Intelligent Services Gateway - быстрый обзор - Cisco - Ответ 6509801

@ququ · 11.08.2014, 20:55

Переписал конфиг с нуля, по исходному сообщению.

Полный конфиг:

Кликните здесь для просмотра всего текста

service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service unsupported-transceiver
no platform punt-keepalive disable-kernel-core
!
hostname ASR1002-X
!
boot-start-marker
boot-end-marker
!
aqm-register-fnf
!
vrf definition Mgmt-intf
!
address-family ipv4
exit-address-family
!
address-family ipv6
exit-address-family
!
aaa new-model
!
!
aaa group server radius RAD_SRV
server name RAD_SRV1
load-balance method least-outstanding batch-size 1 ignore-preferred-server
!
aaa authentication login default local
aaa authentication login RAD_SRV group RAD_SRV
aaa authorization exec default local
aaa authorization network default group RAD_SRV
aaa authorization subscriber-service default local group RAD_SRV
aaa accounting delay-start
aaa accounting jitter maximum 0
aaa accounting update periodic 1
aaa accounting commands 0 default none
aaa accounting commands 1 default none
aaa accounting commands 15 default none
aaa accounting network default start-stop group RAD_SRV
aaa accounting network ISG_ACC start-stop group RAD_SRV
!
aaa nas port extended
!
!
!
aaa server radius dynamic-author
client *.*.128.27 server-key 7 070D282F4D06
client *.*.205.229 server-key 7 00081A150754
auth-type any
ignore session-key
ignore server-key
!
aaa session-id common
!
!
!
!
!
!
!

ip domain name testnet.ru
ip name-server *.*.205.226
ip name-server *.*.205.254
ip dhcp relay information policy keep
ip dhcp relay information trust-all
!
!
!
!
!
!
!
!
!
!
subscriber redundancy dynamic periodic-update interval 15
subscriber service multiple-accept
subscriber service session-accounting
subscriber service accounting interim-interval 1
subscriber templating
subscriber authorization enable
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
redundancy
mode none
!
!
!
!
!
!
ip tftp source-interface GigabitEthernet0
ip ssh authentication-retries 2
ip ssh version 2
class-map type traffic match-any TC_L4R
match access-group input name ACL_IN_L4R
!
class-map type traffic match-any OPEN_GARDEN
match access-group input name OPENGARDEN_IN
match access-group output name OPENGARDEN_OUT
!
class-map type control match-all ISG-IP-UNAUTH
match timer UNAUTH-TIMER
match authen-status unauthenticated
!
policy-map type service S_L4R
250 class type traffic TC_L4R
redirect to ip *.*.205.249 port 9002
!
!
policy-map type service OPEN_GARDEN
250 class type traffic OPEN_GARDEN
!
class type traffic default in-out
drop
!
!
policy-map type control ISG
class type control ISG-IP-UNAUTH event timed-policy-expiry
1 service disconnect
!
class type control always event session-start
1 service-policy type service name OPEN_GARDEN
5 set-timer UNAUTH-TIMER 5
10 service-policy type service name S_L4R
!
class type control always event session-restart
1 service-policy type service name OPEN_GARDEN
5 set-timer UNAUTH-TIMER 5
10 service-policy type service name S_L4R
!
class type control always event account-logon
10 authenticate aaa list RAD_SRV
20 service-policy type service unapply name S_L4R
30 service-policy type service name INET
!
class type control always event account-logoff
10 service-policy type service unapply name INET
!
!
!
policy-map SUB-QOS-IN
class class-default
police cir 100000
policy-map SUB-QOS-OUT
class class-default
police cir 100000
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface Loopback0
description main unnumbered source interface
ip address *.*.133.1 255.255.255.0
!
interface Loopback1
description ip nat pool
ip address *.*.29.129 255.255.255.224
!
interface Port-channel1
ip address *.*.204.57 255.255.255.224
ip nat outside
ip ospf mtu-ignore
negotiation auto
!
interface Port-channel1.102
description management vlan
encapsulation dot1Q 102
ip address 10.140.2.9 255.255.255.0
!
interface Port-channel1.1634
encapsulation dot1Q 1634
ip unnumbered Loopback0
ip helper-address *.*.128.28
ip nat inside
ip flow egress
service-policy type control ISG
ip subscriber l2-connected
initiator dhcp
!
interface GigabitEthernet0/0/0
no ip address
negotiation auto
channel-group 1 mode passive
!
interface GigabitEthernet0/0/1
no ip address
negotiation auto
channel-group 1 mode passive
!
interface GigabitEthernet0/0/2
no ip address
shutdown
negotiation auto
!
interface GigabitEthernet0/0/3
no ip address
shutdown
negotiation auto
!
interface GigabitEthernet0/0/4
no ip address
shutdown
negotiation auto
!
interface GigabitEthernet0/0/5
no ip address
shutdown
negotiation auto
!
interface TenGigabitEthernet0/1/0
no ip address
shutdown
!
interface TenGigabitEthernet0/2/0
no ip address
shutdown
!
interface TenGigabitEthernet0/3/0
no ip address
shutdown
!
interface GigabitEthernet0
vrf forwarding Mgmt-intf
no ip address
shutdown
negotiation auto
!
router ospf 1
router-id *.*.204.57
redistribute connected subnets
network *.*.204.32 0.0.0.31 area 0.0.0.0
!
ip nat settings mode cgn
no ip nat settings support mapping outside
ip nat pool main_nat_pool *.*.29.128 *.*.29.159 netmask 255.255.255.224
ip nat inside source list NAT_RULES pool main_nat_pool overload
ip forward-protocol nd
!
ip flow-export destination *.*.205.229 5096
no ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 *.*.204.35
!
ip access-list extended ACL_IN_L4R
permit tcp any any eq www
permit tcp any any eq 443
ip access-list extended INT_IN
permit ip any any
ip access-list extended INT_OUT
permit ip any any
ip access-list extended NAT_RULES
deny ip 10.97.0.0 0.0.255.255 *.*.204.0 0.0.3.255
deny ip 10.97.0.0 0.0.255.255 *.*.24.0 0.0.7.255
deny ip 10.97.0.0 0.0.255.255 *.*.128.0 0.0.127.255
deny ip 10.97.0.0 0.0.255.255 10.0.0.0 0.255.255.255
deny ip 10.97.0.0 0.0.255.255 172.16.0.0 0.15.255.255
permit ip 10.97.0.0 0.0.255.255 any
ip access-list extended OPENGARDEN_IN
permit ip any host *.*.205.229
permit ip any host *.*.205.249
permit ip any host *.*.204.254
permit ip any host *.*.205.226
ip access-list extended OPENGARDEN_OUT
permit ip host *.*.205.229 any
permit ip host *.*.205.249 any
permit ip host *.*.204.254 any
permit ip host *.*.205.226 any
!
!
snmp-server community public RO
!
!
radius-server attribute 44 include-in-access-req default-vrf
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-access-req
radius-server attribute 32 include-in-accounting-req
radius-server attribute 55 include-in-acct-req
radius-server attribute 55 access-request include
radius-server attribute 30 original-called-number
no radius-server attribute nas-port
radius-server attribute 31 mac format ietf
radius-server attribute 31 send nas-port-detail mac-only
radius-server retransmit 2
radius-server timeout 3
radius-server key 7 13061E210803
!
radius server RAD_SRV1
address ipv4 *.*.128.27 auth-port 1812 acct-port 1813
key 7 06100625494114181412
!
!
control-plane
!
!
!
!
!
!
!
!
!
alias exec shs show subscriber session
alias exec cls clear subscriber session all
!
line con 0
stopbits 1
line aux 0
stopbits 1
line vty 0 4
transport input ssh
!
!
end

