URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 14964
[ Назад ]

Исходное сообщение
"ISG, policy-map  и глюк ACL !!! help"

Отправлено ATeam , 29-Ноя-07 13:56 
Всем доброго времени суток.

Есть стенд с ISG.

есть правило -

policy-map type control RULE-401a-1
class type control IP_UNAUTH_COND event timed-policy-expiry
  1 service disconnect
  !
class type control always event session-start
  1 service-policy type service name PBHK_SERVICE
  2 authorize aaa password lab123 identifier nas-port
  3 service-policy type service name L4_REDIRECT_SERVICE
  4 set-timer IP_UNAUTH_TIMER 5
!
class type control always event account-logon
  1 authenticate aaa list BH_WEB_LOGON
  2 service-policy type service unapply name L4_REDIRECT_SERVICE
!
class type control always event account-logoff
  1 service disconnect delay 5
!
class type control always event session-restart
  1 service-policy type service name PBHK_SERVICE
  3 service-policy type service name L4_REDIRECT_SERVICE
  4 set-timer IP_UNAUTH_TIMER 5
!
class type control always event credit-exhausted
  1 service-policy type service name SERVICE_403_L4R_TC


Пользователю разрешаются сервисы  -

nas-port:172.16.4.4:0/0/1/100.4000 Password = "lab123",
    User-Service-Type = Login-User,
    NAS-Port-Type = PPPoEoQinQ,
    cisco-avpair = "subscriber:accounting-list=BH_ACCNT_LIST",
    cisco-avpair = "ssg-account-info=ASERVICE_401_INTERNET",

Разрешается сервис - SERVICE_401_INTERNET  ---

SERVICE_401_INTERNET Password = "cisco",
    User-Name = "0/0/1/100.4000",
    cisco-avpair = "subscriber:accounting-list=BH_ACCNT_LIST",
    cisco-avpair = "ip:traffic-class=in access-group name  ACL_IN_INT priority 6",
    cisco-avpair = "ip:traffic-class=in default drop",
    cisco-avpair = "ip:traffic-class=out access-group name  ACL_OUT_INT priority 6",
    cisco-avpair = "ip:traffic-class=out default drop",
    Service-Info = "QD;1024000;1024000",
    Service-Info = "QU:512000;512000",
    Service-Info = "ISERVICE_401_INTERNET",
    cisco-avpair = "prepaid-config=default",

Вот его ACL -

Extended IP access list ACL_IN_INT
    10 deny ip 10.0.0.0 0.255.255.255 any
    20 deny ip 192.168.0.0 0.0.255.255 any
    30 permit ip any any (577 matches)

Extended IP access list ACL_OUT_INT
    10 deny ip 10.0.0.0 0.255.255.255 any
    20 deny ip 192.168.0.0 0.0.255.255 any
    30 permit ip any any (126 matches)

, при работающем сервисе трафик бегает в Инет , всё нормально ...

Однако так как включена функция - PREPAID - , то по истечению квоты -
Control-Info = "QT0",
Idle-Timeout = "1000",

весь трафик дропается на этом сервисе пока идёт время Idle-Timeout
и загружается сервис - SERVICE_403_L4R_TC


SERVICE_403_L4R_TC Password = "cisco",
    cisco-avpair = "ip:traffic-class=out access-group name ACL_OUT_L4R priority 1",
    cisco-avpair = "ip:traffic-class=in access-group name ACL_IN_L4R priority 1",
        cisco-avpair = "ip:l4redirect=redirect to group PERIODIC_L4R",


Вот его ACL -

Extended IP access list ACL_IN_L4R
    10 deny ip any host 172.16.5.57 (55 matches)
    20 permit tcp any any eq www (137 matches)
    30 permit tcp any any eq 8001
    40 deny udp any any eq domain (37 matches)

Extended IP access list ACL_OUT_L4R
    10 permit ip any any (2 matches)


Вот данные по сессии -

outer#sh sss session  detailed | i ACL
    traffic-class        "out access-group name ACL_OUT_L4R priority 1"
    traffic-class        "in access-group name ACL_IN_L4R priority 1"
        traffic-class        "out access-group name ACL_OUT_L4R priority 1"
        traffic-class        "in access-group name ACL_IN_L4R priority 1"
        traffic-class        "out access-group name ACL_OUT_L4R priority 1"
        traffic-class        "in access-group name ACL_IN_L4R priority 1"
        traffic-class        "out access-group name ACL_OUT_L4R priority 1"
        traffic-class        "in access-group name ACL_IN_L4R priority 1"
        traffic-class        "out access-group name ACL_OUT_L4R priority 1"
        traffic-class        "in access-group name ACL_IN_L4R priority 1"
        traffic-class        "out access-group name ACL_OUT_L4R priority 1"
        traffic-class        "in access-group name ACL_IN_L4R priority 1"
        traffic-class        "in access-group name  ACL_IN_INT priority 6"
        traffic-class        "out access-group name  ACL_OUT_INT priority 6"
   ACL Name: ACL_IN_INT, Packets = 215, Bytes = 22837
   ACL Name: ACL_IN_L4R, Packets = 0, Bytes = 0
   ACL Name: ACL_OUT_INT, Packets = 17, Bytes = 1925
   ACL Name: ACL_OUT_L4R, Packets = 0, Bytes = 0
    traffic-class        "in access-group name  ACL_IN_INT priority 6"
    traffic-class        "out access-group name  ACL_OUT_INT priority 6"
        traffic-class        "in access-group name  ACL_IN_INT priority 6"
        traffic-class        "out access-group name  ACL_OUT_INT priority 6"
Router#


Traffic classes:
  Traffic class session ID: 37
   ACL Name: ACL_IN_INT, Packets = 215, Bytes = 22837
  Traffic class session ID: 40
   ACL Name: ACL_IN_L4R, Packets = 0, Bytes = 0
Default traffic is dropped
Unmatched Packets (dropped) = 0, Re-classified packets (redirected) = 0

Feature: Portbundle Hostkey
Portbundle IP = 172.16.4.4     Bundle Number = 74

Session outbound features:
Feature: Session accounting
  Method List: BH_ACCNT_LIST
  Packets = 19, Bytes = 2125

Traffic classes:
  Traffic class session ID: 37
   ACL Name: ACL_OUT_INT, Packets = 17, Bytes = 1925
  Traffic class session ID: 40
   ACL Name: ACL_OUT_L4R, Packets = 0, Bytes = 0
Default traffic is dropped
Unmatched Packets (dropped) = 0, Re-classified packets (redirected) = 0

Configuration sources associated with this session:
Service: SERVICE_403_L4R_TC, Active Time = 00:05:15
Service: SERVICE_401_INTERNET, Active Time = 00:39:28
  AAA Service ID = 66876644
Service: PBHK_SERVICE, Active Time = 00:39:28
Interface: GigabitEthernet0/1.4000100, Active Time = 00:39:28


Весть трафик должен редиректиться на портал -

redirect server-group PERIODIC_L4R
server ip 172.16.5.57 port 8001


И циска отображает , что трафик редиректиться ...
но реально не кидает на портал ...
хотя в остальных обычных случаях (например не авторизирован пользователь) все редиректы работают ...

Кто сталкивался с такой фигнёй ?(
Может есть где то примеры ?
Все доки по этому поводу уже перерыл в доль и поперёк (( все по примерам делаю ... но не бегает ((
хотя по приоритетам всё правильно для ACL поставлено ((


Содержание

Сообщения в этом обсуждении
"ISG, policy-map  и глюк ACL !!! help"
Отправлено lejek , 29-Ноя-07 14:47 
Круто завернул. Где такие стенды собираете? ISG, QinQ.

Посмотрите ацл ACL_IN_L4R
там 10 deny ip any host 172.16.5.57
а редирект как раз идет на
server ip 172.16.5.57 port 8001


"ISG, policy-map  и глюк ACL !!! help"
Отправлено ATeam , 29-Ноя-07 15:15 
>Круто завернул. Где такие стенды собираете? ISG, QinQ.
>
>Посмотрите ацл ACL_IN_L4R
>там 10 deny ip any host 172.16.5.57
>а редирект как раз идет на
>server ip 172.16.5.57 port 8001

блин , уже все возможные варианты перелопатил ((

Extended IP access list ACL_IN_L4R
    10 permit ip any host 172.16.5.57 (13 matches)
    20 permit tcp any any eq www (13 matches)
    30 permit tcp any any eq 8001
    40 deny udp any any eq domain (7 matches)
    50 permit ip host 172.16.5.57 any
    100 deny ip any any (54 matches)
уже и так пробовал и по всякому ....


Трансляция якобы идёт ...
Destination IP/port    Server IP/port         Prot  In Flags  Out Flags  Timestamp
172.16.5.57     80     172.16.5.57     8001   TCP                        Nov 29 2007 15:08:18
194.67.45.145   80     172.16.5.57     8001   TCP                        Nov 29 2007 15:08:20

Но ответа нет (
хотя в ACL который out  в сторону клиента всё permit ...
Не понятно как эти ACL работают когда они загружаются через команды радиуса ((
Да же наткнулся на такое (у циски нашёл), что в случае использования ACL  в профилях пользователей через радиус нельзя использовать в командах ACL - log , иначе он не правильно начинает обрабатывать пакеты (( приходится методом тыка подпирать ACL, так как он да же в debug ip packet detail не высыпает их ((


"ISG, policy-map  и глюк ACL !!! help"
Отправлено ATeam , 29-Ноя-07 16:38 
>[оверквотинг удален]
>Но ответа нет (
>хотя в ACL который out  в сторону клиента всё permit ...
>
>Не понятно как эти ACL работают когда они загружаются через команды радиуса
>((
>Да же наткнулся на такое (у циски нашёл), что в случае использования
>ACL  в профилях пользователей через радиус нельзя использовать в командах
>ACL - log , иначе он не правильно начинает обрабатывать пакеты
>(( приходится методом тыка подпирать ACL, так как он да же
>в debug ip packet detail не высыпает их ((

Всемогущий Сайко !!)) поможи нам плиз ))


"ISG, policy-map  и глюк ACL !!! help"
Отправлено lejek , 30-Ноя-07 10:43 
Попробуйте еще так:
убрать траффик класс на аут, добавить в редирект ацл и слегка упростить ацл.

