Jump to content
Калькуляторы

PPPoE сервер cisco 7200 Вопрос Вопрос по конфигурации, возможно ли...

Всем доброго дня

Возник такой вопрос, как на 7200 поднять сессию если в ответ пришел reject, К примеру, ошибся логином/паролем, но сессия все равно поднимается с некими локальными сервисами, ну или тупо без них.

 

тестирую в лабе, 1 radius сервер, 1 комп user ну и собсвенно 72я:

 

aaa authentication ppp PPPoE group radius

aaa authorization network PPPoE group radius

aaa authorization network KOL none //для unauth

aaa accounting update periodic 1

aaa accounting network PPPoE start-stop group radius

 

interface Loopback0

ip address 1.1.1.1 255.255.255.255

 

interface Virtual-Template1

mtu 1492

ip unnumbered Loopback0

ppp authentication chap pap callin PPPoE

ppp authorization PPPoE

ppp accounting PPPoE

ppp ms-chap refuse callin

service-policy type control AUTH_USERS

 

bba-group pppoe PPPoE

virtual-template 1

 

 

Юзер который есть в радиусе авторизуется без пробелм

 

далее пытаюсь написать control policy, вопрос собственно можно ли ее написать аналогично тому, как пишется на ISG? может кто-то поделиться опытом

 

пробовал так:

 

class-map type control match-all UNAUTH

match authen-status unauthenticated

 

 

policy-map type control AUTH_USERS

class type control UNAUTH event session-start

10 authorize aaa list KOL identifier unauthenticated-username

20 service-policy type service name KOLO2

 

 

но как и ожадалось не заработало, к тому же перестет авторизовываться юзер из радиуса. Возможно нужно обрабатывать какой то другой event?

Share this post


Link to post
Share on other sites

А не легче присылать вместо режекта аксепт с каким нибудь серым адресом?

Share this post


Link to post
Share on other sites

Можно без control-policy обойтись. Радиусом отдавать перечень сервисов, в разных вариантах авторизации - разные наборы сервисов, включая L3-redirect.

Это у меня в продакшене работает на ASR. Если интересно, пинай, покажу конкретный конфиг.

Share this post


Link to post
Share on other sites

Можно без control-policy обойтись. Радиусом отдавать перечень сервисов, в разных вариантах авторизации - разные наборы сервисов, включая L3-redirect.

Это у меня в продакшене работает на ASR. Если интересно, пинай, покажу конкретный конфиг.

 

интересно, вопрос чуть ниже.

 

не выйдет. нужно давать аццепт.

 

в этом то у вопрос как мне дать accept на Юзера который отсутсвет в freeradius users? или как то можно по умолчанию дать Accept радиусом?

Share this post


Link to post
Share on other sites

в этом то у вопрос как мне дать accept на Юзера который отсутсвет в freeradius users? или как то можно по умолчанию дать Accept радиусом?

 

фрирадиус это же конструктор.

Edited by ShyLion

Share this post


Link to post
Share on other sites

Можно например на перле подцепить обработчика, который будет реализовывать какую угодно логику.

Причем скрипт этот - набор процедур. которые радиус загружает один раз на старте и перл компилирует код один раз только, производительность приличная получается.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this