Jump to content
Калькуляторы

Cisco ISG отрабатывание на часть ip функции ISG только на определенные сетки

Коллеги, мучаемся сейчас с нашим ASR 1k на предмет авторизации подсети IP как одного пользователся(несколько разных ипов как несколько разных пользователей , смог реализовать ,путем допилки биллинга ) . По этому поводу , как чтобы с нашими VRF подымалось нормально сессия - мы сейчас говорим с CISCO . Этот вопрос попытаемся с ними решить .

 

 

Мой вопрос в том как сделать чтобы к примеру на этом интерфейсе :

 

interface TenGigabitEthernet2/2/0.25

...

ip verify unicast source reachable-via rx

service-policy type control ISG-CUSTOMERS-POLICY

ip subscriber routed

initiator unclassified ip-address

!

 

 

ISG функционал подымался только у тех подсетей , который я указал ( акцесс-листом или иным способом) , а остальные просто пропускались.

 

 

 

 

 

Конфиг ISG довольно стандартный кроме VRF(хотя и без него все те же траблы (: ) .

 

 

aaa new-model

!

!

aaa group server radius ADMIN-AUTH

server-private x.y.1.53 auth-port 1812 acct-port 1813

server-private x.y.1.53 key 7 11114B5354000A080D3F386723362C

!

aaa group server radius ISG-RADIUS

server x.y.1.166 auth-port 1812 acct-port 1813

server-private x.y.1.166 auth-port 1812 acct-port 1813 key 7 0706324B33

ip vrf forwarding Mgmt-intf

ip radius source-interface GigabitEthernet0

!

aaa authentication login default group ADMIN-AUTH local

aaa authentication login ISG-AUTH-1 group ISG-RADIUS

aaa authorization console

aaa authorization exec default local

aaa authorization network default local

aaa authorization network ISG-AUTH-1 group ISG-RADIUS

aaa authorization subscriber-service default local group ISG-RADIUS

aaa accounting network ISG-AUTH-1

action-type start-stop

group ISG-RADIUS

!

!

!

!

!

aaa server radius dynamic-author

client x.y.1.79 vrf Mgmt-intf

client x.y.1.166 vrf Mgmt-intf

server-key 7 03165A0F3906324B

!

aaa session-id common

!

 

multilink bundle-name authenticated

!

 

redirect server-group REDIRECT_NOPAY

server ip x.y.0.252 port 80

!

class-map type traffic match-any CLASS-TO-REDIRECT

match access-group input 197

match access-group output 197

!

class-map type control match-all ISG-IP-UNAUTH

match timer UNAUTH-TIMER

match authen-status unauthenticated

!

policy-map type service LOCAL_L4R

ip access-group 197 in

ip access-group 197 out

1 class type traffic CLASS-TO-REDIRECT

redirect to group REDIRECT_NOPAY

!

!

policy-map type control ISG-CUSTOMERS-POLICY

class type control ISG-IP-UNAUTH event timed-policy-expiry

1 service disconnect

!

class type control always event quota-depleted

1 set-param drop-traffic FALSE

!

class type control always event credit-exhausted

1 service-policy type service name LOCAL_L4R

!

class type control always event session-start

10 authorize aaa list ISG-AUTH-1 password isg identifier source-ip-address

20 set-timer UNAUTH-TIMER 1

30 service-policy type service name SERVICE_L4R

!

class type control always event session-restart

10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address

20 set-timer UNAUTH-TIMER 1

30 service-policy type service name SERVICE_L4R

!

!

 

access-list 196 permit ip any any

access-list 197 permit tcp any any eq www

access-list 197 permit tcp any eq www any

access-list 197 permit udp any any eq domain

access-list 197 permit udp any eq domain any

access-list 197 deny ip any any

access-list 198 permit tcp any any eq www

access-list 198 permit tcp any eq www any

access-list 198 permit udp any any eq domain

access-list 198 permit udp any eq domain any

access-list 198 permit tcp any any eq 9443

access-list 198 permit tcp any eq 9443 any

radius-server attribute 44 include-in-access-req default-vrf

radius-server attribute 44 extend-with-addr

radius-server attribute 8 include-in-access-req

radius-server attribute 32 include-in-accounting-req

radius-server attribute 55 include-in-acct-req

radius-server attribute 31 mac format unformatted

radius-server dead-criteria time 3 tries 3

radius-server host x.y.1.166 auth-port 1812 acct-port 1813 key 7 141E01023C

radius-server vsa send cisco-nas-port

radius-server vsa send accounting 3gpp2

radius-server vsa send authentication 3gpp2

Share this post


Link to post
Share on other sites

Например так..

ипшники в классе PROPUSK получат дефолтный сервис и выйдут в интернеты без всякой авторизации, остальные же будут проходить полный цикл авторизации в биллинге как положено

 

class-map type control match-any PROPUSK

match source-ip-address x.x.x.3 255.255.255.255

match source-ip-address x.x.x.4 255.255.255.255

match source-ip-address x.x.x.254 255.255.255.255

 

policy-map type service SRV-SRV

10 class type traffic ALL_CLASS

police input 102400000 512000 1024000

police output 102400000 512000 1024000

 

 

policy-map type control POLICY

class type control IP_UNAUTH_COND event timed-policy-expiry

10 service disconnect

!

class type control PROPUSK event session-start

10 service-policy type service name SRV-SRV

 

class type control always event session-start

10 service-policy type service name EL-REDIRECTO-SRV

20 authorize aaa list ISGAUTH password mysecret identifier source-ip-address

40 set-timer IP_UNAUTH_TIMER 10

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this