[unfraget]

Здравия Коллеги.

Возникла идея раздачи IP адресов не средствами dhcp сервера, а через radius.

Возник ряд вопросов, пока нагуглить не удалось ;(

1) Можно ли через radius выдавать не только статикой адрес на абонента, но и динамически из некоего пула.

2) Во всех примерах которые нашел, авторизация идет по opt82, имеется ли возможность авторизации и выдаче адреса не по opt82 а по nas порту.

[MATPOC]

Возникла идея раздачи IP адресов не средствами dhcp сервера, а через radius.

Возник ряд вопросов, пока нагуглить не удалось ;(

1) Можно ли через radius выдавать не только статикой адрес на абонента, но и динамически из некоего пула.

2) Во всех примерах которые нашел, авторизация идет по opt82, имеется ли возможность авторизации и выдаче адреса не по opt82 а по nas порту.

1. Динамически из пула должен выдавать NAS. В диалапе на Cisco 5300 это делалось так:

 

DEFAULT NAS-IP-Address == "10.0.0.1", Called-Station-Id == "000"
   	Service-Type = Framed-User,
   	Framed-Protocol = PPP,
   	Cisco-AVPair = "ip:addr-pool=DIALUP-210-c4",

 

2. Можно и по порту - атрибут NAS-Port. Но статикой прописывать в конфиге радиуса это нудно и чревато ошибками, на этом этапе нужно включать либо скрипты, либо SQ.

[furai]

Возникла идея раздачи IP адресов не средствами dhcp сервера, а через radius.

Возник ряд вопросов, пока нагуглить не удалось ;(

1) Можно ли через radius выдавать не только статикой адрес на абонента, но и динамически из некоего пула.

2) Во всех примерах которые нашел, авторизация идет по opt82, имеется ли возможность авторизации и выдаче адреса не по opt82 а по nas порту.

1. Динамически из пула должен выдавать NAS. В диалапе на Cisco 5300 это делалось так:

 

DEFAULT NAS-IP-Address == "10.0.0.1", Called-Station-Id == "000"
   	Service-Type = Framed-User,
   	Framed-Protocol = PPP,
   	Cisco-AVPair = "ip:addr-pool=DIALUP-210-c4",

1) Второй вариант - вместо имени пула передавать DHCP-класс или имя сервиса, в котором задан класс. Затем в зависимости от класса клиент должен попадать в нужный пул. Вэтом варианте можно релеить часть запросов на внешний DHCP (например, для статики или STB).

 

Кстати, кто подскажет научилась ли циска на DHCP жрать framed-ip-address из access-accept? =)

 

2) Содержимое поля username из access-request задается параметрами интерфейсной команды "ip subscriber ..." ;)

Самый полный сборник примеров, из того что я находил: http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/isg/configuration/xe-3s/isg-xe-3s-book.pdf

[unfraget]

Коллеги, спасибо за инфу =)

furai

Большое спасибо за талмуд http://www.cisco.com...-xe-3s-book.pdf

[unfraget]

2. Можно и по порту - атрибут NAS-Port. Но статикой прописывать в конфиге радиуса это нудно и чревато ошибками, на этом этапе нужно включать либо скрипты, либо SQ.

Есть еще один момент

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_dhcp/configuration/xe-3s/dhcp-xe-3s-book/dhcp-serv-rad-proxy-xe.pdf

authorization username %%c-user1

в данном примере нет возможно передать nas-port

 

Еще один интерсный момент, зачастую в настройках sub интерфейса указываю

ip subscriber l2-connected
initiator radius-proxy

На сколько я понимаю клиентское CPE должно отсылать radius запрос.

А как в там случает сделать что бы initiator был dhcp, который транслировался бы access-request

Изменено 15 июля, 2015 пользователем unfraget

[furai]

гмм, не знал про эту фичу.

 

authorization username %%c-user1

в данном примере нет возможно передать nas-port

а %o, %i не помогают?

 

что бы initiator был dhcp, который транслировался бы access-request

не до конца понял, что вы хотите получить в итоге? )

[zhenya`]

он хочет чтобы дхцп дискавер превращался в радиус запрос и обратное тоже происходило.

 

radius-server attribute 31 mac format unformatted lower-case

radius-server attribute 31 send nas-port-detail

radius-server attribute 31 remote-id

radius-server attribute nas-port-id include remote-id

 

не изменит поведение ?

Изменено 22 июля, 2015 пользователем zhenya`

[unfraget]

В идеале хотелось бы получать рабочую схема ISG+выдача адресов биллингом :)

 

Сейчас связка vlan-per-user, ip unnumbered, loopback на sub interfaces, брас выступает в качестве dhcp-relay,

Сессия поднимается по dhcpdiscover,

 

interface TenGigabitEthernet0/2/0.200300
description XXXXX
 encapsulation dot1Q 200 second-dot1q 300
ip dhcp limit lease 1
ip dhcp relay information option subscriber-id XXXXX
ip dhcp relay information option-insert
ip unnumbered Loopback10
arp timeout 600
service-policy type control ISG
ip subscriber l2-connected
 initiator dhcp
end

 

Да можно сварганить такой вот pool

ip dhcp pool TEST
accounting USG
authorization method ISG
authorization shared-password Password
authorization username %c-user1

 

Но каким образом запрос от клиента будет попадать в этот пул, мне вот этот момент вообще не понятен.

+ нужно ли оставлять ip unnumbered на sub interfaces.

 

%o, %i не помогают?

 

Тут есть один маленький момент, биллинг для этого должен быть готов.

А поскольку сейчас авторизация идет по nas порту, нужно будет переделать.

Изменено 23 июля, 2015 пользователем unfraget

[suhrab]

Шел 2022 год, также хотелось бы реализовать выдачу адресов через radius, автор подскажите получилось?

[craftsman]

В 08.02.2022 в 15:33, suhrab сказал:

Шел 2022 год, также хотелось бы реализовать выдачу адресов через radius, автор подскажите получилось?

Не автор, но получилось.

Нужно к конфигу интерфейса, предложенного unfraget, добавить:

ip dhcp relay source-interface Loopback10