Konstantin Klimchev Опубликовано 3 августа, 2020 · Жалоба Добрый день! Озадачился применением PPPoE circuit-id на cisco asr1002 Уже много лет успешно работает авторизация по логин:пароль. По порту тоже авториазция получилась, но... Так как авторизация происходит по порту и я хочу уйти от уникальности логина возникает проблема. Если несколько абонентов с одним и тем же логином заавторизируются, то как из идентифицировать на bras'е? попытка отправить через радиус "User-Name", например, номер договора у меня то-то не проходит.... bras видет в полученном пакете этот параметр, но не навешивает на абонента.... в выводе "show subscriber session" в поле "Identifier" значится то, что ввел абонент, а не то, что я прошу. Aug 3 15:43:32: RADIUS(0000000D): Sending a IPv4 Radius Packet Aug 3 15:43:32: RADIUS(0000000D): Started 10 sec timeout Aug 3 15:43:32: RADIUS: Received from id 1645/2 192.168.251.215:1812, Access-Accept, len 57 Aug 3 15:43:32: RADIUS: authenticator 1C DA 8E C3 D2 45 38 5F - 8B 77 9A 13 55 0A 13 00 Aug 3 15:43:32: RADIUS: Framed-Protocol [7] 6 PPP [1] Aug 3 15:43:32: RADIUS: Framed-IP-Address [8] 6 100.121.0.0 Aug 3 15:43:32: RADIUS: Vendor, Cisco [26] 18 Aug 3 15:43:32: RADIUS: ssg-account-info [250] 12 "AINET30000" Aug 3 15:43:32: RADIUS: User-Name [1] 7 "user1" Aug 3 15:43:32: RADIUS(0000000D): Received from id 1645/2 Фрагмент конфига.... aaa group server radius CAR server name freeradius1 ip radius source-interface Loopback0 load-balance method least-outstanding ignore-preferred-server aaa authentication login default local group CAR aaa authentication ppp default group CAR aaa authorization network default group CAR aaa authorization subscriber-service default local group CAR aaa accounting delay-start all aaa accounting update periodic 30 aaa accounting network default start-stop group CAR aaa accounting network ACCNT_LIST1 start-stop group CAR policy-map type control PPPoE class type control always event session-start 2 authenticate aaa list default 37 service-policy type service name GUARD 40 service-policy type service name OPENGARDEN ! class type control always event service-start 1 service-policy type service identifier service-name ! class type control always event service-stop 1 service-policy type service unapply identifier service-name ! Что-то я не так описал? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 4 августа, 2020 · Жалоба В продолжение изменил policy-map type control PPPoE class type control always event session-start 1 authorize identifier nas-port 37 service-policy type service name GUARD 40 service-policy type service name OPENGARDEN ! class type control always event service-start 1 service-policy type service identifier service-name ! class type control always event service-stop 1 service-policy type service unapply identifier service-name ! ! сейчас новое всплыло. Сначала BRAS отправляет запрос с User-Name [1] 44 "nas-port..... он проходит, получает Access-Accept и назначенные сарвисы а затем отправляет еще один запрос на радиус уже с User-Name [1] 6 "user" - т.е. с тем, что введено у пользователя и получает от radius'а Access-Reject и закрывает соединение. Aug 4 10:29:24: RADIUS/ENCODE(0000002D):Orig. component type = PPPoE Aug 4 10:29:24: RADIUS: DSL line rate attributes successfully added Aug 4 10:29:24: RADIUS(0000002D): Config NAS IPv6: :: Aug 4 10:29:24: RADIUS/ENCODE(0000002D): acct_session_id: 274 Aug 4 10:29:24: RADIUS/ENCODE(0000002D): Acct-session-id pre-pended with Nas Port = 0/2/1/100.101 Aug 4 10:29:24: RADIUS(0000002D): sending Aug 4 10:29:24: RADIUS(0000002D): Send Access-Request to 192.168.251.215:1812 id 1645/39, len 327 Aug 4 10:29:24: RADIUS: authenticator F2 FA FC EF 62 55 38 A9 - 39 2A 1B 85 A6 C1 44 0F Aug 4 10:29:24: RADIUS: User-Name [1] 44 "nas-port:00:1D:09:AB:F6:04::10.1.10.101::1" Aug 4 10:29:24: RADIUS: User-Password [2] 18 * Aug 4 10:29:24: RADIUS: Calling-Station-Id [31] 16 "001d.09ab.f604" Aug 4 10:29:24: RADIUS: NAS-Port-Type [61] 6 Ethernet [15] Aug 4 10:29:24: RADIUS: Vendor, Cisco [26] 41 Aug 4 10:29:24: RADIUS: cisco-nas-port [2] 35 "00:1D:09:AB:F6:04::10.1.10.101::1" Aug 4 10:29:24: RADIUS: NAS-Port [5] 6 17186917 Aug 4 10:29:24: RADIUS: NAS-Port-Id [87] 35 "00:1D:09:AB:F6:04::10.1.10.101::1" Aug 4 10:29:24: RADIUS: Vendor, Cisco [26] 41 Aug 4 10:29:24: RADIUS: Cisco AVpair [1] 35 "client-mac-address=001d.09ab.f604" Aug 4 10:29:24: RADIUS: Vendor, Cisco [26] 56 Aug 4 10:29:24: RADIUS: Cisco AVpair [1] 50 "circuit-id-tag=00:1D:09:AB:F6:04::10.1.10.101::1" Aug 4 10:29:24: RADIUS: Service-Type [6] 6 Outbound [5] Aug 4 10:29:24: RADIUS: NAS-IP-Address [4] 6 192.168.250.105 Aug 4 10:29:24: RADIUS: Acct-Session-Id [44] 32 "0/2/1/100.101_3EC0FD6500000112" Aug 4 10:29:24: RADIUS(0000002D): Sending a IPv4 Radius Packet Aug 4 10:29:24: RADIUS(0000002D): Started 10 sec timeout Aug 4 10:29:24: RADIUS: Received from id 1645/39 192.168.251.215:1812, Access-Accept, len 64 Aug 4 10:29:24: RADIUS: authenticator CF A1 8D 9C A9 24 96 08 - 58 D1 78 55 9C E3 80 E9 Aug 4 10:29:24: RADIUS: Framed-IP-Address [8] 6 100.121.0.0 Aug 4 10:29:24: RADIUS: Vendor, Cisco [26] 18 Aug 4 10:29:24: RADIUS: ssg-account-info [250] 12 "AINET30000" Aug 4 10:29:24: RADIUS: User-Name [1] 20 "User-10.1.10.101-1" Aug 4 10:29:24: RADIUS(0000002D): Received from id 1645/39 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Aug 4 10:29:24: RADIUS/ENCODE(0000002D):Orig. component type = PPPoE Aug 4 10:29:24: RADIUS: DSL line rate attributes successfully added Aug 4 10:29:24: RADIUS(0000002D): Config NAS IPv6: :: Aug 4 10:29:24: RADIUS/ENCODE(0000002D): acct_session_id: 274 Aug 4 10:29:24: RADIUS/ENCODE(0000002D): Acct-session-id pre-pended with Nas Port = 0/2/1/100.101 Aug 4 10:29:24: RADIUS(0000002D): sending Aug 4 10:29:24: RADIUS(0000002D): Send Access-Request to 192.168.251.215:1812 id 1645/40, len 299 Aug 4 10:29:24: RADIUS: authenticator 88 0C E8 33 30 40 C3 96 - 5E 90 3C 21 84 99 54 D2 Aug 4 10:29:24: RADIUS: Framed-Protocol [7] 6 PPP [1] Aug 4 10:29:24: RADIUS: User-Name [1] 6 "user" Aug 4 10:29:24: RADIUS: CHAP-Password [3] 19 * Aug 4 10:29:24: RADIUS: Calling-Station-Id [31] 19 "00:1d:09:ab:f6:04" Aug 4 10:29:24: RADIUS: NAS-Port-Type [61] 6 Ethernet [15] Aug 4 10:29:24: RADIUS: Vendor, Cisco [26] 41 Aug 4 10:29:24: RADIUS: cisco-nas-port [2] 35 "00:1D:09:AB:F6:04::10.1.10.101::1" Aug 4 10:29:24: RADIUS: NAS-Port [5] 6 17186917 Aug 4 10:29:24: RADIUS: NAS-Port-Id [87] 35 "00:1D:09:AB:F6:04::10.1.10.101::1" Aug 4 10:29:24: RADIUS: Vendor, Cisco [26] 41 Aug 4 10:29:24: RADIUS: Cisco AVpair [1] 35 "client-mac-address=001d.09ab.f604" Aug 4 10:29:24: RADIUS: Vendor, Cisco [26] 56 Aug 4 10:29:24: RADIUS: Cisco AVpair [1] 50 "circuit-id-tag=00:1D:09:AB:F6:04::10.1.10.101::1" Aug 4 10:29:24: RADIUS: Service-Type [6] 6 Framed [2] Aug 4 10:29:24: RADIUS: NAS-IP-Address [4] 6 192.168.250.105 Aug 4 10:29:24: RADIUS: Acct-Session-Id [44] 32 "0/2/1/100.101_3EC0FD6500000112" Aug 4 10:29:24: RADIUS(0000002D): Sending a IPv4 Radius Packet Aug 4 10:29:24: RADIUS(0000002D): Started 10 sec timeout Aug 4 10:29:25: RADIUS: Received from id 1645/40 192.168.251.215:1812, Access-Reject, len 20 Aug 4 10:29:25 RADIUS: authenticator 12 91 A8 6C C0 6D A7 1F - 23 C4 AC F3 53 8A 10 DA Aug 4 10:29:25: RADIUS(0000002D): Received from id 1645/40 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 4 августа, 2020 · Жалоба Может вам проще сделать IPoE? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 4 августа, 2020 · Жалоба 1 minute ago, VolanD666 said: Может вам проще сделать IPoE? увы, нет... :-( условие - PPPoE с авторизацией по порту.