tokone Posted January 5, 2016 Posted January 5, 2016 Добрый день. Используется схема Cisco ASR1001 <> Cisco 3750 <> Dlink DES серий <> абонент ASR1001 boot system flash bootflash:asr1001-universalk9.03.10.05.S.153-3.S5-ext.bin boot system flash bootflash:asr1001-universalk9.03.08.01.S.153-1.S1.bin interface GigabitEthernet0/0/0.150 encapsulation dot1Q 150 ip vrf forwarding Inet ip address 172.31.81.65 255.255.255.192 ip nat inside ip flow ingress ip flow egress service-policy type control ISG-CUSTOMERS-POLICY ip subscriber routed initiator unclassified ip-address radius-server attribute 44 include-in-access-req default-vrf radius-server attribute 44 extend-with-addr radius-server attribute 8 include-in-access-req radius-server attribute 32 include-in-accounting-req radius-server attribute 55 include-in-acct-req radius-server attribute 31 mac format unformatted radius-server attribute 31 send nas-port-detail mac-only radius-server host 10.23.3.251 auth-port 1812 acct-port 1813 key test radius-server retransmit 10 radius-server vsa send cisco-nas-port Radius при авторизации абонентов выдает аттрибут: Jan 5 19:01:10.797: RADIUS: User-Name [1] 15 "172.31.80.102" Jan 5 19:01:10.797: RADIUS: User-Password [2] 18 * Jan 5 19:01:10.797: RADIUS: Framed-IP-Address [8] 6 172.31.80.102 Jan 5 19:01:10.797: RADIUS: Vendor, Cisco [26] 22 Jan 5 19:01:10.798: RADIUS: ssg-account-info [250] 16 "S172.31.80.102" Jan 5 19:01:10.798: RADIUS: Calling-Station-Id [31] 14 "000000000000" 3750 маки отдает Dev-10#show mac address vlan 150 Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- ..... 150 0004.614b.7a72 DYNAMIC Gi1/0/20 150 0018.f329.cc76 DYNAMIC Gi1/0/20 150 001b.3866.bf5b DYNAMIC Gi1/0/20 150 0023.5472.9708 DYNAMIC Gi1/0/20 150 0024.54c3.6519 DYNAMIC Gi1/0/20 150 54a0.5071.cc5c DYNAMIC Gi1/0/20 150 acf1.df2f.6568 DYNAMIC Gi1/0/20 150 d867.d9a9.6200 DYNAMIC Gi1/1/1 150 e0ca.941b.cfa7 DYNAMIC Gi1/0/20 .... Total Mac Addresses for this criterion: 29 dlink маки отдает DES-3200-52:admin#sh fdb Command: show fdb Unicast MAC Address Aging Time = 300 VID VLAN Name MAC Address Port Type Status ---- -------------------------------- ----------------- ----- ------- ------- ..... 150 SW-005-DATA 00-04-61-4B-7A-72 13 Dynamic Forward 150 SW-005-DATA 00-18-F3-29-CC-76 6 Dynamic Forward 150 SW-005-DATA 00-1B-38-66-BF-5B 24 Dynamic Forward 150 SW-005-DATA 00-24-54-C3-65-19 1 Dynamic Forward 150 SW-005-DATA 00-E0-4C-D2-C3-EF 3 Dynamic Forward 150 SW-005-DATA 50-57-A8-85-A5-94 49 Dynamic Forward 150 SW-005-DATA AC-F1-DF-2F-65-68 11 Dynamic Forward 150 SW-005-DATA D8-67-D9-A9-62-00 49 Dynamic Forward 150 SW-005-DATA E0-CA-94-1B-CF-A7 14 Dynamic Forward .... Ланбилинг версии 2.0.014, в истории авторизации абонентов мак-адреса с нулями соответственно. Абоненты авторизируются по статическим ip, без dhcp. Как научить брас выдавать корректные маки абонентов, которые запрашивают авторизацию или что ему не хватает?
StSphinx Posted January 5, 2016 Posted January 5, 2016 А какой mac вы там рассчитывали увидеть? У вас как бы routed subscriber. Максимум чего вы добьётесь - увидите там мак-адрес connected роутера через который пришёл пакет от сабскрайбера. Да и это врядли.
tokone Posted January 6, 2016 Author Posted January 6, 2016 то есть routed в себе не несет мак-адреса, теперь понятно А если заменить на l2-connected ip subscriber list mylist150 ip source 172.31.81.65 mask 255.255.255.192 interface GigabitEthernet0/0/0.150 encapsulation dot1Q 150 ip vrf forwarding Inet ip address 172.31.81.65 255.255.255.192 ip nat inside ip flow ingress ip flow egress service-policy type control ISG-CUSTOMERS-POLICY ip subscriber l2-connected initiator static ip subscriber list mylist150 сейчас нет возможности проверить, только вечером должно ли так начать отдавать?