SERVICE_403_L4R_TC Password = "cisco",
        cisco-avpair = "ip:traffic-class=in access-group name ACL_IN_L4R priority 1",
        cisco-avpair = "ip:l4redirect=redirect list ACL_IN_L4R to group PERIODIC_L4R",

Extended IP access list ACL_IN_L4R
    10 deny ip any host 172.16.5.57
    20 permit tcp any any eq www


"ISG, policy-map  и глюк ACL !!! help"
Отправлено ATeam , 30-Ноя-07 11:04 
>[оверквотинг удален]
>
>SERVICE_403_L4R_TC Password = "cisco",
>        cisco-avpair = "ip:traffic-class=in access-group
>name ACL_IN_L4R priority 1",
>        cisco-avpair = "ip:l4redirect=redirect list
>ACL_IN_L4R to group PERIODIC_L4R",
>
>Extended IP access list ACL_IN_L4R
>    10 deny ip any host 172.16.5.57
>    20 permit tcp any any eq www

1) во первых нельзя присвоить в редиректе именнованный ACL , толлько пронумерованный отдельный ...
cisco-avpair = "ip:l4redirect=redirect list 197 to group PERIODIC_L4R",
например ...
2) убрал OUT правило ...
3) outer#sh sss session detailed | i ACL
    traffic-class        "in access-group name ACL_IN_L4R priority 1"
        traffic-class        "in access-group name ACL_IN_L4R priority 1"
        traffic-class        "in access-group name  ACL_IN_INT priority 30"
        traffic-class        "out access-group name  ACL_OUT_INT priority 30"
   ACL Name: ACL_IN_INT, Packets = 3, Bytes = 144
   ACL Name: ACL_IN_L4R, Packets = 0, Bytes = 0
   ACL Name: ACL_OUT_INT, Packets = 0, Bytes = 0
    traffic-class        "in access-group name  ACL_IN_INT priority 30"
    traffic-class        "out access-group name  ACL_OUT_INT priority 30"
        traffic-class        "in access-group name  ACL_IN_INT priority 30"
        traffic-class        "out access-group name  ACL_OUT_INT priority 30"


Редирект видно что матчиться -
outer#sh redirect translations
Destination IP/port    Server IP/port         Prot  In Flags  Out Flags  Timestamp
81.2xx.xx.4     80     172.16.5.57     8001   TCP                        Nov 30 2007 11:00:13

но не более того ...
к тому же при убранном OUT правиле в данной ситуации весь трафик по самому сервису SERVICE_401_INTERNET дропается ((( так задумано в принципе ... (что в принципе и требуется)


Вот ACL-ки

Router#sh access-lists 197            
Extended IP access list 197
    10 deny ip any host 172.16.5.57
    20 permit tcp any any eq www (7 matches)
    30 permit tcp any any eq 8080
    40 permit tcp any any eq 8002
Router#


outer#sh access-lists ACL_IN_L4R
Extended IP access list ACL_IN_L4R
    10 deny ip any host 172.16.5.57 (6 matches)
    20 deny udp 172.16.1.0 0.0.0.255 host 81.222.80.2 eq domain (63 matches)
    30 deny udp host 81.222.80.2 eq domain 172.16.1.0 0.0.0.255
    40 permit tcp any any eq www (7 matches)


вот такие дела ... где то слон спрятался ..(((


"ISG, policy-map  и глюк ACL !!! help"
Отправлено ATeam , 30-Ноя-07 11:25 
>[оверквотинг удален]
>domain (63 matches)
>    30 deny udp host 81.222.80.2 eq domain 172.16.1.0
>0.0.0.255
>    40 permit tcp any any eq www (7
>matches)
>
>
>
>
>вот такие дела ... где то слон спрятался ..(((

Session inbound features:
Feature: Session accounting
  Method List: BH_ACCNT_LIST
  Packets = 140, Bytes = 13220

Feature: Layer 4 Redirect
  Rule table is empty
Traffic classes:
  Traffic class session ID: 17
   ACL Name: ACL_IN_INT, Packets = 15, Bytes = 720
  Traffic class session ID: 18
   ACL Name: ACL_IN_L4R, Packets = 9, Bytes = 432
Default traffic is dropped
Unmatched Packets (dropped) = 122, Re-classified packets (redirected) = 6

Feature: Portbundle Hostkey
Portbundle IP = 172.16.4.4     Bundle Number = 69

Session outbound features:
Feature: Session accounting
  Method List: BH_ACCNT_LIST
  Packets = 8, Bytes = 384

Traffic classes:
  Traffic class session ID: 17
   ACL Name: ACL_OUT_INT, Packets = 8, Bytes = 384
  Traffic class session ID: 18
   ACL Name: ACL_IN_L4R, Packets = 0, Bytes = 0
Default traffic is dropped
Unmatched Packets (dropped) = 0, Re-classified packets (redirected) = 0

Configuration sources associated with this session:
Service: SERVICE_403_L4R_TC, Active Time = 00:07:55
Service: SERVICE_401_INTERNET, Active Time = 00:07:57
  AAA Service ID = 66874268
Service: PBHK_SERVICE, Active Time = 00:07:57
Interface: GigabitEthernet0/1.4000100, Active Time = 00:07:57


В догонку ....

И вот ещё два цисковских перла -

CSCeh35036—Two Traffic Classes with L4 Redirect Do Not Work
Two traffic classes on which prioritization and L4 redirection are applied, and for which the ACLs used to do the traffic classification overlap, cannot be used at the same time by the same subscriber. If there is an attempt to use these features at the same time, return traffic will fail to get translated again when it is translated using the traffic class service that was last applied.

CSCsa86854—Log Function on ACL Breaks Traffic Classification
When logging is enabled on an extended ACL, and the ACL is used to classify packets on an ISG, all traffic matching the ACL is incorrectly dropped. When the log keyword is removed from the extended access-list command, everything works as expected.


Второй про то , что при включённом логе не работают в данном случае ACL.
А вот первый - смысл его до меня не до конца дошёл , но есть подозрение что в нём есть важный момент (


"ISG, policy-map  и глюк ACL !!! help"
Отправлено ATeam , 30-Ноя-07 14:51 
>[оверквотинг удален]
>used to classify packets on an ISG, all traffic matching the
>ACL is incorrectly dropped. When the log keyword is removed from
>the extended access-list command, everything works as expected.
>
>
>Второй про то , что при включённом логе не работают в данном
>случае ACL.
>А вот первый - смысл его до меня не до конца дошёл
>, но есть подозрение что в нём есть важный момент (
>

Наткнулся где то в инете на такую фразу --
"Алгоритм соответствия пакетов базируется на принципе наилучшего соответствия сетевому адресу, т.е. по принципу наиболее длинного префикса"

Отсюда вот что вышло -


Extended IP access list ACL_IN_INT
    10 deny ip 10.0.0.0 0.255.255.255 any
    20 deny ip 192.168.0.0 0.0.255.255 any
Extended IP access list ACL_IN_L4R
    10 permit tcp 172.0.0.0 0.255.255.255 any eq www (3 matches)
    20 deny ip any any (135 matches)


В такой ситуации - редирект работает !!! всё хорошо , но так как в ACL_IN_INT нет вообще ни одного Permit , то когда активен сервис SERVICE_401_INTERNET , то логично , что доступа в инет нет ..


Если сделать например так -
Extended IP access list ACL_IN_INT
    10 deny ip 10.0.0.0 0.255.255.255 any
    20 deny ip 192.168.0.0 0.0.255.255 any
    30 permit tcp 172.16.1.0 0.0.0.255 any eq www (9 matches)
Extended IP access list ACL_IN_L4R
    10 permit tcp 172.0.0.0 0.255.255.255 any eq www (3 matches)
    50 deny ip any any (135 matches)

, то ситуация обратная , редирект не работает ...
в случае активной услуги SERVICE_401_INTERNET Доступ в интернет есть само собой ...

Вот такая канительн , играюсь с масками ... не совсем понятно что есть более длинный префикс или наилучшее соответствие сетевому адресу ...


"ISG, policy-map  и глюк ACL !!! help"
Отправлено ATeam , 30-Ноя-07 17:05 
>[оверквотинг удален]
>    10 permit tcp 172.0.0.0 0.255.255.255 any eq www
>(3 matches)
>    50 deny ip any any (135 matches)
>
>, то ситуация обратная , редирект не работает ...
>в случае активной услуги SERVICE_401_INTERNET Доступ в интернет есть само собой ...
>
>
>Вот такая канительн , играюсь с масками ... не совсем понятно что
>есть более длинный префикс или наилучшее соответствие сетевому адресу ...

В сухом остатке - кто подскажет , как сделать ACL для доступа в Интернет , то есть доступ ко всем айпишникам , но не инструкицей permit 172.16.1.0 0.0.0.255 any
??
как уйти от any ? не прописывать же все возможные префиксы (((


"ISG, policy-map  и глюк ACL !!! help"
Отправлено ATeam , 01-Дек-07 15:14 
>[оверквотинг удален]
>>
>>Вот такая канительн , играюсь с масками ... не совсем понятно что
>>есть более длинный префикс или наилучшее соответствие сетевому адресу ...
>
>В сухом остатке - кто подскажет , как сделать ACL для доступа
>в Интернет , то есть доступ ко всем айпишникам , но
>не инструкицей permit 172.16.1.0 0.0.0.255 any
>??
>как уйти от any ? не прописывать же все возможные префиксы (((
>

help !!!((
может как то сделать конструкицю -

permit ip 172.16.1.0 0.0.0.255 0.0.0.0 255.255.255.254
permit ip 172.16.1.0 0.0.0.255 0.0.0.0 255.255.255.1

или что то подобное ?(


"ISG, policy-map  и глюк ACL !!! help"
Отправлено Basil , 02-Дек-07 09:10 
>[оверквотинг удален]
>И циска отображает , что трафик редиректиться ...
>но реально не кидает на портал ...
>хотя в остальных обычных случаях (например не авторизирован пользователь) все редиректы работают
>...
>
>Кто сталкивался с такой фигнёй ?(
>Может есть где то примеры ?
>Все доки по этому поводу уже перерыл в доль и поперёк ((
>все по примерам делаю ... но не бегает ((
>хотя по приоритетам всё правильно для ACL поставлено ((

ПРивет!

Во первых, какая версия софта ? 30 декабря должын появиться новый софт, там много вкусностей будет!

