The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Принцип работы ISG"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"Принцип работы ISG"  +/
Сообщение от VolanD (ok) on 16-Сен-12, 18:27 
Добрый день!
Разбираюсь с ISG, скачал официальную документацию с циски, возникли некоторые вопросы.
В гайде есть такой пример:

interface Ethernet0/0
service-policy type control RULEA
!
aaa authentication login TAL LIST group radius
aaa authentication login LOCAL local
access-list 100 permit ip any any
!
class-map type traffic match-any all-traffic
match access-group input 100
match access-group output 100
!
policy-map type service redirectprofile
class type traffic all-traffic
redirect to ip 10.0.0.148 port 8080
!
class-map type control match-all CONDA
match source-ip-address 209.165.201.1 255.255.255.0
!
!
class-map type control match-all CONDF
match timer TIMERB
match authen-status unauthenticated
policy-map type control RULEA
class type control CONDA event session-start
1 authorize aaa list TAL_LIST password cisco identifier source-ip-address
2 apply aaa list LOCAL service redirectprofile
3 set-timer TIMERB 5 minutes
class type control CONDF event timed-policy-expiry
1 service disconnect

В комментарии к нему написано:
If the authorization request is successful, any automatic activation services specified in the returned user profile are activated for the session and the execution of rules within the control policy stops. If the authorization is not successful, the rule execution proceeds, and the subscriber is redirected to the policy server to log in.

1)Т.е. получается что если юзер авторизовался, то правила № 2, 3 не выполняются, т.е. выполнение действий может прерываться (хотя в описании policy-map просто говорится, что они выполняются последовательно)? Если так, в каких еще случаях выполнение действий может прерываться?

2) Условие: "class type control CONDA event session-start" должно срабатывать при инициализации сессии со стороны пользователя. У меня подобные условия не срабатывают пока я на интерфейсе не пропишу:
ip subscriber routed
initiator unclassified ip-address
Это я что-то делаю не так или это косяк примера?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Принцип работы ISG"  +/
Сообщение от jied83 (ok) on 18-Сен-12, 15:23 
>[оверквотинг удален]
> 1)Т.е. получается что если юзер авторизовался, то правила № 2, 3 не
> выполняются, т.е. выполнение действий может прерываться (хотя в описании policy-map просто
> говорится, что они выполняются последовательно)? Если так, в каких еще случаях
> выполнение действий может прерываться?
> 2) Условие: "class type control CONDA event session-start" должно срабатывать при инициализации
> сессии со стороны пользователя. У меня подобные условия не срабатывают пока
> я на интерфейсе не пропишу:
> ip subscriber routed
> initiator unclassified ip-address
> Это я что-то делаю не так или это косяк примера?

если память мне не изменяет то:
2) поскольку  identifier source-ip-address в
1 authorize aaa list TAL_LIST password cisco identifier source-ip-address

и  этим ip subscriber routed
initiator unclassified ip-address мы говорим что на этом интерфейсе работает ИСГ ну и там могут быть разные значения, в зависимости от какая сеть и по каким параметрам авторизуем

1) да, а если не авторизовался то запускается таймер и прописывается сервис service redirectprofile

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Принцип работы ISG"  +/
Сообщение от jied83 (ok) on 18-Сен-12, 15:25 
>[оверквотинг удален]
>> Это я что-то делаю не так или это косяк примера?
> если память мне не изменяет то:
> 2) поскольку  identifier source-ip-address в
> 1 authorize aaa list TAL_LIST password cisco identifier source-ip-address
> и  этим ip subscriber routed
> initiator unclassified ip-address мы говорим что на этом интерфейсе работает ИСГ ну
> и там могут быть разные значения, в зависимости от какая сеть
> и по каким параметрам авторизуем
> 1) да, а если не авторизовался то запускается таймер и прописывается сервис
> service redirectprofile

по поводу прерывания, надо в доках покопаться по event'ам

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Принцип работы ISG"  +/
Сообщение от VolanD (ok) on 20-Сен-12, 07:07 
>[оверквотинг удален]
>> если память мне не изменяет то:
>> 2) поскольку  identifier source-ip-address в
>> 1 authorize aaa list TAL_LIST password cisco identifier source-ip-address
>> и  этим ip subscriber routed
>> initiator unclassified ip-address мы говорим что на этом интерфейсе работает ИСГ ну
>> и там могут быть разные значения, в зависимости от какая сеть
>> и по каким параметрам авторизуем
>> 1) да, а если не авторизовался то запускается таймер и прописывается сервис
>> service redirectprofile
> по поводу прерывания, надо в доках покопаться по event'ам

Спасибо Вам за ответ! Да вот в том то и проблема, доков нормальных нет. Есть цисковский мануал по ISG, но там как-то не сильно подробно все описано.


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру