форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"ISG, policy-map  и глюк ACL !!! help"

Сообщение от ATeam (??) on 29-Ноя-07, 13:56

Всем доброго времени суток. Есть стенд с ISG. есть правило - policy-map type control RULE-401a-1 class type control IP_UNAUTH_COND event timed-policy-expiry   1 service disconnect   ! class type control always event session-start   1 service-policy type service name PBHK_SERVICE   2 authorize aaa password lab123 identifier nas-port   3 service-policy type service name L4_REDIRECT_SERVICE   4 set-timer IP_UNAUTH_TIMER 5 ! class type control always event account-logon   1 authenticate aaa list BH_WEB_LOGON   2 service-policy type service unapply name L4_REDIRECT_SERVICE ! class type control always event account-logoff   1 service disconnect delay 5 ! class type control always event session-restart   1 service-policy type service name PBHK_SERVICE   3 service-policy type service name L4_REDIRECT_SERVICE   4 set-timer IP_UNAUTH_TIMER 5 ! class type control always event credit-exhausted   1 service-policy type service name SERVICE_403_L4R_TC Пользователю разрешаются сервисы  - nas-port:172.16.4.4:0/0/1/100.4000 Password = "lab123",     User-Service-Type = Login-User,     NAS-Port-Type = PPPoEoQinQ,     cisco-avpair = "subscriber:accounting-list=BH_ACCNT_LIST",     cisco-avpair = "ssg-account-info=ASERVICE_401_INTERNET", Разрешается сервис - SERVICE_401_INTERNET  --- SERVICE_401_INTERNET Password = "cisco",     User-Name = "0/0/1/100.4000",     cisco-avpair = "subscriber:accounting-list=BH_ACCNT_LIST",     cisco-avpair = "ip:traffic-class=in access-group name  ACL_IN_INT priority 6",     cisco-avpair = "ip:traffic-class=in default drop",     cisco-avpair = "ip:traffic-class=out access-group name  ACL_OUT_INT priority 6",     cisco-avpair = "ip:traffic-class=out default drop",     Service-Info = "QD;1024000;1024000",     Service-Info = "QU:512000;512000",     Service-Info = "ISERVICE_401_INTERNET",     cisco-avpair = "prepaid-config=default", Вот его ACL - Extended IP access list ACL_IN_INT     10 deny ip 10.0.0.0 0.255.255.255 any     20 deny ip 192.168.0.0 0.0.255.255 any     30 permit ip any any (577 matches) Extended IP access list ACL_OUT_INT     10 deny ip 10.0.0.0 0.255.255.255 any     20 deny ip 192.168.0.0 0.0.255.255 any     30 permit ip any any (126 matches) , при работающем сервисе трафик бегает в Инет , всё нормально ... Однако так как включена функция - PREPAID - , то по истечению квоты - Control-Info = "QT0", Idle-Timeout = "1000", весь трафик дропается на этом сервисе пока идёт время Idle-Timeout и загружается сервис - SERVICE_403_L4R_TC SERVICE_403_L4R_TC Password = "cisco",     cisco-avpair = "ip:traffic-class=out access-group name ACL_OUT_L4R priority 1",     cisco-avpair = "ip:traffic-class=in access-group name ACL_IN_L4R priority 1",         cisco-avpair = "ip:l4redirect=redirect to group PERIODIC_L4R", Вот его ACL - Extended IP access list ACL_IN_L4R     10 deny ip any host 172.16.5.57 (55 matches)     20 permit tcp any any eq www (137 matches)     30 permit tcp any any eq 8001     40 deny udp any any eq domain (37 matches) Extended IP access list ACL_OUT_L4R     10 permit ip any any (2 matches) Вот данные по сессии - outer#sh sss session  detailed | i ACL     traffic-class        "out access-group name ACL_OUT_L4R priority 1"     traffic-class        "in access-group name ACL_IN_L4R priority 1"         traffic-class        "out access-group name ACL_OUT_L4R priority 1"         traffic-class        "in access-group name ACL_IN_L4R priority 1"         traffic-class        "out access-group name ACL_OUT_L4R priority 1"         traffic-class        "in access-group name ACL_IN_L4R priority 1"         traffic-class        "out access-group name ACL_OUT_L4R priority 1"         traffic-class        "in access-group name ACL_IN_L4R priority 1"         traffic-class        "out access-group name ACL_OUT_L4R priority 1"         traffic-class        "in access-group name ACL_IN_L4R priority 1"         traffic-class        "out access-group name ACL_OUT_L4R priority 1"         traffic-class        "in access-group name ACL_IN_L4R priority 1"         traffic-class        "in access-group name  ACL_IN_INT priority 6"         traffic-class        "out access-group name  ACL_OUT_INT priority 6"    ACL Name: ACL_IN_INT, Packets = 215, Bytes = 22837    ACL Name: ACL_IN_L4R, Packets = 0, Bytes = 0    ACL Name: ACL_OUT_INT, Packets = 17, Bytes = 1925    ACL Name: ACL_OUT_L4R, Packets = 0, Bytes = 0     traffic-class        "in access-group name  ACL_IN_INT priority 6"     traffic-class        "out access-group name  ACL_OUT_INT priority 6"         traffic-class        "in access-group name  ACL_IN_INT priority 6"         traffic-class        "out access-group name  ACL_OUT_INT priority 6" Router# Traffic classes:   Traffic class session ID: 37    ACL Name: ACL_IN_INT, Packets = 215, Bytes = 22837   Traffic class session ID: 40    ACL Name: ACL_IN_L4R, Packets = 0, Bytes = 0 Default traffic is dropped Unmatched Packets (dropped) = 0, Re-classified packets (redirected) = 0 Feature: Portbundle Hostkey Portbundle IP = 172.16.4.4     Bundle Number = 74 Session outbound features: Feature: Session accounting   Method List: BH_ACCNT_LIST   Packets = 19, Bytes = 2125 Traffic classes:   Traffic class session ID: 37    ACL Name: ACL_OUT_INT, Packets = 17, Bytes = 1925   Traffic class session ID: 40    ACL Name: ACL_OUT_L4R, Packets = 0, Bytes = 0 Default traffic is dropped Unmatched Packets (dropped) = 0, Re-classified packets (redirected) = 0 Configuration sources associated with this session: Service: SERVICE_403_L4R_TC, Active Time = 00:05:15 Service: SERVICE_401_INTERNET, Active Time = 00:39:28   AAA Service ID = 66876644 Service: PBHK_SERVICE, Active Time = 00:39:28 Interface: GigabitEthernet0/1.4000100, Active Time = 00:39:28 Весть трафик должен редиректиться на портал - redirect server-group PERIODIC_L4R server ip 172.16.5.57 port 8001 И циска отображает , что трафик редиректиться ... но реально не кидает на портал ... хотя в остальных обычных случаях (например не авторизирован пользователь) все редиректы работают ... Кто сталкивался с такой фигнёй ?( Может есть где то примеры ? Все доки по этому поводу уже перерыл в доль и поперёк (( все по примерам делаю ... но не бегает (( хотя по приоритетам всё правильно для ACL поставлено ((

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "ISG, policy-map  и глюк ACL !!! help"

Сообщение от lejek (ok) on 29-Ноя-07, 14:47

Круто завернул. Где такие стенды собираете? ISG, QinQ. Посмотрите ацл ACL_IN_L4R там 10 deny ip any host 172.16.5.57 а редирект как раз идет на server ip 172.16.5.57 port 8001

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от ATeam (??) on 29-Ноя-07, 15:15
	>Круто завернул. Где такие стенды собираете? ISG, QinQ. > >Посмотрите ацл ACL_IN_L4R >там 10 deny ip any host 172.16.5.57 >а редирект как раз идет на >server ip 172.16.5.57 port 8001 блин , уже все возможные варианты перелопатил (( Extended IP access list ACL_IN_L4R     10 permit ip any host 172.16.5.57 (13 matches)     20 permit tcp any any eq www (13 matches)     30 permit tcp any any eq 8001     40 deny udp any any eq domain (7 matches)     50 permit ip host 172.16.5.57 any     100 deny ip any any (54 matches) уже и так пробовал и по всякому .... Трансляция якобы идёт ... Destination IP/port    Server IP/port         Prot  In Flags  Out Flags  Timestamp 172.16.5.57     80     172.16.5.57     8001   TCP                        Nov 29 2007 15:08:18 194.67.45.145   80     172.16.5.57     8001   TCP                        Nov 29 2007 15:08:20 Но ответа нет ( хотя в ACL который out  в сторону клиента всё permit ... Не понятно как эти ACL работают когда они загружаются через команды радиуса (( Да же наткнулся на такое (у циски нашёл), что в случае использования ACL  в профилях пользователей через радиус нельзя использовать в командах ACL - log , иначе он не правильно начинает обрабатывать пакеты (( приходится методом тыка подпирать ACL, так как он да же в debug ip packet detail не высыпает их ((
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от ATeam (ok) on 29-Ноя-07, 16:38
	>[оверквотинг удален] >Но ответа нет ( >хотя в ACL который out  в сторону клиента всё permit ... > >Не понятно как эти ACL работают когда они загружаются через команды радиуса >(( >Да же наткнулся на такое (у циски нашёл), что в случае использования >ACL  в профилях пользователей через радиус нельзя использовать в командах >ACL - log , иначе он не правильно начинает обрабатывать пакеты >(( приходится методом тыка подпирать ACL, так как он да же >в debug ip packet detail не высыпает их (( Всемогущий Сайко !!)) поможи нам плиз ))
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от lejek (ok) on 30-Ноя-07, 10:43
	Попробуйте еще так: убрать траффик класс на аут, добавить в редирект ацл и слегка упростить ацл. SERVICE_403_L4R_TC Password = "cisco",         cisco-avpair = "ip:traffic-class=in access-group name ACL_IN_L4R priority 1",         cisco-avpair = "ip:l4redirect=redirect list ACL_IN_L4R to group PERIODIC_L4R", Extended IP access list ACL_IN_L4R     10 deny ip any host 172.16.5.57     20 permit tcp any any eq www