Где конфиг припейда ?
Как включить debug редиректа сейчас не помню,завтра отпишу станет понятно.

Если в режиме припейда определен Idle-Timeoute, то сначала генерируется событие Quota-Depleted - это время когда у абонента кончились деньги и ему дается Idle-Timeoute времени чтобы добавить денег на портале, именно по этому событию и лучше вешать редирект. :) , а Credit-Exhausted уже после таймаута убивает сессию.

Да и еще по поводу порт бандла PBHK_SERVICE.
Нужен ли он ? Я так понимаю, что это типа PAT, когда у вас в разных VPN клиенты с пересикающимися IP адресами. Соотвественно и на портал они тоже должны бегать через PBHK.


Завтра попробую у себя тоже самое воспроизвести, посмотрим, что получится :)
Есть вариант, что с приоритетами какая-то путаница.

PS Если не секрет, в качестве припейд сервера кто ?

Basil.


"ISG, policy-map  и глюк ACL !!! help"
Отправлено ATeam , 02-Дек-07 16:30 
>[оверквотинг удален]
>>Может есть где то примеры ?
>>Все доки по этому поводу уже перерыл в доль и поперёк ((
>>все по примерам делаю ... но не бегает ((
>>хотя по приоритетам всё правильно для ACL поставлено ((
>
>ПРивет!
>
>Во первых, какая версия софта ? 30 декабря должын появиться новый софт,
>там много вкусностей будет!
>

c7200p-a3jk91s-mz.122-31.SB9.bin


>Где конфиг припейда ?

subscriber feature prepaid default
threshold time 10 seconds
threshold volume 0 bytes
interim-interval 2 minutes
method-list author default
method-list accounting default
password cisco
!

>Как включить debug редиректа сейчас не помню,завтра отпишу станет понятно.
>

хмм ... было бы интересно ... а так видно , что он пытается редиректить , но не ставит как я пнял флаг FIN , и пакеты не отправляются на портал ..

>Если в режиме припейда определен Idle-Timeoute, то сначала генерируется событие Quota-Depleted -
>это время когда у абонента кончились деньги и ему дается Idle-Timeoute
>времени чтобы добавить денег на портале, именно по этому событию и
>лучше вешать редирект. :) , а Credit-Exhausted уже после таймаута убивает
>сессию.

вот так сделано -
class type control always event credit-exhausted
  1 service-policy type service name SERVICE_403_L4R_TC
!
class type control always event quota-depleted
  1 set-param drop-traffic FALSE

После окончания квоты , включается Idle-Timeout , на протяжении которого циска блокирует по сервису трафик и загружает дополнительный сервис в котором правило для редиректа ...
так во всех мануалах указано , но возможно я не совсем понял ((


>
>Да и еще по поводу порт бандла PBHK_SERVICE.
>Нужен ли он ? Я так понимаю, что это типа PAT, когда
>у вас в разных VPN клиенты с пересикающимися IP адресами. Соотвественно
>и на портал они тоже должны бегать через PBHK.
>

Да , тут я с этим то же не до конца просёк , но по умолчанию есть во всех клиентских сессиях у меня (как в доках) ...

>
>Завтра попробую у себя тоже самое воспроизвести, посмотрим, что получится :)
>Есть вариант, что с приоритетами какая-то путаница.

С приоритетами уже весь мозг сломал , написано , что если нет приоритета то это=1 и это высший , если есть , то всё равно чем меньше , тем выше приоритет ...
так же вычитал , что по длине префикса ещё смотрит на какой ACL  бросать , и если из ACL Для интернета убрать permit ip any any и убрать default drop , то трафик начинает бегать и редирект работает , но как следствие в Accounting по IN  направлению по сервису INTERNET ничего не пишется ((

>
>PS Если не секрет, в качестве припейд сервера кто ?

Пока у меня стенд , соответственно есть рабочий биллинг с прикрученным freeradius на котором по старой схеме (pppoe) пользователи сидят , а на стенде я вручную скажем так эмулирую припейд прогой - RadL Free Radius под винду , доволньо удобно , только нет аккаунтинга (но до него ещё дело не дошло)

>
>Basil.


"ISG, policy-map  и глюк ACL !!! help"
Отправлено ATeam , 03-Дек-07 13:54 
>[оверквотинг удален]
>>PS Если не секрет, в качестве припейд сервера кто ?
>
>Пока у меня стенд , соответственно есть рабочий биллинг с прикрученным freeradius
>на котором по старой схеме (pppoe) пользователи сидят , а на
>стенде я вручную скажем так эмулирую припейд прогой - RadL Free
>Radius под винду , доволньо удобно , только нет аккаунтинга (но
>до него ещё дело не дошло)
>
>>
>>Basil.

уже да же упростил , убрал нафиг PBHK_SERVICE , всё поубирал .. запускается SERVICE_401_INTERNET , потом по опустошению квоты запускается - SERVICE_403_L4R_TC  с редиректом ...
один фиг ... блин , либо глюк иоса , либо слон спрятался ..((


"ISG, policy-map  и глюк ACL !!! help"
Отправлено Pcom , 03-Дек-07 17:16 
>[оверквотинг удален]
>>до него ещё дело не дошло)
>>
>>>
>>>Basil.
>
>уже да же упростил , убрал нафиг PBHK_SERVICE , всё поубирал ..
>запускается SERVICE_401_INTERNET , потом по опустошению квоты запускается - SERVICE_403_L4R_TC  
>с редиректом ...
>один фиг ... блин , либо глюк иоса , либо слон спрятался
>..((

Привет!

По поводу quota-depleted я тебе наврал, у тебя все правильно.

попробуй debug subscriber feature name l4redirect
и посмотри, что происходит при l4 редиректе.
Так же можешь сделать debug condition. можно много чего посмотреть.


"ISG, policy-map  и глюк ACL !!! help"
Отправлено ATeam , 03-Дек-07 17:27 
>[оверквотинг удален]
>>один фиг ... блин , либо глюк иоса , либо слон спрятался
>>..((
>
>Привет!
>
>По поводу quota-depleted я тебе наврал, у тебя все правильно.
>
>попробуй debug subscriber feature name l4redirect
>и посмотри, что происходит при l4 редиректе.
>Так же можешь сделать debug condition. можно много чего посмотреть.

outer#
Dec  3 17:24:41.634: SSM FH: [SSS:TC:24649:L4R:36944] rule #1 port 80 ip 172.16.5.57 acl "197" PORTAL
Dec  3 17:24:41.634: SSM FH: [SSS:TC:24649:L4R:36944] create TCP[634F2AC]: src 172.16.1.3/3051
Dec  3 17:24:41.634: SSM FH: [SSS:TC:24649:L4R:36944]           [634F2AC]: dst 172.16.5.57/80
Dec  3 17:24:41.634: SSM FH: [SSS:TC:24649:L4R:36944]           [634F2AC]: odst 81.222.xx.4/80
Dec  3 17:24:41.634: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F2AC]: from src: 172.16.1.3/3051 dst 81.222.xx.4/80
Dec  3 17:24:41.634: SSM FH: [SSS:TC:24649:L4R:36944]   [634F2AC]:  to src: 172.16.1.3/3051 dst: 172.16.5.57/80 SYN
Dec  3 17:24:41.634: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC
Dec  3 17:24:41.634: L4 Redirect: REDIR-STARTED: DP --> CP
Dec  3 17:24:41.634: L4 Redirect: REDIR-STARTED: rule #1
Dec  3 17:24:41.634: L4 Redirect: TRANS-STARTED: DP --> CP
Dec  3 17:24:41.634: L4 Redirect: TRANS-STARTED: updt from DP started[TCP]: src 172.16.1.3/3051
Dec  3 17:24:41.634: L4 Redirect: TRANS-STARTED:                            dst 172.16.5.57/80
Dec  3 17:24:41.634: L4 Redirect: TRANS-STARTED:                            odst 81.222.xx.4/80
Dec  3 17:24:41.634: SSM FH: [L4R:36944] TRANS-STARTED
Dec  3 17:24:41.634: L4 Redirect: TRANS-STARTED: CP --> DP
Dec  3 17:24:41.634: L4 Redirect: TRANS-STARTED: updt from CP started[TCP]: src 172.16.1.3/3051
Dec  3 17:24:41.634: L4 Redirect: TRANS-STARTED:                            dst 172.16.5.57/80
Dec  3 17:24:41.634: L4 Redirect: TRANS-STARTED:                            odst 81.222.xx.4/80
Dec  3 17:24:41.634: L4 Redirect: TRANS-STARTED:                            duplicate, ignored
Dec  3 17:24:41.634: SSM FH: [L4R:36944] updated: ok
Dec  3 17:24:41.634: SSM FH: [SSS:TC:24649:L4R:36944] updated: ok
Dec  3 17:24:44.514: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F2AC]: from src: 172.16.1.3/3051 dst 81.222.xx.4/80
Dec  3 17:24:44.514: SSM FH: [SSS:TC:24649:L4R:36944]   [634F2AC]:  to src: 172.16.1.3/3051 dst: 172.16.5.57/80 SYN
Dec  3 17:24:44.514: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC
Router#
Router#
Router#
Dec  3 17:24:50.530: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F2AC]: from src: 172.16.1.3/3051 dst 81.222.xx.4/80
Dec  3 17:24:50.530: SSM FH: [SSS:TC:24649:L4R:36944]   [634F2AC]:  to src: 172.16.1.3/3051 dst: 172.16.5.57/80 SYN
Dec  3 17:24:50.530: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC


