GGR Posted September 1, 2005 Posted September 1, 2005 День добрый коллеги Представляю одного из крупный провайдеров г. Челябинска Есть насущная проблема может кто-то что-то знает как решать Задача: клиенты терминируются на цыске по PPPoE, авторизуются во внешнем Радиусе, необходимо сделать авторизацию по MAC-адресу(этонеобходимо для некоторых железок). Проблема в том что информация о MAC передается Радису цыской только в ACCOUNTING_REQUEST а в первом запросе на авторизацию пусто. Как включать это в цыске, куда рыть? шаманство про NAS-Port не дало результата, там такого нет... Вставить ник Quote
ar Posted September 1, 2005 Posted September 1, 2005 Ох, а как Вы заставили циску выдавать мак хотябы в аккаунтинге? Что за модель, IOS? Вставить ник Quote
Vicus Posted September 1, 2005 Posted September 1, 2005 Если мне память не изменяет, циски уровня broadband agregator выдают мак-адрес в поле Calling-Station-ID (e.g. 7301) в аccess-request пакете. Такие как 2651 etc дают мак в поле client-mac-address accounting-пакета. Вставить ник Quote
ar Posted September 1, 2005 Posted September 1, 2005 Чего-то я не нашел такого ни в 72 ни 75 сериях, может правда плохо искал Вставить ник Quote
GGR Posted September 1, 2005 Author Posted September 1, 2005 CISCO 3640, IOS Version 12.3(12) цыска выдает мак в вендоровском атрибуте Cisco AVpair [1] 35 "client-mac-address=0080.4834.0578" ------------------ ЗЫ. После долгого вдумчивого гугления определилось что цыска теоритически ДОЛЖНА выдавать МАС в поле Calling-Station-ID и в параметрах настройки цыски даже есть такая командочка как radius-server attribute 31 mac format НО заставить выдать это поле Радиусу у меня так и не получилось, в дебаге на цыске того что передается Радиусу этот атрибут отсутствует =( .... Вставить ник Quote
ar Posted September 1, 2005 Posted September 1, 2005 7204VXR 12.2(26) такого нет Видимо пришло время обновится, спасибо! Вставить ник Quote
GGR Posted September 1, 2005 Author Posted September 1, 2005 7204VXR 12.2(26) такого нетВидимо пришло время обновится, спасибо! Когда проверяли в цыске вендоровские аттрибуты не забыли разрешить на аккаунтинг и авторизацию? Вставить ник Quote
ar Posted September 1, 2005 Posted September 1, 2005 нет не забыли, есть только: 188 Num-In-Multilink attribute configuration 32 NAS-Identifier attribute 4 NAS IP address attribute 44 Acct-Session-Id attribute 6 Service-Type attribute 69 Tunnel-Password attribute 8 Framed IP address attribute nas-port NAS-Port attribute configuration Похоже что появилось оно только в 12.3(7)XI2, вот тут подробнее http://www.cisco.com/univercd/cc/td/doc/pr...s.htm#wp1054924 Вставить ник Quote
ar Posted September 1, 2005 Posted September 1, 2005 Хотя возможно это справделиво только для 10 тысячника :( Вставить ник Quote
GGR Posted September 1, 2005 Author Posted September 1, 2005 Честно говоря в приведенном примере атрибутов не увидел ни одного вендоровского аттрибута, так что такое ощущение что включить таки их забыли =) вот пример лога Радиуса с вендоровскими аттрибутами RADIUS: Vendor, Cisco [26] 16 RADIUS: cisco-nas-port [2] 10 "0/0/1/11" RADIUS: Vendor, Cisco [26] 41 RADIUS: Cisco AVpair [1] 35 "client-mac-address =0080.4834.0578" RADIUS: Vendor, Cisco [26] 32 RADIUS: Cisco AVpair [1] 26 "connect-progress=C all Up" Вставить ник Quote
Diesel Posted September 1, 2005 Posted September 1, 2005 Задача: клиенты терминируются на цыске по PPPoE... ...необходимо сделать авторизацию по MAC-адресу Офф: заинтересовала сама ситуация: зачем делать авторизацию по мак-адресу при наличии PPPoE ? Вставить ник Quote
ar Posted September 1, 2005 Posted September 1, 2005 Да это я ступил конечно, я показал что нет radius-server attribute 31 mac format, а radius-server vsa включен но 35-го атрибута все равно нет: Attribute 4 6 505066CD Attribute 5 6 300000DC Attribute 26 25 0000000902135669 Attribute 61 6 0000000F Attribute 1 17 65706D61 Attribute 40 6 00000001 Attribute 45 6 00000003 Attribute 6 6 00000002 Attribute 44 20 3/0/0/220_00027B78 Attribute 7 6 00000001 Attribute 8 6 D51B2274 Attribute 41 6 00000000 Вставить ник Quote
Гoсть Posted September 1, 2005 Posted September 1, 2005 А кстати, кто-нибудь юзает фичу Service Selection Gateway (SSG)? Интересуют конкретные приложения этой батвы, насколько оно полезно в реальной жизни. Вставить ник Quote
ar Posted September 1, 2005 Posted September 1, 2005 Наверно полезно если кроме PPPoE есть и обычные клиенты, которых тоже надо как-то авторизовать Вставить ник Quote
Diesel Posted September 1, 2005 Posted September 1, 2005 Наверно полезно если кроме PPPoE есть и обычные клиенты, которых тоже надо как-то авторизовать Так это именно "как-то". Авторизация на маках, если на магистрали стоят тупые железки, не имеющие привязки к мак-адресу - бесполезно... Вроде так? Вставить ник Quote
ar Posted September 1, 2005 Posted September 1, 2005 Так в том и дело если по пути до SSG стоят тупые жезеки которые не имеют привязки для mac'ов тут он и может помочь, например авторизация через веб (юзер набирает любой урл а его перенаправляет на страницу SESM, где он вводит логин/пароль). Вставить ник Quote
GGR Posted September 1, 2005 Author Posted September 1, 2005 Отвечаю - просто планируется использовать это там и на тех железках и в тех случаях где опасность снифферения сведена к нулю а гемороится с логинами и паролями для железок очень не хочется. Живые клиенты конечно будут ходить по логину/паролю Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.