ISGv2 Control policies: различия между версиями

Материал из noname.com.ua
Перейти к навигацииПерейти к поиску
Строка 15: Строка 15:
   
 
=Определить диапазона адресов=
 
=Определить диапазона адресов=
  +
  +
=="Нормальные" платящие абоненты==
  +
Три диапазона (в примере только два)
  +
* "Старый" пул адресов <code>192.168.128.0/20</code>
  +
* Новый пул адресов, на который только планируется миграция <code>100.64.128.0/20</code>
  +
* Реальные адреса которые не указаны в примере
  +
   
 
<PRE>
 
<PRE>
 
no ip access-list extended FROM_PAID_CUSTOMERS
 
no ip access-list extended FROM_PAID_CUSTOMERS
 
ip access-list extended FROM_PAID_CUSTOMERS
 
ip access-list extended FROM_PAID_CUSTOMERS
remark From Paid customes, old and new ip ranges
+
remark From Paid customers, old and new IP ranges
100 permit ip 192.168.128.0 0.0.255.255 any
+
100 permit ip 192.168.128.0 0.0.15.255 any
200 permit ip 100.64.128.0 0.0 0.0.255.255 any
+
200 permit ip 100.64.128.0 0.0.15.255 any
 
10000 deny ip any any
 
10000 deny ip any any
 
</PRE>
 
</PRE>
   
 
<PRE>
 
<PRE>
ip access-list extended TO_PAID_CUSTOMERS_
+
ip access-list extended TO_PAID_CUSTOMERS
permit ip any 192.168.0.0 0.0.255.255
+
100 permit ip any 192.168.128.0 0.0.15.255
  +
200 permit ip any 100.64.128.0 0.0.15.255
  +
10000 deny ip any any
 
deny ip any any
 
deny ip any any
 
</PRE>
 
</PRE>

Версия 15:40, 9 мая 2023


Control policies

Политики управляют всей логикой

1

Что хочется получить

  • Для всех пользователей проверять скорость из радиуса и выставлять соответвующую скорость
    • Скорость пользователя в биллинге произвольна и нет заранее предопределенных тарифов
  • Если радиус не ответил (тайм-аут) то для пользователей из разрешенного диапазона адресов разрешать доступ в интернет (без ограничения скорости)
  • Если радиус ответил Reject то для разрешенного диапазона разрешать работу а для запрещенного диапазона - делать редирект

Определить диапазона адресов

"Нормальные" платящие абоненты

Три диапазона (в примере только два)

  • "Старый" пул адресов 192.168.128.0/20
  • Новый пул адресов, на который только планируется миграция 100.64.128.0/20
  • Реальные адреса которые не указаны в примере


no ip access-list extended FROM_PAID_CUSTOMERS
ip access-list extended FROM_PAID_CUSTOMERS
 remark From Paid customers, old and new IP ranges
 100   permit ip 192.168.128.0  0.0.15.255 any
 200   permit ip 100.64.128.0   0.0.15.255 any
 10000 deny   ip any any
ip access-list extended TO_PAID_CUSTOMERS
 100   permit ip any 192.168.128.0  0.0.15.255
 200   permit ip any 100.64.128.0   0.0.15.255
 10000 deny   ip any any
 deny   ip any any

999

policy-map type control ISG-CUSTOMERS-POLICY
 class type control ISG-IP-UNAUTH event timed-policy-expiry
  1 service disconnect
 !
 class type control always event session-start
  10 authorize aaa list AAA-LIST-ISG-AUTH password secret identifier source-ip-address
  20 set-timer UNAUTH-TIMER 5
  30 service-policy type service name POLICY_MAP_SERVICE_ON_SESSION_START_
 !
 class type control always event session-restart
  10 authorize aaa list AAA-LIST-ISG-AUTH password secret identifier source-ip-address
  20 set-timer UNAUTH-TIMER 5
  30 service-policy type service name POLICY_MAP_SERVICE_ON_SESSION_RESTART_
 !
 class type control always event service-stop
  1 service-policy type service unapply identifier service-name
  10 service-policy type service unapply identifier service-name
  20 log-session-state
 !
 class type control always event radius-timeout
  20 set-timer UNAUTH-TIMER 60
  30 service-policy type service name POLICY_MAP_SERVICE_ON_SESSION_RADIUS_TIMEOUT_
 !
 class type control always event access-reject
  20 set-timer UNAUTH-TIMER 60
  30 service-policy type service name ALLOW_172_31_100_2
  40 service-policy type service name ALLOW_172_31_100_3_SPEED_8k
  50 service-policy type service name NO_SERVICE
 !