угу , дебаг включил ... правда мало что прояснилось (

вот убрал permit ip any any


ec  3 17:32:05.294: SSM FH: [SSS:TC:24649:L4R:36944] rule #1 port 80 ip 172.16.5.57 acl "197" PORTAL
Dec  3 17:32:05.294: SSM FH: [SSS:TC:24649:L4R:36944] create TCP[634F284]: src 172.16.1.3/3059
Dec  3 17:32:05.294: SSM FH: [SSS:TC:24649:L4R:36944]           [634F284]: dst 172.16.5.57/80
Dec  3 17:32:05.294: SSM FH: [SSS:TC:24649:L4R:36944]           [634F284]: odst 81.222.xx.4/80
Dec  3 17:32:05.294: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F284]: from src: 172.16.1.3/3059 dst 81.222.xx.4/80
Dec  3 17:32:05.294: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to src: 172.16.1.3/3059 dst: 172.16.5.57/80 SYN
Dec  3 17:32:05.298: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC
Dec  3 17:32:05.298: L4 Redirect: TRANS-STARTED: DP --> CP
Dec  3 17:32:05.298: L4 Redirect: TRANS-STARTED: updt from DP started[TCP]: src 172.16.1.3/3059
Dec  3 17:32:05.298: L4 Redirect: TRANS-STARTED:                            dst 172.16.5.57/80
Dec  3 17:32:05.298: L4 Redirect: TRANS-STARTED:                            odst 81.222.xx.4/80
Dec  3 17:32:05.298: L4 Redirect: TRANS-STARTED: CP --> DP
Dec  3 17:32:05.298: L4 Redirect: TRANS-STARTED: updt from CP started[TCP]: src 172.16.1.3/3059
Dec  3 17:32:05.298: L4 Redirect: TRANS-STARTED:                            dst 172.16.5.57/80
Dec  3 17:32:05.298: L4 Redirect: TRANS-STARTED:                            odst 81.222.xx.4/80
Dec  3 17:32:05.298: L4 Redirect: TRANS-STARTED:                            duplicate, ignored
Dec  3 17:32:05.298: SSM FH: [SSS:TC:24649:L4R:36944] updated: ok
Dec  3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F284]: from src: 172.16.1.3/3059 dst 81.222.xx.4/80
Dec  3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to src: 172.16.1.3/3059 dst: 172.16.5.57/80 SYN
Dec  3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC
Dec  3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] Tx[634F284]: from src: 172.16.5.57/80 dst 172.16.1.3/3059
Dec  3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to src: 81.222.xx.4/80 dst: 172.16.1.3/3059 SYN,ACK
Dec  3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F284]: from src: 172.16.1.3/3059 dst 81.222.xx.4/80
Dec  3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to src: 172.16.1.3/3059 dst: 172.16.5.57/80 ACK
Dec  3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC
Dec  3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F284]: from src: 172.16.1.3/3059 dst 81.222.xx.4/80
Dec  3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to src: 172.16.1.3/3059 dst: 172.16.5.57/80 PSH,ACK
Dec  3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC
Dec  3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] Tx[634F284]: from src: 172.16.5.57/80 dst 172.16.1.3/3059
Dec  3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to src: 81.222.xx.4/80 dst: 172.16.1.3/3059 ACK
Dec  3 17:32:09.590: SSM FH: [SSS:TC:24649:L4R:36944] Tx[634F284]: from src: 172.16.5.57/80 dst 172.16.1.3/3059
Dec  3 17:32:09.590: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to src: 81.222.xx.4/80 dst: 172.16.1.3/3059 ACK
Dec  3 17:32:09.590: SSM FH: [SSS:TC:24649:L4R:36944] Tx[634F284]: from src: 172.16.5.57/80 dst 172.16.1.3/3059
Dec  3 17:32:09.594: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to src: 81.222.xx.4/80 dst: 172.16.1.3/3059 PSH,ACK
Dec  3 17:32:09.594: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F284]: from src: 172.16.1.3/3059 dst 81.222.xx.4/80
Dec  3 17:32:09.594: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to src: 172.16.1.3/3059 dst: 172.16.5.57/80 ACK
Dec  3 17:32:09.594: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC
Dec  3 17:32:09.594: SSM FH: [SSS:TC:24649:L4R:36944] Tx[634F284]: from src: 172.16.5.57/80 dst 172.16.1.3/3059
Dec  3 17:32:09.594: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to src: 81.222.xx.4/80 dst: 172.16.1.3/3059 FIN,ACK
Dec  3 17:32:09.594: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F284]: from src: 172.16.1.3/3059 dst 81.222.xx.4/80
Dec  3 17:32:09.594: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to src: 172.16.1.3/3059 dst: 172.16.5.57/80 ACK
Dec  3 17:32:09.594: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC
Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F284]: from src: 172.16.1.3/3059 dst 81.222.xx.4/80
Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to src: 172.16.1.3/3059 dst: 172.16.5.57/80 FIN,ACK
Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC
Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] Tx[634F284]: from src: 172.16.5.57/80 dst 172.16.1.3/3059
Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to src: 81.222.xx.4/80 dst: 172.16.1.3/3059 ACK
Router#


"ISG, policy-map  и глюк ACL !!! help"
Отправлено Pcom , 03-Дек-07 17:40 
>[оверквотинг удален]
>Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F284]: from src: 172.16.1.3/3059 dst
>81.222.xx.4/80
>Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to
>src: 172.16.1.3/3059 dst: 172.16.5.57/80 FIN,ACK
>Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC
>Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] Tx[634F284]: from src: 172.16.5.57/80 dst
>172.16.1.3/3059
>Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to
>src: 81.222.xx.4/80 dst: 172.16.1.3/3059 ACK
>Router#

Попробуй убрать ACL_L4_OUT вообще из сервиса вообще.


"ISG, policy-map  и глюк ACL !!! help"
Отправлено ATeam , 03-Дек-07 17:47 
>[оверквотинг удален]
>>Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to
>>src: 172.16.1.3/3059 dst: 172.16.5.57/80 FIN,ACK
>>Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC
>>Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] Tx[634F284]: from src: 172.16.5.57/80 dst
>>172.16.1.3/3059
>>Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to
>>src: 81.222.xx.4/80 dst: 172.16.1.3/3059 ACK
>>Router#
>
>Попробуй убрать ACL_L4_OUT вообще из сервиса вообще.

cisco-avpair = "ip:traffic-class=out access-group name ACL_OUT_L4R priority 5",

это ? из сервиса редиректа ?


"ISG, policy-map  и глюк ACL !!! help"
Отправлено ATeam , 03-Дек-07 17:55 
>[оверквотинг удален]
>>>172.16.1.3/3059
>>>Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to
>>>src: 81.222.xx.4/80 dst: 172.16.1.3/3059 ACK
>>>Router#
>>
>>Попробуй убрать ACL_L4_OUT вообще из сервиса вообще.
>
>cisco-avpair = "ip:traffic-class=out access-group name ACL_OUT_L4R priority 5",
>
>это ? из сервиса редиректа ?

убрал -


Dec  3 17:51:44.050: L4 Redirect: REDIR-RULE: CP --> DP
Dec  3 17:51:44.050: L4 Redirect: Created new L4R rule DP context
Dec  3 17:51:47.018: L4 Redirect: REDIR-STARTED: DP --> CP
Dec  3 17:51:47.018: L4 Redirect: REDIR-STARTED: rule #1
Dec  3 17:51:47.018: L4 Redirect: TRANS-STARTED: DP --> CP
Dec  3 17:51:47.018: L4 Redirect: TRANS-STARTED: updt from DP started[TCP]: src 172.16.1.6/3132
Dec  3 17:51:47.018: L4 Redirect: TRANS-STARTED:                            dst 172.16.5.57/80
Dec  3 17:51:47.018: L4 Redirect: TRANS-STARTED:                            odst 192.168.0.3/2967
Dec  3 17:51:47.018: L4 Redirect: TRANS-STARTED: CP --> DP
Dec  3 17:51:47.018: L4 Redirect: TRANS-STARTED: updt from CP started[TCP]: src 172.16.1.6/3132
Dec  3 17:51:47.018: L4 Redirect: TRANS-STARTED:                            dst 172.16.5.57/80
Dec  3 17:51:47.018: L4 Redirect: TRANS-STARTED:                            odst 192.168.0.3/2967
Dec  3 17:51:47.018: L4 Redirect: TRANS-STARTED:                            duplicate, ignored
Dec  3 17:51:47.586: L4 Redirect: TRANS-STARTED: DP --> CP
Dec  3 17:51:47.586: L4 Redirect: TRANS-STARTED: updt from DP started[UDP]: src 172.16.1.6/137
Dec  3 17:51:47.586: L4 Redirect: TRANS-STARTED:                            dst 172.16.5.57/80
Dec  3 17:51:47.586: L4 Redirect: TRANS-STARTED:                            odst 172.16.1.255/137
Dec  3 17:51:47.586: L4 Redirect: TRANS-STARTED: CP --> DP
Dec  3 17:51:47.586: L4 Redirect: TRANS-STARTED: updt from CP started[UDP]: src 172.16.1.6/137
Dec  3 17:51:47.586: L4 Redirect: TRANS-STARTED:                            dst 172.16.5.57/80
Dec  3 17:51:47.586: L4 Redirect: TRANS-STARTED:                            odst 172.16.1.255/137
Dec  3 17:51:47.586: L4 Redirect: TRANS-STARTED:                            duplicate, ignored
Dec  3 17:51:51.610: L4 Redirect: TRANS-STARTED: DP --> CP
Dec  3 17:51:51.610: L4 Redirect: TRANS-STARTED: updt from DP started[TCP]: src 172.16.1.6/3139
Dec  3 17:51:51.610: L4 Redirect: TRANS-STARTED:                            dst 172.16.5.57/80
Dec  3 17:51:51.610: L4 Redirect: TRANS-STARTED:                            odst 81.222.xx.4/80
Dec  3 17:51:51.610: L4 Redirect: TRANS-STARTED: CP --> DP
Dec  3 17:51:51.610: L4 Redirect: TRANS-STARTED: updt from CP started[TCP]: src 172.16.1.6/3139
Dec  3 17:51:51.610: L4 Redirect: TRANS-STARTED:                            dst 172.16.5.57/80
Dec  3 17:51:51.610: L4 Redirect: TRANS-STARTED:                            odst 81.222.xx.4/80
Dec  3 17:51:51.610: L4 Redirect: TRANS-STARTED:                            duplicate, ignored
Dec  3 17:51:56.582: L4 Redirect: TRANS-STARTED: DP --> CP
Dec  3 17:51:56.582: L4 Redirect: TRANS-STARTED: updt from DP started[UDP]: src 172.16.1.6/138
Dec  3 17:51:56.582: L4 Redirect: TRANS-STARTED:                            dst 172.16.5.57/80
Dec  3 17:51:56.582: L4 Redirect: TRANS-STARTED:                            odst 172.16.1.255/138
Dec  3 17:51:56.582: L4 Redirect: TRANS-STARTED: CP --> DP
Dec  3 17:51:56.582: L4 Redirect: TRANS-STARTED: updt from CP started[UDP]: src 172.16.1.6/138
Dec  3 17:51:56.582: L4 Redirect: TRANS-STARTED:                            dst 172.16.5.57/80
Dec  3 17:51:56.582: L4 Redirect: TRANS-STARTED:                            odst 172.16.1.255/138
Dec  3 17:51:56.582: L4 Redirect: TRANS-STARTED:                            duplicate, ignored
Router#
Router#
Router#sh red
Router#sh redirect t
Router#sh redirect translations
Destination IP/port    Server IP/port         Prot  In Flags  Out Flags  Timestamp
172.16.1.255    137    172.16.5.57     80     UDP                        Dec 03 2007 17:52:12
172.16.1.255    138    172.16.5.57     80     UDP                        Dec 03 2007 17:52:12
192.168.0.3     2967   172.16.5.57     80     TCP                        Dec 03 2007 17:51:56
81.222.xx.4     80     172.16.5.57     80     TCP                        Dec 03 2007 17:52:00


судя по tcdump на портале , на него стали проходить netbios пакеты ...
раньше вообще тишина была ...