select * from radreply (полностью идентично оригиналу):

Кликните здесь для просмотра всего текста

+----+----------+--------------+----+---------------------------------------------------------------+
| id | username | attribute | op | value |
+----+----------+--------------+----+---------------------------------------------------------------+
| 1 | INET | Cisco-AVPair | += | ip:sub-qos-policy-in=SUB-QOS-IN |
| 2 | INET | Cisco-AVPair | += | ip:sub-qos-policy-out=SUB-QOS-OUT |
| 3 | INET | Cisco-AVPair | += | ip:traffic-class=in default drop |
| 4 | INET | Cisco-AVPair | += | ip:traffic-class=out default drop |
| 5 | INET | Cisco-AVPair | += | ip:traffic-class=output access-group name INT_OUT priority 50 |
| 6 | INET | Cisco-AVPair | += | ip:traffic-class=input access-group name INT_IN priority 50 |
| 7 | test | Cisco-AVPair | += | subscriber:accounting-list=ISG_ACC |
+----+----------+--------------+----+---------------------------------------------------------------+

show subscriber session detailed

Кликните здесь для просмотра всего текста

Код

Current Subscriber Information: Total sessions 1
--------------------------------------------------
Type: DHCPv4, UID: 2, State: authen, Identity: test
IPv4 Address: *.*.133.11
Session Up-time: 00:05:12, Last Changed: 00:03:59
Switch-ID: 4097

