Всем доброго времени суток.Есть стенд с ISG.
есть правило -
policy-map type control RULE-401a-1
class type control IP_UNAUTH_COND event timed-policy-expiry
1 service disconnect
!
class type control always event session-start
1 service-policy type service name PBHK_SERVICE
2 authorize aaa password lab123 identifier nas-port
3 service-policy type service name L4_REDIRECT_SERVICE
4 set-timer IP_UNAUTH_TIMER 5
!
class type control always event account-logon
1 authenticate aaa list BH_WEB_LOGON
2 service-policy type service unapply name L4_REDIRECT_SERVICE
!
class type control always event account-logoff
1 service disconnect delay 5
!
class type control always event session-restart
1 service-policy type service name PBHK_SERVICE
3 service-policy type service name L4_REDIRECT_SERVICE
4 set-timer IP_UNAUTH_TIMER 5
!
class type control always event credit-exhausted
1 service-policy type service name SERVICE_403_L4R_TC
Пользователю разрешаются сервисы -nas-port:172.16.4.4:0/0/1/100.4000 Password = "lab123",
User-Service-Type = Login-User,
NAS-Port-Type = PPPoEoQinQ,
cisco-avpair = "subscriber:accounting-list=BH_ACCNT_LIST",
cisco-avpair = "ssg-account-info=ASERVICE_401_INTERNET",Разрешается сервис - SERVICE_401_INTERNET ---
SERVICE_401_INTERNET Password = "cisco",
User-Name = "0/0/1/100.4000",
cisco-avpair = "subscriber:accounting-list=BH_ACCNT_LIST",
cisco-avpair = "ip:traffic-class=in access-group name ACL_IN_INT priority 6",
cisco-avpair = "ip:traffic-class=in default drop",
cisco-avpair = "ip:traffic-class=out access-group name ACL_OUT_INT priority 6",
cisco-avpair = "ip:traffic-class=out default drop",
Service-Info = "QD;1024000;1024000",
Service-Info = "QU:512000;512000",
Service-Info = "ISERVICE_401_INTERNET",
cisco-avpair = "prepaid-config=default",Вот его ACL -
Extended IP access list ACL_IN_INT
10 deny ip 10.0.0.0 0.255.255.255 any
20 deny ip 192.168.0.0 0.0.255.255 any
30 permit ip any any (577 matches)Extended IP access list ACL_OUT_INT
10 deny ip 10.0.0.0 0.255.255.255 any
20 deny ip 192.168.0.0 0.0.255.255 any
30 permit ip any any (126 matches), при работающем сервисе трафик бегает в Инет , всё нормально ...
Однако так как включена функция - PREPAID - , то по истечению квоты -
Control-Info = "QT0",
Idle-Timeout = "1000",весь трафик дропается на этом сервисе пока идёт время Idle-Timeout
и загружается сервис - SERVICE_403_L4R_TC
SERVICE_403_L4R_TC Password = "cisco",
cisco-avpair = "ip:traffic-class=out access-group name ACL_OUT_L4R priority 1",
cisco-avpair = "ip:traffic-class=in access-group name ACL_IN_L4R priority 1",
cisco-avpair = "ip:l4redirect=redirect to group PERIODIC_L4R",
Вот его ACL -Extended IP access list ACL_IN_L4R
10 deny ip any host 172.16.5.57 (55 matches)
20 permit tcp any any eq www (137 matches)
30 permit tcp any any eq 8001
40 deny udp any any eq domain (37 matches)Extended IP access list ACL_OUT_L4R
10 permit ip any any (2 matches)
Вот данные по сессии -outer#sh sss session detailed | i ACL
traffic-class "out access-group name ACL_OUT_L4R priority 1"
traffic-class "in access-group name ACL_IN_L4R priority 1"
traffic-class "out access-group name ACL_OUT_L4R priority 1"
traffic-class "in access-group name ACL_IN_L4R priority 1"
traffic-class "out access-group name ACL_OUT_L4R priority 1"
traffic-class "in access-group name ACL_IN_L4R priority 1"
traffic-class "out access-group name ACL_OUT_L4R priority 1"
traffic-class "in access-group name ACL_IN_L4R priority 1"
traffic-class "out access-group name ACL_OUT_L4R priority 1"
traffic-class "in access-group name ACL_IN_L4R priority 1"
traffic-class "out access-group name ACL_OUT_L4R priority 1"
traffic-class "in access-group name ACL_IN_L4R priority 1"
traffic-class "in access-group name ACL_IN_INT priority 6"
traffic-class "out access-group name ACL_OUT_INT priority 6"
ACL Name: ACL_IN_INT, Packets = 215, Bytes = 22837
ACL Name: ACL_IN_L4R, Packets = 0, Bytes = 0
ACL Name: ACL_OUT_INT, Packets = 17, Bytes = 1925
ACL Name: ACL_OUT_L4R, Packets = 0, Bytes = 0
traffic-class "in access-group name ACL_IN_INT priority 6"
traffic-class "out access-group name ACL_OUT_INT priority 6"
traffic-class "in access-group name ACL_IN_INT priority 6"
traffic-class "out access-group name ACL_OUT_INT priority 6"
Router#
Traffic classes:
Traffic class session ID: 37
ACL Name: ACL_IN_INT, Packets = 215, Bytes = 22837
Traffic class session ID: 40
ACL Name: ACL_IN_L4R, Packets = 0, Bytes = 0
Default traffic is dropped
Unmatched Packets (dropped) = 0, Re-classified packets (redirected) = 0Feature: Portbundle Hostkey
Portbundle IP = 172.16.4.4 Bundle Number = 74Session outbound features:
Feature: Session accounting
Method List: BH_ACCNT_LIST
Packets = 19, Bytes = 2125Traffic classes:
Traffic class session ID: 37
ACL Name: ACL_OUT_INT, Packets = 17, Bytes = 1925
Traffic class session ID: 40
ACL Name: ACL_OUT_L4R, Packets = 0, Bytes = 0
Default traffic is dropped
Unmatched Packets (dropped) = 0, Re-classified packets (redirected) = 0Configuration sources associated with this session:
Service: SERVICE_403_L4R_TC, Active Time = 00:05:15
Service: SERVICE_401_INTERNET, Active Time = 00:39:28
AAA Service ID = 66876644
Service: PBHK_SERVICE, Active Time = 00:39:28
Interface: GigabitEthernet0/1.4000100, Active Time = 00:39:28
Весть трафик должен редиректиться на портал -redirect server-group PERIODIC_L4R
server ip 172.16.5.57 port 8001
И циска отображает , что трафик редиректиться ...
но реально не кидает на портал ...
хотя в остальных обычных случаях (например не авторизирован пользователь) все редиректы работают ...Кто сталкивался с такой фигнёй ?(
Может есть где то примеры ?
Все доки по этому поводу уже перерыл в доль и поперёк (( все по примерам делаю ... но не бегает ((
хотя по приоритетам всё правильно для ACL поставлено ((
Круто завернул. Где такие стенды собираете? ISG, QinQ.Посмотрите ацл ACL_IN_L4R
там 10 deny ip any host 172.16.5.57
а редирект как раз идет на
server ip 172.16.5.57 port 8001
>Круто завернул. Где такие стенды собираете? ISG, QinQ.
>
>Посмотрите ацл ACL_IN_L4R
>там 10 deny ip any host 172.16.5.57
>а редирект как раз идет на
>server ip 172.16.5.57 port 8001блин , уже все возможные варианты перелопатил ((
Extended IP access list ACL_IN_L4R
10 permit ip any host 172.16.5.57 (13 matches)
20 permit tcp any any eq www (13 matches)
30 permit tcp any any eq 8001
40 deny udp any any eq domain (7 matches)
50 permit ip host 172.16.5.57 any
100 deny ip any any (54 matches)
уже и так пробовал и по всякому ....
Трансляция якобы идёт ...
Destination IP/port Server IP/port Prot In Flags Out Flags Timestamp
172.16.5.57 80 172.16.5.57 8001 TCP Nov 29 2007 15:08:18
194.67.45.145 80 172.16.5.57 8001 TCP Nov 29 2007 15:08:20Но ответа нет (
хотя в ACL который out в сторону клиента всё permit ...
Не понятно как эти ACL работают когда они загружаются через команды радиуса ((
Да же наткнулся на такое (у циски нашёл), что в случае использования ACL в профилях пользователей через радиус нельзя использовать в командах ACL - log , иначе он не правильно начинает обрабатывать пакеты (( приходится методом тыка подпирать ACL, так как он да же в debug ip packet detail не высыпает их ((
>[оверквотинг удален]
>Но ответа нет (
>хотя в ACL который out в сторону клиента всё permit ...
>
>Не понятно как эти ACL работают когда они загружаются через команды радиуса
>((
>Да же наткнулся на такое (у циски нашёл), что в случае использования
>ACL в профилях пользователей через радиус нельзя использовать в командах
>ACL - log , иначе он не правильно начинает обрабатывать пакеты
>(( приходится методом тыка подпирать ACL, так как он да же
>в debug ip packet detail не высыпает их ((Всемогущий Сайко !!)) поможи нам плиз ))
Попробуйте еще так:
убрать траффик класс на аут, добавить в редирект ацл и слегка упростить ацл.SERVICE_403_L4R_TC Password = "cisco",
cisco-avpair = "ip:traffic-class=in access-group name ACL_IN_L4R priority 1",
cisco-avpair = "ip:l4redirect=redirect list ACL_IN_L4R to group PERIODIC_L4R",Extended IP access list ACL_IN_L4R
10 deny ip any host 172.16.5.57
20 permit tcp any any eq www
>[оверквотинг удален]
>
>SERVICE_403_L4R_TC Password = "cisco",
> cisco-avpair = "ip:traffic-class=in access-group
>name ACL_IN_L4R priority 1",
> cisco-avpair = "ip:l4redirect=redirect list
>ACL_IN_L4R to group PERIODIC_L4R",
>
>Extended IP access list ACL_IN_L4R
> 10 deny ip any host 172.16.5.57
> 20 permit tcp any any eq www1) во первых нельзя присвоить в редиректе именнованный ACL , толлько пронумерованный отдельный ...
cisco-avpair = "ip:l4redirect=redirect list 197 to group PERIODIC_L4R",
например ...
2) убрал OUT правило ...
3) outer#sh sss session detailed | i ACL
traffic-class "in access-group name ACL_IN_L4R priority 1"
traffic-class "in access-group name ACL_IN_L4R priority 1"
traffic-class "in access-group name ACL_IN_INT priority 30"
traffic-class "out access-group name ACL_OUT_INT priority 30"
ACL Name: ACL_IN_INT, Packets = 3, Bytes = 144
ACL Name: ACL_IN_L4R, Packets = 0, Bytes = 0
ACL Name: ACL_OUT_INT, Packets = 0, Bytes = 0
traffic-class "in access-group name ACL_IN_INT priority 30"
traffic-class "out access-group name ACL_OUT_INT priority 30"
traffic-class "in access-group name ACL_IN_INT priority 30"
traffic-class "out access-group name ACL_OUT_INT priority 30"
Редирект видно что матчиться -
outer#sh redirect translations
Destination IP/port Server IP/port Prot In Flags Out Flags Timestamp
81.2xx.xx.4 80 172.16.5.57 8001 TCP Nov 30 2007 11:00:13но не более того ...
к тому же при убранном OUT правиле в данной ситуации весь трафик по самому сервису SERVICE_401_INTERNET дропается ((( так задумано в принципе ... (что в принципе и требуется)
Вот ACL-киRouter#sh access-lists 197
Extended IP access list 197
10 deny ip any host 172.16.5.57
20 permit tcp any any eq www (7 matches)
30 permit tcp any any eq 8080
40 permit tcp any any eq 8002
Router#
outer#sh access-lists ACL_IN_L4R
Extended IP access list ACL_IN_L4R
10 deny ip any host 172.16.5.57 (6 matches)
20 deny udp 172.16.1.0 0.0.0.255 host 81.222.80.2 eq domain (63 matches)
30 deny udp host 81.222.80.2 eq domain 172.16.1.0 0.0.0.255
40 permit tcp any any eq www (7 matches)
вот такие дела ... где то слон спрятался ..(((
>[оверквотинг удален]
>domain (63 matches)
> 30 deny udp host 81.222.80.2 eq domain 172.16.1.0
>0.0.0.255
> 40 permit tcp any any eq www (7
>matches)
>
>
>
>
>вот такие дела ... где то слон спрятался ..(((Session inbound features:
Feature: Session accounting
Method List: BH_ACCNT_LIST
Packets = 140, Bytes = 13220Feature: Layer 4 Redirect
Rule table is empty
Traffic classes:
Traffic class session ID: 17
ACL Name: ACL_IN_INT, Packets = 15, Bytes = 720
Traffic class session ID: 18
ACL Name: ACL_IN_L4R, Packets = 9, Bytes = 432
Default traffic is dropped
Unmatched Packets (dropped) = 122, Re-classified packets (redirected) = 6Feature: Portbundle Hostkey
Portbundle IP = 172.16.4.4 Bundle Number = 69Session outbound features:
Feature: Session accounting
Method List: BH_ACCNT_LIST
Packets = 8, Bytes = 384Traffic classes:
Traffic class session ID: 17
ACL Name: ACL_OUT_INT, Packets = 8, Bytes = 384
Traffic class session ID: 18
ACL Name: ACL_IN_L4R, Packets = 0, Bytes = 0
Default traffic is dropped
Unmatched Packets (dropped) = 0, Re-classified packets (redirected) = 0Configuration sources associated with this session:
Service: SERVICE_403_L4R_TC, Active Time = 00:07:55
Service: SERVICE_401_INTERNET, Active Time = 00:07:57
AAA Service ID = 66874268
Service: PBHK_SERVICE, Active Time = 00:07:57
Interface: GigabitEthernet0/1.4000100, Active Time = 00:07:57
В догонку ....И вот ещё два цисковских перла -
CSCeh35036—Two Traffic Classes with L4 Redirect Do Not Work
Two traffic classes on which prioritization and L4 redirection are applied, and for which the ACLs used to do the traffic classification overlap, cannot be used at the same time by the same subscriber. If there is an attempt to use these features at the same time, return traffic will fail to get translated again when it is translated using the traffic class service that was last applied.CSCsa86854—Log Function on ACL Breaks Traffic Classification
When logging is enabled on an extended ACL, and the ACL is used to classify packets on an ISG, all traffic matching the ACL is incorrectly dropped. When the log keyword is removed from the extended access-list command, everything works as expected.
Второй про то , что при включённом логе не работают в данном случае ACL.
А вот первый - смысл его до меня не до конца дошёл , но есть подозрение что в нём есть важный момент (
>[оверквотинг удален]
>used to classify packets on an ISG, all traffic matching the
>ACL is incorrectly dropped. When the log keyword is removed from
>the extended access-list command, everything works as expected.
>
>
>Второй про то , что при включённом логе не работают в данном
>случае ACL.
>А вот первый - смысл его до меня не до конца дошёл
>, но есть подозрение что в нём есть важный момент (
>Наткнулся где то в инете на такую фразу --
"Алгоритм соответствия пакетов базируется на принципе наилучшего соответствия сетевому адресу, т.е. по принципу наиболее длинного префикса"Отсюда вот что вышло -
Extended IP access list ACL_IN_INT
10 deny ip 10.0.0.0 0.255.255.255 any
20 deny ip 192.168.0.0 0.0.255.255 any
Extended IP access list ACL_IN_L4R
10 permit tcp 172.0.0.0 0.255.255.255 any eq www (3 matches)
20 deny ip any any (135 matches)
В такой ситуации - редирект работает !!! всё хорошо , но так как в ACL_IN_INT нет вообще ни одного Permit , то когда активен сервис SERVICE_401_INTERNET , то логично , что доступа в инет нет ..
Если сделать например так -
Extended IP access list ACL_IN_INT
10 deny ip 10.0.0.0 0.255.255.255 any
20 deny ip 192.168.0.0 0.0.255.255 any
30 permit tcp 172.16.1.0 0.0.0.255 any eq www (9 matches)
Extended IP access list ACL_IN_L4R
10 permit tcp 172.0.0.0 0.255.255.255 any eq www (3 matches)
50 deny ip any any (135 matches), то ситуация обратная , редирект не работает ...
в случае активной услуги SERVICE_401_INTERNET Доступ в интернет есть само собой ...Вот такая канительн , играюсь с масками ... не совсем понятно что есть более длинный префикс или наилучшее соответствие сетевому адресу ...
>[оверквотинг удален]
> 10 permit tcp 172.0.0.0 0.255.255.255 any eq www
>(3 matches)
> 50 deny ip any any (135 matches)
>
>, то ситуация обратная , редирект не работает ...
>в случае активной услуги SERVICE_401_INTERNET Доступ в интернет есть само собой ...
>
>
>Вот такая канительн , играюсь с масками ... не совсем понятно что
>есть более длинный префикс или наилучшее соответствие сетевому адресу ...В сухом остатке - кто подскажет , как сделать ACL для доступа в Интернет , то есть доступ ко всем айпишникам , но не инструкицей permit 172.16.1.0 0.0.0.255 any
??
как уйти от any ? не прописывать же все возможные префиксы (((
>[оверквотинг удален]
>>
>>Вот такая канительн , играюсь с масками ... не совсем понятно что
>>есть более длинный префикс или наилучшее соответствие сетевому адресу ...
>
>В сухом остатке - кто подскажет , как сделать ACL для доступа
>в Интернет , то есть доступ ко всем айпишникам , но
>не инструкицей permit 172.16.1.0 0.0.0.255 any
>??
>как уйти от any ? не прописывать же все возможные префиксы (((
>help !!!((
может как то сделать конструкицю -permit ip 172.16.1.0 0.0.0.255 0.0.0.0 255.255.255.254
permit ip 172.16.1.0 0.0.0.255 0.0.0.0 255.255.255.1или что то подобное ?(
>[оверквотинг удален]
>И циска отображает , что трафик редиректиться ...
>но реально не кидает на портал ...
>хотя в остальных обычных случаях (например не авторизирован пользователь) все редиректы работают
>...
>
>Кто сталкивался с такой фигнёй ?(
>Может есть где то примеры ?
>Все доки по этому поводу уже перерыл в доль и поперёк ((
>все по примерам делаю ... но не бегает ((
>хотя по приоритетам всё правильно для ACL поставлено ((ПРивет!
Во первых, какая версия софта ? 30 декабря должын появиться новый софт, там много вкусностей будет!
Где конфиг припейда ?
Как включить debug редиректа сейчас не помню,завтра отпишу станет понятно.Если в режиме припейда определен Idle-Timeoute, то сначала генерируется событие Quota-Depleted - это время когда у абонента кончились деньги и ему дается Idle-Timeoute времени чтобы добавить денег на портале, именно по этому событию и лучше вешать редирект. :) , а Credit-Exhausted уже после таймаута убивает сессию.
Да и еще по поводу порт бандла PBHK_SERVICE.
