASS-PERMITED-DEST перекидывает на страницу из REDIRECT-SERVICE.

IOS: asr1000rp1-adventerprisek9.03.08.01.S.153-1.S1.bin. Ждем 3.12.1S, может кто поделиться asr1000rp1-advipservicesk9.03.12.01.S.154-2.S1-std.bin?

Edited by infery

Share this post


Link to post
Share on other sites

PS l4r не отработает если субскрайберу навешано больше одного сервиса.

Вот оно чо, Михалыч.

У меня l4-redirect никак не заводился, видимо именно по этому.

Приходилось через route-map делать.

А потом обнаружил, что биллинг умеет отдавать указанные радиус-пары для отрицательных балансов, и сделал через биллинг.

Share this post


Link to post
Share on other sites

Вот здесь почитайте. Мне очень помогло, когда у себя ISG заводили. К стати, автор есть на НАГе.

Share this post


Link to post
Share on other sites

Что-то где-то удалил, снова применил, снова по кругу, потанцевал с бубном и все заработало как должно =) вот мой конфиг (редиректит при блокировке, пускает на доверенные, заблокированные по решение РКН редиректит в другое место)

class-map type traffic match-any CLASS-REDIRECTOR
match access-group input name ACL-FOR-REDIRECT
match access-group output name ACL-FOR-REDIRECT
!
class-map type traffic match-any CLASS-PERMITED-DEST
match access-group input name PERMITED-DEST
match access-group output name PERMITED-DEST
!
class-map type traffic match-any CLASS-RKN-BLOCKED
match access-group input name ACL-RKN-BLOCKED
!
class-map type control match-any SUBSCRIBER-NETWORKS
match source-ip-address 100.67.0.0 255.255.255.0 
!
class-map type control match-all ISG-IP-UNAUTH
match authen-status unauthenticated 
match timer UNAUTH-TIMER 
!
policy-map type service REDIRECT-SERVICE
1 class type traffic CLASS-REDIRECTOR
 redirect to group GROUP-REDIRECT
!
class type traffic default input
 drop
!
!
policy-map type service SERVICE-PERMITED-DEST
1 class type traffic CLASS-PERMITED-DEST
 police input 1000000000
 police output 1000000000
!
class type traffic default input
 drop
!
!
policy-map type service SERVICE-RKN-BLOCKED
1 class type traffic CLASS-RKN-BLOCKED
 redirect to group GROUP-RKN-BLOCKED
!
!
policy-map type control ISG-CUSTOMER-POLICY
class type control ISG-IP-UNAUTH event timed-policy-expiry
 1 service disconnect
!        
class type control SUBSCRIBER-NETWORKS event session-start
 5 service-policy type service name SERVICE-RKN-BLOCKED
 10 authorize aaa list ISG-AUTH-1 password 100.67.0.61 identifier source-ip-address
!
class type control SUBSCRIBER-NETWORKS event access-reject
 5 set-timer UNAUTH-TIMER 3
 10 service-policy type service name SERVICE-PERMITED-DEST
 20 service-policy type service name REDIRECT-SERVICE
!
!

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.