"ISG, policy-map  и глюк ACL !!! help"
Отправлено ATeam , 04-Дек-07 13:08 
>[оверквотинг удален]
>          
>          Dec
>03 2007 17:52:00
>
>
>
>
>судя по tcdump на портале , на него стали проходить netbios пакеты
>...
>раньше вообще тишина была ...

поставил - c7200p-a3jk91s-mz.122-31.SB10.bin , последний IOS из этой ветки ...
всё то же самое (


"ISG, policy-map  и глюк ACL !!! help"
Отправлено Basil , 05-Дек-07 12:25 
>[оверквотинг удален]
>>
>>
>>
>>
>>судя по tcdump на портале , на него стали проходить netbios пакеты
>>...
>>раньше вообще тишина была ...
>
>поставил - c7200p-a3jk91s-mz.122-31.SB10.bin , последний IOS из этой ветки ...
>всё то же самое (

Может стоит открыть кей с в Циске ?


"ISG, policy-map  и глюк ACL !!! help"
Отправлено ATeam , 05-Дек-07 12:27 
>[оверквотинг удален]
>>>
>>>
>>>судя по tcdump на портале , на него стали проходить netbios пакеты
>>>...
>>>раньше вообще тишина была ...
>>
>>поставил - c7200p-a3jk91s-mz.122-31.SB10.bin , последний IOS из этой ветки ...
>>всё то же самое (
>
>Может стоит открыть кей с в Циске ?

Хмм ... я на форуме на cisco.com повесил пост , а так у меня только guest логин , поэтому например представительство cisco в россии "послали" , сказали купите сапорт за 3500$ ... так что я бы с радостью , но ни как ...

Пошёл другим путём пока , не таким красивым как хотелось , но рабочим ...



"ISG, policy-map  и глюк ACL !!! help"
Отправлено Basil , 05-Дек-07 15:27 
>[оверквотинг удален]
>>
>>Может стоит открыть кей с в Циске ?
>
>Хмм ... я на форуме на cisco.com повесил пост , а так
>у меня только guest логин , поэтому например представительство cisco в
>россии "послали" , сказали купите сапорт за 3500$ ... так что
>я бы с радостью , но ни как ...
>
>Пошёл другим путём пока , не таким красивым как хотелось , но
>рабочим ...

НУ да, просто такой стофт покупать без поддержки смысла не имеет.
Я тоже столкнулся с одной проблемой на ISG, так помог только Cisco TAC.

А что за путь, если не секрет ?


"ISG, policy-map  и глюк ACL !!! help"
Отправлено ATeam , 05-Дек-07 15:46 
>[оверквотинг удален]
>>я бы с радостью , но ни как ...
>>
>>Пошёл другим путём пока , не таким красивым как хотелось , но
>>рабочим ...
>
>НУ да, просто такой стофт покупать без поддержки смысла не имеет.
>Я тоже столкнулся с одной проблемой на ISG, так помог только Cisco
>TAC.
>
>А что за путь, если не секрет ?

Ну софт я не покупал) добрые люди помогли)

Ну вариант один подошёл , посл окончания квоты , отрубать сервис SERVICE_401_INTERNET и запускать отдельный сервис с редиректом .. минус один , что бы включился Интернет сервис после поступления денег , либо переавторизироваться , либо когда тебя редирект кидает на портал , на портале просто мышкой жамкать на - Активировать Интернет ...



"ISG, policy-map  и глюк ACL !!! help"
Отправлено ATeam , 05-Дек-07 16:32 
>[оверквотинг удален]
>>
>>А что за путь, если не секрет ?
>
>Ну софт я не покупал) добрые люди помогли)
>
>Ну вариант один подошёл , посл окончания квоты , отрубать сервис SERVICE_401_INTERNET
>и запускать отдельный сервис с редиректом .. минус один , что
>бы включился Интернет сервис после поступления денег , либо переавторизироваться ,
>либо когда тебя редирект кидает на портал , на портале просто
>мышкой жамкать на - Активировать Интернет ...

Чего то я к вечеру туплю ((
подскажите , как выдать фиксированный IP из DHCP пула через Radius  в случае необходимости ....


"ISG, policy-map  и глюк ACL !!! help"
Отправлено Basil , 05-Дек-07 17:42 
>[оверквотинг удален]
>>
>>Ну вариант один подошёл , посл окончания квоты , отрубать сервис SERVICE_401_INTERNET
>>и запускать отдельный сервис с редиректом .. минус один , что
>>бы включился Интернет сервис после поступления денег , либо переавторизироваться ,
>>либо когда тебя редирект кидает на портал , на портале просто
>>мышкой жамкать на - Активировать Интернет ...
>
>Чего то я к вечеру туплю ((
>подскажите , как выдать фиксированный IP из DHCP пула через Radius  
>в случае необходимости ....

С ходу не скажу, но если поискать по ключам dhcp radius на этом сайте, то там точно есть.


"ISG, policy-map  и глюк ACL !!! help"
Отправлено Аноним , 11-Дек-07 18:16 
попробуйте так для начала
class type control always event session-restart  - убрать

добавить
class type control always event service-start
  10 service-policy type service unapply name L4_REDIRECT_SERVICE
  20 service-policy type service identifier service-name

class type control always event service-stop
  1 service-policy type service unapply identifier service-name
  20 service-policy type service name L4_REDIRECT_SERVICE

Приоритеты
самый высший 1  все остальные - приоритет ниже

и вообще выложите весь конфиг

  


"ISG, policy-map  и глюк ACL !!! help"
Отправлено ATeam , 11-Дек-07 18:22 
>[оверквотинг удален]
>Приоритеты
>самый высший 1  все остальные - приоритет ниже
>
>и вообще выложите весь конфиг
>
>
>
>
>
>

так в таком виде всё работает , если сервис INTERNET отрубился,  то запускается сервис редиректа ... это у меня сейчас работает ...
но маленькая проблема - как если пополнился счёт у абонента , то включить обратно сервис ? только либо переавторизиоваться , либо вручную с портала запустить данный остановленный сервис ...



"ISG, policy-map  и глюк ACL !!! help"
Отправлено Аноним , 12-Дек-07 10:24 

>так в таком виде всё работает , если сервис INTERNET отрубился,  
>то запускается сервис редиректа ... это у меня сейчас работает ...
>
>но маленькая проблема - как если пополнился счёт у абонента , то
>включить обратно сервис ? только либо переавторизиоваться , либо вручную с
>портала запустить данный остановленный сервис ...

1. сделать чтобы сессия на циске не рвалась при отрицательном балансе
2. в профиль клиента добавить сервис как услугу типа A т.е. дефолтную
в таком случае при отрицательном балансе - сессия клиента будет авторизована на портале
но сервис A будет выключен, т.е. при по попытке клиентом открыть любую страничку - его всегда будет редиректить на портал


"ISG, policy-map  и глюк ACL !!! help"
Отправлено Аноним , 12-Дек-07 10:27 

>в таком случае при отрицательном балансе - сессия клиента будет авторизована на
>портале
>но сервис A будет выключен, т.е. при по попытке клиентом открыть любую
>страничку - его всегда будет редиректить на портал

но как только сервис перейдет в статус включен -- состветсвенно инет и у клиента появится
но я не советовал бы так делать
лучше сделать так чтобы при наступлении события credit-exhausted
клиента редиректило на страничку с надписью  "Бабла нет"
в противном случае - вас достанут звонками типа "У меня нет инета постоянно открывается портал" - клиент не догадается что бабки кончились


"ISG, policy-map  и глюк ACL !!! help"
Отправлено ATeam , 12-Дек-07 10:31 
>[оверквотинг удален]
>>но сервис A будет выключен, т.е. при по попытке клиентом открыть любую
>>страничку - его всегда будет редиректить на портал
>
>но как только сервис перейдет в статус включен -- состветсвенно инет и
>у клиента появится
>но я не советовал бы так делать
>лучше сделать так чтобы при наступлении события credit-exhausted
>клиента редиректило на страничку с надписью  "Бабла нет"
>в противном случае - вас достанут звонками типа "У меня нет инета
>постоянно открывается портал" - клиент не догадается что бабки кончились

Так я так и пытался сделать !)
При наступлении credit-exhausted  - сервис Интернет -не выключается, но весь трафик дропается и запускается сервис редиректа , который кидает на портал , а как только счёт пополнился, сервис редиректа отключается, а дропанье на серсисе Интернет отключается то же ... и пользователь уже попадает в инет ... но вот и возникла проблема с таким вариантом !((


"ISG, policy-map  и глюк ACL !!! help"
Отправлено Аноним , 12-Дек-07 10:42 

>Так я так и пытался сделать !)
>При наступлении credit-exhausted  - сервис Интернет -не выключается, но весь трафик
>дропается и запускается сервис редиректа , который кидает на портал ,
>а как только счёт пополнился, сервис редиректа отключается, а дропанье на
>серсисе Интернет отключается то же ... и пользователь уже попадает в
>инет ... но вот и возникла проблема с таким вариантом !((
>

сервис инет по любому должен вырубится
выкладывайте весь текущий конфиг по настройкам isg
а также все атрибуты клиента и сервиса который ему вешается