Нужен ли он ? Я так понимаю, что это типа PAT, когда у вас в разных VPN клиенты с пересикающимися IP адресами. Соотвественно и на портал они тоже должны бегать через PBHK.
Завтра попробую у себя тоже самое воспроизвести, посмотрим, что получится :)
Есть вариант, что с приоритетами какая-то путаница.PS Если не секрет, в качестве припейд сервера кто ?
Basil.
>[оверквотинг удален]
>>Может есть где то примеры ?
>>Все доки по этому поводу уже перерыл в доль и поперёк ((
>>все по примерам делаю ... но не бегает ((
>>хотя по приоритетам всё правильно для ACL поставлено ((
>
>ПРивет!
>
>Во первых, какая версия софта ? 30 декабря должын появиться новый софт,
>там много вкусностей будет!
>c7200p-a3jk91s-mz.122-31.SB9.bin
>Где конфиг припейда ?subscriber feature prepaid default
threshold time 10 seconds
threshold volume 0 bytes
interim-interval 2 minutes
method-list author default
method-list accounting default
password cisco
!>Как включить debug редиректа сейчас не помню,завтра отпишу станет понятно.
>хмм ... было бы интересно ... а так видно , что он пытается редиректить , но не ставит как я пнял флаг FIN , и пакеты не отправляются на портал ..
>Если в режиме припейда определен Idle-Timeoute, то сначала генерируется событие Quota-Depleted -
>это время когда у абонента кончились деньги и ему дается Idle-Timeoute
>времени чтобы добавить денег на портале, именно по этому событию и
>лучше вешать редирект. :) , а Credit-Exhausted уже после таймаута убивает
>сессию.вот так сделано -
class type control always event credit-exhausted
1 service-policy type service name SERVICE_403_L4R_TC
!
class type control always event quota-depleted
1 set-param drop-traffic FALSEПосле окончания квоты , включается Idle-Timeout , на протяжении которого циска блокирует по сервису трафик и загружает дополнительный сервис в котором правило для редиректа ...
так во всех мануалах указано , но возможно я не совсем понял ((
>
>Да и еще по поводу порт бандла PBHK_SERVICE.
>Нужен ли он ? Я так понимаю, что это типа PAT, когда
>у вас в разных VPN клиенты с пересикающимися IP адресами. Соотвественно
>и на портал они тоже должны бегать через PBHK.
>Да , тут я с этим то же не до конца просёк , но по умолчанию есть во всех клиентских сессиях у меня (как в доках) ...
>
>Завтра попробую у себя тоже самое воспроизвести, посмотрим, что получится :)
>Есть вариант, что с приоритетами какая-то путаница.С приоритетами уже весь мозг сломал , написано , что если нет приоритета то это=1 и это высший , если есть , то всё равно чем меньше , тем выше приоритет ...
так же вычитал , что по длине префикса ещё смотрит на какой ACL бросать , и если из ACL Для интернета убрать permit ip any any и убрать default drop , то трафик начинает бегать и редирект работает , но как следствие в Accounting по IN направлению по сервису INTERNET ничего не пишется ((>
>PS Если не секрет, в качестве припейд сервера кто ?Пока у меня стенд , соответственно есть рабочий биллинг с прикрученным freeradius на котором по старой схеме (pppoe) пользователи сидят , а на стенде я вручную скажем так эмулирую припейд прогой - RadL Free Radius под винду , доволньо удобно , только нет аккаунтинга (но до него ещё дело не дошло)
>
>Basil.
>[оверквотинг удален]
>>PS Если не секрет, в качестве припейд сервера кто ?
>
>Пока у меня стенд , соответственно есть рабочий биллинг с прикрученным freeradius
>на котором по старой схеме (pppoe) пользователи сидят , а на
>стенде я вручную скажем так эмулирую припейд прогой - RadL Free
>Radius под винду , доволньо удобно , только нет аккаунтинга (но
>до него ещё дело не дошло)
>
>>
>>Basil.уже да же упростил , убрал нафиг PBHK_SERVICE , всё поубирал .. запускается SERVICE_401_INTERNET , потом по опустошению квоты запускается - SERVICE_403_L4R_TC с редиректом ...
один фиг ... блин , либо глюк иоса , либо слон спрятался ..((
>[оверквотинг удален]
>>до него ещё дело не дошло)
>>
>>>
>>>Basil.
>
>уже да же упростил , убрал нафиг PBHK_SERVICE , всё поубирал ..
>запускается SERVICE_401_INTERNET , потом по опустошению квоты запускается - SERVICE_403_L4R_TC
>с редиректом ...
>один фиг ... блин , либо глюк иоса , либо слон спрятался
>..((Привет!
По поводу quota-depleted я тебе наврал, у тебя все правильно.
попробуй debug subscriber feature name l4redirect
и посмотри, что происходит при l4 редиректе.
Так же можешь сделать debug condition. можно много чего посмотреть.
>[оверквотинг удален]
>>один фиг ... блин , либо глюк иоса , либо слон спрятался
>>..((
>
>Привет!
>
>По поводу quota-depleted я тебе наврал, у тебя все правильно.
>
>попробуй debug subscriber feature name l4redirect
>и посмотри, что происходит при l4 редиректе.
>Так же можешь сделать debug condition. можно много чего посмотреть.outer#
Dec 3 17:24:41.634: SSM FH: [SSS:TC:24649:L4R:36944] rule #1 port 80 ip 172.16.5.57 acl "197" PORTAL
Dec 3 17:24:41.634: SSM FH: [SSS:TC:24649:L4R:36944] create TCP[634F2AC]: src 172.16.1.3/3051
Dec 3 17:24:41.634: SSM FH: [SSS:TC:24649:L4R:36944] [634F2AC]: dst 172.16.5.57/80
Dec 3 17:24:41.634: SSM FH: [SSS:TC:24649:L4R:36944] [634F2AC]: odst 81.222.xx.4/80
Dec 3 17:24:41.634: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F2AC]: from src: 172.16.1.3/3051 dst 81.222.xx.4/80
Dec 3 17:24:41.634: SSM FH: [SSS:TC:24649:L4R:36944] [634F2AC]: to src: 172.16.1.3/3051 dst: 172.16.5.57/80 SYN
Dec 3 17:24:41.634: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC
Dec 3 17:24:41.634: L4 Redirect: REDIR-STARTED: DP --> CP
Dec 3 17:24:41.634: L4 Redirect: REDIR-STARTED: rule #1
Dec 3 17:24:41.634: L4 Redirect: TRANS-STARTED: DP --> CP
Dec 3 17:24:41.634: L4 Redirect: TRANS-STARTED: updt from DP started[TCP]: src 172.16.1.3/3051
Dec 3 17:24:41.634: L4 Redirect: TRANS-STARTED: dst 172.16.5.57/80
Dec 3 17:24:41.634: L4 Redirect: TRANS-STARTED: odst 81.222.xx.4/80
Dec 3 17:24:41.634: SSM FH: [L4R:36944] TRANS-STARTED
Dec 3 17:24:41.634: L4 Redirect: TRANS-STARTED: CP --> DP
Dec 3 17:24:41.634: L4 Redirect: TRANS-STARTED: updt from CP started[TCP]: src 172.16.1.3/3051
Dec 3 17:24:41.634: L4 Redirect: TRANS-STARTED: dst 172.16.5.57/80
Dec 3 17:24:41.634: L4 Redirect: TRANS-STARTED: odst 81.222.xx.4/80
Dec 3 17:24:41.634: L4 Redirect: TRANS-STARTED: duplicate, ignored
Dec 3 17:24:41.634: SSM FH: [L4R:36944] updated: ok
Dec 3 17:24:41.634: SSM FH: [SSS:TC:24649:L4R:36944] updated: ok
Dec 3 17:24:44.514: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F2AC]: from src: 172.16.1.3/3051 dst 81.222.xx.4/80
Dec 3 17:24:44.514: SSM FH: [SSS:TC:24649:L4R:36944] [634F2AC]: to src: 172.16.1.3/3051 dst: 172.16.5.57/80 SYN
Dec 3 17:24:44.514: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC
Router#
Router#
Router#
Dec 3 17:24:50.530: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F2AC]: from src: 172.16.1.3/3051 dst 81.222.xx.4/80
Dec 3 17:24:50.530: SSM FH: [SSS:TC:24649:L4R:36944] [634F2AC]: to src: 172.16.1.3/3051 dst: 172.16.5.57/80 SYN
Dec 3 17:24:50.530: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC
угу , дебаг включил ... правда мало что прояснилось (вот убрал permit ip any any
ec 3 17:32:05.294: SSM FH: [SSS:TC:24649:L4R:36944] rule #1 port 80 ip 172.16.5.57 acl "197" PORTAL
Dec 3 17:32:05.294: SSM FH: [SSS:TC:24649:L4R:36944] create TCP[634F284]: src 172.16.1.3/3059
Dec 3 17:32:05.294: SSM FH: [SSS:TC:24649:L4R:36944] [634F284]: dst 172.16.5.57/80
Dec 3 17:32:05.294: SSM FH: [SSS:TC:24649:L4R:36944] [634F284]: odst 81.222.xx.4/80
Dec 3 17:32:05.294: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F284]: from src: 172.16.1.3/3059 dst 81.222.xx.4/80
Dec 3 17:32:05.294: SSM FH: [SSS:TC:24649:L4R:36944] [634F284]: to src: 172.16.1.3/3059 dst: 172.16.5.57/80 SYN
Dec 3 17:32:05.298: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC
Dec 3 17:32:05.298: L4 Redirect: TRANS-STARTED: DP --> CP
Dec 3 17:32:05.298: L4 Redirect: TRANS-STARTED: updt from DP started[TCP]: src 172.16.1.3/3059
Dec 3 17:32:05.298: L4 Redirect: TRANS-STARTED: dst 172.16.5.57/80
Dec 3 17:32:05.298: L4 Redirect: TRANS-STARTED: odst 81.222.xx.4/80
Dec 3 17:32:05.298: L4 Redirect: TRANS-STARTED: CP --> DP
Dec 3 17:32:05.298: L4 Redirect: TRANS-STARTED: updt from CP started[TCP]: src 172.16.1.3/3059
Dec 3 17:32:05.298: L4 Redirect: TRANS-STARTED: dst 172.16.5.57/80
