unfraget Опубликовано 7 июля, 2015 · Жалоба Здравия Коллеги. Возникла идея раздачи IP адресов не средствами dhcp сервера, а через radius. Возник ряд вопросов, пока нагуглить не удалось ;( 1) Можно ли через radius выдавать не только статикой адрес на абонента, но и динамически из некоего пула. 2) Во всех примерах которые нашел, авторизация идет по opt82, имеется ли возможность авторизации и выдаче адреса не по opt82 а по nas порту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MATPOC Опубликовано 8 июля, 2015 · Жалоба Возникла идея раздачи IP адресов не средствами dhcp сервера, а через radius. Возник ряд вопросов, пока нагуглить не удалось ;( 1) Можно ли через radius выдавать не только статикой адрес на абонента, но и динамически из некоего пула. 2) Во всех примерах которые нашел, авторизация идет по opt82, имеется ли возможность авторизации и выдаче адреса не по opt82 а по nas порту. 1. Динамически из пула должен выдавать NAS. В диалапе на Cisco 5300 это делалось так: DEFAULT NAS-IP-Address == "10.0.0.1", Called-Station-Id == "000" Service-Type = Framed-User, Framed-Protocol = PPP, Cisco-AVPair = "ip:addr-pool=DIALUP-210-c4", 2. Можно и по порту - атрибут NAS-Port. Но статикой прописывать в конфиге радиуса это нудно и чревато ошибками, на этом этапе нужно включать либо скрипты, либо SQ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
furai Опубликовано 8 июля, 2015 · Жалоба Возникла идея раздачи IP адресов не средствами dhcp сервера, а через radius. Возник ряд вопросов, пока нагуглить не удалось ;( 1) Можно ли через radius выдавать не только статикой адрес на абонента, но и динамически из некоего пула. 2) Во всех примерах которые нашел, авторизация идет по opt82, имеется ли возможность авторизации и выдаче адреса не по opt82 а по nas порту. 1. Динамически из пула должен выдавать NAS. В диалапе на Cisco 5300 это делалось так: DEFAULT NAS-IP-Address == "10.0.0.1", Called-Station-Id == "000" Service-Type = Framed-User, Framed-Protocol = PPP, Cisco-AVPair = "ip:addr-pool=DIALUP-210-c4", 1) Второй вариант - вместо имени пула передавать DHCP-класс или имя сервиса, в котором задан класс. Затем в зависимости от класса клиент должен попадать в нужный пул. Вэтом варианте можно релеить часть запросов на внешний DHCP (например, для статики или STB). Кстати, кто подскажет научилась ли циска на DHCP жрать framed-ip-address из access-accept? =) 2) Содержимое поля username из access-request задается параметрами интерфейсной команды "ip subscriber ..." ;) Самый полный сборник примеров, из того что я находил: http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/isg/configuration/xe-3s/isg-xe-3s-book.pdf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
unfraget Опубликовано 9 июля, 2015 · Жалоба Коллеги, спасибо за инфу =) furai Большое спасибо за талмуд http://www.cisco.com...-xe-3s-book.pdf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
unfraget Опубликовано 15 июля, 2015 (изменено) · Жалоба 2. Можно и по порту - атрибут NAS-Port. Но статикой прописывать в конфиге радиуса это нудно и чревато ошибками, на этом этапе нужно включать либо скрипты, либо SQ. Есть еще один момент http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_dhcp/configuration/xe-3s/dhcp-xe-3s-book/dhcp-serv-rad-proxy-xe.pdf authorization username %%c-user1 в данном примере нет возможно передать nas-port Еще один интерсный момент, зачастую в настройках sub интерфейса указываю ip subscriber l2-connected initiator radius-proxy На сколько я понимаю клиентское CPE должно отсылать radius запрос. А как в там случает сделать что бы initiator был dhcp, который транслировался бы access-request Изменено 15 июля, 2015 пользователем unfraget Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
furai Опубликовано 22 июля, 2015 · Жалоба гмм, не знал про эту фичу. authorization username %%c-user1 в данном примере нет возможно передать nas-port а %o, %i не помогают? что бы initiator был dhcp, который транслировался бы access-request не до конца понял, что вы хотите получить в итоге? ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 22 июля, 2015 (изменено) · Жалоба он хочет чтобы дхцп дискавер превращался в радиус запрос и обратное тоже происходило. radius-server attribute 31 mac format unformatted lower-case radius-server attribute 31 send nas-port-detail radius-server attribute 31 remote-id radius-server attribute nas-port-id include remote-id не изменит поведение ? Изменено 22 июля, 2015 пользователем zhenya` Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
unfraget Опубликовано 23 июля, 2015 (изменено) · Жалоба В идеале хотелось бы получать рабочую схема ISG+выдача адресов биллингом :) Сейчас связка vlan-per-user, ip unnumbered, loopback на sub interfaces, брас выступает в качестве dhcp-relay, Сессия поднимается по dhcpdiscover, interface TenGigabitEthernet0/2/0.200300 description XXXXX encapsulation dot1Q 200 second-dot1q 300 ip dhcp limit lease 1 ip dhcp relay information option subscriber-id XXXXX ip dhcp relay information option-insert ip unnumbered Loopback10 arp timeout 600 service-policy type control ISG ip subscriber l2-connected initiator dhcp end Да можно сварганить такой вот pool ip dhcp pool TEST accounting USG authorization method ISG authorization shared-password Password authorization username %c-user1 Но каким образом запрос от клиента будет попадать в этот пул, мне вот этот момент вообще не понятен. + нужно ли оставлять ip unnumbered на sub interfaces. %o, %i не помогают? Тут есть один маленький момент, биллинг для этого должен быть готов. А поскольку сейчас авторизация идет по nas порту, нужно будет переделать. Изменено 23 июля, 2015 пользователем unfraget Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
suhrab Опубликовано 8 февраля, 2022 · Жалоба Шел 2022 год, также хотелось бы реализовать выдачу адресов через radius, автор подскажите получилось? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
craftsman Опубликовано 1 декабря, 2023 · Жалоба В 08.02.2022 в 15:33, suhrab сказал: Шел 2022 год, также хотелось бы реализовать выдачу адресов через radius, автор подскажите получилось? Не автор, но получилось. Нужно к конфигу интерфейса, предложенного unfraget, добавить: ip dhcp relay source-interface Loopback10 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...