Policy information:
  Context 7F70759389F0: Handle D2000006
  AAA_id 0000000E: Flow_handle 0
  Authentication status: authen
  Downloaded User profile, excluding services:
    accounting-list      0   "ISG_ACC"
  Downloaded User profile, including services:
    username             0   "OPEN_GARDEN"
    accounting-list      0   "ISG_ACC"
    sub-qos-policy-in    0   "SUB-QOS-IN"
    sub-qos-policy-out   0   "SUB-QOS-OUT"
    traffic-class        0   "in default drop"
    traffic-class        0   "out default drop"
    traffic-class        0   "output access-group name INT_OUT priority 50"
    traffic-class        0   "input access-group name INT_IN priority 50"
  Config history for session (recent to oldest):
    Access-type: Web-user-logon Client: Account Command-Handler
     Policy event: Got More Keys (Service)
      Profile name: INET, 3 references
        sub-qos-policy-in    0   "SUB-QOS-IN"
        sub-qos-policy-out   0   "SUB-QOS-OUT"
        traffic-class        0   "in default drop"
        traffic-class        0   "out default drop"
        traffic-class        0   "output access-group name INT_OUT priority 50"
        traffic-class        0   "input access-group name INT_IN priority 50"
    Access-type: Web-user-logon Client: Account Command-Handler
     Policy event: Got More Keys (Unapplied) (Service)
      Profile name: S_L4R, 4 references
        password             0   <hidden>
        username             0   "S_L4R"
        traffic-class        0   "input access-group name ACL_IN_L4R priority 250"
        l4redirect           0   "redirect to ip *.*.205.249 port 9002"
    Access-type: Web-user-logon Client: Account Command-Handler
     Policy event: Got More Keys
      Profile name: test, 2 references
        accounting-list      0   "ISG_ACC"
    Access-type: DHCP Client: SM
     Policy event: Service Selection Request (Service)
      Profile name: S_L4R, 4 references
        password             0   <hidden>
        username             0   "S_L4R"
        traffic-class        0   "input access-group name ACL_IN_L4R priority 250"
        l4redirect           0   "redirect to ip *.*.205.249 port 9002"
    Access-type: DHCP Client: SM
     Policy event: Service Selection Request (Service)
      Profile name: OPEN_GARDEN, 3 references
        password             0   <hidden>
        username             0   "OPEN_GARDEN"
        traffic-class        0   "input access-group name OPENGARDEN_IN priority 250"
        traffic-class        0   "output access-group name OPENGARDEN_OUT priority 250"
        traffic-class        0   "input default drop"
        traffic-class        0   "output default drop"
  Active services associated with session:
    name "INET"
    name "OPEN_GARDEN", applied before account logon
  Rules, actions and conditions executed:
    subscriber rule-map ISG
      condition always event session-restart
        1 service-policy type service name OPEN_GARDEN
        5 set-timer UNAUTH-TIMER 5
        10 service-policy type service name S_L4R
    subscriber rule-map ISG
      condition always event account-logon
        10 authenticate aaa list RAD_SRV
        20 service-policy type service unapply name S_L4R
        30 service-policy type service name INET
        subscriber condition-map match-all ISG-IP-UNAUTH
          match identifier timer UNAUTH-TIMER [TRUE]
          match identifier authen-status unauthenticated [FALSE]
    subscriber rule-map ISG
      condition ISG-IP-UNAUTH event timed-policy-expiry
        subscriber condition-map match-all ISG-IP-UNAUTH
          match identifier timer UNAUTH-TIMER [TRUE]
          match identifier authen-status unauthenticated [FALSE]
    subscriber rule-map ISG
      condition ISG-IP-UNAUTH event timed-policy-expiry
        subscriber condition-map match-all ISG-IP-UNAUTH
          match identifier timer UNAUTH-TIMER [TRUE]
          match identifier authen-status unauthenticated [FALSE]
    subscriber rule-map ISG
      condition ISG-IP-UNAUTH event timed-policy-expiry

Classifiers:
Class-id    Dir   Packets    Bytes                  Pri.  Definition
0           In    1415       146164                 0    Match Any
1           Out   926        251376                 0    Match Any
6           In    37         2400                   250  Match ACL OPENGARDEN_IN
7           Out   174        23754                  250  Match ACL OPENGARDEN_OUT
10          In    989        113236                 50   Match ACL INT_IN
11          Out   747        227290                 50   Match ACL INT_OUT
4294967294  In    214        16589                  -    Drop
4294967295  Out   5          332                    -    Drop

Template Id : 2

Features:

Accounting:
Class-id   Dir  Packets    Bytes                 Source
0          In   972        112374                Peruser
1          Out  741        226996                Peruser

Configuration Sources:
Type  Active Time  AAA Service ID  Name
SVC   00:05:12     -               OPEN_GARDEN
SVC   00:03:59     -               INET
USR   00:03:59     -               Peruser
INT   00:05:12     -               Port-channel1.1634

