Перейти к содержимому
Калькуляторы

Cisco ISG отрабатывание на часть ip функции ISG только на определенные сетки

Ответить

shafiev   

shafiev
Опубликовано · Жалоба

Коллеги, мучаемся сейчас с нашим ASR 1k на предмет авторизации подсети IP как одного пользователся(несколько разных ипов как несколько разных пользователей , смог реализовать ,путем допилки биллинга ) . По этому поводу , как чтобы с нашими VRF подымалось нормально сессия - мы сейчас говорим с CISCO . Этот вопрос попытаемся с ними решить .

 

 

Мой вопрос в том как сделать чтобы к примеру на этом интерфейсе :

 

interface TenGigabitEthernet2/2/0.25

...

ip verify unicast source reachable-via rx

service-policy type control ISG-CUSTOMERS-POLICY

ip subscriber routed

initiator unclassified ip-address

!

 

 

ISG функционал подымался только у тех подсетей , который я указал ( акцесс-листом или иным способом) , а остальные просто пропускались.

 

 

 

 

 

Конфиг ISG довольно стандартный кроме VRF(хотя и без него все те же траблы (: ) .

 

 

aaa new-model

!

!

aaa group server radius ADMIN-AUTH

server-private x.y.1.53 auth-port 1812 acct-port 1813

server-private x.y.1.53 key 7 11114B5354000A080D3F386723362C

!

aaa group server radius ISG-RADIUS

server x.y.1.166 auth-port 1812 acct-port 1813

server-private x.y.1.166 auth-port 1812 acct-port 1813 key 7 0706324B33

ip vrf forwarding Mgmt-intf

ip radius source-interface GigabitEthernet0

!

aaa authentication login default group ADMIN-AUTH local

aaa authentication login ISG-AUTH-1 group ISG-RADIUS

aaa authorization console

aaa authorization exec default local

aaa authorization network default local

aaa authorization network ISG-AUTH-1 group ISG-RADIUS

aaa authorization subscriber-service default local group ISG-RADIUS

aaa accounting network ISG-AUTH-1

action-type start-stop

group ISG-RADIUS

!

!

!

!

!

aaa server radius dynamic-author

client x.y.1.79 vrf Mgmt-intf

client x.y.1.166 vrf Mgmt-intf

server-key 7 03165A0F3906324B

!

aaa session-id common

!

 

multilink bundle-name authenticated

!

 

redirect server-group REDIRECT_NOPAY

server ip x.y.0.252 port 80

!

class-map type traffic match-any CLASS-TO-REDIRECT

match access-group input 197

match access-group output 197

!

class-map type control match-all ISG-IP-UNAUTH

match timer UNAUTH-TIMER

match authen-status unauthenticated

!

policy-map type service LOCAL_L4R

ip access-group 197 in

ip access-group 197 out

1 class type traffic CLASS-TO-REDIRECT

redirect to group REDIRECT_NOPAY

!

!

policy-map type control ISG-CUSTOMERS-POLICY

class type control ISG-IP-UNAUTH event timed-policy-expiry

1 service disconnect

!

class type control always event quota-depleted

1 set-param drop-traffic FALSE

!

class type control always event credit-exhausted

1 service-policy type service name LOCAL_L4R

!

class type control always event session-start

10 authorize aaa list ISG-AUTH-1 password isg identifier source-ip-address

20 set-timer UNAUTH-TIMER 1

30 service-policy type service name SERVICE_L4R

!

class type control always event session-restart

10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address

20 set-timer UNAUTH-TIMER 1

30 service-policy type service name SERVICE_L4R

!

!

 

access-list 196 permit ip any any

access-list 197 permit tcp any any eq www

access-list 197 permit tcp any eq www any

access-list 197 permit udp any any eq domain

access-list 197 permit udp any eq domain any

access-list 197 deny ip any any

access-list 198 permit tcp any any eq www

access-list 198 permit tcp any eq www any

access-list 198 permit udp any any eq domain

access-list 198 permit udp any eq domain any

access-list 198 permit tcp any any eq 9443

access-list 198 permit tcp any eq 9443 any

radius-server attribute 44 include-in-access-req default-vrf

radius-server attribute 44 extend-with-addr

radius-server attribute 8 include-in-access-req

radius-server attribute 32 include-in-accounting-req

radius-server attribute 55 include-in-acct-req

radius-server attribute 31 mac format unformatted

radius-server dead-criteria time 3 tries 3

radius-server host x.y.1.166 auth-port 1812 acct-port 1813 key 7 141E01023C

radius-server vsa send cisco-nas-port

radius-server vsa send accounting 3gpp2

radius-server vsa send authentication 3gpp2

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

skinner   

skinner
Опубликовано · Жалоба

Например так..

ипшники в классе PROPUSK получат дефолтный сервис и выйдут в интернеты без всякой авторизации, остальные же будут проходить полный цикл авторизации в биллинге как положено

 

class-map type control match-any PROPUSK

match source-ip-address x.x.x.3 255.255.255.255

match source-ip-address x.x.x.4 255.255.255.255

match source-ip-address x.x.x.254 255.255.255.255

 

policy-map type service SRV-SRV

10 class type traffic ALL_CLASS

police input 102400000 512000 1024000

police output 102400000 512000 1024000

 

 

policy-map type control POLICY

class type control IP_UNAUTH_COND event timed-policy-expiry

10 service disconnect

!

class type control PROPUSK event session-start

10 service-policy type service name SRV-SRV

 

class type control always event session-start

10 service-policy type service name EL-REDIRECTO-SRV

20 authorize aaa list ISGAUTH password mysecret identifier source-ip-address

40 set-timer IP_UNAUTH_TIMER 10

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Активное оборудование Ethernet, IP, MPLS, SDN/NFV...