Сделал так (скриншот). Все работает! спасибо
| Вложения: |
|
isg-acl.png [ 14.23 КБ | Просмотров: 5585 ] |
| forum.bitel.ru http://forum.bitel.ru/ |
|
| Нужен совет: установка/снятие опций блокирующих опред. порты http://forum.bitel.ru/viewtopic.php?f=44&t=10490 |
Страница 1 из 1 |
| Автор: | survivor [ 04 май 2015, 15:28 ] |
| Заголовок сообщения: | Нужен совет: установка/снятие опций блокирующих опред. порты |
Доброго дня! Есть такая задача: нужно закрыть абонентам определенные порты, но при этом предоставить оператору биллинга возможность их открыть по требованию абонента. На циске завел два ISG сервиса: Код: policy-map type service DEFAULT-SECURITY ip access-group default-security-in in ip access-group default-security-out out policy-map type service ALL-ALLOWED ip access-group all-allowed in ip access-group all-allowed out Через CoA снимаю/ставлю сервисы - все ok. Только никак не соображу как это перевести в функционал BGBilling'а... Синтаксис более менее ясен: нужно завести сервисы как опции в Модули/Inet/Опции потом их описать в Модули/Inet/Устройства и ресурсы/Типы устройств/... но дальше - туман. Если я добавлю DEFAULT-SECURITY во все тарифы, то потом как снять ее с абонента? Если поверх ее еще активировать опцию ALL-ALLOWED в Договор/Модули/Inet/Сервис/Опции то абоненту назначатся сразу два acl на роутере.... Добавить DEFAULT-SECURITY в шаблоны и потом просто снимать кому нужно? А как быть с уже заведенными абонентами? В групповых операциях нет установки опций. Вообщем не знаю куда думать, помогите! )) |
|
| Автор: | vkulakov [ 05 май 2015, 12:19 ] |
| Заголовок сообщения: | Re: Нужен совет: установка/снятие опций блокирующих опред. п |
Первый вариант: DEFAULT-SECURITY можно прописать в типе сервиса либо в конфиге устройства, чтобы этот сервис выдавался всегда при авторизации абонента. ALL-ALLOWED можно навешивать через тарифные опции. Да, на роутере будет два ACL, но если их сделать с разными приоритетами, то всё будет хорошо. При этом в будущем можно будет прикрутить открытие всех портов из ЛК. Второй вариант: Как вы сами и писали - добавить DEFAULT-SECURITY в шаблоны договоров в модуль Inet, либо добавлять их туда по какому-либо событию. Для уже заведённых абонентов опции можно добавить скриптом. Я обычно только скриптом всё и делаю - использовать групповые операции не очень удобно. Если ЛК не нужен и нет привязки к тарифам/деньгам, то, наверное, лучше этот вариант. |
|
| Автор: | Amir [ 05 май 2015, 13:59 ] |
| Заголовок сообщения: | Re: Нужен совет: установка/снятие опций блокирующих опред. п |
Можно в тарифах сделать -- Папка ---- Тарифная опция: Разрешены порты ---- Тарифная опция: ------ DEFAULT-SECURITY Таким образом, когда тарифная опция "Разрешены порты" неактивна, будет срабатывать вторая (пустая) ветка, а внутри нее - опция DEFAULT-SECURITY, когда опция активна - DEFAULT-SECURITY не будет. Или так: -- Папка ---- Тарифная опция: Разрешены порты ------ ALL-ALLOWED ---- Тарифная опция: ------ DEFAULT-SECURITY Или вместо ветки тарифная опция - ветка группы договоров. Опции ALL-ALLOWED и DEFAULT-SECURITY можно сделать в одной подгруппе, чтобы появление одной опции убирало другую. Тогда возможен еще один вариант: в тарифе просто указываем DEFAULT-SECURITY, а при необходимости - добавляем в сервис на договоре статическую опцию ALL-ALLOWED. |
|
| Автор: | survivor [ 05 май 2015, 14:35 ] |
| Заголовок сообщения: | Re: Нужен совет: установка/снятие опций блокирующих опред. п |