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от ATeam (??) on 30-Ноя-07, 11:04
	>[оверквотинг удален] > >SERVICE_403_L4R_TC Password = "cisco", >        cisco-avpair = "ip:traffic-class=in access-group >name ACL_IN_L4R priority 1", >        cisco-avpair = "ip:l4redirect=redirect list >ACL_IN_L4R to group PERIODIC_L4R", > >Extended IP access list ACL_IN_L4R >    10 deny ip any host 172.16.5.57 >    20 permit tcp any any eq www 1) во первых нельзя присвоить в редиректе именнованный ACL , толлько пронумерованный отдельный ... cisco-avpair = "ip:l4redirect=redirect list 197 to group PERIODIC_L4R", например ... 2) убрал OUT правило ... 3) outer#sh sss session detailed | i ACL     traffic-class        "in access-group name ACL_IN_L4R priority 1"         traffic-class        "in access-group name ACL_IN_L4R priority 1"         traffic-class        "in access-group name  ACL_IN_INT priority 30"         traffic-class        "out access-group name  ACL_OUT_INT priority 30"    ACL Name: ACL_IN_INT, Packets = 3, Bytes = 144    ACL Name: ACL_IN_L4R, Packets = 0, Bytes = 0    ACL Name: ACL_OUT_INT, Packets = 0, Bytes = 0     traffic-class        "in access-group name  ACL_IN_INT priority 30"     traffic-class        "out access-group name  ACL_OUT_INT priority 30"         traffic-class        "in access-group name  ACL_IN_INT priority 30"         traffic-class        "out access-group name  ACL_OUT_INT priority 30" Редирект видно что матчиться - outer#sh redirect translations Destination IP/port    Server IP/port         Prot  In Flags  Out Flags  Timestamp 81.2xx.xx.4     80     172.16.5.57     8001   TCP                        Nov 30 2007 11:00:13 но не более того ... к тому же при убранном OUT правиле в данной ситуации весь трафик по самому сервису SERVICE_401_INTERNET дропается ((( так задумано в принципе ... (что в принципе и требуется) Вот ACL-ки Router#sh access-lists 197             Extended IP access list 197     10 deny ip any host 172.16.5.57     20 permit tcp any any eq www (7 matches)     30 permit tcp any any eq 8080     40 permit tcp any any eq 8002 Router# outer#sh access-lists ACL_IN_L4R Extended IP access list ACL_IN_L4R     10 deny ip any host 172.16.5.57 (6 matches)     20 deny udp 172.16.1.0 0.0.0.255 host 81.222.80.2 eq domain (63 matches)     30 deny udp host 81.222.80.2 eq domain 172.16.1.0 0.0.0.255     40 permit tcp any any eq www (7 matches) вот такие дела ... где то слон спрятался ..(((
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от ATeam (??) on 30-Ноя-07, 11:25
	>[оверквотинг удален] >domain (63 matches) >    30 deny udp host 81.222.80.2 eq domain 172.16.1.0 >0.0.0.255 >    40 permit tcp any any eq www (7 >matches) > > > > >вот такие дела ... где то слон спрятался ..((( Session inbound features: Feature: Session accounting   Method List: BH_ACCNT_LIST   Packets = 140, Bytes = 13220 Feature: Layer 4 Redirect   Rule table is empty Traffic classes:   Traffic class session ID: 17    ACL Name: ACL_IN_INT, Packets = 15, Bytes = 720   Traffic class session ID: 18    ACL Name: ACL_IN_L4R, Packets = 9, Bytes = 432 Default traffic is dropped Unmatched Packets (dropped) = 122, Re-classified packets (redirected) = 6 Feature: Portbundle Hostkey Portbundle IP = 172.16.4.4     Bundle Number = 69 Session outbound features: Feature: Session accounting   Method List: BH_ACCNT_LIST   Packets = 8, Bytes = 384 Traffic classes:   Traffic class session ID: 17    ACL Name: ACL_OUT_INT, Packets = 8, Bytes = 384   Traffic class session ID: 18    ACL Name: ACL_IN_L4R, Packets = 0, Bytes = 0 Default traffic is dropped Unmatched Packets (dropped) = 0, Re-classified packets (redirected) = 0 Configuration sources associated with this session: Service: SERVICE_403_L4R_TC, Active Time = 00:07:55 Service: SERVICE_401_INTERNET, Active Time = 00:07:57   AAA Service ID = 66874268 Service: PBHK_SERVICE, Active Time = 00:07:57 Interface: GigabitEthernet0/1.4000100, Active Time = 00:07:57 В догонку .... И вот ещё два цисковских перла - CSCeh35036—Two Traffic Classes with L4 Redirect Do Not Work Two traffic classes on which prioritization and L4 redirection are applied, and for which the ACLs used to do the traffic classification overlap, cannot be used at the same time by the same subscriber. If there is an attempt to use these features at the same time, return traffic will fail to get translated again when it is translated using the traffic class service that was last applied. CSCsa86854—Log Function on ACL Breaks Traffic Classification When logging is enabled on an extended ACL, and the ACL is used to classify packets on an ISG, all traffic matching the ACL is incorrectly dropped. When the log keyword is removed from the extended access-list command, everything works as expected. Второй про то , что при включённом логе не работают в данном случае ACL. А вот первый - смысл его до меня не до конца дошёл , но есть подозрение что в нём есть важный момент (
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от ATeam (ok) on 30-Ноя-07, 14:51
	>[оверквотинг удален] >used to classify packets on an ISG, all traffic matching the >ACL is incorrectly dropped. When the log keyword is removed from >the extended access-list command, everything works as expected. > > >Второй про то , что при включённом логе не работают в данном >случае ACL. >А вот первый - смысл его до меня не до конца дошёл >, но есть подозрение что в нём есть важный момент ( > Наткнулся где то в инете на такую фразу -- "Алгоритм соответствия пакетов базируется на принципе наилучшего соответствия сетевому адресу, т.е. по принципу наиболее длинного префикса" Отсюда вот что вышло - Extended IP access list ACL_IN_INT     10 deny ip 10.0.0.0 0.255.255.255 any     20 deny ip 192.168.0.0 0.0.255.255 any Extended IP access list ACL_IN_L4R     10 permit tcp 172.0.0.0 0.255.255.255 any eq www (3 matches)     20 deny ip any any (135 matches) В такой ситуации - редирект работает !!! всё хорошо , но так как в ACL_IN_INT нет вообще ни одного Permit , то когда активен сервис SERVICE_401_INTERNET , то логично , что доступа в инет нет .. Если сделать например так - Extended IP access list ACL_IN_INT     10 deny ip 10.0.0.0 0.255.255.255 any     20 deny ip 192.168.0.0 0.0.255.255 any     30 permit tcp 172.16.1.0 0.0.0.255 any eq www (9 matches) Extended IP access list ACL_IN_L4R     10 permit tcp 172.0.0.0 0.255.255.255 any eq www (3 matches)     50 deny ip any any (135 matches) , то ситуация обратная , редирект не работает ... в случае активной услуги SERVICE_401_INTERNET Доступ в интернет есть само собой ... Вот такая канительн , играюсь с масками ... не совсем понятно что есть более длинный префикс или наилучшее соответствие сетевому адресу ...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от ATeam (ok) on 30-Ноя-07, 17:05
	>[оверквотинг удален] >    10 permit tcp 172.0.0.0 0.255.255.255 any eq www >(3 matches) >    50 deny ip any any (135 matches) > >, то ситуация обратная , редирект не работает ... >в случае активной услуги SERVICE_401_INTERNET Доступ в интернет есть само собой ... > > >Вот такая канительн , играюсь с масками ... не совсем понятно что >есть более длинный префикс или наилучшее соответствие сетевому адресу ... В сухом остатке - кто подскажет , как сделать ACL для доступа в Интернет , то есть доступ ко всем айпишникам , но не инструкицей permit 172.16.1.0 0.0.0.255 any ?? как уйти от any ? не прописывать же все возможные префиксы (((
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от ATeam (ok) on 01-Дек-07, 15:14
	>[оверквотинг удален] >> >>Вот такая канительн , играюсь с масками ... не совсем понятно что >>есть более длинный префикс или наилучшее соответствие сетевому адресу ... > >В сухом остатке - кто подскажет , как сделать ACL для доступа >в Интернет , то есть доступ ко всем айпишникам , но >не инструкицей permit 172.16.1.0 0.0.0.255 any >?? >как уйти от any ? не прописывать же все возможные префиксы ((( > help !!!(( может как то сделать конструкицю - permit ip 172.16.1.0 0.0.0.255 0.0.0.0 255.255.255.254 permit ip 172.16.1.0 0.0.0.255 0.0.0.0 255.255.255.1 или что то подобное ?(
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "ISG, policy-map  и глюк ACL !!! help"

Сообщение от Basil (??) on 02-Дек-07, 09:10

>[оверквотинг удален] >И циска отображает , что трафик редиректиться ... >но реально не кидает на портал ... >хотя в остальных обычных случаях (например не авторизирован пользователь) все редиректы работают >... > >Кто сталкивался с такой фигнёй ?( >Может есть где то примеры ? >Все доки по этому поводу уже перерыл в доль и поперёк (( >все по примерам делаю ... но не бегает (( >хотя по приоритетам всё правильно для ACL поставлено (( ПРивет! Во первых, какая версия софта ? 30 декабря должын появиться новый софт, там много вкусностей будет! Где конфиг припейда ? Как включить debug редиректа сейчас не помню,завтра отпишу станет понятно. Если в режиме припейда определен Idle-Timeoute, то сначала генерируется событие Quota-Depleted - это время когда у абонента кончились деньги и ему дается Idle-Timeoute времени чтобы добавить денег на портале, именно по этому событию и лучше вешать редирект. :) , а Credit-Exhausted уже после таймаута убивает сессию. Да и еще по поводу порт бандла PBHK_SERVICE. Нужен ли он ? Я так понимаю, что это типа PAT, когда у вас в разных VPN клиенты с пересикающимися IP адресами. Соотвественно и на портал они тоже должны бегать через PBHK. Завтра попробую у себя тоже самое воспроизвести, посмотрим, что получится :) Есть вариант, что с приоритетами какая-то путаница. PS Если не секрет, в качестве припейд сервера кто ? Basil.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от ATeam (ok) on 02-Дек-07, 16:30
	>[оверквотинг удален] >>Может есть где то примеры ? >>Все доки по этому поводу уже перерыл в доль и поперёк (( >>все по примерам делаю ... но не бегает (( >>хотя по приоритетам всё правильно для ACL поставлено (( > >ПРивет! > >Во первых, какая версия софта ? 30 декабря должын появиться новый софт, >там много вкусностей будет! > c7200p-a3jk91s-mz.122-31.SB9.bin >Где конфиг припейда ? subscriber feature prepaid default threshold time 10 seconds threshold volume 0 bytes interim-interval 2 minutes method-list author default method-list accounting default password cisco ! >Как включить debug редиректа сейчас не помню,завтра отпишу станет понятно. > хмм ... было бы интересно ... а так видно , что он пытается редиректить , но не ставит как я пнял флаг FIN , и пакеты не отправляются на портал .. >Если в режиме припейда определен Idle-Timeoute, то сначала генерируется событие Quota-Depleted - >это время когда у абонента кончились деньги и ему дается Idle-Timeoute >времени чтобы добавить денег на портале, именно по этому событию и >лучше вешать редирект. :) , а Credit-Exhausted уже после таймаута убивает >сессию. вот так сделано - class type control always event credit-exhausted   1 service-policy type service name SERVICE_403_L4R_TC ! class type control always event quota-depleted   1 set-param drop-traffic FALSE После окончания квоты , включается Idle-Timeout , на протяжении которого циска блокирует по сервису трафик и загружает дополнительный сервис в котором правило для редиректа ... так во всех мануалах указано , но возможно я не совсем понял (( > >Да и еще по поводу порт бандла PBHK_SERVICE. >Нужен ли он ? Я так понимаю, что это типа PAT, когда >у вас в разных VPN клиенты с пересикающимися IP адресами. Соотвественно >и на портал они тоже должны бегать через PBHK. > Да , тут я с этим то же не до конца просёк , но по умолчанию есть во всех клиентских сессиях у меня (как в доках) ... > >Завтра попробую у себя тоже самое воспроизвести, посмотрим, что получится :) >Есть вариант, что с приоритетами какая-то путаница. С приоритетами уже весь мозг сломал , написано , что если нет приоритета то это=1 и это высший , если есть , то всё равно чем меньше , тем выше приоритет ... так же вычитал , что по длине префикса ещё смотрит на какой ACL  бросать , и если из ACL Для интернета убрать permit ip any any и убрать default drop , то трафик начинает бегать и редирект работает , но как следствие в Accounting по IN  направлению по сервису INTERNET ничего не пишется (( > >PS Если не секрет, в качестве припейд сервера кто ? Пока у меня стенд , соответственно есть рабочий биллинг с прикрученным freeradius на котором по старой схеме (pppoe) пользователи сидят , а на стенде я вручную скажем так эмулирую припейд прогой - RadL Free Radius под винду , доволньо удобно , только нет аккаунтинга (но до него ещё дело не дошло) > >Basil.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от ATeam (ok) on 03-Дек-07, 13:54
	>[оверквотинг удален] >>PS Если не секрет, в качестве припейд сервера кто ? > >Пока у меня стенд , соответственно есть рабочий биллинг с прикрученным freeradius >на котором по старой схеме (pppoe) пользователи сидят , а на >стенде я вручную скажем так эмулирую припейд прогой - RadL Free >Radius под винду , доволньо удобно , только нет аккаунтинга (но >до него ещё дело не дошло) > >> >>Basil. уже да же упростил , убрал нафиг PBHK_SERVICE , всё поубирал .. запускается SERVICE_401_INTERNET , потом по опустошению квоты запускается - SERVICE_403_L4R_TC  с редиректом ... один фиг ... блин , либо глюк иоса , либо слон спрятался ..((
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от Pcom (??) on 03-Дек-07, 17:16
	>[оверквотинг удален] >>до него ещё дело не дошло) >> >>> >>>Basil. > >уже да же упростил , убрал нафиг PBHK_SERVICE , всё поубирал .. >запускается SERVICE_401_INTERNET , потом по опустошению квоты запускается - SERVICE_403_L4R_TC   >с редиректом ... >один фиг ... блин , либо глюк иоса , либо слон спрятался >..(( Привет! По поводу quota-depleted я тебе наврал, у тебя все правильно. попробуй debug subscriber feature name l4redirect и посмотри, что происходит при l4 редиректе. Так же можешь сделать debug condition. можно много чего посмотреть.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от ATeam (ok) on 03-Дек-07, 17:27
	>[оверквотинг удален] >>один фиг ... блин , либо глюк иоса , либо слон спрятался >>..(( > >Привет! > >По поводу quota-depleted я тебе наврал, у тебя все правильно. > >попробуй debug subscriber feature name l4redirect >и посмотри, что происходит при l4 редиректе. >Так же можешь сделать debug condition. можно много чего посмотреть. outer# Dec  3 17:24:41.634: SSM FH: [SSS:TC:24649:L4R:36944] rule #1 port 80 ip 172.16.5.57 acl "197" PORTAL Dec  3 17:24:41.634: SSM FH: [SSS:TC:24649:L4R:36944] create TCP[634F2AC]: src 172.16.1.3/3051 Dec  3 17:24:41.634: SSM FH: [SSS:TC:24649:L4R:36944]           [634F2AC]: dst 172.16.5.57/80 Dec  3 17:24:41.634: SSM FH: [SSS:TC:24649:L4R:36944]           [634F2AC]: odst 81.222.xx.4/80 Dec  3 17:24:41.634: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F2AC]: from src: 172.16.1.3/3051 dst 81.222.xx.4/80 Dec  3 17:24:41.634: SSM FH: [SSS:TC:24649:L4R:36944]   [634F2AC]:  to src: 172.16.1.3/3051 dst: 172.16.5.57/80 SYN Dec  3 17:24:41.634: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC Dec  3 17:24:41.634: L4 Redirect: REDIR-STARTED: DP --> CP Dec  3 17:24:41.634: L4 Redirect: REDIR-STARTED: rule #1 Dec  3 17:24:41.634: L4 Redirect: TRANS-STARTED: DP --> CP Dec  3 17:24:41.634: L4 Redirect: TRANS-STARTED: updt from DP started[TCP]: src 172.16.1.3/3051 Dec  3 17:24:41.634: L4 Redirect: TRANS-STARTED:                            dst 172.16.5.57/80 Dec  3 17:24:41.634: L4 Redirect: TRANS-STARTED:                            odst 81.222.xx.4/80 Dec  3 17:24:41.634: SSM FH: [L4R:36944] TRANS-STARTED Dec  3 17:24:41.634: L4 Redirect: TRANS-STARTED: CP --> DP Dec  3 17:24:41.634: L4 Redirect: TRANS-STARTED: updt from CP started[TCP]: src 172.16.1.3/3051 Dec  3 17:24:41.634: L4 Redirect: TRANS-STARTED:                            dst 172.16.5.57/80 Dec  3 17:24:41.634: L4 Redirect: TRANS-STARTED:                            odst 81.222.xx.4/80 Dec  3 17:24:41.634: L4 Redirect: TRANS-STARTED:                            duplicate, ignored Dec  3 17:24:41.634: SSM FH: [L4R:36944] updated: ok Dec  3 17:24:41.634: SSM FH: [SSS:TC:24649:L4R:36944] updated: ok Dec  3 17:24:44.514: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F2AC]: from src: 172.16.1.3/3051 dst 81.222.xx.4/80 Dec  3 17:24:44.514: SSM FH: [SSS:TC:24649:L4R:36944]   [634F2AC]:  to src: 172.16.1.3/3051 dst: 172.16.5.57/80 SYN Dec  3 17:24:44.514: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC Router# Router# Router# Dec  3 17:24:50.530: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F2AC]: from src: 172.16.1.3/3051 dst 81.222.xx.4/80 Dec  3 17:24:50.530: SSM FH: [SSS:TC:24649:L4R:36944]   [634F2AC]:  to src: 172.16.1.3/3051 dst: 172.16.5.57/80 SYN Dec  3 17:24:50.530: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC угу , дебаг включил ... правда мало что прояснилось ( вот убрал permit ip any any ec  3 17:32:05.294: SSM FH: [SSS:TC:24649:L4R:36944] rule #1 port 80 ip 172.16.5.57 acl "197" PORTAL Dec  3 17:32:05.294: SSM FH: [SSS:TC:24649:L4R:36944] create TCP[634F284]: src 172.16.1.3/3059 Dec  3 17:32:05.294: SSM FH: [SSS:TC:24649:L4R:36944]           [634F284]: dst 172.16.5.57/80 Dec  3 17:32:05.294: SSM FH: [SSS:TC:24649:L4R:36944]           [634F284]: odst 81.222.xx.4/80 Dec  3 17:32:05.294: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F284]: from src: 172.16.1.3/3059 dst 81.222.xx.4/80 Dec  3 17:32:05.294: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to src: 172.16.1.3/3059 dst: 172.16.5.57/80 SYN Dec  3 17:32:05.298: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC Dec  3 17:32:05.298: L4 Redirect: TRANS-STARTED: DP --> CP Dec  3 17:32:05.298: L4 Redirect: TRANS-STARTED: updt from DP started[TCP]: src 172.16.1.3/3059 Dec  3 17:32:05.298: L4 Redirect: TRANS-STARTED:                            dst 172.16.5.57/80 Dec  3 17:32:05.298: L4 Redirect: TRANS-STARTED:                            odst 81.222.xx.4/80 Dec  3 17:32:05.298: L4 Redirect: TRANS-STARTED: CP --> DP Dec  3 17:32:05.298: L4 Redirect: TRANS-STARTED: updt from CP started[TCP]: src 172.16.1.3/3059 Dec  3 17:32:05.298: L4 Redirect: TRANS-STARTED:                            dst 172.16.5.57/80 Dec  3 17:32:05.298: L4 Redirect: TRANS-STARTED:                            odst 81.222.xx.4/80 Dec  3 17:32:05.298: L4 Redirect: TRANS-STARTED:                            duplicate, ignored Dec  3 17:32:05.298: SSM FH: [SSS:TC:24649:L4R:36944] updated: ok Dec  3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F284]: from src: 