StSphinx Posted January 6, 2016 Posted January 6, 2016 то есть routed в себе не несет мак-адреса, теперь понятно А если заменить на l2-connected ip subscriber list mylist150 ip source 172.31.81.65 mask 255.255.255.192 interface GigabitEthernet0/0/0.150 encapsulation dot1Q 150 ip vrf forwarding Inet ip address 172.31.81.65 255.255.255.192 ip nat inside ip flow ingress ip flow egress service-policy type control ISG-CUSTOMERS-POLICY ip subscriber l2-connected initiator static ip subscriber list mylist150 сейчас нет возможности проверить, только вечером должно ли так начать отдавать? По идее - да, теперь вы должны получить мак сабскрайбера.
tokone Posted January 6, 2016 Author Posted January 6, 2016 не получается, при данной схеме идентификатором (тип static) видимо выступает мак asr1000.stelecom#sh ip subscriber vrf Inet Displaying subscribers in the Inet service vrf: Type Display UID Status Subscriber Identifier --------- ------------ ------ --------------------- static 691 up 0000.0000.0000 routed 73 up 172.31.80.4/32 routed 1079 up 172.31.80.6/32 routed 199 up 172.31.80.8/32 routed 1330 up 172.31.80.11/32 routed 89 up 172.31.80.12/32 routed 1107 up 172.31.80.13/32 а не ip адрес как при routed инициализация такая: policy-map type control ISG-CUSTOMERS-POLICY class type control always event session-start 1 set-timer IP-SESSION-TIMEOUT 1440 10 authorize aaa list ISG-AUTH-1 password test identifier source-ip-address
StSphinx Posted January 6, 2016 Posted January 6, 2016 Сейчас глянул свои конфиги, у меня вот такое: asr1k4-1#sh run int te0/3/0.115 Building configuration... Current configuration : 336 bytes ! interface TenGigabitEthernet0/3/0.115 encapsulation dot1Q 115 vrf forwarding Inet24 ip address 172.30.0.254 255.255.255.128 no ip redirects ip local-proxy-arp snmp trap link-status arp timeout 600 service-policy type control COMM-WIFI ip subscriber routed initiator unclassified ip-address end , правда сказать, приходит или нет МАК сабскрайбера в Calling-Station-Id я не могу сейчас. При этом сабскрайберы у меня являются connected.
tokone Posted January 7, 2016 Author Posted January 7, 2016 А зачем вам мак? Авторизовать по нему хотите? чтобы понять на каком порту коммутатора доступа абонент
StSphinx Posted January 7, 2016 Posted January 7, 2016 А зачем вам мак? Авторизовать по нему хотите? чтобы понять на каком порту коммутатора доступа абонент Для этого лучше использовать dhcp сервер на asr, dhcp relay + opt82 insertion на свичах , ну и обрабатывать опцию в service policy. Конфигурация можно поискать по форуму.
tokone Posted January 7, 2016 Author Posted January 7, 2016 Конечно же лучше сделать dhcp, повесить авторизацию через opt82 на другую политику. Это хочу делать для новых абонентов. А можно ли это сделать не убирая текущую политику и повесить на радуис два способа авторизации, которые меняются в зависимости от типа инициатора? т.к. текущих абонентов я не могу перевести со статики, и их конечно желательно тоже как-то определить, на каких порта они весят и с какими маками, чтобы видеть статуса линков Или создать новую policy-map с новым листом авторизации и новыми вланами для абонентов, которые будут авторизироваться через dhcp, просто пока не представляю как должен выглядеть конфиг в таком случае
Andrei Posted January 8, 2016 Posted January 8, 2016 Вот тут http://forums.lanbilling.ru/board/viewtopic.php?p=10946#p10946 я описывал свои попытки выловить маки юзеров в радиус-атрибутах. Грабли зарыты в софте циски, у меня так и не заработало. В течение января планирую переходить на другой софт на циске (которая NAS), может там заработает.
tokone Posted January 8, 2016 Author Posted January 8, 2016 Вот тут http://forums.lanbil...?p=10946#p10946 я описывал свои попытки выловить маки юзеров в радиус-атрибутах. Грабли зарыты в софте циски, у меня так и не заработало. Из вашего поста Calling-Station-Id nas не шлет на билинг т.к. не добавлена ком*** на это radius-server attribute 31 send nas-port-detail mac-only (команда работает не на всех IOS) В моем случае она есть и она шлет, но там одни нули. На сколько понял это из-за типа сабскрайбера routed, который в себе не несет мак вообще. Пока вижу принимать мак только через dhcp инициаторов, пришлет ли он корректный Calling-Station-Id пока не могу проверить
Andrei Posted January 8, 2016 Posted January 8, 2016 Из вашего поста Calling-Station-Id nas не шлет на билинг т.к. не добавлена ком*** на это radius-server attribute 31 send nas-port-detail mac-only (команда работает не на всех IOS) У меня эта команда не поддерживается: c7204_core(config)#radius-server attribute 31 send nas-port-detail mac-only ^ % Invalid input detected at '^' marker. c7204_core(config)#radius-server attribute 31 ? mac Customize MAC address based Calling Station ID Видимо этого radius-server attribute 31 mac format ietf не достаточно.
tokone Posted January 8, 2016 Author Posted January 8, 2016 (edited) http://forums.lanbilling.ru/board/viewtopic.php?f=1&t=6489&start=10 тут у человека тоже не поддерживала ios, ему советовали перебраться на другую версию Edited January 8, 2016 by tokone
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts