Здравствуйте!
На маршрутизаторе cisco VXR 7206 (IOS Version 12.2(31)SB17) поднят функционал ISG
с возможностью терминации IP Subscriber Sessions.
Инициатором "поднятия" IP сессии служит айпи адрес клиента. Авторизация для клиента получается "прозрачной", у него есть выделенный алдрес, маска, шлюз.
В случае если от пользователя приходит любой пакет на маршрутизатор ( upstream direction) сессия поднимается успешно (его идентифицируем по source-адресу,авторизовываем на радиус-сервере, навешиваем сервисы). Всё, при таком варианте пакеты ходят в обе стороны.В случае если IP сессия не поднята и появляется любой пакет извне с destination-адресом = адресу клиента (downstream direction) по идее должна подняться сессия, но этого не происходит, т.е. извне он соответственно не виден. С чем это может быть связано???
Настройки следующие:
interface GigabitEthernet0/1.203 - Аплинк
description === Uplink ===
encapsulation dot1Q 203
ip address 82.х.х.82 255.255.255.252
ip access-group 111 in
ip access-group 110 out
ip verify unicast reverse-path
no ip redirects
no ip proxy-arpinterface GigabitEthernet0/1.777 - интерфейс в сторону клиента
encapsulation dot1Q 777
ip address 82.x.x.65 255.255.255.240
ip verify unicast reverse-path
service-policy type control IPOE_subs_control
ip subscriber routed
initiator unclassified ip-addressОписание политики:
class-map type traffic match-any OpenGarden
match access-group output name OpenGarden-out
match access-group input name OpenGarden-in
!
class-map type control match-all Legal_IP - условие для "поднятия" сессии
match source-ip-address 82.х.х.64 255.255.255.240
!
policy-map type service OpenGarden - назначается при отказе авторизации
class type traffic OpenGarden
redirect list 199 to group PORTAL
!
class type traffic default in-out
drop
!
!
policy-map type control IPOE_subs_control
class type control Legal_IP event session-start
10 authorize aaa password хххх identifier source-ip-address
20 service-policy type service name OpenGarden
30 set-timer Timer_unauthen 1
!
class type control always event timed-policy-expiry
10 service disconnect
!
!
в дополнении дебаг, из которого видно что не проходит классификация трафика в downstream направлении:
Apr 2 14:28:22: IPSUB: Updated debug flags to switching plane
Apr 2 14:28:22: IPSUB_DP: [uid:0] Update event on the common segment
Apr 2 14:28:22: IPSUB_DP: [uid:0] Debug flags updated
Apr 2 14:28:22: IPSUB_DP: [uid:0] Sent update msg to the control plane
Apr 2 14:28:22: IPSUB: [uid:0] Data plane prov successful event for session
Apr 2 14:28:22: IPSUB: [uid:0] Event dataplane prov successful, state changed from idle to idle
Belg-N12-2-7206#
Apr 2 14:28:29: IPSUB_DP: [Gi0/1.777:O:PROC:DFL:82.x.x.79] Failed to classify packet, dropping the packet
Belg-N12-2-7206#
Apr 2 14:28:40: IPSUB_DP: [Gi0/1.777:O:CEF:DFL:82.x.x.66] Failed to classify, dropping the packet
Belg-N12-2-7206#
Apr 2 14:28:43: IPSUB_DP: [Gi0/1.777:O:CEF:DFL:82.x.x.66] Failed to classify, dropping the packet
Belg-N12-2-7206#
Apr 2 14:28:47: IPSUB_DP: [Gi0/1.777:O:PROC:DFL:82.x.x.75] Failed to classify packet, dropping the packet
Belg-N12-2-7206#
Apr 2 14:28:49: IPSUB_DP: [Gi0/1.777:O:CEF:DFL:82.x.x.66] Failed to classify, dropping the packet
> В случае если IP сессия не поднята и появляется любой пакет
> извне с destination-адресом = адресу клиента (downstream direction)
> по идее должна подняться сессия, но этого не происходит,
> т.е. извне он соответственно не виден. С чем это может быть связано???Столкнулся по моему с аналогичной же проблемой - никто не может подсказать?
>> В случае если IP сессия не поднята и появляется любой пакет
>> извне с destination-адресом = адресу клиента (downstream direction)
>> по идее должна подняться сессия, но этого не происходит,
>> т.е. извне он соответственно не виден. С чем это может быть связано???
>
>Столкнулся по моему с аналогичной же проблемой - никто не может подсказать?
>Разобрался вроде, так и должно быть, нет сессии - нет абонента, пока сессию не поднимешь, пользователь извне виден не будет. Выход один - static ip subscriber.
>[оверквотинг удален]
>>> извне с destination-адресом = адресу клиента (downstream direction)
>>> по идее должна подняться сессия, но этого не происходит,
>>> т.е. извне он соответственно не виден. С чем это может быть связано???
>>
>>Столкнулся по моему с аналогичной же проблемой - никто не может подсказать?
>>
>
>Разобрался вроде, так и должно быть, нет сессии - нет абонента, пока
>сессию не поднимешь, пользователь извне виден не будет. Выход один -
>static ip subscriber.А как бы настроить чтобы трассировка до таких абонентов извне доходила? Если сессия поднята, и извне через сиску пинговать - пинги проходят нормально, а трассировка вот на сиске затыкается.