Добрый день!Есть нетривиальная задача, надеюсь послушать ваши мысли.
Дано:
Cisco ISG с аутентификацией по IP-адресу и один интерфейс за которым в routed сети находятся несколько корпоративных абонентов.
Корпоративные абоненты должны иметь свой личный default route и поэтому решено поместить их каждого в свой VRF.
Проблема того что весь трафик приходит на один интрефейс можно было бы решить с помощью vrf selection типа:interface GigabitEthernet0/0/1.125
description TO_SUBSCRIBERS
encapsulation dot1Q 125
ip vrf receive Subscriber1
ip vrf receive Subscriber2
ip vrf receive Subscriber3
ip address 192.168.16.17 255.255.255.248
ip policy route-map ASTRA-3-VPN...вот только на таком интерфейсе с PBR не работает функционал ISG.
Немножко подумав настроил Dynamic VRF Selection выдавая атрибут VRF через запрос в радиус, получилось:
interface GigabitEthernet0/0/1.125
description TO_SUBSCRIBERS
encapsulation dot1Q 125
ip address 192.168.16.17 255.255.255.248
service-policy type control CUSTOMERS-POLICY #Параметры кроме IP спрашиваем у радиуса
ip subscriber routed
initiator unclassified ip-address
interface multiservice1
ip vrf forwarding Subscriber1
ip address 10.10.100.1 255.255.255.252
no keepaliveinterface multiservice2
ip vrf forwarding Subscriber2
ip address 10.10.100.1 255.255.255.252
no keepaliveinterface multiservice3
ip vrf forwarding Subscriber3
ip address 10.10.100.1 255.255.255.252
no keepalive
Из радиуса выдаю примерно так:Sub1 Cleartext-Password := "xxx"
Service-Type = Outbound-User,
Framed-IP-Netmask = 255.255.255.0,
Cisco-AVPair += 'ip:vrf-id=Subscriber1' #Так помещаем абонента в VRF
И всё работает за исключением одного важного 'НО' - устанавливается только IP session, но не IP Subnet sessions. Иными словами я не могу поднять сессию с маской абонентской подесети выдавая через тот же радиус атрибут Framed-IP-Netmask.Почитав cisco.com нашёл ответ - либо Dynamic VRF selection либо, IP Subnet sessions :(
А счастье было так близко...Вот и думаю, может вообще не туда копаю? Как можно ещё разрулить несколько абонентов со своими непересекающимися диапазонами подсетей, трафик которых в виду специфики терминируются у меня на одном интерфейсе.
Заранее спасибо за мысли!
Можно подробнее описать зачем вы хотите засунуть в разыне VRF?
> Можно подробнее описать зачем вы хотите засунуть в разыне VRF?В разные VRF хочу засунуть затем, чтобы трафик каждого из корпоративных абонентов попадал в свой выходной интерфейс, а не шёл по общему дефолту. То есть можно было бы сделать классический PBR с source routing, если бы это было возможно...
Я делал подобную схему, вот мой конфиг:
http://tsolodov.blogspot.com/2011/09/bras-cisco-asr-1002-isg...
Для серой сети, да обломчик вышел, но для реальных кастомеров я делал network session.Вы же можете обходиться без VRF, просто делая policy-route на следующем хопе, и то, если бы у меня была ваша ситуация, я бы вообще обошелся без VRF, хотя возможно я до конца не понимаю вашу задачу и схему подключения.
> Я делал подобную схему, вот мой конфиг:
> http://tsolodov.blogspot.com/2011/09/bras-cisco-asr-1002-isg...
> Для серой сети, да обломчик вышел, но для реальных кастомеров я делал
> network session.
> Вы же можете обходиться без VRF, просто делая policy-route на следующем хопе,
> и то, если бы у меня была ваша ситуация, я бы
> вообще обошелся без VRF, хотя возможно я до конца не понимаю
> вашу задачу и схему подключения.Правильно ли я понял, что могу указывать VRF-ID не в профайле абонента а в сервис-полиси, который так же повешу на абонента? Если да, то это хороший вариант.
А что не получилось с "серой сетью", не заработал PBR на Interface multiservice?Полиси роутинг на следующем хопе мне сейчас отчасти уже помогает, но лишь отчасти, потому как выходные абонентские интерфейсы не всегда находятся в пределах досягаемости next-hop, есть те, что по другую сторону mpls облака, и маршрутизировать такой трафик в MPLS L3VPN - идеальный вариант.
