При старте сессии по
initiator dhcp ( получении DHCP Discover пакета )
и авторизации абонента по source-ip-address ( то бишь по IP адресу абонента ), необходимо добавление в session-start
collect identifier source-ip-address
до
authorize aaa list ISG-AUTH-1 password cisco identifier source-ip-address.
В противном случае первоначальный старт сессии будет неудачным, так как на момент старта ISG не располагает IP адресом клиента.
Примерно так должна выглядеть контрольная политика
policy-map type control ISG-IP-POLICY
class type control ISG-IP-UNAUTH event timed-policy-expiry
1 service disconnect
!
class type control always event session-start
5 collect identifier source-ip-address
10 authorize aaa list ISG-AUTH-1 password cisco identifier source-ip-address
20 set-timer UNAUTH-TIMER 1
30 service disconnect
!
class type control always event session-restart
10 authorize aaa list ISG-AUTH-1 password cisco identifier source-ip-address
20 set-timer UNAUTH-TIMER 1
!
!
Такого абонента
interface GigabitEthernet0/3.1498
encapsulation dot1Q 1498
ip unnumbered Loopback1
ip helper-address vrf v0:MANAG 10.255.15.5
service-policy type control ISG-IP-POLICY
ip subscriber routed
initiator dhcp
!
Как я писал ранее, у меня ISG является DHCP релеем и IP адрес клиенту выдается на основании DHCP Option 82.
Hello,
ОтветитьУдалитьMay you help me implement this config ona a Cisco ASR1002 ??
Att.
Saulo Fonseca