Jump to content

ASR1k ISG + DHCP Radius Proxy

unfraget
 Share

Recommended Posts

unfraget

unfraget

Posted
Posted

Здравия Коллеги.

Возникла идея раздачи IP адресов не средствами dhcp сервера, а через radius.

Возник ряд вопросов, пока нагуглить не удалось ;(

1) Можно ли через radius выдавать не только статикой адрес на абонента, но и динамически из некоего пула.

2) Во всех примерах которые нашел, авторизация идет по opt82, имеется ли возможность авторизации и выдаче адреса не по opt82 а по nas порту.

MATPOC

MATPOC

Posted
Posted

Возникла идея раздачи IP адресов не средствами dhcp сервера, а через radius.

Возник ряд вопросов, пока нагуглить не удалось ;(

1) Можно ли через radius выдавать не только статикой адрес на абонента, но и динамически из некоего пула.

2) Во всех примерах которые нашел, авторизация идет по opt82, имеется ли возможность авторизации и выдаче адреса не по opt82 а по nas порту.

1. Динамически из пула должен выдавать NAS. В диалапе на Cisco 5300 это делалось так:

 

DEFAULT NAS-IP-Address == "10.0.0.1", Called-Station-Id == "000"
   	Service-Type = Framed-User,
   	Framed-Protocol = PPP,
   	Cisco-AVPair = "ip:addr-pool=DIALUP-210-c4",

 

2. Можно и по порту - атрибут NAS-Port. Но статикой прописывать в конфиге радиуса это нудно и чревато ошибками, на этом этапе нужно включать либо скрипты, либо SQ.

furai

furai

Posted
Posted

Возникла идея раздачи IP адресов не средствами dhcp сервера, а через radius.

Возник ряд вопросов, пока нагуглить не удалось ;(

1) Можно ли через radius выдавать не только статикой адрес на абонента, но и динамически из некоего пула.

2) Во всех примерах которые нашел, авторизация идет по opt82, имеется ли возможность авторизации и выдаче адреса не по opt82 а по nas порту.

1. Динамически из пула должен выдавать NAS. В диалапе на Cisco 5300 это делалось так:

 

DEFAULT NAS-IP-Address == "10.0.0.1", Called-Station-Id == "000"
   	Service-Type = Framed-User,
   	Framed-Protocol = PPP,
   	Cisco-AVPair = "ip:addr-pool=DIALUP-210-c4",

1) Второй вариант - вместо имени пула передавать DHCP-класс или имя сервиса, в котором задан класс. Затем в зависимости от класса клиент должен попадать в нужный пул. Вэтом варианте можно релеить часть запросов на внешний DHCP (например, для статики или STB).

 

Кстати, кто подскажет научилась ли циска на DHCP жрать framed-ip-address из access-accept? =)

 

2) Содержимое поля username из access-request задается параметрами интерфейсной команды "ip subscriber ..." ;)

Самый полный сборник примеров, из того что я находил: http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/isg/configuration/xe-3s/isg-xe-3s-book.pdf

unfraget

unfraget

Posted
  • Author
Posted (edited)

2. Можно и по порту - атрибут NAS-Port. Но статикой прописывать в конфиге радиуса это нудно и чревато ошибками, на этом этапе нужно включать либо скрипты, либо SQ.

Есть еще один момент

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_dhcp/configuration/xe-3s/dhcp-xe-3s-book/dhcp-serv-rad-proxy-xe.pdf

authorization username %%c-user1

в данном примере нет возможно передать nas-port

 

Еще один интерсный момент, зачастую в настройках sub интерфейса указываю 

ip subscriber l2-connected
initiator radius-proxy

На сколько я понимаю клиентское CPE должно отсылать radius запрос.

А как в там случает сделать что бы initiator был dhcp, который транслировался бы access-request

Edited by unfraget
furai

furai

Posted
Posted

гмм, не знал про эту фичу.

 

authorization username %%c-user1

в данном примере нет возможно передать nas-port

а %o, %i не помогают?

 

что бы initiator был dhcp, который транслировался бы access-request

не до конца понял, что вы хотите получить в итоге? )

zhenya`

zhenya`

Posted
Posted (edited)

он хочет чтобы дхцп дискавер превращался в радиус запрос и обратное тоже происходило.

 

radius-server attribute 31 mac format unformatted lower-case

radius-server attribute 31 send nas-port-detail

radius-server attribute 31 remote-id

radius-server attribute nas-port-id include remote-id

 

не изменит поведение ?

Edited by zhenya`
unfraget

unfraget

Posted
  • Author
Posted (edited)

В идеале хотелось бы получать рабочую схема ISG+выдача адресов биллингом :)

 

Сейчас связка vlan-per-user, ip unnumbered, loopback на sub interfaces, брас выступает в качестве dhcp-relay,

Сессия поднимается по dhcpdiscover,

 

interface TenGigabitEthernet0/2/0.200300
description XXXXX
 encapsulation dot1Q 200 second-dot1q 300
ip dhcp limit lease 1
ip dhcp relay information option subscriber-id XXXXX
ip dhcp relay information option-insert
ip unnumbered Loopback10
arp timeout 600
service-policy type control ISG
ip subscriber l2-connected
 initiator dhcp
end

 

Да можно сварганить такой вот pool

ip dhcp pool TEST
accounting USG
authorization method ISG
authorization shared-password Password
authorization username %c-user1

 

Но каким образом запрос от клиента будет попадать в этот пул, мне вот этот момент вообще не понятен.

+ нужно ли оставлять ip unnumbered на sub interfaces.

 

%o, %i не помогают?

 

Тут есть один маленький момент, биллинг для этого должен быть готов.

А поскольку сейчас авторизация идет по nas порту, нужно будет переделать.

Edited by unfraget
  • 6 years later...
  • 1 year later...
craftsman

craftsman

Posted
Posted
В 08.02.2022 в 15:33, suhrab сказал:

Шел 2022 год, также хотелось бы реализовать выдачу адресов через radius, автор подскажите получилось?

Не автор, но получилось.

Нужно к конфигу интерфейса, предложенного unfraget, добавить: 

ip dhcp relay source-interface Loopback10

 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.