Konstantin Klimchev Posted August 3, 2020 Posted August 3, 2020 Добрый день! Озадачился применением PPPoE circuit-id на cisco asr1002 Уже много лет успешно работает авторизация по логин:пароль. По порту тоже авториазция получилась, но... Так как авторизация происходит по порту и я хочу уйти от уникальности логина возникает проблема. Если несколько абонентов с одним и тем же логином заавторизируются, то как из идентифицировать на bras'е? попытка отправить через радиус "User-Name", например, номер договора у меня то-то не проходит.... bras видет в полученном пакете этот параметр, но не навешивает на абонента.... в выводе "show subscriber session" в поле "Identifier" значится то, что ввел абонент, а не то, что я прошу. Aug 3 15:43:32: RADIUS(0000000D): Sending a IPv4 Radius Packet Aug 3 15:43:32: RADIUS(0000000D): Started 10 sec timeout Aug 3 15:43:32: RADIUS: Received from id 1645/2 192.168.251.215:1812, Access-Accept, len 57 Aug 3 15:43:32: RADIUS: authenticator 1C DA 8E C3 D2 45 38 5F - 8B 77 9A 13 55 0A 13 00 Aug 3 15:43:32: RADIUS: Framed-Protocol [7] 6 PPP [1] Aug 3 15:43:32: RADIUS: Framed-IP-Address [8] 6 100.121.0.0 Aug 3 15:43:32: RADIUS: Vendor, Cisco [26] 18 Aug 3 15:43:32: RADIUS: ssg-account-info [250] 12 "AINET30000" Aug 3 15:43:32: RADIUS: User-Name [1] 7 "user1" Aug 3 15:43:32: RADIUS(0000000D): Received from id 1645/2 Фрагмент конфига.... aaa group server radius CAR server name freeradius1 ip radius source-interface Loopback0 load-balance method least-outstanding ignore-preferred-server aaa authentication login default local group CAR aaa authentication ppp default group CAR aaa authorization network default group CAR aaa authorization subscriber-service default local group CAR aaa accounting delay-start all aaa accounting update periodic 30 aaa accounting network default start-stop group CAR aaa accounting network ACCNT_LIST1 start-stop group CAR policy-map type control PPPoE class type control always event session-start 2 authenticate aaa list default 37 service-policy type service name GUARD 40 service-policy type service name OPENGARDEN ! class type control always event service-start 1 service-policy type service identifier service-name ! class type control always event service-stop 1 service-policy type service unapply identifier service-name ! Что-то я не так описал? Вставить ник Quote
Konstantin Klimchev Posted August 4, 2020 Author Posted August 4, 2020 В продолжение изменил policy-map type control PPPoE class type control always event session-start 1 authorize identifier nas-port 37 service-policy type service name GUARD 40 service-policy type service name OPENGARDEN ! class type control always event service-start 1 service-policy type service identifier service-name ! class type control always event service-stop 1 service-policy type service unapply identifier service-name ! ! сейчас новое всплыло. Сначала BRAS отправляет запрос с User-Name [1] 44 "nas-port..... он проходит, получает Access-Accept и назначенные сарвисы а затем отправляет еще один запрос на радиус уже с User-Name [1] 6 "user" - т.