Jump to content

PPPoE сервер cisco 7200 Вопрос

tractor_driver
 Share

Recommended Posts

tractor_driver

tractor_driver

Posted
Posted

Всем доброго дня

Возник такой вопрос, как на 7200 поднять сессию если в ответ пришел reject, К примеру, ошибся логином/паролем, но сессия все равно поднимается с некими локальными сервисами, ну или тупо без них.

 

тестирую в лабе, 1 radius сервер, 1 комп user ну и собсвенно 72я:

 

aaa authentication ppp PPPoE group radius

aaa authorization network PPPoE group radius

aaa authorization network KOL none //для unauth

aaa accounting update periodic 1

aaa accounting network PPPoE start-stop group radius

 

interface Loopback0

ip address 1.1.1.1 255.255.255.255

 

interface Virtual-Template1

mtu 1492

ip unnumbered Loopback0

ppp authentication chap pap callin PPPoE

ppp authorization PPPoE

ppp accounting PPPoE

ppp ms-chap refuse callin

service-policy type control AUTH_USERS

 

bba-group pppoe PPPoE

virtual-template 1

 

 

Юзер который есть в радиусе авторизуется без пробелм

 

далее пытаюсь написать control policy, вопрос собственно можно ли ее написать аналогично тому, как пишется на ISG? может кто-то поделиться опытом

 

пробовал так:

 

class-map type control match-all UNAUTH

match authen-status unauthenticated

 

 

policy-map type control AUTH_USERS

class type control UNAUTH event session-start

10 authorize aaa list KOL identifier unauthenticated-username

20 service-policy type service name KOLO2

 

 

но как и ожадалось не заработало, к тому же перестет авторизовываться юзер из радиуса. Возможно нужно обрабатывать какой то другой event?

ShyLion

ShyLion

Posted
Posted

Можно без control-policy обойтись. Радиусом отдавать перечень сервисов, в разных вариантах авторизации - разные наборы сервисов, включая L3-redirect.

Это у меня в продакшене работает на ASR. Если интересно, пинай, покажу конкретный конфиг.

tractor_driver

tractor_driver

Posted
  • Author
Posted

Можно без control-policy обойтись. Радиусом отдавать перечень сервисов, в разных вариантах авторизации - разные наборы сервисов, включая L3-redirect.

Это у меня в продакшене работает на ASR. Если интересно, пинай, покажу конкретный конфиг.

 

интересно, вопрос чуть ниже.

 

не выйдет. нужно давать аццепт.

 

в этом то у вопрос как мне дать accept на Юзера который отсутсвет в freeradius users? или как то можно по умолчанию дать Accept радиусом?

ShyLion

ShyLion

Posted
Posted (edited)

в этом то у вопрос как мне дать accept на Юзера который отсутсвет в freeradius users? или как то можно по умолчанию дать Accept радиусом?

 

фрирадиус это же конструктор.

Edited by ShyLion
ShyLion

ShyLion

Posted
Posted

Можно например на перле подцепить обработчика, который будет реализовывать какую угодно логику.

Причем скрипт этот - набор процедур. которые радиус загружает один раз на старте и перл компилирует код один раз только, производительность приличная получается.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.