"ISG, policy-map  и глюк ACL !!! help"
Отправлено ATeam , 12-Дек-07 10:49 
>[оверквотинг удален]
>>При наступлении credit-exhausted  - сервис Интернет -не выключается, но весь трафик
>>дропается и запускается сервис редиректа , который кидает на портал ,
>>а как только счёт пополнился, сервис редиректа отключается, а дропанье на
>>серсисе Интернет отключается то же ... и пользователь уже попадает в
>>инет ... но вот и возникла проблема с таким вариантом !((
>>
>
>сервис инет по любому должен вырубится
>выкладывайте весь текущий конфиг по настройкам isg
>а также все атрибуты клиента и сервиса который ему вешается

Хмм ... у циски написано , что можно его не отключать , если стоит Idle-Timeout ,то он не отрубает сервис , а запускает другой , а по этому сервису всё дропает ...


nas-port:172.16.4.4:0/0/1/100.4000 Password = "lab123",
    User-Service-Type = Login-User,
    User-Name = "0/0/1/100.4000",
    NAS-Port-Type = PPPoEoQinQ,
    cisco-avpair = "subscriber:accounting-list=BH_ACCNT_LIST",
    cisco-avpair = "ssg-account-info=ASERVICE_401_INTERNET",
    cisco-avpair = "ssg-account-info=NSERVICE_401_INTERNET_UPS",
    cisco-avpair = "ssg-account-info=AGAMING",
    cisco-avpair = "ssg-account-info=NL4_REDIRECT_SERVICE_NOTSERV",
    Idle-Timeout = "600",

0/0/1/100.4000 Password = "cisco",
    Control-Info = "QT300",
#    Idle-Timeout = "100",
    Framed-Protocol = "PPP",


PBHK_SERVICE  Password = "cisco",
    cisco-avpair = "ip:portbundle=enable",
#    cisco-avpair = "ip:traffic-class=out default drop",
#    cisco-avpair = "ip:traffic-class=in default drop",
    


SERVICE_401_INTERNET Password = "cisco",
    User-Name = "0/0/1/100.4000",
    cisco-avpair = "subscriber:accounting-list=BH_ACCNT_LIST",
    cisco-avpair = "ip:traffic-class=in access-group name  ACL_IN_INT priority 30",
    cisco-avpair = "ip:traffic-class=out access-group name  ACL_OUT_INT priority 30",
    cisco-avpair = "ip:traffic-class=out default drop",
    cisco-avpair = "ip:traffic-class=in default drop",
    Service-Info = "QD;1024000;1024000",
    Service-Info = "QU:512000;512000",
    Service-Info = "ISERVICE_401_INTERNET",
    cisco-avpair = "prepaid-config=default",
#    cisco-avpair = "subscriber:classname=C73-1",
#    Framed-IP-Address = "10.100.1.5",

SERVICE_401_INTERNET_UP Password = "cisco",
    User-Name = "0/0/1/100.4000",
    cisco-avpair = "subscriber:accounting-list=BH_ACCNT_LIST",
    cisco-avpair = "ip:traffic-class=in access-group name  ACL_IN_INT priority 30",
    cisco-avpair = "ip:traffic-class=out access-group name  ACL_OUT_INT priority 30",
    cisco-avpair = "ip:traffic-class=out default drop",
    cisco-avpair = "ip:traffic-class=in default drop",
    Service-Info = "QD;10240000;10240000",
    Service-Info = "QU:5120000;5120000",
    Service-Info = "ISERVICE_401_INTERNET_UP",
    cisco-avpair = "prepaid-config=default",
    
L4_REDIRECT_SERVICE Password = "cisco",
    cisco-avpair = "ip:l4redirect=redirect list 199 to group PERIODIC_L4R",
    cisco-avpair = "ip:traffic-class=out default drop",
    cisco-avpair = "ip:traffic-class=in default drop",
    cisco-avpair = "ip:traffic-class=in access-group name ACL_IN_WWW",
    cisco-avpair = "ip:traffic-class=out access-group name ACL_OUT_WWW",


GAMING    Password = "cisco",
    User-Name = "0/0/1/100.4000",
    cisco-avpair = "ip:traffic-class=in access-group name GAM_ACL_IN priority 40",
    cisco-avpair = "ip:traffic-class=out access-group name GAM_ACL_OUT priority 40",
    cisco-avpair = "ip:traffic-class=out default drop",
    cisco-avpair = "ip:traffic-class=in default drop",
    Service-Info = "IGAMING",
    Service-Info = "QD;1024000;1024000",
    Service-Info = "QU:512000;512000",


L4_REDIRECT_SERVICE_NOTSERV Password = "cisco",
    User-Name = "0/0/1/100.4000",
    cisco-avpair = "ip:l4redirect=redirect list 199 to group PERIODIC_L4R_NOTSERV",
    cisco-avpair = "ip:traffic-class=out default drop",
    cisco-avpair = "ip:traffic-class=in default drop",
    cisco-avpair = "ip:traffic-class=in access-group name ACL_IN_WWW",
    cisco-avpair = "ip:traffic-class=out access-group name ACL_OUT_WWW",


SERVICE_403_L4R_TC Password = "cisco",
    cisco-avpair = "ip:traffic-class=in access-group name ACL_IN_L4R priority 5",
        cisco-avpair = "ip:l4redirect=redirect list 197 to group PORTAL",
    cisco-avpair = "ip:traffic-class=out access-group name ACL_OUT_L4R priority 5",

Далее конфиг -

Router#sh run
Building configuration...