Dec 3 17:32:05.298: L4 Redirect: TRANS-STARTED: odst 81.222.xx.4/80
Dec 3 17:32:05.298: L4 Redirect: TRANS-STARTED: duplicate, ignored
Dec 3 17:32:05.298: SSM FH: [SSS:TC:24649:L4R:36944] updated: ok
Dec 3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F284]: from src: 172.16.1.3/3059 dst 81.222.xx.4/80
Dec 3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] [634F284]: to src: 172.16.1.3/3059 dst: 172.16.5.57/80 SYN
Dec 3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC
Dec 3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] Tx[634F284]: from src: 172.16.5.57/80 dst 172.16.1.3/3059
Dec 3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] [634F284]: to src: 81.222.xx.4/80 dst: 172.16.1.3/3059 SYN,ACK
Dec 3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F284]: from src: 172.16.1.3/3059 dst 81.222.xx.4/80
Dec 3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] [634F284]: to src: 172.16.1.3/3059 dst: 172.16.5.57/80 ACK
Dec 3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC
Dec 3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F284]: from src: 172.16.1.3/3059 dst 81.222.xx.4/80
Dec 3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] [634F284]: to src: 172.16.1.3/3059 dst: 172.16.5.57/80 PSH,ACK
Dec 3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC
Dec 3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] Tx[634F284]: from src: 172.16.5.57/80 dst 172.16.1.3/3059
Dec 3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] [634F284]: to src: 81.222.xx.4/80 dst: 172.16.1.3/3059 ACK
Dec 3 17:32:09.590: SSM FH: [SSS:TC:24649:L4R:36944] Tx[634F284]: from src: 172.16.5.57/80 dst 172.16.1.3/3059
Dec 3 17:32:09.590: SSM FH: [SSS:TC:24649:L4R:36944] [634F284]: to src: 81.222.xx.4/80 dst: 172.16.1.3/3059 ACK
Dec 3 17:32:09.590: SSM FH: [SSS:TC:24649:L4R:36944] Tx[634F284]: from src: 172.16.5.57/80 dst 172.16.1.3/3059
Dec 3 17:32:09.594: SSM FH: [SSS:TC:24649:L4R:36944] [634F284]: to src: 81.222.xx.4/80 dst: 172.16.1.3/3059 PSH,ACK
Dec 3 17:32:09.594: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F284]: from src: 172.16.1.3/3059 dst 81.222.xx.4/80
Dec 3 17:32:09.594: SSM FH: [SSS:TC:24649:L4R:36944] [634F284]: to src: 172.16.1.3/3059 dst: 172.16.5.57/80 ACK
Dec 3 17:32:09.594: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC
Dec 3 17:32:09.594: SSM FH: [SSS:TC:24649:L4R:36944] Tx[634F284]: from src: 172.16.5.57/80 dst 172.16.1.3/3059
Dec 3 17:32:09.594: SSM FH: [SSS:TC:24649:L4R:36944] [634F284]: to src: 81.222.xx.4/80 dst: 172.16.1.3/3059 FIN,ACK
Dec 3 17:32:09.594: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F284]: from src: 172.16.1.3/3059 dst 81.222.xx.4/80
Dec 3 17:32:09.594: SSM FH: [SSS:TC:24649:L4R:36944] [634F284]: to src: 172.16.1.3/3059 dst: 172.16.5.57/80 ACK
Dec 3 17:32:09.594: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC
Dec 3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F284]: from src: 172.16.1.3/3059 dst 81.222.xx.4/80
Dec 3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] [634F284]: to src: 172.16.1.3/3059 dst: 172.16.5.57/80 FIN,ACK
Dec 3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC
Dec 3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] Tx[634F284]: from src: 172.16.5.57/80 dst 172.16.1.3/3059
Dec 3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] [634F284]: to src: 81.222.xx.4/80 dst: 172.16.1.3/3059 ACK
Router#
>[оверквотинг удален]
>Dec 3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F284]: from src: 172.16.1.3/3059 dst
>81.222.xx.4/80
>Dec 3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] [634F284]: to
>src: 172.16.1.3/3059 dst: 172.16.5.57/80 FIN,ACK
>Dec 3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC
>Dec 3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] Tx[634F284]: from src: 172.16.5.57/80 dst
>172.16.1.3/3059
>Dec 3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] [634F284]: to
>src: 81.222.xx.4/80 dst: 172.16.1.3/3059 ACK
>Router#Попробуй убрать ACL_L4_OUT вообще из сервиса вообще.
>[оверквотинг удален]
>>Dec 3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] [634F284]: to
>>src: 172.16.1.3/3059 dst: 172.16.5.57/80 FIN,ACK
>>Dec 3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC
>>Dec 3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] Tx[634F284]: from src: 172.16.5.57/80 dst
>>172.16.1.3/3059
>>Dec 3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] [634F284]: to
>>src: 81.222.xx.4/80 dst: 172.16.1.3/3059 ACK
>>Router#
>
>Попробуй убрать ACL_L4_OUT вообще из сервиса вообще.cisco-avpair = "ip:traffic-class=out access-group name ACL_OUT_L4R priority 5",
это ? из сервиса редиректа ?
>[оверквотинг удален]
>>>172.16.1.3/3059
>>>Dec 3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] [634F284]: to
>>>src: 81.222.xx.4/80 dst: 172.16.1.3/3059 ACK
>>>Router#
>>
>>Попробуй убрать ACL_L4_OUT вообще из сервиса вообще.
>
>cisco-avpair = "ip:traffic-class=out access-group name ACL_OUT_L4R priority 5",
>
>это ? из сервиса редиректа ?убрал -
Dec 3 17:51:44.050: L4 Redirect: REDIR-RULE: CP --> DP
Dec 3 17:51:44.050: L4 Redirect: Created new L4R rule DP context
Dec 3 17:51:47.018: L4 Redirect: REDIR-STARTED: DP --> CP
Dec 3 17:51:47.018: L4 Redirect: REDIR-STARTED: rule #1
Dec 3 17:51:47.018: L4 Redirect: TRANS-STARTED: DP --> CP
Dec 3 17:51:47.018: L4 Redirect: TRANS-STARTED: updt from DP started[TCP]: src 172.16.1.6/3132
Dec 3 17:51:47.018: L4 Redirect: TRANS-STARTED: dst 172.16.5.57/80
Dec 3 17:51:47.018: L4 Redirect: TRANS-STARTED: odst 192.168.0.3/2967
Dec 3 17:51:47.018: L4 Redirect: TRANS-STARTED: CP --> DP
Dec 3 17:51:47.018: L4 Redirect: TRANS-STARTED: updt from CP started[TCP]: src 172.16.1.6/3132
Dec 3 17:51:47.018: L4 Redirect: TRANS-STARTED: dst 172.16.5.57/80
Dec 3 17:51:47.018: L4 Redirect: TRANS-STARTED: odst 192.168.0.3/2967
Dec 3 17:51:47.018: L4 Redirect: TRANS-STARTED: duplicate, ignored
Dec 3 17:51:47.586: L4 Redirect: TRANS-STARTED: DP --> CP
Dec 3 17:51:47.586: L4 Redirect: TRANS-STARTED: updt from DP started[UDP]: src 172.16.1.6/137
Dec 3 17:51:47.586: L4 Redirect: TRANS-STARTED: dst 172.16.5.57/80
Dec 3 17:51:47.586: L4 Redirect: TRANS-STARTED: odst 172.16.1.255/137
Dec 3 17:51:47.586: L4 Redirect: TRANS-STARTED: CP --> DP
Dec 3 17:51:47.586: L4 Redirect: TRANS-STARTED: updt from CP started[UDP]: src 172.16.1.6/137
Dec 3 17:51:47.586: L4 Redirect: TRANS-STARTED: dst 172.16.5.57/80
Dec 3 17:51:47.586: L4 Redirect: TRANS-STARTED: odst 172.16.1.255/137
Dec 3 17:51:47.586: L4 Redirect: TRANS-STARTED: duplicate, ignored
Dec 3 17:51:51.610: L4 Redirect: TRANS-STARTED: DP --> CP
Dec 3 17:51:51.610: L4 Redirect: TRANS-STARTED: updt from DP started[TCP]: src 172.16.1.6/3139
Dec 3 17:51:51.610: L4 Redirect: TRANS-STARTED: dst 172.16.5.57/80
Dec 3 17:51:51.610: L4 Redirect: TRANS-STARTED: odst 81.222.xx.4/80
Dec 3 17:51:51.610: L4 Redirect: TRANS-STARTED: CP --> DP
Dec 3 17:51:51.610: L4 Redirect: TRANS-STARTED: updt from CP started[TCP]: src 172.16.1.6/3139
Dec 3 17:51:51.610: L4 Redirect: TRANS-STARTED: dst 172.16.5.57/80
Dec 3 17:51:51.610: L4 Redirect: TRANS-STARTED: odst 81.222.xx.4/80
Dec 3 17:51:51.610: L4 Redirect: TRANS-STARTED: duplicate, ignored
Dec 3 17:51:56.582: L4 Redirect: TRANS-STARTED: DP --> CP
Dec 3 17:51:56.582: L4 Redirect: TRANS-STARTED: updt from DP started[UDP]: src 172.16.1.6/138
Dec 3 17:51:56.582: L4 Redirect: TRANS-STARTED: dst 172.16.5.57/80
Dec 3 17:51:56.582: L4 Redirect: TRANS-STARTED: odst 172.16.1.255/138
Dec 3 17:51:56.582: L4 Redirect: TRANS-STARTED: CP --> DP
Dec 3 17:51:56.582: L4 Redirect: TRANS-STARTED: updt from CP started[UDP]: src 172.16.1.6/138
Dec 3 17:51:56.582: L4 Redirect: TRANS-STARTED: dst 172.16.5.57/80
Dec 3 17:51:56.582: L4 Redirect: TRANS-STARTED: odst 172.16.1.255/138
Dec 3 17:51:56.582: L4 Redirect: TRANS-STARTED: duplicate, ignored
Router#
Router#
Router#sh red
Router#sh redirect t
Router#sh redirect translations
Destination IP/port Server IP/port Prot In Flags Out Flags Timestamp
172.16.1.255 137 172.16.5.57 80 UDP Dec 03 2007 17:52:12
172.16.1.255 138 172.16.5.57 80 UDP Dec 03 2007 17:52:12
192.168.0.3 2967 172.16.5.57 80 TCP Dec 03 2007 17:51:56
81.222.xx.4 80 172.16.5.57 80 TCP Dec 03 2007 17:52:00
судя по tcdump на портале , на него стали проходить netbios пакеты ...