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexmern Опубликовано 4 августа, 2020 (изменено) · Жалоба У нас для IPoE сессий User-Name точно применяется из Access-Accept, возможно дело в прошивке. Попробую проверить для PPPoE. Изменено 4 августа, 2020 пользователем alexmern Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 4 августа, 2020 (изменено) · Жалоба 1 hour ago, alexmern said: У нас для IPoE сессий User-Name точно применяется из Access-Accept, возможно дело в прошивке. Попробую проверить для PPPoE. Для IPoE меняет. В вот для PPPoE меняет в сервисах. Вот что прилетает от радиуса (эксперементирую, добавил несколько полей в ответ) Aug 4 16:37:02: RADIUS: Received from id 1645/32 192.168.251.215:1812, Access-Accept, len 76 Aug 4 16:37:02: RADIUS: authenticator 7F 59 2C 88 52 E7 B7 EE - F2 63 9E D4 4A F1 35 44 Aug 4 16:37:02: RADIUS: Framed-Protocol [7] 6 PPP [1] Aug 4 16:37:02: RADIUS: Framed-IP-Address [8] 6 100.121.0.0 Aug 4 16:37:02: RADIUS: Vendor, Cisco [26] 18 Aug 4 16:37:02: RADIUS: ssg-account-info [250] 12 "AINET30000" Aug 4 16:37:02: RADIUS: User-Name [1] 20 "User-10.1.10.102-6" Aug 4 16:37:02: RADIUS: Service-Type [6] 6 Framed [2] вот что на брасе #sss Codes: Lterm - Local Term, Fwd - forwarded, unauth - unathenticated, authen - authenticated, TC Ct. - Number of Traffic Classes on the main session Current Subscriber Information: Total sessions 1 Uniq ID Interface State Service Up-time TC Ct. Identifier 16 Vi2.1 authen Lterm 00:01:48 1 user #show subscriber session uid 16 detailed Type: PPPoE, UID: 16, State: authen, Identity: user IPv4 Address: 100.121.0.0 Session Up-time: 00:02:15, Last Changed: 00:02:15 Interface: Virtual-Access2.1 Switch-ID: 4181 Policy information: Context 4433111C: Handle 4900002E AAA_id 0000001C: Flow_handle 0 Authentication status: authen Downloaded User profile, excluding services: Framed-Protocol 0 1 [PPP] addr 0 100.121.0.0 ssg-account-info 0 "AINET30000" username 0 "User-10.1.10.102-6" service-type 0 2 [Framed] Downloaded User profile, including services: traffic-class 0 "input access-group name INET priority 90" traffic-class 0 "output access-group name INET priority 90" accounting-list 0 "ACCNT_LIST1" ssg-service-info 0 "QU;30760000;D;30760000" Framed-Protocol 0 1 [PPP] addr 0 100.121.0.0 ssg-account-info 0 "AINET30000" username 0 "User-10.1.10.102-6" service-type 0 2 [Framed] Config history for session (recent to oldest): Access-type: PPP Client: SM Policy event: Process Config Connecting Profile name: apply-config-only, 2 references Framed-Protocol 0 1 [PPP] addr 0 100.121.0.0 ssg-account-info 0 "AINET30000" username 0 "User-10.1.10.102-6" service-type 0 2 [Framed] Access-type: Web-service-logon Client: SM Policy event: Service Selection Request (Service) Profile name: INET30000, 3 references password 0 <hidden> username 0 "INET30000" traffic-class 0 "input access-group name INET priority 90" traffic-class 0 "output access-group name INET priority 90" accounting-list 0 "ACCNT_LIST1" ssg-service-info 0 "QU;30760000;D;30760000" Access-type: PPPoE Client: SM Policy event: Service Selection Request Profile name: nas-port:00:1D:09:AB:F6:04::10.1.10.102::6, 2 references Framed-Protocol 0 1 [PPP] addr 0 100.121.0.0 ssg-account-info 0 "AINET30000" username 0 "User-10.1.10.102-6" service-type 0 2 [Framed] ...... т.е. в сервисах user-name меняет, а вот в Identity, Peer-Name, в аккаунтинге - нет (остается, что введено у абонента). про прошивку: пробовал и на asr1000rp1-advipservicesk9.03.04.04.S.151-3.S4.bin и на asr1000rp1-adventerprise.03.13.10.S.154-3.S10-ext.bin И еще на что обратил внимание первый запроc авторизации с нужным мне user-name (на основе nas-id) идет с Service-Type Outbound а вот второй, с user-name введенного у абонента с Service-Type Framed и после второго - уже прилетаю и сервисы и в аккаунтинг, но с user-name что введено у абонента..... UPDATE посмотрел различия для PPPoE и IPoE PPPoE сначала отправляет Access-Request с User-Name прописанным в настройках Браса (у меня nas-port:....) затем отправляет еще один Access-Request с User-Name прописанным у абонента а только затем Accounting-Request IPoE сначала отправляет Access-Request c User-Name прописанным в настройках Браса (у меня source ip) затем сразу же Accounting-Request Изменено 4 августа, 2020 пользователем Konstantin Klimchev Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