Current configuration : 10671 bytes
!
! Last configuration change at 18:01:32 UTC Tue Dec 11 2007
!
upgrade fpd auto
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot system disk2:c7200p-a3jk91s-mz.122-31.SB10.bin
boot-end-marker
!
!
aaa new-model
!
!
aaa group server radius BH_SERVER_GROUP1
server 172.16.5.45 auth-port 1812 acct-port 1813
!        
aaa authentication login default none
aaa authentication login BH_WEB_LOGON group BH_SERVER_GROUP1
aaa authorization network default group radius if-authenticated
aaa authorization subscriber-service default local group BH_SERVER_GROUP1
aaa accounting update periodic 5
aaa accounting network default start-stop group BH_SERVER_GROUP1
aaa accounting network BH_ACCNT_LIST start-stop group BH_SERVER_GROUP1
!
aaa server radius sesm
client 192.168.100.50 key cisco
client 172.16.5.57
client 172.16.5.58
key cisco
message-authenticator ignore
!
!
aaa server radius dynamic-author
client 172.16.5.45 server-key cisco
client 172.16.5.57 server-key cisco
client 192.168.100.50 server-key cisco
!
aaa session-id common
clock calendar-valid
ip subnet-zero
!
!
ip name-server 81.222.xx.2
ip name-server 81.222.xx.2
ip dhcp relay information option
ip dhcp relay information policy keep
ip dhcp relay information trust-all
no ip dhcp use vrf connected
ip dhcp binding cleanup interval 10
!
!
ip dhcp class C73-1
!
ip dhcp class MAIN
!
ip cef
ip dhcp-server 172.16.5.57
!
subscriber feature prepaid GAME
threshold time 10 seconds
threshold volume 0 bytes
interim-interval 2 minutes
method-list author default
method-list accounting default
password cisco
subscriber feature prepaid default
threshold time 0 seconds
threshold volume 0 bytes
interim-interval 2 minutes
method-list author default
method-list accounting default
password cisco
!
subscriber authorization enable
vpdn enable
!
redirect server-group PORTAL
server ip 172.16.5.57 port 80
!
redirect server-group PERIODIC_L4R
server ip 172.16.5.57 port 8001
!
redirect server-group PERIODIC_L4R_NOTSERV
server ip 172.16.5.57 port 8002
!        
call rsvp-sync
no scripting tcl init
no scripting tcl encdir
!
!
!
!
!
!
!
no file verify auto
!
class-map type traffic match-any CLASS-ALL
!
class-map type traffic match-any pp-redirect-refill-vol-tc
match access-group output name BLOCK
match access-group input name BLOCK
!
class-map type control match-all SERVICE_401_INTERNET_UP
match service-name SERVICE_401_INTERNET_UP
!
class-map type control match-all SERVICE_401_INTERNET
match service-name SERVICE_401_INTERNET
!
class-map type control match-all SERVICE_401_UPGRADED_INTERNET
match service-name SERVICE_401_UPGRADED_INTERNET
!
class-map type control match-all SERVICE_401_PERIODIC_L4_REDIRECT
match service-name SERVICE_401_PERIODIC_L4R
!
class-map type control match-all IP_UNAUTH_COND
match timer IP_UNAUTH_TIMER
match authen-status unauthenticated
!
policy-map type service pp-redict-refill-vol
class type traffic pp-redirect-refill-vol-tc
  redirect list 197 to group PERIODIC_L4R_NOTSERV
!
!
policy-map type control RULE-401a-1
class type control IP_UNAUTH_COND event timed-policy-expiry
  1 service disconnect
!
class type control SERVICE_401_UPGRADED_INTERNET event service-stop
  1 service-policy type service unapply identifier service-name
  2 service-policy type service name SERVICE_401_INTERNET
!
class type control SERVICE_401_UPGRADED_INTERNET event service-start
  1 service-policy type service unapply name SERVICE_401_INTERNET
  2 service-policy type service unapply name SERVICE_401_PERIODIC_L4R
  3 service-policy type service identifier service-name
!
class type control SERVICE_401_INTERNET event service-start
  1 service-policy type service unapply name L4_REDIRECT_SERVICE_NOTSERV
  2 service-policy type service unapply name SERVICE_401_INTERNET
  3 service-policy type service identifier service-name
!
class type control SERVICE_401_INTERNET event service-stop
  1 service-policy type service unapply identifier service-name
  2 service-policy type service name L4_REDIRECT_SERVICE_NOTSERV
!
class type control SERVICE_401_INTERNET_UP event service-start
  1 service-policy type service unapply name SERVICE_401_INTERNET
  2 service-policy type service unapply name L4_REDIRECT_SERVICE_NOTSERV
  3 service-policy type service identifier service-name
!
class type control SERVICE_401_INTERNET_UP event service-stop
  1 service-policy type service unapply identifier service-name
  2 service-policy type service name SERVICE_401_INTERNET
!
class type control always event session-start
  1 authorize aaa password lab123 identifier nas-port
  2 service-policy type service name L4_REDIRECT_SERVICE
  3 set-timer IP_UNAUTH_TIMER 5
!
class type control always event account-logon
  1 authenticate aaa list BH_WEB_LOGON
  2 service-policy type service unapply name L4_REDIRECT_SERVICE
!
class type control always event account-logoff
  1 service disconnect delay 5
!
class type control always event session-restart
  1 service-policy type service name PBHK_SERVICE
  3 service-policy type service name L4_REDIRECT_SERVICE
  4 set-timer IP_UNAUTH_TIMER 5
!
class type control always event quota-depleted
  1 set-param drop-traffic FALSE
!
!
!        
!
interface Loopback0
ip address 172.16.4.4 255.255.255.255
!
interface Loopback1
ip address 172.16.1.1 255.255.255.0
!
interface GigabitEthernet0/1
no ip address
ip flow ingress
ip flow egress
media-type rj45
speed auto
duplex auto
negotiation auto
!
interface GigabitEthernet0/1.500
encapsulation dot1Q 500
ip address 172.16.5.1 255.255.255.0
no snmp trap link-status
!
interface GigabitEthernet0/1.900
encapsulation dot1Q 900
ip address 10.50.1.3 255.255.255.0
ip portbundle outside
no snmp trap link-status
!
interface GigabitEthernet0/1.950
encapsulation dot1Q 950
ip address 192.168.0.1 255.255.255.0
no snmp trap link-status
!
interface GigabitEthernet0/1.4000100
encapsulation dot1Q 4000 second-dot1q 100-120
radius attribute nas-port-type 34
ip unnumbered Loopback1
ip helper-address 172.16.5.57
no snmp trap link-status
service-policy type control RULE-401a-1
ip subscriber l2-connected
  initiator dhcp class-aware
!
interface FastEthernet0/2
no ip address
shutdown
speed auto
duplex auto
!
interface GigabitEthernet0/2
description !!! FOR GAMES SERVERS !!!
no ip address
media-type rj45
speed auto
duplex auto
negotiation auto
!
interface GigabitEthernet0/3
no ip address
shutdown
media-type rj45
speed auto
duplex auto
negotiation auto
!
interface multiservice1
no ip address
no keepalive
!
!        
router bgp 31xxx
no synchronization
bgp router-id 172.16.4.4
bgp log-neighbor-changes
network 172.16.1.0 mask 255.255.255.0
network 172.16.5.0 mask 255.255.255.0
neighbor 172.16.4.9 remote-as 31321
neighbor 172.16.4.9 update-source Loopback0
no auto-summary
!
!
ip portbundle
match access-list 198
source Loopback0
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.4.9
ip route 172.16.4.9 255.255.255.255 10.50.1.2
!
no ip http server
!
!
!        
ip access-list extended ACL_IN_INT
deny   ip 10.0.0.0 0.255.255.255 any
deny   ip 192.168.0.0 0.0.255.255 any
permit ip any any
ip access-list extended ACL_IN_INTERNET
ip access-list extended ACL_IN_L4R
permit tcp any any eq www
permit tcp any any eq 8080
permit ip any any
permit ip any 0.0.0.0 255.255.255.127
ip access-list extended ACL_IN_PARENT
permit ip any any
ip access-list extended ACL_IN_UNAT
deny   ip 192.168.0.0 0.0.0.255 any log
permit ip any any log
ip access-list extended ACL_IN_UPGRADED_INTERNET_401
deny   ip 10.0.0.0 0.255.255.255 any
deny   ip 192.168.0.0 0.0.255.255 any
permit ip any any
ip access-list extended ACL_IN_WWW
permit udp any any eq domain
permit tcp any any eq www
permit tcp any any eq 8012
deny   ip any any
ip access-list extended ACL_OUT_INT
deny   ip 10.0.0.0 0.255.255.255 any
deny   ip 192.168.0.0 0.0.255.255 any
permit tcp any 172.16.0.0 0.0.255.255
permit udp any 172.16.0.0 0.0.255.255
permit ip any any
ip access-list extended ACL_OUT_L4R
permit ip host 172.16.5.57 any
permit ip any host 172.16.5.57
permit ip any any
ip access-list extended ACL_OUT_PARENT
permit ip any any
ip access-list extended ACL_OUT_UNAT
deny   ip 192.168.0.0 0.0.0.255 any
permit ip any any
ip access-list extended ACL_OUT_UPGRADED_INTERNET_401
deny   ip 10.0.0.0 0.255.255.255 any
deny   ip 192.168.0.0 0.0.255.255 any
permit ip any any
ip access-list extended ACL_OUT_WWW
permit udp any any eq domain
permit tcp any any
permit udp any any
deny   ip any any
ip access-list extended BLOCK
deny   ip any host 172.16.5.57
permit tcp any any eq www
permit tcp any any eq 8080
permit tcp any any eq 8002
deny   ip any any
ip access-list extended GAM_ACL_IN
permit tcp any host 81.222.xx.102 eq 8012
permit tcp any host 172.16.5.57 eq www 8080
permit ip any 192.168.0.0 0.0.0.255
permit tcp any host 84.16.xx.30 eq www
permit udp any any eq domain
deny   ip any any
ip access-list extended GAM_ACL_OUT
permit ip 192.168.0.0 0.0.0.255 any
permit tcp host 84.16.xx.30 eq www any
permit tcp host 81.222.xx.102 eq 8012 any
permit udp host 81.222.xx.2 eq domain any
permit udp host 81.222.xx.2 eq domain any
permit ip host 172.16.5.57 any
deny   ip any any
ip radius source-interface Loopback0 vrf default
!
!
!
!
!
!
!
!
access-list 197 deny   tcp any host 172.16.5.57 eq www
access-list 197 permit tcp any any eq www
access-list 197 permit tcp any any eq 8080
access-list 197 permit tcp any any eq 8002
access-list 197 deny   udp any any eq domain
access-list 197 deny   tcp any host 81.222.xx.102
access-list 197 permit ip any any
access-list 198 permit ip any host 172.16.5.45
access-list 198 deny   ip any any
access-list 199 deny   tcp any host 172.16.5.57 eq www
access-list 199 deny   tcp any host 172.16.5.57 eq 8001
access-list 199 deny   tcp any host 81.222.xx.102 eq www
access-list 199 deny   tcp any host 172.16.5.57 eq 8002
access-list 199 permit tcp any any eq www
!
!
radius-server attribute 44 include-in-access-req
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-access-req
radius-server attribute 55 include-in-acct-req
radius-server attribute 25 access-request include
radius-server attribute 61 extended
radius-server attribute 4 172.16.4.4
radius-server host 172.16.5.45 auth-port 1812 acct-port 1813 key cisco
radius-server vsa send accounting
radius-server vsa send authentication
!
control-plane
!
!
!
dial-peer cor custom
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
stopbits 1
line aux 0
stopbits 1
line vty 0 4
!
end

Router#


"ISG, policy-map  и глюк ACL !!! help"
Отправлено Аноним , 12-Дек-07 10:51 
>[оверквотинг удален]
>>При наступлении credit-exhausted  - сервис Интернет -не выключается, но весь трафик
>>дропается и запускается сервис редиректа , который кидает на портал ,
>>а как только счёт пополнился, сервис редиректа отключается, а дропанье на
>>серсисе Интернет отключается то же ... и пользователь уже попадает в
>>инет ... но вот и возникла проблема с таким вариантом !((
>>
>
>сервис инет по любому должен вырубится
>выкладывайте весь текущий конфиг по настройкам isg
>а также все атрибуты клиента и сервиса который ему вешается

еще момент приоритет у А услуги должен быть выше чем у L4_REDIRECT_SERVICE
иначе она отработает первой :)
конфиг вижу седня подумаю ближе к вечеру отвечу


"ISG, policy-map  и глюк ACL !!! help"
Отправлено Аноним , 12-Дек-07 14:26 
нужна доп инфа
авторизуйтесь клиентом lab123 - качайте пока не закончатся деньги
т.е. пока вас не выкинет на портал
после этого дайте вывод
sh sss session username lab123 det | b  Active services associated with session


"ISG, policy-map  и глюк ACL !!! help"
Отправлено ATeam , 12-Дек-07 17:15 
>нужна доп инфа
>авторизуйтесь клиентом lab123 - качайте пока не закончатся деньги
>т.е. пока вас не выкинет на портал
>после этого дайте вывод
>sh sss session username lab123 det | b  Active services associated
>with session

В каком виде это сделать ?
как есть сейчас ? когда  Сервис Интернет отключается и Включается сервис L4_REDIRECT ?

Вот -

sh sss session detailed            
Current Subscriber Information: Total sessions 1
--------------------------------------------------
Unique Session ID: 128
Identifier:
SIP subscriber access type(s): Traffic-Class
Current SIP options: None
Session Up-time: 00:00:43, Last Changed: 00:00:43

Policy information:
  Context 03F4128C: Handle 0C0000F3
  AAA_id 0000003D: Flow_handle 0
  Authentication status: unauthen
  Downloaded User profile, including services:
    username             "0/0/1/100.4000"
    l4redirect           "redirect list 199 to group PERIODIC_L4R_NOTSERV"
    traffic-class        "out default drop"
    traffic-class        "in default drop"
    traffic-class        "in access-group name ACL_IN_WWW"
    traffic-class        "out access-group name ACL_OUT_WWW"
  Config history for session (recent to oldest):
    Access-type: Max Client: Service Command-Handler
     Policy event: None (Service)
      Profile name: L4_REDIRECT_SERVICE_NOTSERV, 4 references
        username             "0/0/1/100.4000"
        l4redirect           "redirect list 199 to group PERIODIC_L4R_NOTSERV"
        traffic-class        "out default drop"
        traffic-class        "in default drop"
        traffic-class        "in access-group name ACL_IN_WWW"
        traffic-class        "out access-group name ACL_OUT_WWW"

Session inbound features:
Feature: Layer 4 Redirect
  Rule  Cfg  Definition
  #1    SVC  Redirect list 199 to group PERIODIC_L4R_NOTSERV
Configuration sources associated with this session:
Service: L4_REDIRECT_SERVICE_NOTSERV, Active Time = 00:00:44

--------------------------------------------------
Unique Session ID: 126
Identifier:
SIP subscriber access type(s): Traffic-Class
Current SIP options: None
Session Up-time: 00:00:44, Last Changed: 00:00:44