раньше вообще тишина была ...
>[оверквотинг удален]
>
> Dec
>03 2007 17:52:00
>
>
>
>
>судя по tcdump на портале , на него стали проходить netbios пакеты
>...
>раньше вообще тишина была ...поставил - c7200p-a3jk91s-mz.122-31.SB10.bin , последний IOS из этой ветки ...
всё то же самое (
>[оверквотинг удален]
>>
>>
>>
>>
>>судя по tcdump на портале , на него стали проходить netbios пакеты
>>...
>>раньше вообще тишина была ...
>
>поставил - c7200p-a3jk91s-mz.122-31.SB10.bin , последний IOS из этой ветки ...
>всё то же самое (Может стоит открыть кей с в Циске ?
>[оверквотинг удален]
>>>
>>>
>>>судя по tcdump на портале , на него стали проходить netbios пакеты
>>>...
>>>раньше вообще тишина была ...
>>
>>поставил - c7200p-a3jk91s-mz.122-31.SB10.bin , последний IOS из этой ветки ...
>>всё то же самое (
>
>Может стоит открыть кей с в Циске ?Хмм ... я на форуме на cisco.com повесил пост , а так у меня только guest логин , поэтому например представительство cisco в россии "послали" , сказали купите сапорт за 3500$ ... так что я бы с радостью , но ни как ...
Пошёл другим путём пока , не таким красивым как хотелось , но рабочим ...
>[оверквотинг удален]
>>
>>Может стоит открыть кей с в Циске ?
>
>Хмм ... я на форуме на cisco.com повесил пост , а так
>у меня только guest логин , поэтому например представительство cisco в
>россии "послали" , сказали купите сапорт за 3500$ ... так что
>я бы с радостью , но ни как ...
>
>Пошёл другим путём пока , не таким красивым как хотелось , но
>рабочим ...НУ да, просто такой стофт покупать без поддержки смысла не имеет.
Я тоже столкнулся с одной проблемой на ISG, так помог только Cisco TAC.А что за путь, если не секрет ?
>[оверквотинг удален]
>>я бы с радостью , но ни как ...
>>
>>Пошёл другим путём пока , не таким красивым как хотелось , но
>>рабочим ...
>
>НУ да, просто такой стофт покупать без поддержки смысла не имеет.
>Я тоже столкнулся с одной проблемой на ISG, так помог только Cisco
>TAC.
>
>А что за путь, если не секрет ?Ну софт я не покупал) добрые люди помогли)
Ну вариант один подошёл , посл окончания квоты , отрубать сервис SERVICE_401_INTERNET и запускать отдельный сервис с редиректом .. минус один , что бы включился Интернет сервис после поступления денег , либо переавторизироваться , либо когда тебя редирект кидает на портал , на портале просто мышкой жамкать на - Активировать Интернет ...
>[оверквотинг удален]
>>
>>А что за путь, если не секрет ?
>
>Ну софт я не покупал) добрые люди помогли)
>
>Ну вариант один подошёл , посл окончания квоты , отрубать сервис SERVICE_401_INTERNET
>и запускать отдельный сервис с редиректом .. минус один , что
>бы включился Интернет сервис после поступления денег , либо переавторизироваться ,
>либо когда тебя редирект кидает на портал , на портале просто
>мышкой жамкать на - Активировать Интернет ...Чего то я к вечеру туплю ((
подскажите , как выдать фиксированный IP из DHCP пула через Radius в случае необходимости ....
>[оверквотинг удален]
>>
>>Ну вариант один подошёл , посл окончания квоты , отрубать сервис SERVICE_401_INTERNET
>>и запускать отдельный сервис с редиректом .. минус один , что
>>бы включился Интернет сервис после поступления денег , либо переавторизироваться ,
>>либо когда тебя редирект кидает на портал , на портале просто
>>мышкой жамкать на - Активировать Интернет ...
>
>Чего то я к вечеру туплю ((
>подскажите , как выдать фиксированный IP из DHCP пула через Radius
>в случае необходимости ....С ходу не скажу, но если поискать по ключам dhcp radius на этом сайте, то там точно есть.
попробуйте так для начала
class type control always event session-restart - убратьдобавить
class type control always event service-start
10 service-policy type service unapply name L4_REDIRECT_SERVICE
20 service-policy type service identifier service-nameclass type control always event service-stop
1 service-policy type service unapply identifier service-name
20 service-policy type service name L4_REDIRECT_SERVICEПриоритеты
самый высший 1 все остальные - приоритет нижеи вообще выложите весь конфиг
>[оверквотинг удален]
>Приоритеты
>самый высший 1 все остальные - приоритет ниже
>
>и вообще выложите весь конфиг
>
>
>
>
>
>так в таком виде всё работает , если сервис INTERNET отрубился, то запускается сервис редиректа ... это у меня сейчас работает ...
но маленькая проблема - как если пополнился счёт у абонента , то включить обратно сервис ? только либо переавторизиоваться , либо вручную с портала запустить данный остановленный сервис ...
>так в таком виде всё работает , если сервис INTERNET отрубился,
>то запускается сервис редиректа ... это у меня сейчас работает ...
>
>но маленькая проблема - как если пополнился счёт у абонента , то
>включить обратно сервис ? только либо переавторизиоваться , либо вручную с
>портала запустить данный остановленный сервис ...1. сделать чтобы сессия на циске не рвалась при отрицательном балансе
2. в профиль клиента добавить сервис как услугу типа A т.е. дефолтную
в таком случае при отрицательном балансе - сессия клиента будет авторизована на портале
но сервис A будет выключен, т.е. при по попытке клиентом открыть любую страничку - его всегда будет редиректить на портал
>в таком случае при отрицательном балансе - сессия клиента будет авторизована на
>портале
>но сервис A будет выключен, т.е. при по попытке клиентом открыть любую
>страничку - его всегда будет редиректить на портално как только сервис перейдет в статус включен -- состветсвенно инет и у клиента появится
но я не советовал бы так делать
лучше сделать так чтобы при наступлении события credit-exhausted
клиента редиректило на страничку с надписью "Бабла нет"
в противном случае - вас достанут звонками типа "У меня нет инета постоянно открывается портал" - клиент не догадается что бабки кончились
>[оверквотинг удален]
>>но сервис A будет выключен, т.е. при по попытке клиентом открыть любую
>>страничку - его всегда будет редиректить на портал
>
>но как только сервис перейдет в статус включен -- состветсвенно инет и
>у клиента появится
>но я не советовал бы так делать
>лучше сделать так чтобы при наступлении события credit-exhausted
>клиента редиректило на страничку с надписью "Бабла нет"
>в противном случае - вас достанут звонками типа "У меня нет инета
>постоянно открывается портал" - клиент не догадается что бабки кончилисьТак я так и пытался сделать !)
При наступлении credit-exhausted - сервис Интернет -не выключается, но весь трафик дропается и запускается сервис редиректа , который кидает на портал , а как только счёт пополнился, сервис редиректа отключается, а дропанье на серсисе Интернет отключается то же ... и пользователь уже попадает в инет ... но вот и возникла проблема с таким вариантом !((
>Так я так и пытался сделать !)
