tractor_driver Опубликовано 25 февраля, 2015 · Жалоба Всем доброго дня Возник такой вопрос, как на 7200 поднять сессию если в ответ пришел reject, К примеру, ошибся логином/паролем, но сессия все равно поднимается с некими локальными сервисами, ну или тупо без них. тестирую в лабе, 1 radius сервер, 1 комп user ну и собсвенно 72я: aaa authentication ppp PPPoE group radius aaa authorization network PPPoE group radius aaa authorization network KOL none //для unauth aaa accounting update periodic 1 aaa accounting network PPPoE start-stop group radius interface Loopback0 ip address 1.1.1.1 255.255.255.255 interface Virtual-Template1 mtu 1492 ip unnumbered Loopback0 ppp authentication chap pap callin PPPoE ppp authorization PPPoE ppp accounting PPPoE ppp ms-chap refuse callin service-policy type control AUTH_USERS bba-group pppoe PPPoE virtual-template 1 Юзер который есть в радиусе авторизуется без пробелм далее пытаюсь написать control policy, вопрос собственно можно ли ее написать аналогично тому, как пишется на ISG? может кто-то поделиться опытом пробовал так: class-map type control match-all UNAUTH match authen-status unauthenticated policy-map type control AUTH_USERS class type control UNAUTH event session-start 10 authorize aaa list KOL identifier unauthenticated-username 20 service-policy type service name KOLO2 но как и ожадалось не заработало, к тому же перестет авторизовываться юзер из радиуса. Возможно нужно обрабатывать какой то другой event? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diamont Опубликовано 25 февраля, 2015 · Жалоба А не легче присылать вместо режекта аксепт с каким нибудь серым адресом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 26 февраля, 2015 · Жалоба Можно без control-policy обойтись. Радиусом отдавать перечень сервисов, в разных вариантах авторизации - разные наборы сервисов, включая L3-redirect. Это у меня в продакшене работает на ASR. Если интересно, пинай, покажу конкретный конфиг. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 26 февраля, 2015 · Жалоба не выйдет. нужно давать аццепт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tractor_driver Опубликовано 26 февраля, 2015 · Жалоба Можно без control-policy обойтись. Радиусом отдавать перечень сервисов, в разных вариантах авторизации - разные наборы сервисов, включая L3-redirect. Это у меня в продакшене работает на ASR. Если интересно, пинай, покажу конкретный конфиг. интересно, вопрос чуть ниже. не выйдет. нужно давать аццепт. в этом то у вопрос как мне дать accept на Юзера который отсутсвет в freeradius users? или как то можно по умолчанию дать Accept радиусом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 26 февраля, 2015 (изменено) · Жалоба в этом то у вопрос как мне дать accept на Юзера который отсутсвет в freeradius users? или как то можно по умолчанию дать Accept радиусом? фрирадиус это же конструктор. Изменено 26 февраля, 2015 пользователем ShyLion Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 26 февраля, 2015 · Жалоба Можно например на перле подцепить обработчика, который будет реализовывать какую угодно логику. Причем скрипт этот - набор процедур. которые радиус загружает один раз на старте и перл компилирует код один раз только, производительность приличная получается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...