Вернуться к обсуждению:
Intelligent Services Gateway - быстрый обзор Cisco

Следующий ответ

Другие темы раздела
Cisco CPT: настройка OSPF https://www.cyberforum.ru/ cisco/ thread1197761.html Настроил оспф.не пингуется и пишет Destination host unreachable.Помогите найти ошибки.	Cisco 881: удалённый рабочий стол Cisco Здравствуйте, помогите настроить удалённое подключение к робочему столу через киску, делал проброс портов, камеры наблюдения удалённо работают , а подключится к серверу не могу, в чём может быть проблема ? Конфиг прилагается ! ! ip dhcp excluded-address 192.168.1.1
Cisco GNS3: нет пинга c host на host Доброго времени суток уважаемые форумчане! Зарание извиняюсь за глуповатый вопрос, GNSом пользуюсь редко:) Имеется вот такая топология: Роутеры настроены правильно, пинг проходит, а вот с хоста на хост нет. Не долго думая пришел к выводу, что все дело в коммутаторах, но никак не могу понять, как их настроить, хоть и настроек там почти нет. Подскажите пожалуйста, кто настраивал, как... https://www.cyberforum.ru/ cisco/ thread1196786.html	Cisco Cisco SPA122 на Multifon https://www.cyberforum.ru/ cisco/ thread1196643.html Добрый день! Когда приобретал сей девайс, изучал инструкции по настройке SIP-телефона на сайте мультифона и решил, что шлюз мало чем отличается и ничего сложного в настройке не будет. НО изнутри этот Cisco SPA122 кардинально отличается от всех SIP-телефонов представленных, на сайте Мультифона... Кто может подсказать с настройкой этого девайса на Мультифон?
Cisco 881-K9 не выходит в интернет Cisco Уже 2 день я пытаюсь настроить эту железяку и ничего не получается, настроил DHCP сервер, ип адреса выдает. Но сама киска с ван порта берет адрес, какой уже занят в сети(так как по умолчанию должна брать его автоматически а не статикой), пробовал задавать статический ип, DHCP сервер перестал выдавать адреса, в общем не знаю что делать... я новичок и весь материал беру из интернета, поэтому сильно...	Cisco Вопрос по результатам CCNA https://www.cyberforum.ru/ cisco/ thread1193033.html Сегодня прошел сертификацию CCNA (Sw & R), по баллам сдал, обрадовался. Но сначала беглым взглядом прошелся по правой части первичного отчета. Оказывается, могут еще и не засчитать результаты. Так вот вопрос, в каком случае их не засчитывают, и по какому критерию это определяется?
Cisco Как поднять DNS на Cisco 2811 Router#enable Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ip domain lookup Router(config)#ip name-server 192.168.1.2 Router(config)#ip domain name test.ru Router(config)#ip dns server ^ % Invalid input detected at '^' marker. https://www.cyberforum.ru/ cisco/ thread1192864.html	Cisco CPT: не пингуются компьютеры из разных подсетей Вообщем начал делать проект дипломный, в техникум. По модернизации лвс на одном предприятии. В том году сдал курсовой по сетям. и Сразу же все забыл) кто скажет в чем дело? Файл прилагается
Cisco Доступ к внешнему серверу https://www.cyberforum.ru/ cisco/ thread1190963.html Доброго времени суток! Прошу прощения, за скорее всего избитый вопрос, но увы не очень понимаю. Ситуация: Есть сеть офиса 192.168.1.0. Спрятанная за CISCO ASA 5505. На кошке поднят VPN, проброшены порты для сервера видеонаблюдения в офисе (доступ из вне есть, всё ок, порты проброшены (не http)). VPN работает нормально. С удалённой точки по VPN подключается клиент (сервер видеонаблюдения...	Cisco Cisco XNC https://www.cyberforum.ru/ cisco/ thread1190765.html Здравствуйте! Нужна информация. Как мониторит Cisco XNC SDN-сеть?? ? Копируется ли трафик?? ? Есть ли где-то хорошая техническая информация???
Работа на стойке c Cisco Cisco Добрый вечер, форумчане. Вот готовлюсь к экзамену. Задание на фото. В пакет трейсере создал топологию. Вроде все пингуется, сабнетинг верный. Первый вопрос, я между роутерами настроил RIP ver2 чтобы они пинговались. До этого я настроил статику через ip route как в задании и они не пинговались (начали только после RIP). Всё ли правильно. Плюс совершенно не понимаю Radius Server и как его...	Cisco Нет доступа к CISCO ASA 5505 https://www.cyberforum.ru/ cisco/ thread1190237.html Прошу прощения за ламерский вопрос, но времени в обрез. Боюсь своими силами в кратчайшие сроки не найду ответ самостоятельно. При попытке зайти на CISCO ASA 5505 через браузер: - первый запрос логин/пароль принимает. - второй запрос (после выбора запустить в браузере или аплет) не принимает Итого, на устройство не войти. Подскажите куда копать, что делать? P.S.: смущает, что пароль на...

	11.08.2014, 20:55