е. с тем, что введено у пользователя и получает от radius'а Access-Reject и закрывает соединение. Aug 4 10:29:24: RADIUS/ENCODE(0000002D):Orig. component type = PPPoE Aug 4 10:29:24: RADIUS: DSL line rate attributes successfully added Aug 4 10:29:24: RADIUS(0000002D): Config NAS IPv6: :: Aug 4 10:29:24: RADIUS/ENCODE(0000002D): acct_session_id: 274 Aug 4 10:29:24: RADIUS/ENCODE(0000002D): Acct-session-id pre-pended with Nas Port = 0/2/1/100.101 Aug 4 10:29:24: RADIUS(0000002D): sending Aug 4 10:29:24: RADIUS(0000002D): Send Access-Request to 192.168.251.215:1812 id 1645/39, len 327 Aug 4 10:29:24: RADIUS: authenticator F2 FA FC EF 62 55 38 A9 - 39 2A 1B 85 A6 C1 44 0F Aug 4 10:29:24: RADIUS: User-Name [1] 44 "nas-port:00:1D:09:AB:F6:04::10.1.10.101::1" Aug 4 10:29:24: RADIUS: User-Password [2] 18 * Aug 4 10:29:24: RADIUS: Calling-Station-Id [31] 16 "001d.09ab.f604" Aug 4 10:29:24: RADIUS: NAS-Port-Type [61] 6 Ethernet [15] Aug 4 10:29:24: RADIUS: Vendor, Cisco [26] 41 Aug 4 10:29:24: RADIUS: cisco-nas-port [2] 35 "00:1D:09:AB:F6:04::10.1.10.101::1" Aug 4 10:29:24: RADIUS: NAS-Port [5] 6 17186917 Aug 4 10:29:24: RADIUS: NAS-Port-Id [87] 35 "00:1D:09:AB:F6:04::10.1.10.101::1" Aug 4 10:29:24: RADIUS: Vendor, Cisco [26] 41 Aug 4 10:29:24: RADIUS: Cisco AVpair [1] 35 "client-mac-address=001d.09ab.f604" Aug 4 10:29:24: RADIUS: Vendor, Cisco [26] 56 Aug 4 10:29:24: RADIUS: Cisco AVpair [1] 50 "circuit-id-tag=00:1D:09:AB:F6:04::10.1.10.101::1" Aug 4 10:29:24: RADIUS: Service-Type [6] 6 Outbound [5] Aug 4 10:29:24: RADIUS: NAS-IP-Address [4] 6 192.168.250.105 Aug 4 10:29:24: RADIUS: Acct-Session-Id [44] 32 "0/2/1/100.101_3EC0FD6500000112" Aug 4 10:29:24: RADIUS(0000002D): Sending a IPv4 Radius Packet Aug 4 10:29:24: RADIUS(0000002D): Started 10 sec timeout Aug 4 10:29:24: RADIUS: Received from id 1645/39 192.168.251.215:1812, Access-Accept, len 64 Aug 4 10:29:24: RADIUS: authenticator CF A1 8D 9C A9 24 96 08 - 58 D1 78 55 9C E3 80 E9 Aug 4 10:29:24: RADIUS: Framed-IP-Address [8] 6 100.121.0.0 Aug 4 10:29:24: RADIUS: Vendor, Cisco [26] 18 Aug 4 10:29:24: RADIUS: ssg-account-info [250] 12 "AINET30000" Aug 4 10:29:24: RADIUS: User-Name [1] 20 "User-10.1.10.101-1" Aug 4 10:29:24: RADIUS(0000002D): Received from id 1645/39 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Aug 4 10:29:24: RADIUS/ENCODE(0000002D):Orig. component type = PPPoE Aug 4 10:29:24: RADIUS: DSL line rate attributes successfully added Aug 4 10:29:24: RADIUS(0000002D): Config NAS IPv6: :: Aug 4 10:29:24: RADIUS/ENCODE(0000002D): acct_session_id: 274 Aug 4 10:29:24: RADIUS/ENCODE(0000002D): Acct-session-id pre-pended with Nas Port = 0/2/1/100.101 Aug 4 10:29:24: RADIUS(0000002D): sending Aug 4 10:29:24: RADIUS(0000002D): Send Access-Request to 192.168.251.215:1812 id 1645/40, len 299 Aug 4 10:29:24: RADIUS: authenticator 88 0C E8 33 30 40 C3 96 - 5E 90 3C 21 84 99 54 D2 Aug 4 10:29:24: RADIUS: Framed-Protocol [7] 6 PPP [1] Aug 4 10:29:24: RADIUS: User-Name [1] 6 "user" Aug 4 10:29:24: RADIUS: CHAP-Password [3] 19 * Aug 4 10:29:24: RADIUS: Calling-Station-Id [31] 19 "00:1d:09:ab:f6:04" Aug 4 10:29:24: RADIUS: NAS-Port-Type [61] 6 Ethernet [15] Aug 4 10:29:24: RADIUS: Vendor, Cisco [26] 41 Aug 4 10:29:24: RADIUS: cisco-nas-port [2] 35 "00:1D:09:AB:F6:04::10.1.10.101::1" Aug 4 10:29:24: RADIUS: NAS-Port [5] 6 17186917 Aug 4 10:29:24: RADIUS: NAS-Port-Id [87] 35 "00:1D:09:AB:F6:04::10.1.10.101::1" Aug 4 10:29:24: RADIUS: Vendor, Cisco [26] 41 Aug 4 10:29:24: RADIUS: Cisco AVpair [1] 35 "client-mac-address=001d.09ab.f604" Aug 4 10:29:24: RADIUS: Vendor, Cisco [26] 56 Aug 4 10:29:24: RADIUS: Cisco AVpair [1] 50 "circuit-id-tag=00:1D:09:AB:F6:04::10.1.10.101::1" Aug 4 10:29:24: RADIUS: Service-Type [6] 6 Framed [2] Aug 4 10:29:24: RADIUS: NAS-IP-Address [4] 6 192.168.250.105 Aug 4 10:29:24: RADIUS: Acct-Session-Id [44] 32 "0/2/1/100.101_3EC0FD6500000112" Aug 4 10:29:24: RADIUS(0000002D): Sending a IPv4 Radius Packet Aug 4 10:29:24: RADIUS(0000002D): Started 10 sec timeout Aug 4 10:29:25: RADIUS: Received from id 1645/40 192.168.251.215:1812, Access-Reject, len 20 Aug 4 10:29:25 RADIUS: authenticator 12 91 A8 6C C0 6D A7 1F - 23 C4 AC F3 53 8A 10 DA Aug 4 10:29:25: RADIUS(0000002D): Received from id 1645/40 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Вставить ник Quote
VolanD666 Posted August 4, 2020 Posted August 4, 2020 Может вам проще сделать IPoE? Вставить ник Quote
Konstantin Klimchev Posted August 4, 2020 Author Posted August 4, 2020 1 minute ago, VolanD666 said: Может вам проще сделать IPoE? увы, нет... :-( условие - PPPoE с авторизацией по порту.... Вставить ник Quote
alexmern Posted August 4, 2020 Posted August 4, 2020 (edited) У нас для IPoE сессий User-Name точно применяется из Access-Accept, возможно дело в прошивке. Попробую проверить для PPPoE. Edited August 4, 2020 by alexmern Вставить ник Quote
Konstantin Klimchev Posted August 4, 2020 Author Posted August 4, 2020 (edited) 1 hour ago, alexmern said: У нас для IPoE сессий User-Name точно применяется из Access-Accept, возможно дело в прошивке. Попробую проверить для PPPoE. Для IPoE меняет. В вот для PPPoE меняет в сервисах. Вот что прилетает от радиуса (эксперементирую, добавил несколько полей в ответ) Aug 4 16:37:02: RADIUS: Received from id 1645/32 192.168.251.215:1812, Access-Accept, len 76 Aug 4 16:37:02: RADIUS: authenticator 7F 59 2C 88 52 E7 B7 EE - F2 63 9E D4 4A F1 35 44 Aug 4 16:37:02: RADIUS: Framed-Protocol [7] 6 PPP [1] Aug 4 16:37:02: RADIUS: Framed-IP-Address [8] 6 100.121.0.0 Aug 4 16:37:02: RADIUS: Vendor, Cisco [26] 18 Aug 4 16:37:02: RADIUS: ssg-account-info [250] 12 "AINET30000" Aug 4 16:37:02: RADIUS: User-Name [1] 20 "User-10.1.10.102-6" Aug 4 16:37:02: RADIUS: Service-Type [6] 6 Framed [2] вот что на брасе #sss Codes: Lterm - Local Term, Fwd - forwarded, unauth - unathenticated, authen - authenticated, TC Ct. - Number of Traffic Classes on the main session Current Subscriber Information: Total sessions 1 Uniq ID Interface State Service Up-time TC Ct. Identifier 16 Vi2.1 authen Lterm 00:01:48 1 user #show subscriber session uid 16 detailed Type: PPPoE, UID: 16, State: authen, Identity: user IPv4 Address: 100.121.0.0 Session Up-time: 00:02:15, Last Changed: 00:02:15 Interface: Virtual-Access2.1 Switch-ID: 4181 Policy information: Context 4433111C: Handle 4900002E AAA_id 0000001C: Flow_handle 0 Authentication status: authen Downloaded User profile, excluding services: Framed-Protocol 0 1 [PPP] addr 0 100.121.0.0 ssg-account-info 0 "AINET30000" username 0 "User-10.1.10.102-6" service-type 0 2 [Framed] Downloaded User profile, including services: traffic-class 0 "input access-group name INET priority 90" traffic-class 0 "output access-group name INET priority 90" accounting-list 0 "ACCNT_LIST1" ssg-service-info 0 "QU;30760000;D;30760000" Framed-Protocol 0 1 [PPP] addr 0 100.121.0.0 ssg-account-info 0 "AINET30000" username 0 "User-10.1.10.102-6" service-type 0 2 [Framed] Config history for session (recent to oldest): Access-type: PPP Client: SM Policy event: Process Config Connecting Profile name: apply-config-only, 2 references Framed-Protocol 0 1 [PPP] addr 0 100.121.0.0 ssg-account-info 0 "AINET30000" username 0 "User-10.1.10.102-6" service-type 0 2 [Framed] Access-type: Web-service-logon Client: SM Policy event: Service Selection Request (Service) Profile name: INET30000, 3 references password 0 <hidden> username 0 "INET30000" traffic-class 0 "input access-group name INET priority 90" traffic-class 0 "output access-group name INET priority 90" accounting-list 0 "ACCNT_LIST1" ssg-service-info 0 "QU;30760000;D;30760000" Access-type: PPPoE Client: SM Policy event: Service Selection Request Profile name: nas-port:00:1D:09:AB:F6:04::10.1.10.102::6, 2 references Framed-Protocol 0 1 [PPP] addr 0 100.121.0.0 ssg-account-info 0 "AINET30000" username 0 "User-10.1.10.102-6" service-type 0 2 [Framed] ...... т.е. в сервисах user-name меняет, а вот в Identity, Peer-Name, в аккаунтинге - нет (остается, что введено у абонента). про прошивку: пробовал и на asr1000rp1-advipservicesk9.03.04.04.S.151-3.S4.bin и на asr1000rp1-adventerprise.03.13.10.S.154-3.S10-ext.bin И еще на что обратил внимание первый запроc авторизации с нужным мне user-name (на основе nas-id) идет с Service-Type Outbound а вот второй, с user-name введенного у абонента с Service-Type Framed и после второго - уже прилетаю и сервисы и в аккаунтинг, но с user-name что введено у абонента..... UPDATE посмотрел различия для PPPoE и IPoE PPPoE сначала отправляет Access-Request с User-Name прописанным в настройках Браса (у меня nas-port:....) затем отправляет еще один Access-Request с User-Name прописанным у абонента а только затем Accounting-Request IPoE сначала отправляет Access-Request c User-Name прописанным в настройках Браса (у меня source ip) затем сразу же Accounting-Request Edited August 4, 2020 by Konstantin Klimchev Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.