Policy information:
  Context 03F41114: Handle 6A0000EF
  AAA_id 0000003D: Flow_handle 0
  Authentication status: unauthen
  Downloaded User profile, including services:
    username             "0/0/1/100.4000"
    traffic-class        "in access-group name GAM_ACL_IN priority 40"
    traffic-class        "out access-group name GAM_ACL_OUT priority 40"
    traffic-class        "out default drop"
    traffic-class        "in default drop"
    ssg-service-info     "IGAMING"
    ssg-service-info     "QD;1024000;1024000"
    ssg-service-info     "QU:512000;512000"
  Config history for session (recent to oldest):
    Access-type: Web-service-logon Client: Service Command-Handler
     Policy event: Service-Start (Service)
      Profile name: GAMING, 4 references
        username             "0/0/1/100.4000"
        traffic-class        "in access-group name GAM_ACL_IN priority 40"
        traffic-class        "out access-group name GAM_ACL_OUT priority 40"
        traffic-class        "out default drop"
        traffic-class        "in default drop"
        ssg-service-info     "IGAMING"
        ssg-service-info     "QD;1024000;1024000"
        ssg-service-info     "QU:512000;512000"
          
Session inbound features:
Feature: Policing
Upstream Params:
Average rate = 512000, Normal burst = 96000, Excess burst = 192000
Config level = Service

Session outbound features:
Feature: Policing
Dnstream Params:
Average rate = 1024000, Normal burst = 1024000, Excess burst = 0
Config level = Service

Configuration sources associated with this session:
Service: GAMING, Active Time = 00:00:46

--------------------------------------------------
Unique Session ID: 125
Identifier: 0/0/1/100.4000
SIP subscriber access type(s): IP
Current SIP options: Req Fwding/Req Fwded
Session Up-time: 00:00:46, Last Changed: 00:00:46

Policy information:
  Context 03F41404: Handle 7B0000EE
  AAA_id 0000003D: Flow_handle 0
  Authentication status: authen
  Downloaded User profile, excluding services:
    service-type         1 [Login]
    port-type            12 [PPPoE over QinQ]
    accounting-list      "BH_ACCNT_LIST"
    ssg-account-info     "ASERVICE_401_INTERNET"
    ssg-account-info     "NSERVICE_401_INTERNET_UPS"
    ssg-account-info     "AGAMING"
    ssg-account-info     "NL4_REDIRECT_SERVICE_NOTSERV"
    idletime             600 (0x258)
    clid-mac-addr        00 14 85 85 06 D1
    addr                 172.16.1.2
    netmask              255.255.255.255
    config-source-dpm    True
  Downloaded User profile, including services:
    service-type         1 [Login]
    port-type            12 [PPPoE over QinQ]
    accounting-list      "BH_ACCNT_LIST"
    ssg-account-info     "ASERVICE_401_INTERNET"
    ssg-account-info     "NSERVICE_401_INTERNET_UPS"
    ssg-account-info     "AGAMING"
    ssg-account-info     "NL4_REDIRECT_SERVICE_NOTSERV"
    idletime             600 (0x258)
    ssg-service-info     "IGAMING"
    ssg-service-info     "QD;1024000;1024000"
    ssg-service-info     "QU:512000;512000"
    clid-mac-addr        00 14 85 85 06 D1
    addr                 172.16.1.2
    netmask              255.255.255.255
    config-source-dpm    True
    username             "0/0/1/100.4000"
    l4redirect           "redirect list 199 to group PERIODIC_L4R_NOTSERV"
    traffic-class        "out default drop"
    traffic-class        "in default drop"
    traffic-class        "in access-group name ACL_IN_WWW"
    traffic-class        "out access-group name ACL_OUT_WWW"
  Config history for session (recent to oldest):
    Access-type: Max Client: SM
     Policy event: Notification Event (Service)
      Profile name: L4_REDIRECT_SERVICE_NOTSERV, 4 references
        username             "0/0/1/100.4000"
        l4redirect           "redirect list 199 to group PERIODIC_L4R_NOTSERV"
        traffic-class        "out default drop"
        traffic-class        "in default drop"
        traffic-class        "in access-group name ACL_IN_WWW"
        traffic-class        "out access-group name ACL_OUT_WWW"
    Access-type: Web-service-logon Client: SM
     Policy event: Apply Config Success (Unapplied) (Service)
      Profile name: SERVICE_401_INTERNET, 3 references
        username             "0/0/1/100.4000"
        accounting-list      "BH_ACCNT_LIST"
        traffic-class        "in access-group name  ACL_IN_INT priority 30"
        traffic-class        "out access-group name  ACL_OUT_INT priority 30"
        traffic-class        "out default drop"
        traffic-class        "in default drop"
        ssg-service-info     "QD;1024000;1024000"
        ssg-service-info     "QU:512000;512000"
        ssg-service-info     "ISERVICE_401_INTERNET"
    Access-type: IP Client: DHCP
     Policy event: Session-Update
      Profile name: apply-config-only, 2 references
        clid-mac-addr        00 14 85 85 06 D1
        addr                 172.16.1.2
        netmask              255.255.255.255
        config-source-dpm    True
    Access-type: Web-service-logon Client: SM
     Policy event: Apply Config Success (Service)
      Profile name: SERVICE_401_INTERNET, 3 references
        username             "0/0/1/100.4000"
        accounting-list      "BH_ACCNT_LIST"
        traffic-class        "in access-group name  ACL_IN_INT priority 30"
        traffic-class        "out access-group name  ACL_OUT_INT priority 30"
        traffic-class        "out default drop"
        traffic-class        "in default drop"
        ssg-service-info     "QD;1024000;1024000"
        ssg-service-info     "QU:512000;512000"
        ssg-service-info     "ISERVICE_401_INTERNET"
    Access-type: Web-service-logon Client: SM
     Policy event: Apply Config Success (Service)
      Profile name: GAMING, 4 references
        username             "0/0/1/100.4000"
        traffic-class        "in access-group name GAM_ACL_IN priority 40"
        traffic-class        "out access-group name GAM_ACL_OUT priority 40"
        traffic-class        "out default drop"
        traffic-class        "in default drop"
        ssg-service-info     "IGAMING"
        ssg-service-info     "QD;1024000;1024000"
        ssg-service-info     "QU:512000;512000"
    Access-type: IP Client: SM
     Policy event: Service Selection Request
      Profile name: nas-port:172.16.4.4:0/0/1/100.4000, 2 references
        service-type         1 [Login]
        port-type            12 [PPPoE over QinQ]
        accounting-list      "BH_ACCNT_LIST"
        ssg-account-info     "ASERVICE_401_INTERNET"
        ssg-account-info     "NSERVICE_401_INTERNET_UPS"
        ssg-account-info     "AGAMING"
        ssg-account-info     "NL4_REDIRECT_SERVICE_NOTSERV"
        idletime             600 (0x258)
  Active services associated with session:
    name "L4_REDIRECT_SERVICE_NOTSERV"
    name "GAMING"
  Rules, actions and conditions executed:
    subscriber rule-map RULE-401a-1
      condition always event session-start
        1 authorize identifier nas-port
        subscriber condition-map match-all SERVICE_401_UPGRADED_INTERNET
          match identifier service-name SERVICE_401_UPGRADED_INTERNET [FALSE]
    subscriber rule-map RULE-401a-1
      condition SERVICE_401_UPGRADED_INTERNET event service-start
        subscriber condition-map match-all SERVICE_401_INTERNET
          match identifier service-name SERVICE_401_INTERNET [FALSE]
    subscriber rule-map RULE-401a-1
      condition SERVICE_401_INTERNET event service-start
        subscriber condition-map match-all SERVICE_401_INTERNET_UP
          match identifier service-name SERVICE_401_INTERNET_UP [FALSE]
    subscriber rule-map RULE-401a-1
      condition SERVICE_401_INTERNET_UP event service-start
        subscriber condition-map match-all SERVICE_401_INTERNET
          match identifier service-name SERVICE_401_INTERNET [TRUE]
    subscriber rule-map RULE-401a-1
      condition SERVICE_401_INTERNET event service-start
        1 service-policy type service unapply name L4_REDIRECT_SERVICE_NOTSERV
        2 service-policy type service unapply name SERVICE_401_INTERNET
        3 service-policy type service identifier service-name
        subscriber condition-map match-all SERVICE_401_INTERNET
          match identifier service-name SERVICE_401_INTERNET [TRUE]
    subscriber rule-map RULE-401a-1
      condition SERVICE_401_INTERNET event service-stop
        1 service-policy type service unapply identifier service-name
        2 service-policy type service name L4_REDIRECT_SERVICE_NOTSERV

Session inbound features:
Feature: IP Idle Timeout
  Timeout value is 600
  Idle time is 00:00:02
Feature: Session accounting
  Method List: BH_ACCNT_LIST
  Packets = 52, Bytes = 6607

Feature: Layer 4 Redirect
  Rule table is empty
Traffic classes:
  Traffic class session ID: 126
   ACL Name: GAM_ACL_IN, Packets = 3, Bytes = 144
  Traffic class session ID: 128
   ACL Name: ACL_IN_WWW, Packets = 5, Bytes = 682
Default traffic is dropped
Unmatched Packets (dropped) = 44, Re-classified packets (redirected) = 5

Session outbound features:
Feature: Session accounting
  Method List: BH_ACCNT_LIST
  Packets = 6, Bytes = 2087

Traffic classes:
  Traffic class session ID: 126
   ACL Name: GAM_ACL_OUT, Packets = 0, Bytes = 0
  Traffic class session ID: 128
   ACL Name: ACL_OUT_WWW, Packets = 6, Bytes = 2087
Default traffic is dropped
Unmatched Packets (dropped) = 0, Re-classified packets (redirected) = 0

Configuration sources associated with this session:
Service: L4_REDIRECT_SERVICE_NOTSERV, Active Time = 00:00:56
Service: GAMING, Active Time = 00:00:56
Interface: GigabitEthernet0/1.4000100, Active Time = 00:00:56

Router#

В таком виде всё работает ...
Если пополнить счёт , и активировать на портале услугу SERVICE_INTERNET , то у абонента появится доступ в интернет ...
Тут проблемы то нет ...(

ps
по предыдущему посту - а приоритет сервисов как проставляется ? в policy-map ?