shafiev Опубликовано 8 апреля, 2014 · Жалоба Коллеги, мучаемся сейчас с нашим ASR 1k на предмет авторизации подсети IP как одного пользователся(несколько разных ипов как несколько разных пользователей , смог реализовать ,путем допилки биллинга ) . По этому поводу , как чтобы с нашими VRF подымалось нормально сессия - мы сейчас говорим с CISCO . Этот вопрос попытаемся с ними решить . Мой вопрос в том как сделать чтобы к примеру на этом интерфейсе : interface TenGigabitEthernet2/2/0.25 ... ip verify unicast source reachable-via rx service-policy type control ISG-CUSTOMERS-POLICY ip subscriber routed initiator unclassified ip-address ! ISG функционал подымался только у тех подсетей , который я указал ( акцесс-листом или иным способом) , а остальные просто пропускались. Конфиг ISG довольно стандартный кроме VRF(хотя и без него все те же траблы (: ) . aaa new-model ! ! aaa group server radius ADMIN-AUTH server-private x.y.1.53 auth-port 1812 acct-port 1813 server-private x.y.1.53 key 7 11114B5354000A080D3F386723362C ! aaa group server radius ISG-RADIUS server x.y.1.166 auth-port 1812 acct-port 1813 server-private x.y.1.166 auth-port 1812 acct-port 1813 key 7 0706324B33 ip vrf forwarding Mgmt-intf ip radius source-interface GigabitEthernet0 ! aaa authentication login default group ADMIN-AUTH local aaa authentication login ISG-AUTH-1 group ISG-RADIUS aaa authorization console aaa authorization exec default local aaa authorization network default local aaa authorization network ISG-AUTH-1 group ISG-RADIUS aaa authorization subscriber-service default local group ISG-RADIUS aaa accounting network ISG-AUTH-1 action-type start-stop group ISG-RADIUS ! ! ! ! ! aaa server radius dynamic-author client x.y.1.79 vrf Mgmt-intf client x.y.1.166 vrf Mgmt-intf server-key 7 03165A0F3906324B ! aaa session-id common ! multilink bundle-name authenticated ! redirect server-group REDIRECT_NOPAY server ip x.y.0.252 port 80 ! class-map type traffic match-any CLASS-TO-REDIRECT match access-group input 197 match access-group output 197 ! class-map type control match-all ISG-IP-UNAUTH match timer UNAUTH-TIMER match authen-status unauthenticated ! policy-map type service LOCAL_L4R ip access-group 197 in ip access-group 197 out 1 class type traffic CLASS-TO-REDIRECT redirect to group REDIRECT_NOPAY ! ! policy-map type control ISG-CUSTOMERS-POLICY class type control ISG-IP-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event quota-depleted 1 set-param drop-traffic FALSE ! class type control always event credit-exhausted 1 service-policy type service name LOCAL_L4R ! class type control always event session-start 10 authorize aaa list ISG-AUTH-1 password isg identifier source-ip-address 20 set-timer UNAUTH-TIMER 1 30 service-policy type service name SERVICE_L4R ! class type control always event session-restart 10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address 20 set-timer UNAUTH-TIMER 1 30 service-policy type service name SERVICE_L4R ! ! access-list 196 permit ip any any access-list 197 permit tcp any any eq www access-list 197 permit tcp any eq www any access-list 197 permit udp any any eq domain access-list 197 permit udp any eq domain any access-list 197 deny ip any any access-list 198 permit tcp any any eq www access-list 198 permit tcp any eq www any access-list 198 permit udp any any eq domain access-list 198 permit udp any eq domain any access-list 198 permit tcp any any eq 9443 access-list 198 permit tcp any eq 9443 any radius-server attribute 44 include-in-access-req default-vrf radius-server attribute 44 extend-with-addr radius-server attribute 8 include-in-access-req radius-server attribute 32 include-in-accounting-req radius-server attribute 55 include-in-acct-req radius-server attribute 31 mac format unformatted radius-server dead-criteria time 3 tries 3 radius-server host x.y.1.166 auth-port 1812 acct-port 1813 key 7 141E01023C radius-server vsa send cisco-nas-port radius-server vsa send accounting 3gpp2 radius-server vsa send authentication 3gpp2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
skinner Опубликовано 9 апреля, 2014 · Жалоба Например так.. ипшники в классе PROPUSK получат дефолтный сервис и выйдут в интернеты без всякой авторизации, остальные же будут проходить полный цикл авторизации в биллинге как положено class-map type control match-any PROPUSK match source-ip-address x.x.x.3 255.255.255.255 match source-ip-address x.x.x.4 255.255.255.255 match source-ip-address x.x.x.254 255.255.255.255 policy-map type service SRV-SRV 10 class type traffic ALL_CLASS police input 102400000 512000 1024000 police output 102400000 512000 1024000 policy-map type control POLICY class type control IP_UNAUTH_COND event timed-policy-expiry 10 service disconnect ! class type control PROPUSK event session-start 10 service-policy type service name SRV-SRV class type control always event session-start 10 service-policy type service name EL-REDIRECTO-SRV 20 authorize aaa list ISGAUTH password mysecret identifier source-ip-address 40 set-timer IP_UNAUTH_TIMER 10 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...