>При наступлении credit-exhausted - сервис Интернет -не выключается, но весь трафик
>дропается и запускается сервис редиректа , который кидает на портал ,
>а как только счёт пополнился, сервис редиректа отключается, а дропанье на
>серсисе Интернет отключается то же ... и пользователь уже попадает в
>инет ... но вот и возникла проблема с таким вариантом !((
>сервис инет по любому должен вырубится
выкладывайте весь текущий конфиг по настройкам isg
а также все атрибуты клиента и сервиса который ему вешается
>[оверквотинг удален]
>>При наступлении credit-exhausted - сервис Интернет -не выключается, но весь трафик
>>дропается и запускается сервис редиректа , который кидает на портал ,
>>а как только счёт пополнился, сервис редиректа отключается, а дропанье на
>>серсисе Интернет отключается то же ... и пользователь уже попадает в
>>инет ... но вот и возникла проблема с таким вариантом !((
>>
>
>сервис инет по любому должен вырубится
>выкладывайте весь текущий конфиг по настройкам isg
>а также все атрибуты клиента и сервиса который ему вешаетсяХмм ... у циски написано , что можно его не отключать , если стоит Idle-Timeout ,то он не отрубает сервис , а запускает другой , а по этому сервису всё дропает ...
nas-port:172.16.4.4:0/0/1/100.4000 Password = "lab123",
User-Service-Type = Login-User,
User-Name = "0/0/1/100.4000",
NAS-Port-Type = PPPoEoQinQ,
cisco-avpair = "subscriber:accounting-list=BH_ACCNT_LIST",
cisco-avpair = "ssg-account-info=ASERVICE_401_INTERNET",
cisco-avpair = "ssg-account-info=NSERVICE_401_INTERNET_UPS",
cisco-avpair = "ssg-account-info=AGAMING",
cisco-avpair = "ssg-account-info=NL4_REDIRECT_SERVICE_NOTSERV",
Idle-Timeout = "600",0/0/1/100.4000 Password = "cisco",
Control-Info = "QT300",
# Idle-Timeout = "100",
Framed-Protocol = "PPP",
PBHK_SERVICE Password = "cisco",
cisco-avpair = "ip:portbundle=enable",
# cisco-avpair = "ip:traffic-class=out default drop",
# cisco-avpair = "ip:traffic-class=in default drop",
SERVICE_401_INTERNET Password = "cisco",
User-Name = "0/0/1/100.4000",
cisco-avpair = "subscriber:accounting-list=BH_ACCNT_LIST",
cisco-avpair = "ip:traffic-class=in access-group name ACL_IN_INT priority 30",
cisco-avpair = "ip:traffic-class=out access-group name ACL_OUT_INT priority 30",
cisco-avpair = "ip:traffic-class=out default drop",
cisco-avpair = "ip:traffic-class=in default drop",
Service-Info = "QD;1024000;1024000",
Service-Info = "QU:512000;512000",
Service-Info = "ISERVICE_401_INTERNET",
cisco-avpair = "prepaid-config=default",
# cisco-avpair = "subscriber:classname=C73-1",
# Framed-IP-Address = "10.100.1.5",SERVICE_401_INTERNET_UP Password = "cisco",
User-Name = "0/0/1/100.4000",
cisco-avpair = "subscriber:accounting-list=BH_ACCNT_LIST",
cisco-avpair = "ip:traffic-class=in access-group name ACL_IN_INT priority 30",
cisco-avpair = "ip:traffic-class=out access-group name ACL_OUT_INT priority 30",
cisco-avpair = "ip:traffic-class=out default drop",
cisco-avpair = "ip:traffic-class=in default drop",
Service-Info = "QD;10240000;10240000",
Service-Info = "QU:5120000;5120000",
Service-Info = "ISERVICE_401_INTERNET_UP",
cisco-avpair = "prepaid-config=default",
L4_REDIRECT_SERVICE Password = "cisco",
cisco-avpair = "ip:l4redirect=redirect list 199 to group PERIODIC_L4R",
cisco-avpair = "ip:traffic-class=out default drop",
cisco-avpair = "ip:traffic-class=in default drop",
cisco-avpair = "ip:traffic-class=in access-group name ACL_IN_WWW",
cisco-avpair = "ip:traffic-class=out access-group name ACL_OUT_WWW",
GAMING Password = "cisco",
User-Name = "0/0/1/100.4000",
cisco-avpair = "ip:traffic-class=in access-group name GAM_ACL_IN priority 40",
cisco-avpair = "ip:traffic-class=out access-group name GAM_ACL_OUT priority 40",
cisco-avpair = "ip:traffic-class=out default drop",
cisco-avpair = "ip:traffic-class=in default drop",
Service-Info = "IGAMING",
Service-Info = "QD;1024000;1024000",
Service-Info = "QU:512000;512000",
L4_REDIRECT_SERVICE_NOTSERV Password = "cisco",
User-Name = "0/0/1/100.4000",
cisco-avpair = "ip:l4redirect=redirect list 199 to group PERIODIC_L4R_NOTSERV",
cisco-avpair = "ip:traffic-class=out default drop",
cisco-avpair = "ip:traffic-class=in default drop",
cisco-avpair = "ip:traffic-class=in access-group name ACL_IN_WWW",
cisco-avpair = "ip:traffic-class=out access-group name ACL_OUT_WWW",
SERVICE_403_L4R_TC Password = "cisco",
cisco-avpair = "ip:traffic-class=in access-group name ACL_IN_L4R priority 5",
cisco-avpair = "ip:l4redirect=redirect list 197 to group PORTAL",
cisco-avpair = "ip:traffic-class=out access-group name ACL_OUT_L4R priority 5",Далее конфиг -
Router#sh run
Building configuration...Current configuration : 10671 bytes
!
! Last configuration change at 18:01:32 UTC Tue Dec 11 2007
!
upgrade fpd auto
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot system disk2:c7200p-a3jk91s-mz.122-31.SB10.bin
boot-end-marker
!
!
aaa new-model
!
!
aaa group server radius BH_SERVER_GROUP1
server 172.16.5.45 auth-port 1812 acct-port 1813
!
aaa authentication login default none
aaa authentication login BH_WEB_LOGON group BH_SERVER_GROUP1
aaa authorization network default group radius if-authenticated
aaa authorization subscriber-service default local group BH_SERVER_GROUP1
aaa accounting update periodic 5
aaa accounting network default start-stop group BH_SERVER_GROUP1
aaa accounting network BH_ACCNT_LIST start-stop group BH_SERVER_GROUP1
!
aaa server radius sesm
client 192.168.100.50 key cisco
client 172.16.5.57
client 172.16.5.58
key cisco
message-authenticator ignore
!
!
aaa server radius dynamic-author
client 172.16.5.45 server-key cisco
client 172.16.5.57 server-key cisco
client 192.168.100.50 server-key cisco
!
aaa session-id common
clock calendar-valid
ip subnet-zero
!
!
ip name-server 81.222.xx.2
ip name-server 81.222.xx.2
ip dhcp relay information option
ip dhcp relay information policy keep
ip dhcp relay information trust-all
no ip dhcp use vrf connected
ip dhcp binding cleanup interval 10
!
!
ip dhcp class C73-1
!
ip dhcp class MAIN
!
ip cef
ip dhcp-server 172.16.5.57
!
subscriber feature prepaid GAME
threshold time 10 seconds
threshold volume 0 bytes
interim-interval 2 minutes
method-list author default
method-list accounting default
password cisco
subscriber feature prepaid default
threshold time 0 seconds
threshold volume 0 bytes
interim-interval 2 minutes
method-list author default
method-list accounting default
password cisco
!
subscriber authorization enable
vpdn enable
!
redirect server-group PORTAL
server ip 172.16.5.57 port 80
!
redirect server-group PERIODIC_L4R
server ip 172.16.5.57 port 8001
!
redirect server-group PERIODIC_L4R_NOTSERV
server ip 172.16.5.57 port 8002
!
call rsvp-sync
no scripting tcl init
no scripting tcl encdir
!
!
!
!
!
!
!
no file verify auto
!
class-map type traffic match-any CLASS-ALL
!
class-map type traffic match-any pp-redirect-refill-vol-tc
match access-group output name BLOCK
match access-group input name BLOCK
!
class-map type control match-all SERVICE_401_INTERNET_UP
match service-name SERVICE_401_INTERNET_UP
!
class-map type control match-all SERVICE_401_INTERNET
match service-name SERVICE_401_INTERNET
!
class-map type control match-all SERVICE_401_UPGRADED_INTERNET
match service-name SERVICE_401_UPGRADED_INTERNET
!
class-map type control match-all SERVICE_401_PERIODIC_L4_REDIRECT
match service-name SERVICE_401_PERIODIC_L4R
!
class-map type control match-all IP_UNAUTH_COND
match timer IP_UNAUTH_TIMER
match authen-status unauthenticated
!
policy-map type service pp-redict-refill-vol
class type traffic pp-redirect-refill-vol-tc
redirect list 197 to group PERIODIC_L4R_NOTSERV
!
!
policy-map type control RULE-401a-1
class type control IP_UNAUTH_COND event timed-policy-expiry
1 service disconnect
!
class type control SERVICE_401_UPGRADED_INTERNET event service-stop
1 service-policy type service unapply identifier service-name
2 service-policy type service name SERVICE_401_INTERNET
!
class type control SERVICE_401_UPGRADED_INTERNET event service-start
1 service-policy type service unapply name SERVICE_401_INTERNET
2 service-policy type service unapply name SERVICE_401_PERIODIC_L4R
3 service-policy type service identifier service-name
!
class type control SERVICE_401_INTERNET event service-start
1 service-policy type service unapply name L4_REDIRECT_SERVICE_NOTSERV
2 service-policy type service unapply name SERVICE_401_INTERNET
3 service-policy type service identifier service-name
!
class type control SERVICE_401_INTERNET event service-stop
1 service-policy type service unapply identifier service-name
2 service-policy type service name L4_REDIRECT_SERVICE_NOTSERV
!
class type control SERVICE_401_INTERNET_UP event service-start
1 service-policy type service unapply name SERVICE_401_INTERNET
2 service-policy type service unapply name L4_REDIRECT_SERVICE_NOTSERV
3 service-policy type service identifier service-name
!
class type control SERVICE_401_INTERNET_UP event service-stop
1 service-policy type service unapply identifier service-name
2 service-policy type service name SERVICE_401_INTERNET
!
class type control always event session-start
1 authorize aaa password lab123 identifier nas-port
2 service-policy type service name L4_REDIRECT_SERVICE
3 set-timer IP_UNAUTH_TIMER 5
!
class type control always event account-logon
1 authenticate aaa list BH_WEB_LOGON
2 service-policy type service unapply name L4_REDIRECT_SERVICE
!
class type control always event account-logoff
1 service disconnect delay 5
!
class type control always event session-restart
1 service-policy type service name PBHK_SERVICE
3 service-policy type service name L4_REDIRECT_SERVICE
4 set-timer IP_UNAUTH_TIMER 5
!
class type control always event quota-depleted
1 set-param drop-traffic FALSE
!
