ISGv2 Control policies: различия между версиями
Материал из noname.com.ua
Перейти к навигацииПерейти к поискуSirmax (обсуждение | вклад) (→1) |
Sirmax (обсуждение | вклад) (→1) |
||
Строка 12: | Строка 12: | ||
* Если радиус не ответил (тайм-аут) то для пользователей из разрешенного диапазона адресов разрешать доступ в интернет (без ограничения скорости) |
* Если радиус не ответил (тайм-аут) то для пользователей из разрешенного диапазона адресов разрешать доступ в интернет (без ограничения скорости) |
||
− | * Если радиус ответил Reject то для разрешенного диапазона разрешать работу а для запрещенного диапазона - делать редирект |
+ | * Если радиус ответил Reject то для разрешенного диапазона разрешать работу а для запрещенного диапазона - делать редирект |
+ | |||
+ | =Определить диапазона адресов= |
||
+ | |||
+ | <PRE> |
||
+ | no ip access-list extended FROM_PAID_CUSTOMERS |
||
+ | ip access-list extended FROM_PAID_CUSTOMERS |
||
+ | remark From Paid customes, old and new ip ranges |
||
+ | 100 permit ip 192.168.128.0 0.0.255.255 any |
||
+ | 200 permit ip 100.64.128.0 0.0 0.0.255.255 any |
||
+ | 10000 deny ip any any |
||
+ | </PRE> |
||
+ | |||
+ | <PRE> |
||
+ | ip access-list extended TO_PAID_CUSTOMERS_ |
||
+ | permit ip any 192.168.0.0 0.0.255.255 |
||
+ | deny ip any any |
||
+ | </PRE> |
||
=999= |
=999= |
Версия 15:36, 9 мая 2023
Control policies
Политики управляют всей логикой
1
Что хочется получить
- Для всех пользователей проверять скорость из радиуса и выставлять соответвующую скорость
- Скорость пользователя в биллинге произвольна и нет заранее предопределенных тарифов
- Если радиус не ответил (тайм-аут) то для пользователей из разрешенного диапазона адресов разрешать доступ в интернет (без ограничения скорости)
- Если радиус ответил Reject то для разрешенного диапазона разрешать работу а для запрещенного диапазона - делать редирект
Определить диапазона адресов
no ip access-list extended FROM_PAID_CUSTOMERS ip access-list extended FROM_PAID_CUSTOMERS remark From Paid customes, old and new ip ranges 100 permit ip 192.168.128.0 0.0.255.255 any 200 permit ip 100.64.128.0 0.0 0.0.255.255 any 10000 deny ip any any
ip access-list extended TO_PAID_CUSTOMERS_ permit ip any 192.168.0.0 0.0.255.255 deny ip any any
999
policy-map type control ISG-CUSTOMERS-POLICY class type control ISG-IP-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event session-start 10 authorize aaa list AAA-LIST-ISG-AUTH password secret identifier source-ip-address 20 set-timer UNAUTH-TIMER 5 30 service-policy type service name POLICY_MAP_SERVICE_ON_SESSION_START_ ! class type control always event session-restart 10 authorize aaa list AAA-LIST-ISG-AUTH password secret identifier source-ip-address 20 set-timer UNAUTH-TIMER 5 30 service-policy type service name POLICY_MAP_SERVICE_ON_SESSION_RESTART_ ! class type control always event service-stop 1 service-policy type service unapply identifier service-name 10 service-policy type service unapply identifier service-name 20 log-session-state ! class type control always event radius-timeout 20 set-timer UNAUTH-TIMER 60 30 service-policy type service name POLICY_MAP_SERVICE_ON_SESSION_RADIUS_TIMEOUT_ ! class type control always event access-reject 20 set-timer UNAUTH-TIMER 60 30 service-policy type service name ALLOW_172_31_100_2 40 service-policy type service name ALLOW_172_31_100_3_SPEED_8k 50 service-policy type service name NO_SERVICE !