172.16.1.3/3059 dst 81.222.xx.4/80 Dec  3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to src: 172.16.1.3/3059 dst: 172.16.5.57/80 SYN Dec  3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC Dec  3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] Tx[634F284]: from src: 172.16.5.57/80 dst 172.16.1.3/3059 Dec  3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to src: 81.222.xx.4/80 dst: 172.16.1.3/3059 SYN,ACK Dec  3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F284]: from src: 172.16.1.3/3059 dst 81.222.xx.4/80 Dec  3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to src: 172.16.1.3/3059 dst: 172.16.5.57/80 ACK Dec  3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC Dec  3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F284]: from src: 172.16.1.3/3059 dst 81.222.xx.4/80 Dec  3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to src: 172.16.1.3/3059 dst: 172.16.5.57/80 PSH,ACK Dec  3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC Dec  3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944] Tx[634F284]: from src: 172.16.5.57/80 dst 172.16.1.3/3059 Dec  3 17:32:08.318: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to src: 81.222.xx.4/80 dst: 172.16.1.3/3059 ACK Dec  3 17:32:09.590: SSM FH: [SSS:TC:24649:L4R:36944] Tx[634F284]: from src: 172.16.5.57/80 dst 172.16.1.3/3059 Dec  3 17:32:09.590: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to src: 81.222.xx.4/80 dst: 172.16.1.3/3059 ACK Dec  3 17:32:09.590: SSM FH: [SSS:TC:24649:L4R:36944] Tx[634F284]: from src: 172.16.5.57/80 dst 172.16.1.3/3059 Dec  3 17:32:09.594: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to src: 81.222.xx.4/80 dst: 172.16.1.3/3059 PSH,ACK Dec  3 17:32:09.594: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F284]: from src: 172.16.1.3/3059 dst 81.222.xx.4/80 Dec  3 17:32:09.594: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to src: 172.16.1.3/3059 dst: 172.16.5.57/80 ACK Dec  3 17:32:09.594: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC Dec  3 17:32:09.594: SSM FH: [SSS:TC:24649:L4R:36944] Tx[634F284]: from src: 172.16.5.57/80 dst 172.16.1.3/3059 Dec  3 17:32:09.594: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to src: 81.222.xx.4/80 dst: 172.16.1.3/3059 FIN,ACK Dec  3 17:32:09.594: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F284]: from src: 172.16.1.3/3059 dst 81.222.xx.4/80 Dec  3 17:32:09.594: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to src: 172.16.1.3/3059 dst: 172.16.5.57/80 ACK Dec  3 17:32:09.594: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F284]: from src: 172.16.1.3/3059 dst 81.222.xx.4/80 Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to src: 172.16.1.3/3059 dst: 172.16.5.57/80 FIN,ACK Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] Tx[634F284]: from src: 172.16.5.57/80 dst 172.16.1.3/3059 Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to src: 81.222.xx.4/80 dst: 172.16.1.3/3059 ACK Router#
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от Pcom (??) on 03-Дек-07, 17:40
	>[оверквотинг удален] >Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] Rx[634F284]: from src: 172.16.1.3/3059 dst >81.222.xx.4/80 >Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to >src: 172.16.1.3/3059 dst: 172.16.5.57/80 FIN,ACK >Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC >Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] Tx[634F284]: from src: 172.16.5.57/80 dst >172.16.1.3/3059 >Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to >src: 81.222.xx.4/80 dst: 172.16.1.3/3059 ACK >Router# Попробуй убрать ACL_L4_OUT вообще из сервиса вообще.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от ATeam (ok) on 03-Дек-07, 17:47
	>[оверквотинг удален] >>Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to >>src: 172.16.1.3/3059 dst: 172.16.5.57/80 FIN,ACK >>Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] Rx: redo for TC >>Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944] Tx[634F284]: from src: 172.16.5.57/80 dst >>172.16.1.3/3059 >>Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to >>src: 81.222.xx.4/80 dst: 172.16.1.3/3059 ACK >>Router# > >Попробуй убрать ACL_L4_OUT вообще из сервиса вообще. cisco-avpair = "ip:traffic-class=out access-group name ACL_OUT_L4R priority 5", это ? из сервиса редиректа ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от ATeam (ok) on 03-Дек-07, 17:55
	>[оверквотинг удален] >>>172.16.1.3/3059 >>>Dec  3 17:32:09.606: SSM FH: [SSS:TC:24649:L4R:36944]   [634F284]:  to >>>src: 81.222.xx.4/80 dst: 172.16.1.3/3059 ACK >>>Router# >> >>Попробуй убрать ACL_L4_OUT вообще из сервиса вообще. > >cisco-avpair = "ip:traffic-class=out access-group name ACL_OUT_L4R priority 5", > >это ? из сервиса редиректа ? убрал - Dec  3 17:51:44.050: L4 Redirect: REDIR-RULE: CP --> DP Dec  3 17:51:44.050: L4 Redirect: Created new L4R rule DP context Dec  3 17:51:47.018: L4 Redirect: REDIR-STARTED: DP --> CP Dec  3 17:51:47.018: L4 Redirect: REDIR-STARTED: rule #1 Dec  3 17:51:47.018: L4 Redirect: TRANS-STARTED: DP --> CP Dec  3 17:51:47.018: L4 Redirect: TRANS-STARTED: updt from DP started[TCP]: src 172.16.1.6/3132 Dec  3 17:51:47.018: L4 Redirect: TRANS-STARTED:                            dst 172.16.5.57/80 Dec  3 17:51:47.018: L4 Redirect: TRANS-STARTED:                            odst 192.168.0.3/2967 Dec  3 17:51:47.018: L4 Redirect: TRANS-STARTED: CP --> DP Dec  3 17:51:47.018: L4 Redirect: TRANS-STARTED: updt from CP started[TCP]: src 172.16.1.6/3132 Dec  3 17:51:47.018: L4 Redirect: TRANS-STARTED:                            dst 172.16.5.57/80 Dec  3 17:51:47.018: L4 Redirect: TRANS-STARTED:                            odst 192.168.0.3/2967 Dec  3 17:51:47.018: L4 Redirect: TRANS-STARTED:                            duplicate, ignored Dec  3 17:51:47.586: L4 Redirect: TRANS-STARTED: DP --> CP Dec  3 17:51:47.586: L4 Redirect: TRANS-STARTED: updt from DP started[UDP]: src 172.16.1.6/137 Dec  3 17:51:47.586: L4 Redirect: TRANS-STARTED:                            dst 172.16.5.57/80 Dec  3 17:51:47.586: L4 Redirect: TRANS-STARTED:                            odst 172.16.1.255/137 Dec  3 17:51:47.586: L4 Redirect: TRANS-STARTED: CP --> DP Dec  3 17:51:47.586: L4 Redirect: TRANS-STARTED: updt from CP started[UDP]: src 172.16.1.6/137 Dec  3 17:51:47.586: L4 Redirect: TRANS-STARTED:                            dst 172.16.5.57/80 Dec  3 17:51:47.586: L4 Redirect: TRANS-STARTED:                            odst 172.16.1.255/137 Dec  3 17:51:47.586: L4 Redirect: TRANS-STARTED:                            duplicate, ignored Dec  3 17:51:51.610: L4 Redirect: TRANS-STARTED: DP --> CP Dec  3 17:51:51.610: L4 Redirect: TRANS-STARTED: updt from DP started[TCP]: src 172.16.1.6/3139 Dec  3 17:51:51.610: L4 Redirect: TRANS-STARTED:                            dst 172.16.5.57/80 Dec  3 17:51:51.610: L4 Redirect: TRANS-STARTED:                            odst 81.222.xx.4/80 Dec  3 17:51:51.610: L4 Redirect: TRANS-STARTED: CP --> DP Dec  3 17:51:51.610: L4 Redirect: TRANS-STARTED: updt from CP started[TCP]: src 172.16.1.6/3139 Dec  3 17:51:51.610: L4 Redirect: TRANS-STARTED:                            dst 172.16.5.57/80 Dec  3 17:51:51.610: L4 Redirect: TRANS-STARTED:                            odst 81.222.xx.4/80 Dec  3 17:51:51.610: L4 Redirect: TRANS-STARTED:                            duplicate, ignored Dec  3 17:51:56.582: L4 Redirect: TRANS-STARTED: DP --> CP Dec  3 17:51:56.582: L4 Redirect: TRANS-STARTED: updt from DP started[UDP]: src 172.16.1.6/138 Dec  3 17:51:56.582: L4 Redirect: TRANS-STARTED:                            dst 172.16.5.57/80 Dec  3 17:51:56.582: L4 Redirect: TRANS-STARTED:                            odst 172.16.1.255/138 Dec  3 17:51:56.582: L4 Redirect: TRANS-STARTED: CP --> DP Dec  3 17:51:56.582: L4 Redirect: TRANS-STARTED: updt from CP started[UDP]: src 172.16.1.6/138 Dec  3 17:51:56.582: L4 Redirect: TRANS-STARTED:                            dst 172.16.5.57/80 Dec  3 17:51:56.582: L4 Redirect: TRANS-STARTED:                            odst 172.16.1.255/138 Dec  3 17:51:56.582: L4 Redirect: TRANS-STARTED:                            duplicate, ignored Router# Router# Router#sh red Router#sh redirect t Router#sh redirect translations Destination IP/port    Server IP/port         Prot  In Flags  Out Flags  Timestamp 172.16.1.255    137    172.16.5.57     80     UDP                        Dec 03 2007 17:52:12 172.16.1.255    138    172.16.5.57     80     UDP                        Dec 03 2007 17:52:12 192.168.0.3     2967   172.16.5.57     80     TCP                        Dec 03 2007 17:51:56 81.222.xx.4     80     172.16.5.57     80     TCP                        Dec 03 2007 17:52:00 судя по tcdump на портале , на него стали проходить netbios пакеты ... раньше вообще тишина была ...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от ATeam (ok) on 04-Дек-07, 13:08
	>[оверквотинг удален] >           >          Dec >03 2007 17:52:00 > > > > >судя по tcdump на портале , на него стали проходить netbios пакеты >... >раньше вообще тишина была ... поставил - c7200p-a3jk91s-mz.122-31.SB10.bin , последний IOS из этой ветки ... всё то же самое (
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от Basil (??) on 05-Дек-07, 12:25