Цитата: Опции ALL-ALLOWED и DEFAULT-SECURITY можно сделать в одной подгруппе, чтобы появление одной опции убирало другую. Тогда возможен еще один вариант: в тарифе просто указываем DEFAULT-SECURITY, а при необходимости - добавляем в сервис на договоре статическую опцию ALL-ALLOWED. вот это идеальный вариант. ALL-ALLOWED и DEFAULT-SECURITY нужно сделать в одной подгруппе в тарифе? Или просто в опциях? |
|
| Автор: | survivor [ 05 май 2015, 14:48 ] | ||
| Заголовок сообщения: | Re: Нужен совет: установка/снятие опций блокирующих опред. п | ||
Сделал так (скриншот). Все работает! спасибо
|
|||
| Автор: | survivor [ 05 май 2015, 14:52 ] |
| Заголовок сообщения: | Re: Нужен совет: установка/снятие опций блокирующих опред. п |
но тарифные опции для таких целей немного громоздки - нужен фиктивный нулевой расход, нужно указывать период действия в 100500 месяцев... Amir, можно чуть подробнее про этот вариант, плз: Цитата: Или вместо ветки тарифная опция - ветка группы договоров. Опции ALL-ALLOWED и DEFAULT-SECURITY можно сделать в одной подгруппе, чтобы появление одной опции убирало другую. Тогда возможен еще один вариант: в тарифе просто указываем DEFAULT-SECURITY, а при необходимости - добавляем в сервис на договоре статическую опцию ALL-ALLOWED. уж очень здорово звучит |
|
| Автор: | Amir [ 05 май 2015, 14:54 ] |
| Заголовок сообщения: | Re: Нужен совет: установка/снятие опций блокирующих опред. п |
Цитата: вот это идеальный вариант. ALL-ALLOWED и DEFAULT-SECURITY нужно сделать в одной подгруппе в тарифе? Или просто в опциях? На вкладке Опции как обычно группируются опции скорости (галочку "пересечение возможно" не ставить). Тогда, например, если просто добавить их в тарифе подряд, одна за другой, - будет активна только последняя. Или же добавить одну в тариф, а другую в сервисе на договоре, то будет активна та, что в сервисе, т.к. они добавляются в набор активных после тех, что в тарифе.
|
|
| Автор: | survivor [ 05 май 2015, 15:07 ] | ||
| Заголовок сообщения: | Re: Нужен совет: установка/снятие опций блокирующих опред. п | ||
Попробовал так, не получилось. На ISG сессии на циске остались оба сервиса ISG-ALL-ALLOWED и ISG-DEFAULT-SECURITY: Код: Sending CoA-Request of id 7 to 10.100.198.31 port 1700 User-Name = "109.XXX.XXX.238" Cisco-Account-Info = "S109.XXX.XXX.238" Cisco-AVPair = "subscriber:command=account-status-query" rad_recv: CoA-ACK packet from host 10.100.198.31 port 1700, id=7, length=382 Cisco-Account-Info = "N1ISG-3MBPS;29;109.XXX.XXX.238;587;654;92473;609628" Cisco-Account-Info = "N1ISG-ALL-ALLOWED;3;109.XXX.XXX.238;587;654;92473;609628" Cisco-Account-Info = "N1ISG-DEFAULT-SECURITY;29;109.XXX.XXX.238;587;654;92473;609628" Cisco-Account-Info = "N1ISG-LOCAL-RES;29;109.XXX.XXX.238;26;26;1675;3389" User-Name = "109.XXX.XXX.238" Cisco-Account-Info = "S109.XXX.XXX.238" Cisco-Command-Code = "\0041" Cisco-AVPair = "sg-version=1.0" Cisco-NAS-Port = "15/0/1/1001" NAS-Port = 7354622 NAS-Port-Id = "15/0/1/1001" Framed-IP-Address = 109.XXX.XXX.238 Это при ISG-ALL-ALLOWED на договоре и ISG-DEFAULT-SECURITY в тарифе
|
|||
| Автор: | Amir [ 05 май 2015, 15:42 ] |
| Заголовок сообщения: | Re: Нужен совет: установка/снятие опций блокирующих опред. п |
На вкладке Опции нужно добавить одну, назвать, например, Доступ. Уже в нее переместить ALLOWED и DEFAULT-SECURITY. Те что в корне - они как бы не группируются. |
|
| Автор: | survivor [ 05 май 2015, 15:49 ] |
| Заголовок сообщения: | Re: Нужен совет: установка/снятие опций блокирующих опред. п |
А! Супер! Большое спасибо, все получилось ))) |
|
| Страница 1 из 1 | Часовой пояс: UTC + 5 часов [ Летнее время ] |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|