!
!
!
interface Loopback0
ip address 172.16.4.4 255.255.255.255
!
interface Loopback1
ip address 172.16.1.1 255.255.255.0
!
interface GigabitEthernet0/1
no ip address
ip flow ingress
ip flow egress
media-type rj45
speed auto
duplex auto
negotiation auto
!
interface GigabitEthernet0/1.500
encapsulation dot1Q 500
ip address 172.16.5.1 255.255.255.0
no snmp trap link-status
!
interface GigabitEthernet0/1.900
encapsulation dot1Q 900
ip address 10.50.1.3 255.255.255.0
ip portbundle outside
no snmp trap link-status
!
interface GigabitEthernet0/1.950
encapsulation dot1Q 950
ip address 192.168.0.1 255.255.255.0
no snmp trap link-status
!
interface GigabitEthernet0/1.4000100
encapsulation dot1Q 4000 second-dot1q 100-120
radius attribute nas-port-type 34
ip unnumbered Loopback1
ip helper-address 172.16.5.57
no snmp trap link-status
service-policy type control RULE-401a-1
ip subscriber l2-connected
initiator dhcp class-aware
!
interface FastEthernet0/2
no ip address
shutdown
speed auto
duplex auto
!
interface GigabitEthernet0/2
description !!! FOR GAMES SERVERS !!!
no ip address
media-type rj45
speed auto
duplex auto
negotiation auto
!
interface GigabitEthernet0/3
no ip address
shutdown
media-type rj45
speed auto
duplex auto
negotiation auto
!
interface multiservice1
no ip address
no keepalive
!
!
router bgp 31xxx
no synchronization
bgp router-id 172.16.4.4
bgp log-neighbor-changes
network 172.16.1.0 mask 255.255.255.0
network 172.16.5.0 mask 255.255.255.0
neighbor 172.16.4.9 remote-as 31321
neighbor 172.16.4.9 update-source Loopback0
no auto-summary
!
!
ip portbundle
match access-list 198
source Loopback0
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.4.9
ip route 172.16.4.9 255.255.255.255 10.50.1.2
!
no ip http server
!
!
!
ip access-list extended ACL_IN_INT
deny ip 10.0.0.0 0.255.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
permit ip any any
ip access-list extended ACL_IN_INTERNET
ip access-list extended ACL_IN_L4R
permit tcp any any eq www
permit tcp any any eq 8080
permit ip any any
permit ip any 0.0.0.0 255.255.255.127
ip access-list extended ACL_IN_PARENT
permit ip any any
ip access-list extended ACL_IN_UNAT
deny ip 192.168.0.0 0.0.0.255 any log
permit ip any any log
ip access-list extended ACL_IN_UPGRADED_INTERNET_401
deny ip 10.0.0.0 0.255.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
permit ip any any
ip access-list extended ACL_IN_WWW
permit udp any any eq domain
permit tcp any any eq www
permit tcp any any eq 8012
deny ip any any
ip access-list extended ACL_OUT_INT
deny ip 10.0.0.0 0.255.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
permit tcp any 172.16.0.0 0.0.255.255
permit udp any 172.16.0.0 0.0.255.255
permit ip any any
ip access-list extended ACL_OUT_L4R
permit ip host 172.16.5.57 any
permit ip any host 172.16.5.57
permit ip any any
ip access-list extended ACL_OUT_PARENT
permit ip any any
ip access-list extended ACL_OUT_UNAT
deny ip 192.168.0.0 0.0.0.255 any
permit ip any any
ip access-list extended ACL_OUT_UPGRADED_INTERNET_401
deny ip 10.0.0.0 0.255.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
permit ip any any
ip access-list extended ACL_OUT_WWW
permit udp any any eq domain
permit tcp any any
permit udp any any
deny ip any any
ip access-list extended BLOCK
deny ip any host 172.16.5.57
permit tcp any any eq www
permit tcp any any eq 8080
permit tcp any any eq 8002
deny ip any any
ip access-list extended GAM_ACL_IN
permit tcp any host 81.222.xx.102 eq 8012
permit tcp any host 172.16.5.57 eq www 8080
permit ip any 192.168.0.0 0.0.0.255
permit tcp any host 84.16.xx.30 eq www
permit udp any any eq domain
deny ip any any
ip access-list extended GAM_ACL_OUT
permit ip 192.168.0.0 0.0.0.255 any
permit tcp host 84.16.xx.30 eq www any
permit tcp host 81.222.xx.102 eq 8012 any
permit udp host 81.222.xx.2 eq domain any
permit udp host 81.222.xx.2 eq domain any
permit ip host 172.16.5.57 any
deny ip any any
ip radius source-interface Loopback0 vrf default
!
!
!
!
!
!
!
!
access-list 197 deny tcp any host 172.16.5.57 eq www
access-list 197 permit tcp any any eq www
access-list 197 permit tcp any any eq 8080
access-list 197 permit tcp any any eq 8002
access-list 197 deny udp any any eq domain
access-list 197 deny tcp any host 81.222.xx.102
access-list 197 permit ip any any
access-list 198 permit ip any host 172.16.5.45
access-list 198 deny ip any any
access-list 199 deny tcp any host 172.16.5.57 eq www
access-list 199 deny tcp any host 172.16.5.57 eq 8001
access-list 199 deny tcp any host 81.222.xx.102 eq www
access-list 199 deny tcp any host 172.16.5.57 eq 8002
access-list 199 permit tcp any any eq www
!
!
radius-server attribute 44 include-in-access-req
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-access-req
radius-server attribute 55 include-in-acct-req
radius-server attribute 25 access-request include
radius-server attribute 61 extended
radius-server attribute 4 172.16.4.4
radius-server host 172.16.5.45 auth-port 1812 acct-port 1813 key cisco
radius-server vsa send accounting
radius-server vsa send authentication
!
control-plane
!
!
!
dial-peer cor custom
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
stopbits 1
line aux 0
stopbits 1
line vty 0 4
!
endRouter#
>[оверквотинг удален]
>>При наступлении credit-exhausted - сервис Интернет -не выключается, но весь трафик
>>дропается и запускается сервис редиректа , который кидает на портал ,
>>а как только счёт пополнился, сервис редиректа отключается, а дропанье на
>>серсисе Интернет отключается то же ... и пользователь уже попадает в
>>инет ... но вот и возникла проблема с таким вариантом !((
>>
>
>сервис инет по любому должен вырубится
>выкладывайте весь текущий конфиг по настройкам isg
>а также все атрибуты клиента и сервиса который ему вешаетсяеще момент приоритет у А услуги должен быть выше чем у L4_REDIRECT_SERVICE
иначе она отработает первой :)
конфиг вижу седня подумаю ближе к вечеру отвечу
нужна доп инфа
авторизуйтесь клиентом lab123 - качайте пока не закончатся деньги
т.е. пока вас не выкинет на портал
после этого дайте вывод
sh sss session username lab123 det | b Active services associated with session
>нужна доп инфа
>авторизуйтесь клиентом lab123 - качайте пока не закончатся деньги
>т.е. пока вас не выкинет на портал
>после этого дайте вывод
>sh sss session username lab123 det | b Active services associated
>with sessionВ каком виде это сделать ?