	>[оверквотинг удален] >> >> >> >> >>судя по tcdump на портале , на него стали проходить netbios пакеты >>... >>раньше вообще тишина была ... > >поставил - c7200p-a3jk91s-mz.122-31.SB10.bin , последний IOS из этой ветки ... >всё то же самое ( Может стоит открыть кей с в Циске ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	20. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от ATeam (ok) on 05-Дек-07, 12:27
	>[оверквотинг удален] >>> >>> >>>судя по tcdump на портале , на него стали проходить netbios пакеты >>>... >>>раньше вообще тишина была ... >> >>поставил - c7200p-a3jk91s-mz.122-31.SB10.bin , последний IOS из этой ветки ... >>всё то же самое ( > >Может стоит открыть кей с в Циске ? Хмм ... я на форуме на cisco.com повесил пост , а так у меня только guest логин , поэтому например представительство cisco в россии "послали" , сказали купите сапорт за 3500$ ... так что я бы с радостью , но ни как ... Пошёл другим путём пока , не таким красивым как хотелось , но рабочим ...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	21. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от Basil (??) on 05-Дек-07, 15:27
	>[оверквотинг удален] >> >>Может стоит открыть кей с в Циске ? > >Хмм ... я на форуме на cisco.com повесил пост , а так >у меня только guest логин , поэтому например представительство cisco в >россии "послали" , сказали купите сапорт за 3500$ ... так что >я бы с радостью , но ни как ... > >Пошёл другим путём пока , не таким красивым как хотелось , но >рабочим ... НУ да, просто такой стофт покупать без поддержки смысла не имеет. Я тоже столкнулся с одной проблемой на ISG, так помог только Cisco TAC. А что за путь, если не секрет ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	22. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от ATeam (ok) on 05-Дек-07, 15:46
	>[оверквотинг удален] >>я бы с радостью , но ни как ... >> >>Пошёл другим путём пока , не таким красивым как хотелось , но >>рабочим ... > >НУ да, просто такой стофт покупать без поддержки смысла не имеет. >Я тоже столкнулся с одной проблемой на ISG, так помог только Cisco >TAC. > >А что за путь, если не секрет ? Ну софт я не покупал) добрые люди помогли) Ну вариант один подошёл , посл окончания квоты , отрубать сервис SERVICE_401_INTERNET и запускать отдельный сервис с редиректом .. минус один , что бы включился Интернет сервис после поступления денег , либо переавторизироваться , либо когда тебя редирект кидает на портал , на портале просто мышкой жамкать на - Активировать Интернет ...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	23. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от ATeam (ok) on 05-Дек-07, 16:32
	>[оверквотинг удален] >> >>А что за путь, если не секрет ? > >Ну софт я не покупал) добрые люди помогли) > >Ну вариант один подошёл , посл окончания квоты , отрубать сервис SERVICE_401_INTERNET >и запускать отдельный сервис с редиректом .. минус один , что >бы включился Интернет сервис после поступления денег , либо переавторизироваться , >либо когда тебя редирект кидает на портал , на портале просто >мышкой жамкать на - Активировать Интернет ... Чего то я к вечеру туплю (( подскажите , как выдать фиксированный IP из DHCP пула через Radius  в случае необходимости ....
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	24. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от Basil (??) on 05-Дек-07, 17:42
	>[оверквотинг удален] >> >>Ну вариант один подошёл , посл окончания квоты , отрубать сервис SERVICE_401_INTERNET >>и запускать отдельный сервис с редиректом .. минус один , что >>бы включился Интернет сервис после поступления денег , либо переавторизироваться , >>либо когда тебя редирект кидает на портал , на портале просто >>мышкой жамкать на - Активировать Интернет ... > >Чего то я к вечеру туплю (( >подскажите , как выдать фиксированный IP из DHCP пула через Radius   >в случае необходимости .... С ходу не скажу, но если поискать по ключам dhcp radius на этом сайте, то там точно есть.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	25. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от Аноним on 11-Дек-07, 18:16
	попробуйте так для начала class type control always event session-restart  - убрать добавить class type control always event service-start   10 service-policy type service unapply name L4_REDIRECT_SERVICE   20 service-policy type service identifier service-name class type control always event service-stop   1 service-policy type service unapply identifier service-name   20 service-policy type service name L4_REDIRECT_SERVICE Приоритеты самый высший 1  все остальные - приоритет ниже и вообще выложите весь конфиг
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	26. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от ATeam (ok) on 11-Дек-07, 18:22
	>[оверквотинг удален] >Приоритеты >самый высший 1  все остальные - приоритет ниже > >и вообще выложите весь конфиг > > > > > > так в таком виде всё работает , если сервис INTERNET отрубился,  то запускается сервис редиректа ... это у меня сейчас работает ... но маленькая проблема - как если пополнился счёт у абонента , то включить обратно сервис ? только либо переавторизиоваться , либо вручную с портала запустить данный остановленный сервис ...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	27. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от Аноним on 12-Дек-07, 10:24
	>так в таком виде всё работает , если сервис INTERNET отрубился,   >то запускается сервис редиректа ... это у меня сейчас работает ... > >но маленькая проблема - как если пополнился счёт у абонента , то >включить обратно сервис ? только либо переавторизиоваться , либо вручную с >портала запустить данный остановленный сервис ... 1. сделать чтобы сессия на циске не рвалась при отрицательном балансе 2. в профиль клиента добавить сервис как услугу типа A т.е. дефолтную в таком случае при отрицательном балансе - сессия клиента будет авторизована на портале но сервис A будет выключен, т.е. при по попытке клиентом открыть любую страничку - его всегда будет редиректить на портал
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	28. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от Аноним on 12-Дек-07, 10:27
	>в таком случае при отрицательном балансе - сессия клиента будет авторизована на >портале >но сервис A будет выключен, т.е. при по попытке клиентом открыть любую >страничку - его всегда будет редиректить на портал но как только сервис перейдет в статус включен -- состветсвенно инет и у клиента появится но я не советовал бы так делать лучше сделать так чтобы при наступлении события credit-exhausted клиента редиректило на страничку с надписью  "Бабла нет" в противном случае - вас достанут звонками типа "У меня нет инета постоянно открывается портал" - клиент не догадается что бабки кончились
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	29. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от ATeam (ok) on 12-Дек-07, 10:31
	>[оверквотинг удален] >>но сервис A будет выключен, т.е. при по попытке клиентом открыть любую >>страничку - его всегда будет редиректить на портал > >но как только сервис перейдет в статус включен -- состветсвенно инет и >у клиента появится >но я не советовал бы так делать >лучше сделать так чтобы при наступлении события credit-exhausted >клиента редиректило на страничку с надписью  "Бабла нет" >в противном случае - вас достанут звонками типа "У меня нет инета >постоянно открывается портал" - клиент не догадается что бабки кончились Так я так и пытался сделать !) При наступлении credit-exhausted  - сервис Интернет -не выключается, но весь трафик дропается и запускается сервис редиректа , который кидает на портал , а как только счёт пополнился, сервис редиректа отключается, а дропанье на серсисе Интернет отключается то же ... и пользователь уже попадает в инет ... но вот и возникла проблема с таким вариантом !((
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	30. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от Аноним on 12-Дек-07, 10:42
	>Так я так и пытался сделать !) >При наступлении credit-exhausted  - сервис Интернет -не выключается, но весь трафик >дропается и запускается сервис редиректа , который кидает на портал , >а как только счёт пополнился, сервис редиректа отключается, а дропанье на >серсисе Интернет отключается то же ... и пользователь уже попадает в >инет ... но вот и возникла проблема с таким вариантом !(( > сервис инет по любому должен вырубится выкладывайте весь текущий конфиг по настройкам isg а также все атрибуты клиента и сервиса который ему вешается
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	31. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от ATeam (ok) on 12-Дек-07, 10:49