>[оверквотинг удален]
>> вашу задачу и схему подключения.
> Правильно ли я понял, что могу указывать VRF-ID не в профайле абонента
> а в сервис-полиси, который так же повешу на абонента? Если да,
> то это хороший вариант.
> Полиси роутинг на следующем хопе мне сейчас отчасти уже помогает, но лишь
> отчасти, потому как выходные абонентские интерфейсы не всегда находятся в пределах
> досягаемости next-hop, есть те, что по другую сторону mpls облака, и
> маршрутизировать такой трафик в MPLS L3VPN - идеальный вариант.
> А что не получилось с "серой сетью", не заработал PBR на Interface
> multiservice?PBR на Interface multiservice заработал, не заработала network session.
> Правильно ли я понял, что могу указывать VRF-ID не в профайле абонента
> а в сервис-полиси, который так же повешу на абонента?А сымысл, если VRF ID прилетает из радиуса?
>[оверквотинг удален]
>> Полиси роутинг на следующем хопе мне сейчас отчасти уже помогает, но лишь
>> отчасти, потому как выходные абонентские интерфейсы не всегда находятся в пределах
>> досягаемости next-hop, есть те, что по другую сторону mpls облака, и
>> маршрутизировать такой трафик в MPLS L3VPN - идеальный вариант.
>> А что не получилось с "серой сетью", не заработал PBR на Interface
>> multiservice?
> PBR на Interface multiservice заработал, не заработала network session.
>> Правильно ли я понял, что могу указывать VRF-ID не в профайле абонента
>> а в сервис-полиси, который так же повешу на абонента?
> А сымысл, если VRF ID прилетает из радиуса?Сделал у себя аналогичную конструкцию:
policy-map type service VPN
ip vrf forwarding VPN
sg-service-type primaryСервис VPN прописал в профайле абонента. Вижу прежнюю картину... Subscriber session поднимается только per host но не per subnet. Попытка указать маску подсети абонента приводит к тому что сервис просто не применятеся :(
Здравствуйте,
Я настроил это так:interface GigabitEthernet1/0.501
description TO_SUBSCRIBERS
encapsulation dot1Q 501
ip address 10.200.100.1 255.255.255.252
service-policy type control IPOE_COSTUMERS
ip subscriber routed
initiator unclassified ip-addressinterface multiservice1
ip vrf forwarding beeline
ip address 10.10.100.1 255.255.255.252
no keepaliveinterface GigabitEthernet2/0.401
description Beeline
encapsulation dot1Q 401
ip vrf forwarding beeline
ip address 213.33.186.134 255.255.255.252ip route vrf beeline 0.0.0.0 0.0.0.0 213.33.186.133
Radius :
Cisco-AVPair += 'ip:vrf-id=beeline'
все работает но трафик из интернета не возвращается через интерфейс multiservice1 к абоненту...
эта команда работает:
ping vrf beeline "ip абонента"...(трафик уходит с IP-адреса интерфейса multiservice1 )
что я сделал не так?
Спасибо
Вам удалось решить эту проблему?>[оверквотинг удален]
> ip address 213.33.186.134 255.255.255.252
> ip route vrf beeline 0.0.0.0 0.0.0.0 213.33.186.133
> Radius :
> Cisco-AVPair += 'ip:vrf-id=beeline'
> все работает но трафик из интернета не возвращается через интерфейс multiservice1 к
> абоненту...
> эта команда работает:
> ping vrf beeline "ip абонента"...(трафик уходит с IP-адреса интерфейса multiservice1 )
> что я сделал не так?
> Спасибо
>[оверквотинг удален]
>> ip address 213.33.186.134 255.255.255.252
>> ip route vrf beeline 0.0.0.0 0.0.0.0 213.33.186.133
>> Radius :
>> Cisco-AVPair += 'ip:vrf-id=beeline'
>> все работает но трафик из интернета не возвращается через интерфейс multiservice1 к
>> абоненту...
>> эта команда работает:
>> ping vrf beeline "ip абонента"...(трафик уходит с IP-адреса интерфейса multiservice1 )
>> что я сделал не так?
>> СпасибоНет,
VRF Transfer работает только с PPP или с IP session/DHCP.
я не использую dhcp.Я решил это с помощью статических VRF