Добрый день!
Разбираюсь с ISG, скачал официальную документацию с циски, возникли некоторые вопросы.
В гайде есть такой пример:
interface Ethernet0/0
service-policy type control RULEA
!
aaa authentication login TAL LIST group radius
aaa authentication login LOCAL local
access-list 100 permit ip any any
!
class-map type traffic match-any all-traffic
match access-group input 100
match access-group output 100
!
policy-map type service redirectprofile
class type traffic all-traffic
redirect to ip 10.0.0.148 port 8080
!
class-map type control match-all CONDA
match source-ip-address 209.165.201.1 255.255.255.0
!
!
class-map type control match-all CONDF
match timer TIMERB
match authen-status unauthenticated
policy-map type control RULEA
class type control CONDA event session-start
1 authorize aaa list TAL_LIST password cisco identifier source-ip-address
2 apply aaa list LOCAL service redirectprofile
3 set-timer TIMERB 5 minutes
class type control CONDF event timed-policy-expiry
1 service disconnect
В комментарии к нему написано:
If the authorization request is successful, any automatic activation services specified in the returned user profile are activated for the session and the execution of rules within the control policy stops. If the authorization is not successful, the rule execution proceeds, and the subscriber is redirected to the policy server to log in.1)Т.е. получается что если юзер авторизовался, то правила № 2, 3 не выполняются, т.е. выполнение действий может прерываться (хотя в описании policy-map просто говорится, что они выполняются последовательно)? Если так, в каких еще случаях выполнение действий может прерываться?
2) Условие: "class type control CONDA event session-start" должно срабатывать при инициализации сессии со стороны пользователя. У меня подобные условия не срабатывают пока я на интерфейсе не пропишу:
ip subscriber routed
initiator unclassified ip-address
Это я что-то делаю не так или это косяк примера?