	>[оверквотинг удален] >>При наступлении credit-exhausted  - сервис Интернет -не выключается, но весь трафик >>дропается и запускается сервис редиректа , который кидает на портал , >>а как только счёт пополнился, сервис редиректа отключается, а дропанье на >>серсисе Интернет отключается то же ... и пользователь уже попадает в >>инет ... но вот и возникла проблема с таким вариантом !(( >> > >сервис инет по любому должен вырубится >выкладывайте весь текущий конфиг по настройкам isg >а также все атрибуты клиента и сервиса который ему вешается Хмм ... у циски написано , что можно его не отключать , если стоит Idle-Timeout ,то он не отрубает сервис , а запускает другой , а по этому сервису всё дропает ... nas-port:172.16.4.4:0/0/1/100.4000 Password = "lab123",     User-Service-Type = Login-User,     User-Name = "0/0/1/100.4000",     NAS-Port-Type = PPPoEoQinQ,     cisco-avpair = "subscriber:accounting-list=BH_ACCNT_LIST",     cisco-avpair = "ssg-account-info=ASERVICE_401_INTERNET",     cisco-avpair = "ssg-account-info=NSERVICE_401_INTERNET_UPS",     cisco-avpair = "ssg-account-info=AGAMING",     cisco-avpair = "ssg-account-info=NL4_REDIRECT_SERVICE_NOTSERV",     Idle-Timeout = "600", 0/0/1/100.4000 Password = "cisco",     Control-Info = "QT300", #    Idle-Timeout = "100",     Framed-Protocol = "PPP", PBHK_SERVICE  Password = "cisco",     cisco-avpair = "ip:portbundle=enable", #    cisco-avpair = "ip:traffic-class=out default drop", #    cisco-avpair = "ip:traffic-class=in default drop",      SERVICE_401_INTERNET Password = "cisco",     User-Name = "0/0/1/100.4000",     cisco-avpair = "subscriber:accounting-list=BH_ACCNT_LIST",     cisco-avpair = "ip:traffic-class=in access-group name  ACL_IN_INT priority 30",     cisco-avpair = "ip:traffic-class=out access-group name  ACL_OUT_INT priority 30",     cisco-avpair = "ip:traffic-class=out default drop",     cisco-avpair = "ip:traffic-class=in default drop",     Service-Info = "QD;1024000;1024000",     Service-Info = "QU:512000;512000",     Service-Info = "ISERVICE_401_INTERNET",     cisco-avpair = "prepaid-config=default", #    cisco-avpair = "subscriber:classname=C73-1", #    Framed-IP-Address = "10.100.1.5", SERVICE_401_INTERNET_UP Password = "cisco",     User-Name = "0/0/1/100.4000",     cisco-avpair = "subscriber:accounting-list=BH_ACCNT_LIST",     cisco-avpair = "ip:traffic-class=in access-group name  ACL_IN_INT priority 30",     cisco-avpair = "ip:traffic-class=out access-group name  ACL_OUT_INT priority 30",     cisco-avpair = "ip:traffic-class=out default drop",     cisco-avpair = "ip:traffic-class=in default drop",     Service-Info = "QD;10240000;10240000",     Service-Info = "QU:5120000;5120000",     Service-Info = "ISERVICE_401_INTERNET_UP",     cisco-avpair = "prepaid-config=default",      L4_REDIRECT_SERVICE Password = "cisco",     cisco-avpair = "ip:l4redirect=redirect list 199 to group PERIODIC_L4R",     cisco-avpair = "ip:traffic-class=out default drop",     cisco-avpair = "ip:traffic-class=in default drop",     cisco-avpair = "ip:traffic-class=in access-group name ACL_IN_WWW",     cisco-avpair = "ip:traffic-class=out access-group name ACL_OUT_WWW", GAMING    Password = "cisco",     User-Name = "0/0/1/100.4000",     cisco-avpair = "ip:traffic-class=in access-group name GAM_ACL_IN priority 40",     cisco-avpair = "ip:traffic-class=out access-group name GAM_ACL_OUT priority 40",     cisco-avpair = "ip:traffic-class=out default drop",     cisco-avpair = "ip:traffic-class=in default drop",     Service-Info = "IGAMING",     Service-Info = "QD;1024000;1024000",     Service-Info = "QU:512000;512000", L4_REDIRECT_SERVICE_NOTSERV Password = "cisco",     User-Name = "0/0/1/100.4000",     cisco-avpair = "ip:l4redirect=redirect list 199 to group PERIODIC_L4R_NOTSERV",     cisco-avpair = "ip:traffic-class=out default drop",     cisco-avpair = "ip:traffic-class=in default drop",     cisco-avpair = "ip:traffic-class=in access-group name ACL_IN_WWW",     cisco-avpair = "ip:traffic-class=out access-group name ACL_OUT_WWW", SERVICE_403_L4R_TC Password = "cisco",     cisco-avpair = "ip:traffic-class=in access-group name ACL_IN_L4R priority 5",         cisco-avpair = "ip:l4redirect=redirect list 197 to group PORTAL",     cisco-avpair = "ip:traffic-class=out access-group name ACL_OUT_L4R priority 5", Далее конфиг - Router#sh run Building configuration... Current configuration : 10671 bytes ! ! Last configuration change at 18:01:32 UTC Tue Dec 11 2007 ! upgrade fpd auto version 12.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot system disk2:c7200p-a3jk91s-mz.122-31.SB10.bin boot-end-marker ! ! aaa new-model ! ! aaa group server radius BH_SERVER_GROUP1 server 172.16.5.45 auth-port 1812 acct-port 1813 !         aaa authentication login default none aaa authentication login BH_WEB_LOGON group BH_SERVER_GROUP1 aaa authorization network default group radius if-authenticated aaa authorization subscriber-service default local group BH_SERVER_GROUP1 aaa accounting update periodic 5 aaa accounting network default start-stop group BH_SERVER_GROUP1 aaa accounting network BH_ACCNT_LIST start-stop group BH_SERVER_GROUP1 ! aaa server radius sesm client 192.168.100.50 key cisco client 172.16.5.57 client 172.16.5.58 key cisco message-authenticator ignore ! ! aaa server radius dynamic-author client 172.16.5.45 server-key cisco client 172.16.5.57 server-key cisco client 192.168.100.50 server-key cisco ! aaa session-id common clock calendar-valid ip subnet-zero ! ! ip name-server 81.222.xx.2 ip name-server 81.222.xx.2 ip dhcp relay information option ip dhcp relay information policy keep ip dhcp relay information trust-all no ip dhcp use vrf connected ip dhcp binding cleanup interval 10 ! ! ip dhcp class C73-1 ! ip dhcp class MAIN ! ip cef ip dhcp-server 172.16.5.57 ! subscriber feature prepaid GAME threshold time 10 seconds threshold volume 0 bytes interim-interval 2 minutes method-list author default method-list accounting default password cisco subscriber feature prepaid default threshold time 0 seconds threshold volume 0 bytes interim-interval 2 minutes method-list author default method-list accounting default password cisco ! subscriber authorization enable vpdn enable ! redirect server-group PORTAL server ip 172.16.5.57 port 80 ! redirect server-group PERIODIC_L4R server ip 172.16.5.57 port 8001 ! redirect server-group PERIODIC_L4R_NOTSERV server ip 172.16.5.57 port 8002 !         call rsvp-sync no scripting tcl init no scripting tcl encdir ! ! ! ! ! ! ! no file verify auto ! class-map type traffic match-any CLASS-ALL ! class-map type traffic match-any pp-redirect-refill-vol-tc match access-group output name BLOCK match access-group input name BLOCK ! class-map type control match-all SERVICE_401_INTERNET_UP match service-name SERVICE_401_INTERNET_UP ! class-map type control match-all SERVICE_401_INTERNET match service-name SERVICE_401_INTERNET ! class-map type control match-all SERVICE_401_UPGRADED_INTERNET match service-name SERVICE_401_UPGRADED_INTERNET ! class-map type control match-all SERVICE_401_PERIODIC_L4_REDIRECT match service-name SERVICE_401_PERIODIC_L4R ! class-map type control match-all IP_UNAUTH_COND match timer IP_UNAUTH_TIMER match authen-status unauthenticated ! policy-map type service pp-redict-refill-vol class type traffic pp-redirect-refill-vol-tc   redirect list 197 to group PERIODIC_L4R_NOTSERV ! ! policy-map type control RULE-401a-1 class type control IP_UNAUTH_COND event timed-policy-expiry   1 service disconnect ! class type control SERVICE_401_UPGRADED_INTERNET event service-stop   1 service-policy type service unapply identifier service-name   2 service-policy type service name SERVICE_401_INTERNET ! class type control SERVICE_401_UPGRADED_INTERNET event service-start   1 service-policy type service unapply name SERVICE_401_INTERNET   2 service-policy type service unapply name SERVICE_401_PERIODIC_L4R   3 service-policy type service identifier service-name ! class type control SERVICE_401_INTERNET event service-start   1 service-policy type service unapply name L4_REDIRECT_SERVICE_NOTSERV   2 service-policy type service unapply name SERVICE_401_INTERNET   3 service-policy type service identifier service-name ! class type control SERVICE_401_INTERNET event service-stop   1 service-policy type service unapply identifier service-name   2 service-policy type service name L4_REDIRECT_SERVICE_NOTSERV ! class type control SERVICE_401_INTERNET_UP event service-start   1 service-policy type service unapply name SERVICE_401_INTERNET   2 service-policy type service unapply name L4_REDIRECT_SERVICE_NOTSERV   3 service-policy type service identifier service-name ! class type control SERVICE_401_INTERNET_UP event service-stop   1 service-policy type service unapply identifier service-name   2 service-policy type service name SERVICE_401_INTERNET ! class type control always event session-start   1 authorize aaa password lab123 identifier nas-port   2 service-policy type service name L4_REDIRECT_SERVICE   3 set-timer IP_UNAUTH_TIMER 5 ! class type control always event account-logon   1 authenticate aaa list BH_WEB_LOGON   2 service-policy type service unapply name L4_REDIRECT_SERVICE ! class type control always event account-logoff   1 service disconnect delay 5 ! class type control always event session-restart   1 service-policy type service name PBHK_SERVICE   3 service-policy type service name L4_REDIRECT_SERVICE   4 set-timer IP_UNAUTH_TIMER 5 ! class type control always event quota-depleted   1 set-param drop-traffic FALSE ! ! !         ! interface Loopback0 ip address 172.16.4.4 255.255.255.255 ! interface Loopback1 ip address 172.16.1.1 255.255.255.0 ! interface GigabitEthernet0/1 no ip address ip flow ingress ip flow egress media-type rj45 speed auto duplex auto negotiation auto ! interface GigabitEthernet0/1.500 encapsulation dot1Q 500 ip address 172.16.5.1 255.255.255.0 no snmp trap link-status ! interface GigabitEthernet0/1.900 encapsulation dot1Q 900 ip address 10.50.1.3 255.255.255.0 ip portbundle outside no snmp trap link-status ! interface GigabitEthernet0/1.950 encapsulation dot1Q 950 ip address 192.168.0.1 255.255.255.0 no snmp trap link-status ! interface GigabitEthernet0/1.4000100 encapsulation dot1Q 4000 second-dot1q 100-120 radius attribute nas-port-type 34 ip unnumbered Loopback1 ip helper-address 172.16.5.57 no snmp trap link-status service-policy type control RULE-401a-1 ip subscriber l2-connected   initiator dhcp class-aware ! interface FastEthernet0/2 no ip address shutdown speed auto duplex auto ! interface GigabitEthernet0/2 description !!! FOR GAMES SERVERS !!! no ip address media-type rj45 speed auto duplex auto negotiation auto ! interface GigabitEthernet0/3 no ip address shutdown media-type rj45 speed auto duplex auto negotiation auto ! interface multiservice1 no ip address no keepalive ! !         router bgp 31xxx no synchronization bgp router-id 172.16.4.4 bgp log-neighbor-changes network 172.16.1.0 mask 255.255.255.0 network 172.16.5.0 mask 255.255.255.0 neighbor 172.16.4.9 remote-as 31321 neighbor 172.16.4.9 update-source Loopback0 no auto-summary ! ! ip portbundle match access-list 198 source Loopback0 ! ip classless ip route 0.0.0.0 0.0.0.0 172.16.4.9 ip route 172.16.4.9 255.255.255.255 10.50.1.2 ! no ip http server ! ! !         ip access-list extended ACL_IN_INT deny   ip 10.0.0.0 0.255.255.255 any deny   ip 192.168.0.0 0.0.255.255 any permit ip any any ip access-list extended ACL_IN_INTERNET ip access-list extended ACL_IN_L4R permit tcp any any eq www permit tcp any any eq 8080 permit ip any any permit ip any 0.0.0.0 255.255.255.127 ip access-list extended ACL_IN_PARENT permit ip any any ip access-list extended ACL_IN_UNAT deny   ip 192.168.0.0 0.0.0.255 any log permit ip any any log ip access-list extended ACL_IN_UPGRADED_INTERNET_401 deny   ip 10.0.0.0 0.255.255.255 any deny   ip 192.168.0.0 0.0.255.255 any permit ip any any ip access-list extended ACL_IN_WWW permit udp any any eq domain permit tcp any any eq www permit tcp any any eq 8012 deny   ip any any ip access-list extended ACL_OUT_INT deny   ip 10.0.0.0 0.255.255.255 any deny   ip 192.168.0.0 0.0.255.255 any permit tcp any 172.16.0.0 0.0.255.255 permit udp any 172.16.0.0 0.0.255.255 permit ip any any ip access-list extended ACL_OUT_L4R permit ip host 172.16.5.57 any permit ip any host 172.16.5.57 permit ip any any ip access-list extended ACL_OUT_PARENT permit ip any any ip access-list extended ACL_OUT_UNAT deny   ip 192.168.0.0 0.0.0.255 any permit ip any any ip access-list extended ACL_OUT_UPGRADED_INTERNET_401 deny   ip 10.0.0.0 0.255.255.255 any deny   ip 192.168.0.0 0.0.255.255 any permit ip any any ip access-list extended ACL_OUT_WWW permit udp any any eq domain permit tcp any any permit udp any any deny   ip any any ip access-list extended BLOCK deny   ip any host 172.16.5.57 permit tcp any any eq www permit tcp any any eq 8080 permit tcp any any eq 8002 deny   ip any any ip access-list extended GAM_ACL_IN permit tcp any host 81.222.xx.102 eq 8012 permit tcp any host 172.16.5.57 eq www 8080 permit ip any 192.168.0.0 0.0.0.255 permit tcp any host 84.16.xx.30 eq www permit udp any any eq domain deny   ip any any ip access-list extended GAM_ACL_OUT permit ip 192.168.0.0 0.0.0.255 any permit tcp host 84.16.xx.30 eq www any permit tcp host 81.222.xx.102 eq 8012 any permit udp host 81.222.xx.2 eq domain any permit udp host 81.222.xx.2 eq domain any permit ip host 172.16.5.57 any deny   ip any any ip radius source-interface Loopback0 vrf default ! ! ! ! ! ! ! ! access-list 197 deny   tcp any host 172.16.5.57 eq www access-list 197 permit tcp any any eq www access-list 197 permit tcp any any eq 8080 access-list 197 permit tcp any any eq 8002 access-list 197 deny   udp any any eq domain access-list 197 deny   tcp any host 81.222.xx.102 access-list 197 permit ip any any access-list 198 permit ip any host 172.16.5.45 access-list 198 deny   ip any any access-list 199 deny   tcp any host 172.16.5.57 eq www access-list 199 deny   tcp any host 172.16.5.57 eq 8001 access-list 199 deny   tcp any host 81.222.xx.102 eq www access-list 199 deny   tcp any host 172.16.5.57 eq 8002 access-list 199 permit tcp any any eq www ! ! radius-server attribute 44 include-in-access-req radius-server attribute 8 include-in-access-req radius-server attribute 32 include-in-access-req radius-server attribute 55 include-in-acct-req radius-server attribute 25 access-request include radius-server attribute 61 extended radius-server attribute 4 172.16.4.4 radius-server host 172.16.5.45 auth-port 1812 acct-port 1813 key cisco radius-server vsa send accounting radius-server vsa send authentication ! control-plane ! ! ! dial-peer cor custom ! ! ! ! gatekeeper shutdown ! ! line con 0 exec-timeout 0 0 stopbits 1 line aux 0 stopbits 1 line vty 0 4 ! end Router#
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	32. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от Аноним on 12-Дек-07, 10:51
	>[оверквотинг удален] >>При наступлении credit-exhausted  - сервис Интернет -не выключается, но весь трафик >>дропается и запускается сервис редиректа , который кидает на портал , >>а как только счёт пополнился, сервис редиректа отключается, а дропанье на >>серсисе Интернет отключается то же ... и пользователь уже попадает в >>инет ... но вот и возникла проблема с таким вариантом !(( >> > >сервис инет по любому должен вырубится >выкладывайте весь текущий конфиг по настройкам isg >а также все атрибуты клиента и сервиса который ему вешается еще момент приоритет у А услуги должен быть выше чем у L4_REDIRECT_SERVICE иначе она отработает первой :) конфиг вижу седня подумаю ближе к вечеру отвечу
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	33. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от Аноним on 12-Дек-07, 14:26
	нужна доп инфа авторизуйтесь клиентом lab123 - качайте пока не закончатся деньги т.е. пока вас не выкинет на портал после этого дайте вывод sh sss session username lab123 det | b  Active services associated with session
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	34. "ISG, policy-map  и глюк ACL !!! help"
	Сообщение от ATeam (ok) on 12-Дек-07, 17:15
	>нужна доп инфа >авторизуйтесь клиентом lab123 - качайте пока не закончатся деньги >т.е. пока вас не выкинет на портал >после этого дайте вывод >sh sss session username lab123 det | b  Active services associated >with session В каком виде это сделать ? как есть сейчас ? когда  Сервис Интернет отключается и Включается сервис L4_REDIRECT ? Вот - sh sss session detailed             Current Subscriber Information: Total sessions 1 -------------------------------------------------- Unique Session ID: 128 Identifier: SIP subscriber access type(s): Traffic-Class Current SIP options: None Session Up-time: 00:00:43, Last Changed: 00:00:43 Policy information:   Context 03F4128C: Handle 0C0000F3   AAA_id 0000003D: Flow_handle 0   Authentication status: unauthen   Downloaded User profile, including services:     username             "0/0/1/100.4000"     l4redirect           "redirect list 199 to group PERIODIC_L4R_NOTSERV"     traffic-class        "out default drop"     traffic-class        "in default drop"     traffic-class        "in access-group name ACL_IN_WWW"     traffic-class        "out access-group name ACL_OUT_WWW"   Config history for session (recent to oldest):     Access-type: Max Client: Service Command-Handler      Policy event: None (Service)       Profile name: L4_REDIRECT_SERVICE_NOTSERV, 4 references         username             "0/0/1/100.4000"         l4redirect           "redirect list 199 to group PERIODIC_L4R_NOTSERV"         traffic-class        "out default drop"         traffic-class        "in default drop"         traffic-class        "in access-group name ACL_IN_WWW"         traffic-class        "out access-group name ACL_OUT_WWW" Session inbound features: Feature: Layer 4 Redirect   Rule  Cfg  Definition   #1    SVC  Redirect list 199 to group PERIODIC_L4R_NOTSERV Configuration sources associated with this session: Service: L4_REDIRECT_SERVICE_NOTSERV, Active Time = 00:00:44 -------------------------------------------------- Unique Session ID: 126 Identifier: SIP subscriber access type(s): Traffic-Class Current SIP options: None Session Up-time: 00:00:44, Last Changed: 00:00:44 Policy information:   Context 03F41114: Handle 6A0000EF   AAA_id 0000003D: Flow_handle 0   Authentication status: unauthen   Downloaded User profile, including services:     username             "0/0/1/100.4000"     traffic-class        "in access-group name GAM_ACL_IN priority 40"     traffic-class        "out access-group name GAM_ACL_OUT priority 40"     traffic-class        "out default drop"     traffic-class        "in default drop"     ssg-service-info     "IGAMING"     ssg-service-info     "QD;1024000;1024000"     ssg-service-info     "QU:512000;512000"   Config history for session (recent to oldest):     Access-type: Web-service-logon Client: Service Command-Handler      Policy event: Service-Start (Service)       Profile name: GAMING, 4 references         username             "0/0/1/100.4000"         traffic-class        "in access-group name GAM_ACL_IN priority 40"         traffic-class        "out access-group name GAM_ACL_OUT priority 40"         traffic-class        "out default drop"         traffic-class        "in default drop"         ssg-service-info     "IGAMING"         ssg-service-info     "QD;1024000;1024000"         ssg-service-info     "QU:512000;512000"            Session inbound features: Feature: Policing Upstream Params: Average rate = 512000, Normal burst = 96000, Excess burst = 192000 Config level = Service Session outbound features: Feature: Policing Dnstream Params: Average rate = 1024000, Normal burst = 1024000, Excess burst = 0 Config level = Service Configuration sources associated with this session: Service: GAMING, Active Time = 00:00:46 -------------------------------------------------- Unique Session ID: 125 Identifier: 0/0/1/100.4000 SIP subscriber access type(s): IP Current SIP options: Req Fwding/Req Fwded Session Up-time: 00:00:46, Last Changed: 00:00:46 Policy information:   Context 03F41404: Handle 7B0000EE   AAA_id 0000003D: Flow_handle 0   Authentication status: authen   Downloaded User profile, excluding services:     service-type         1 [Login]     port-type            12 [PPPoE over QinQ]     accounting-list      "BH_ACCNT_LIST"     ssg-account-info     "ASERVICE_401_INTERNET"     ssg-account-info     "NSERVICE_401_INTERNET_UPS"     ssg-account-info     "AGAMING"     ssg-account-info     "NL4_REDIRECT_SERVICE_NOTSERV"     idletime             600 (0x258)     clid-mac-addr        00 14 85 85 06 D1     addr                 172.16.1.2     netmask              255.255.255.255     config-source-dpm    True   Downloaded User profile, including services:     service-type         1 [Login]     port-type            12 [PPPoE over QinQ]     accounting-list      "BH_ACCNT_LIST"     ssg-account-info     "ASERVICE_401_INTERNET"     ssg-account-info     "NSERVICE_401_INTERNET_UPS"     ssg-account-info     "AGAMING"     ssg-account-info     "NL4_REDIRECT_SERVICE_NOTSERV"     idletime             600 (0x258)     ssg-service-info     "IGAMING"     ssg-service-info     "QD;1024000;1024000"     ssg-service-info     "QU:512000;512000"     clid-mac-addr        00 14 85 85 06 D1     addr                 172.16.1.2     netmask              255.255.255.255     config-source-dpm    True     username             "0/0/1/100.4000"     l4redirect           "redirect list 199 to group PERIODIC_L4R_NOTSERV"     traffic-class        "out default drop"     traffic-class        "in default drop"     traffic-class        "in access-group name ACL_IN_WWW"     traffic-class        "out access-group name ACL_OUT_WWW"   Config history for session (recent to oldest):     Access-type: Max Client: SM      Policy event: Notification Event (Service)       Profile name: L4_REDIRECT_SERVICE_NOTSERV, 4 references         username             "0/0/1/100.4000"         l4redirect           "redirect list 199 to group PERIODIC_L4R_NOTSERV"         traffic-class        "out default drop"         traffic-class        "in default drop"         traffic-class        "in access-group name ACL_IN_WWW"         traffic-class        "out access-group name ACL_OUT_WWW"     Access-type: Web-service-logon Client: SM      Policy event: Apply Config Success (Unapplied) (Service)       Profile name: SERVICE_401_INTERNET, 3 references         username             "0/0/1/100.4000"         accounting-list      "BH_ACCNT_LIST"         traffic-class        "in access-group name  ACL_IN_INT priority 30"         traffic-class        "out access-group name  ACL_OUT_INT priority 30"         traffic-class        "out default drop"         traffic-class        "in default drop"         ssg-service-info     "QD;1024000;1024000"         ssg-service-info     "QU:512000;512000"         ssg-service-info     "ISERVICE_401_INTERNET"     Access-type: IP Client: DHCP      Policy event: Session-Update       Profile name: apply-config-only, 2 references         clid-mac-addr        00 14 85 85 06 D1         addr                 172.16.1.2         netmask              255.255.255.255         config-source-dpm    True     Access-type: Web-service-logon Client: SM      Policy event: Apply Config Success (Service)       Profile name: SERVICE_401_INTERNET, 3 references         username             "0/0/1/100.4000"         accounting-list      "BH_ACCNT_LIST"         traffic-class        "in access-group name  ACL_IN_INT priority 30"         traffic-class        "out access-group name  ACL_OUT_INT priority 30"         traffic-class        "out default drop"         traffic-class        "in default drop"         ssg-service-info     "QD;1024000;1024000"         ssg-service-info     "QU:512000;512000"         ssg-service-info     "ISERVICE_401_INTERNET"     Access-type: Web-service-logon Client: SM      Policy event: Apply Config Success (Service)       Profile name: GAMING, 4 references         username             "0/0/1/100.4000"         traffic-class        "in access-group name GAM_ACL_IN priority 40"         traffic-class        "out access-group name GAM_ACL_OUT priority 40"         traffic-class        "out default drop"         traffic-class        "in default drop"         ssg-service-info     "IGAMING"         ssg-service-info     "QD;1024000;1024000"         ssg-service-info     "QU:512000;512000"     Access-type: IP Client: SM      Policy event: Service Selection Request       Profile name: nas-port:172.16.4.4:0/0/1/100.4000, 2 references         service-type         1 [Login]         port-type            12 [PPPoE over QinQ]         accounting-list      "BH_ACCNT_LIST"         ssg-account-info     "ASERVICE_401_INTERNET"         ssg-account-info     "NSERVICE_401_INTERNET_UPS"         ssg-account-info     "AGAMING"         ssg-account-info     "NL4_REDIRECT_SERVICE_NOTSERV"         idletime             600 (0x258)   Active services associated with session:     name "L4_REDIRECT_SERVICE_NOTSERV"     name "GAMING"   Rules, actions and conditions executed:     subscriber rule-map RULE-401a-1       condition always event session-start         1 authorize identifier nas-port         subscriber condition-map match-all SERVICE_401_UPGRADED_INTERNET           match identifier service-name SERVICE_401_UPGRADED_INTERNET [FALSE]     subscriber rule-map RULE-401a-1       condition SERVICE_401_UPGRADED_INTERNET event service-start         subscriber condition-map match-all SERVICE_401_INTERNET           match identifier service-name SERVICE_401_INTERNET [FALSE]     subscriber rule-map RULE-401a-1       condition SERVICE_401_INTERNET event service-start         subscriber condition-map match-all SERVICE_401_INTERNET_UP           match identifier service-name SERVICE_401_INTERNET_UP [FALSE]     subscriber rule-map RULE-401a-1       condition SERVICE_401_INTERNET_UP event service-start         subscriber condition-map match-all SERVICE_401_INTERNET           match identifier service-name SERVICE_401_INTERNET [TRUE]     subscriber rule-map RULE-401a-1       condition SERVICE_401_INTERNET event service-start         1 service-policy type service unapply name L4_REDIRECT_SERVICE_NOTSERV         2 service-policy type service unapply name SERVICE_401_INTERNET         3 service-policy type service identifier service-name         subscriber condition-map match-all SERVICE_401_INTERNET           match identifier service-name SERVICE_401_INTERNET [TRUE]     subscriber rule-map RULE-401a-1       condition SERVICE_401_INTERNET event service-stop         1 service-policy type service unapply identifier service-name         2 service-policy type service name L4_REDIRECT_SERVICE_NOTSERV Session inbound features: Feature: IP Idle Timeout   Timeout value is 600   Idle time is 00:00:02 Feature: Session accounting   Method List: BH_ACCNT_LIST   Packets = 52, Bytes = 6607 Feature: Layer 4 Redirect   Rule table is empty Traffic classes:   Traffic class session ID: 126    ACL Name: GAM_ACL_IN, Packets = 3, Bytes = 144   Traffic class session ID: 128    ACL Name: ACL_IN_WWW, Packets = 5, Bytes = 682 Default traffic is dropped Unmatched Packets (dropped) = 44, Re-classified packets (redirected) = 5 Session outbound features: Feature: Session accounting   Method List: BH_ACCNT_LIST   Packets = 6, Bytes = 2087 Traffic classes:   Traffic class session ID: 126    ACL Name: GAM_ACL_OUT, Packets = 0, Bytes = 0   Traffic class session ID: 128    ACL Name: ACL_OUT_WWW, Packets = 6, Bytes = 2087 Default traffic is dropped Unmatched Packets (dropped) = 0, Re-classified packets (redirected) = 0 Configuration sources associated with this session: Service: L4_REDIRECT_SERVICE_NOTSERV, Active Time = 00:00:56 Service: GAMING, Active Time = 00:00:56 Interface: GigabitEthernet0/1.4000100, Active Time = 00:00:56 Router# В таком виде всё работает ... Если пополнить счёт , и активировать на портале услугу SERVICE_INTERNET , то у абонента появится доступ в интернет ... Тут проблемы то нет ...( ps по предыдущему посту - а приоритет сервисов как проставляется ? в policy-map ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]