как есть сейчас ? когда Сервис Интернет отключается и Включается сервис L4_REDIRECT ?Вот -
sh sss session detailed
Current Subscriber Information: Total sessions 1
--------------------------------------------------
Unique Session ID: 128
Identifier:
SIP subscriber access type(s): Traffic-Class
Current SIP options: None
Session Up-time: 00:00:43, Last Changed: 00:00:43Policy information:
Context 03F4128C: Handle 0C0000F3
AAA_id 0000003D: Flow_handle 0
Authentication status: unauthen
Downloaded User profile, including services:
username "0/0/1/100.4000"
l4redirect "redirect list 199 to group PERIODIC_L4R_NOTSERV"
traffic-class "out default drop"
traffic-class "in default drop"
traffic-class "in access-group name ACL_IN_WWW"
traffic-class "out access-group name ACL_OUT_WWW"
Config history for session (recent to oldest):
Access-type: Max Client: Service Command-Handler
Policy event: None (Service)
Profile name: L4_REDIRECT_SERVICE_NOTSERV, 4 references
username "0/0/1/100.4000"
l4redirect "redirect list 199 to group PERIODIC_L4R_NOTSERV"
traffic-class "out default drop"
traffic-class "in default drop"
traffic-class "in access-group name ACL_IN_WWW"
traffic-class "out access-group name ACL_OUT_WWW"Session inbound features:
Feature: Layer 4 Redirect
Rule Cfg Definition
#1 SVC Redirect list 199 to group PERIODIC_L4R_NOTSERV
Configuration sources associated with this session:
Service: L4_REDIRECT_SERVICE_NOTSERV, Active Time = 00:00:44--------------------------------------------------
Unique Session ID: 126
Identifier:
SIP subscriber access type(s): Traffic-Class
Current SIP options: None
Session Up-time: 00:00:44, Last Changed: 00:00:44Policy information:
Context 03F41114: Handle 6A0000EF
AAA_id 0000003D: Flow_handle 0
Authentication status: unauthen
Downloaded User profile, including services:
username "0/0/1/100.4000"
traffic-class "in access-group name GAM_ACL_IN priority 40"
traffic-class "out access-group name GAM_ACL_OUT priority 40"
traffic-class "out default drop"
traffic-class "in default drop"
ssg-service-info "IGAMING"
ssg-service-info "QD;1024000;1024000"
ssg-service-info "QU:512000;512000"
Config history for session (recent to oldest):
Access-type: Web-service-logon Client: Service Command-Handler
Policy event: Service-Start (Service)
Profile name: GAMING, 4 references
username "0/0/1/100.4000"
traffic-class "in access-group name GAM_ACL_IN priority 40"
traffic-class "out access-group name GAM_ACL_OUT priority 40"
traffic-class "out default drop"
traffic-class "in default drop"
ssg-service-info "IGAMING"
ssg-service-info "QD;1024000;1024000"
ssg-service-info "QU:512000;512000"
Session inbound features:
Feature: Policing
Upstream Params:
Average rate = 512000, Normal burst = 96000, Excess burst = 192000
Config level = ServiceSession outbound features:
Feature: Policing
Dnstream Params:
Average rate = 1024000, Normal burst = 1024000, Excess burst = 0
Config level = ServiceConfiguration sources associated with this session:
Service: GAMING, Active Time = 00:00:46--------------------------------------------------
Unique Session ID: 125
Identifier: 0/0/1/100.4000
SIP subscriber access type(s): IP
Current SIP options: Req Fwding/Req Fwded
Session Up-time: 00:00:46, Last Changed: 00:00:46Policy information:
Context 03F41404: Handle 7B0000EE
AAA_id 0000003D: Flow_handle 0
Authentication status: authen
Downloaded User profile, excluding services:
service-type 1 [Login]
port-type 12 [PPPoE over QinQ]
accounting-list "BH_ACCNT_LIST"
ssg-account-info "ASERVICE_401_INTERNET"
ssg-account-info "NSERVICE_401_INTERNET_UPS"
ssg-account-info "AGAMING"
ssg-account-info "NL4_REDIRECT_SERVICE_NOTSERV"
idletime 600 (0x258)
clid-mac-addr 00 14 85 85 06 D1
addr 172.16.1.2
netmask 255.255.255.255
config-source-dpm True
Downloaded User profile, including services:
service-type 1 [Login]
port-type 12 [PPPoE over QinQ]
accounting-list "BH_ACCNT_LIST"
ssg-account-info "ASERVICE_401_INTERNET"
ssg-account-info "NSERVICE_401_INTERNET_UPS"
ssg-account-info "AGAMING"
ssg-account-info "NL4_REDIRECT_SERVICE_NOTSERV"
idletime 600 (0x258)
ssg-service-info "IGAMING"
ssg-service-info "QD;1024000;1024000"
ssg-service-info "QU:512000;512000"
clid-mac-addr 00 14 85 85 06 D1
addr 172.16.1.2
netmask 255.255.255.255
config-source-dpm True
username "0/0/1/100.4000"
l4redirect "redirect list 199 to group PERIODIC_L4R_NOTSERV"
traffic-class "out default drop"
traffic-class "in default drop"
traffic-class "in access-group name ACL_IN_WWW"
traffic-class "out access-group name ACL_OUT_WWW"
Config history for session (recent to oldest):
Access-type: Max Client: SM
Policy event: Notification Event (Service)
Profile name: L4_REDIRECT_SERVICE_NOTSERV, 4 references
username "0/0/1/100.4000"
l4redirect "redirect list 199 to group PERIODIC_L4R_NOTSERV"
traffic-class "out default drop"
traffic-class "in default drop"
traffic-class "in access-group name ACL_IN_WWW"
traffic-class "out access-group name ACL_OUT_WWW"
Access-type: Web-service-logon Client: SM
Policy event: Apply Config Success (Unapplied) (Service)
Profile name: SERVICE_401_INTERNET, 3 references
username "0/0/1/100.4000"
accounting-list "BH_ACCNT_LIST"
traffic-class "in access-group name ACL_IN_INT priority 30"
traffic-class "out access-group name ACL_OUT_INT priority 30"
traffic-class "out default drop"
traffic-class "in default drop"
ssg-service-info "QD;1024000;1024000"
ssg-service-info "QU:512000;512000"
ssg-service-info "ISERVICE_401_INTERNET"
Access-type: IP Client: DHCP
Policy event: Session-Update
Profile name: apply-config-only, 2 references
clid-mac-addr 00 14 85 85 06 D1
addr 172.16.1.2
netmask 255.255.255.255
config-source-dpm True
Access-type: Web-service-logon Client: SM
Policy event: Apply Config Success (Service)
Profile name: SERVICE_401_INTERNET, 3 references
username "0/0/1/100.4000"
accounting-list "BH_ACCNT_LIST"
traffic-class "in access-group name ACL_IN_INT priority 30"
traffic-class "out access-group name ACL_OUT_INT priority 30"
traffic-class "out default drop"
traffic-class "in default drop"
ssg-service-info "QD;1024000;1024000"
ssg-service-info "QU:512000;512000"
ssg-service-info "ISERVICE_401_INTERNET"
Access-type: Web-service-logon Client: SM
Policy event: Apply Config Success (Service)
Profile name: GAMING, 4 references
username "0/0/1/100.4000"
traffic-class "in access-group name GAM_ACL_IN priority 40"
traffic-class "out access-group name GAM_ACL_OUT priority 40"
traffic-class "out default drop"
traffic-class "in default drop"
ssg-service-info "IGAMING"
ssg-service-info "QD;1024000;1024000"
ssg-service-info "QU:512000;512000"
Access-type: IP Client: SM
Policy event: Service Selection Request
Profile name: nas-port:172.16.4.4:0/0/1/100.4000, 2 references
service-type 1 [Login]
port-type 12 [PPPoE over QinQ]
accounting-list "BH_ACCNT_LIST"
ssg-account-info "ASERVICE_401_INTERNET"
ssg-account-info "NSERVICE_401_INTERNET_UPS"
ssg-account-info "AGAMING"
ssg-account-info "NL4_REDIRECT_SERVICE_NOTSERV"
idletime 600 (0x258)
Active services associated with session:
name "L4_REDIRECT_SERVICE_NOTSERV"
name "GAMING"
Rules, actions and conditions executed:
subscriber rule-map RULE-401a-1
condition always event session-start
1 authorize identifier nas-port
subscriber condition-map match-all SERVICE_401_UPGRADED_INTERNET
match identifier service-name SERVICE_401_UPGRADED_INTERNET [FALSE]
subscriber rule-map RULE-401a-1
condition SERVICE_401_UPGRADED_INTERNET event service-start
subscriber condition-map match-all SERVICE_401_INTERNET
match identifier service-name SERVICE_401_INTERNET [FALSE]
subscriber rule-map RULE-401a-1
condition SERVICE_401_INTERNET event service-start
subscriber condition-map match-all SERVICE_401_INTERNET_UP
match identifier service-name SERVICE_401_INTERNET_UP [FALSE]
subscriber rule-map RULE-401a-1
condition SERVICE_401_INTERNET_UP event service-start
subscriber condition-map match-all SERVICE_401_INTERNET
match identifier service-name SERVICE_401_INTERNET [TRUE]
subscriber rule-map RULE-401a-1
condition SERVICE_401_INTERNET event service-start
1 service-policy type service unapply name L4_REDIRECT_SERVICE_NOTSERV
2 service-policy type service unapply name SERVICE_401_INTERNET
3 service-policy type service identifier service-name
subscriber condition-map match-all SERVICE_401_INTERNET
match identifier service-name SERVICE_401_INTERNET [TRUE]
subscriber rule-map RULE-401a-1
condition SERVICE_401_INTERNET event service-stop
1 service-policy type service unapply identifier service-name
2 service-policy type service name L4_REDIRECT_SERVICE_NOTSERVSession inbound features:
Feature: IP Idle Timeout
Timeout value is 600
Idle time is 00:00:02
Feature: Session accounting
Method List: BH_ACCNT_LIST
Packets = 52, Bytes = 6607Feature: Layer 4 Redirect
Rule table is empty
Traffic classes:
Traffic class session ID: 126
ACL Name: GAM_ACL_IN, Packets = 3, Bytes = 144
Traffic class session ID: 128
ACL Name: ACL_IN_WWW, Packets = 5, Bytes = 682
Default traffic is dropped
Unmatched Packets (dropped) = 44, Re-classified packets (redirected) = 5Session outbound features:
Feature: Session accounting
Method List: BH_ACCNT_LIST
Packets = 6, Bytes = 2087Traffic classes:
Traffic class session ID: 126
ACL Name: GAM_ACL_OUT, Packets = 0, Bytes = 0
Traffic class session ID: 128
ACL Name: ACL_OUT_WWW, Packets = 6, Bytes = 2087
Default traffic is dropped
Unmatched Packets (dropped) = 0, Re-classified packets (redirected) = 0Configuration sources associated with this session:
Service: L4_REDIRECT_SERVICE_NOTSERV, Active Time = 00:00:56
Service: GAMING, Active Time = 00:00:56
Interface: GigabitEthernet0/1.4000100, Active Time = 00:00:56Router#
В таком виде всё работает ...
Если пополнить счёт , и активировать на портале услугу SERVICE_INTERNET , то у абонента появится доступ в интернет ...
Тут проблемы то нет ...(ps
по предыдущему посту - а приоритет сервисов как проставляется ? в policy-map ?