Принцип работы ISG, VolanD, 16-Сен-12, 18:27 [смотреть все]Добрый день! Разбираюсь с ISG, скачал официальную документацию с циски, возникли некоторые вопросы. В гайде есть такой пример:
interface Ethernet0/0 service-policy type control RULEA ! aaa authentication login TAL LIST group radius aaa authentication login LOCAL local access-list 100 permit ip any any ! class-map type traffic match-any all-traffic match access-group input 100 match access-group output 100 ! policy-map type service redirectprofile class type traffic all-traffic redirect to ip 10.0.0.148 port 8080 ! class-map type control match-all CONDA match source-ip-address 209.165.201.1 255.255.255.0 ! ! class-map type control match-all CONDF match timer TIMERB match authen-status unauthenticated policy-map type control RULEA class type control CONDA event session-start 1 authorize aaa list TAL_LIST password cisco identifier source-ip-address 2 apply aaa list LOCAL service redirectprofile 3 set-timer TIMERB 5 minutes class type control CONDF event timed-policy-expiry 1 service disconnect
В комментарии к нему написано: If the authorization request is successful, any automatic activation services specified in the returned user profile are activated for the session and the execution of rules within the control policy stops. If the authorization is not successful, the rule execution proceeds, and the subscriber is redirected to the policy server to log in.1)Т.е. получается что если юзер авторизовался, то правила № 2, 3 не выполняются, т.е. выполнение действий может прерываться (хотя в описании policy-map просто говорится, что они выполняются последовательно)? Если так, в каких еще случаях выполнение действий может прерываться? 2) Условие: "class type control CONDA event session-start" должно срабатывать при инициализации сессии со стороны пользователя. У меня подобные условия не срабатывают пока я на интерфейсе не пропишу: ip subscriber routed initiator unclassified ip-address Это я что-то делаю не так или это косяк примера?
|
- Принцип работы ISG, jied83, 15:23 , 18-Сен-12 (1)
>[оверквотинг удален] > 1)Т.е. получается что если юзер авторизовался, то правила № 2, 3 не > выполняются, т.е. выполнение действий может прерываться (хотя в описании policy-map просто > говорится, что они выполняются последовательно)? Если так, в каких еще случаях > выполнение действий может прерываться? > 2) Условие: "class type control CONDA event session-start" должно срабатывать при инициализации > сессии со стороны пользователя. У меня подобные условия не срабатывают пока > я на интерфейсе не пропишу: > ip subscriber routed > initiator unclassified ip-address > Это я что-то делаю не так или это косяк примера?если память мне не изменяет то: 2) поскольку identifier source-ip-address в 1 authorize aaa list TAL_LIST password cisco identifier source-ip-address и этим ip subscriber routed initiator unclassified ip-address мы говорим что на этом интерфейсе работает ИСГ ну и там могут быть разные значения, в зависимости от какая сеть и по каким параметрам авторизуем 1) да, а если не авторизовался то запускается таймер и прописывается сервис service redirectprofile
- Принцип работы ISG, jied83, 15:25 , 18-Сен-12 (2)
>[оверквотинг удален] >> Это я что-то делаю не так или это косяк примера? > если память мне не изменяет то: > 2) поскольку identifier source-ip-address в > 1 authorize aaa list TAL_LIST password cisco identifier source-ip-address > и этим ip subscriber routed > initiator unclassified ip-address мы говорим что на этом интерфейсе работает ИСГ ну > и там могут быть разные значения, в зависимости от какая сеть > и по каким параметрам авторизуем > 1) да, а если не авторизовался то запускается таймер и прописывается сервис > service redirectprofile по поводу прерывания, надо в доках покопаться по event'ам
- Принцип работы ISG, VolanD, 07:07 , 20-Сен-12 (3)
>[оверквотинг удален] >> если память мне не изменяет то: >> 2) поскольку identifier source-ip-address в >> 1 authorize aaa list TAL_LIST password cisco identifier source-ip-address >> и этим ip subscriber routed >> initiator unclassified ip-address мы говорим что на этом интерфейсе работает ИСГ ну >> и там могут быть разные значения, в зависимости от какая сеть >> и по каким параметрам авторизуем >> 1) да, а если не авторизовался то запускается таймер и прописывается сервис >> service redirectprofile > по поводу прерывания, надо в доках покопаться по event'ам Спасибо Вам за ответ! Да вот в том то и проблема, доков нормальных нет. Есть цисковский мануал по ISG, но там как-то не сильно подробно все описано.
|