Jump to content
Калькуляторы

ASR1k ISG + DHCP Radius Proxy Авторизация по nas порту

Здравия Коллеги.

Возникла идея раздачи IP адресов не средствами dhcp сервера, а через radius.

Возник ряд вопросов, пока нагуглить не удалось ;(

1) Можно ли через radius выдавать не только статикой адрес на абонента, но и динамически из некоего пула.

2) Во всех примерах которые нашел, авторизация идет по opt82, имеется ли возможность авторизации и выдаче адреса не по opt82 а по nas порту.

Share this post


Link to post
Share on other sites

Возникла идея раздачи IP адресов не средствами dhcp сервера, а через radius.

Возник ряд вопросов, пока нагуглить не удалось ;(

1) Можно ли через radius выдавать не только статикой адрес на абонента, но и динамически из некоего пула.

2) Во всех примерах которые нашел, авторизация идет по opt82, имеется ли возможность авторизации и выдаче адреса не по opt82 а по nas порту.

1. Динамически из пула должен выдавать NAS. В диалапе на Cisco 5300 это делалось так:

 

DEFAULT NAS-IP-Address == "10.0.0.1", Called-Station-Id == "000"
   	Service-Type = Framed-User,
   	Framed-Protocol = PPP,
   	Cisco-AVPair = "ip:addr-pool=DIALUP-210-c4",

 

2. Можно и по порту - атрибут NAS-Port. Но статикой прописывать в конфиге радиуса это нудно и чревато ошибками, на этом этапе нужно включать либо скрипты, либо SQ.

Share this post


Link to post
Share on other sites

Возникла идея раздачи IP адресов не средствами dhcp сервера, а через radius.

Возник ряд вопросов, пока нагуглить не удалось ;(

1) Можно ли через radius выдавать не только статикой адрес на абонента, но и динамически из некоего пула.

2) Во всех примерах которые нашел, авторизация идет по opt82, имеется ли возможность авторизации и выдаче адреса не по opt82 а по nas порту.

1. Динамически из пула должен выдавать NAS. В диалапе на Cisco 5300 это делалось так:

 

DEFAULT NAS-IP-Address == "10.0.0.1", Called-Station-Id == "000"
   	Service-Type = Framed-User,
   	Framed-Protocol = PPP,
   	Cisco-AVPair = "ip:addr-pool=DIALUP-210-c4",

1) Второй вариант - вместо имени пула передавать DHCP-класс или имя сервиса, в котором задан класс. Затем в зависимости от класса клиент должен попадать в нужный пул. Вэтом варианте можно релеить часть запросов на внешний DHCP (например, для статики или STB).

 

Кстати, кто подскажет научилась ли циска на DHCP жрать framed-ip-address из access-accept? =)

 

2) Содержимое поля username из access-request задается параметрами интерфейсной команды "ip subscriber ..." ;)

Самый полный сборник примеров, из того что я находил: http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/isg/configuration/xe-3s/isg-xe-3s-book.pdf

Share this post


Link to post
Share on other sites

2. Можно и по порту - атрибут NAS-Port. Но статикой прописывать в конфиге радиуса это нудно и чревато ошибками, на этом этапе нужно включать либо скрипты, либо SQ.

Есть еще один момент

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_dhcp/configuration/xe-3s/dhcp-xe-3s-book/dhcp-serv-rad-proxy-xe.pdf

authorization username %%c-user1

в данном примере нет возможно передать nas-port

 

Еще один интерсный момент, зачастую в настройках sub интерфейса указываю

ip subscriber l2-connected
initiator radius-proxy

На сколько я понимаю клиентское CPE должно отсылать radius запрос.

А как в там случает сделать что бы initiator был dhcp, который транслировался бы access-request

Edited by unfraget

Share this post


Link to post
Share on other sites

гмм, не знал про эту фичу.

 

authorization username %%c-user1

в данном примере нет возможно передать nas-port

а %o, %i не помогают?

 

что бы initiator был dhcp, который транслировался бы access-request

не до конца понял, что вы хотите получить в итоге? )

Share this post


Link to post
Share on other sites

он хочет чтобы дхцп дискавер превращался в радиус запрос и обратное тоже происходило.

 

radius-server attribute 31 mac format unformatted lower-case

radius-server attribute 31 send nas-port-detail

radius-server attribute 31 remote-id

radius-server attribute nas-port-id include remote-id

 

не изменит поведение ?

Edited by zhenya`

Share this post


Link to post
Share on other sites

В идеале хотелось бы получать рабочую схема ISG+выдача адресов биллингом :)

 

Сейчас связка vlan-per-user, ip unnumbered, loopback на sub interfaces, брас выступает в качестве dhcp-relay,

Сессия поднимается по dhcpdiscover,

 

interface TenGigabitEthernet0/2/0.200300
description XXXXX
 encapsulation dot1Q 200 second-dot1q 300
ip dhcp limit lease 1
ip dhcp relay information option subscriber-id XXXXX
ip dhcp relay information option-insert
ip unnumbered Loopback10
arp timeout 600
service-policy type control ISG
ip subscriber l2-connected
 initiator dhcp
end

 

Да можно сварганить такой вот pool

ip dhcp pool TEST
accounting USG
authorization method ISG
authorization shared-password Password
authorization username %c-user1

 

Но каким образом запрос от клиента будет попадать в этот пул, мне вот этот момент вообще не понятен.

+ нужно ли оставлять ip unnumbered на sub interfaces.

 

%o, %i не помогают?

 

Тут есть один маленький момент, биллинг для этого должен быть готов.

А поскольку сейчас авторизация идет по nas порту, нужно будет переделать.

Edited by unfraget

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this