Tony-2110 Posted August 16, 2022 Posted August 16, 2022 (edited) Настраиваю связку Cisco и UTM5 дял доступов клиентов по IPoS. dhcpd и radius используются от utm5. На Cisco настроена авторизация и аккаунтинг через radius. Старутет сессия корерктно, но есть 2 проблемы: 1. Cisco периодически шлет accounting для сессии с разным Acct-Session-Id, UTM воспринимает каждое такое сообщение за отдельную сессию и добавляет к себе (когда приходит время отправлять CoA, он уходит на все сессии из списка...cisco конечно обрабатывает coa, но тонна лишнего трафика). Вопрос - как отсылать всегда один Acct-Session-Id? 2. Если завершить сессию (например абонент выключил устрйоство), то на cisco она завершается корректно и в сторону utm уходит accounting пакет, но в нет не содержится атрибута Acct-Authentic и сессия не сбрасывается (есть другой BRAS, который отпарвляет Acct-Authentic и все ок, отсюда и сужу что проблема в этом). Вопрос - как отсылать Acct-Authentic для IPoE клиентов? P.S. Пробовал хранить тарифы на RADIUS и отсылать на cisco, но Acct-Authentic так-же не приходит. Spoiler version 15.5 service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service unsupported-transceiver no platform punt-keepalive disable-kernel-core platform hardware throughput level 5000000 ! hostname test ! boot-start-marker boot system bootflash:/asr1001-universalk9.03.16.10.S.155-3.S10-ext.bin boot system flash:asr1001-universalk9_npe.03.12.00.S.154-2.S-std.bin boot-end-marker ! ! vrf definition Mgmt-intf ! address-family ipv4 exit-address-family ! address-family ipv6 exit-address-family ! logging buffered 40960 logging rate-limit 10000 except warnings enable secret 5 <pass> ! aaa new-model ! ! aaa group server radius TEST-RADIUS server name TEST-RADIUS-SRV deadtime 1 ! aaa authentication login default group tacacs+ enable aaa authentication enable default group tacacs+ enable aaa authorization console aaa authorization exec default group tacacs+ if-authenticated aaa authorization commands 1 default group tacacs+ if-authenticated aaa authorization commands 15 default group tacacs+ if-authenticated aaa authorization network TEST-AUTH group TEST-RADIUS aaa authorization subscriber-service default local group TEST-RADIUS aaa accounting delay-start aaa accounting update newinfo aaa accounting exec default start-stop group tacacs+ aaa accounting commands 1 default start-stop group tacacs+ aaa accounting commands 15 default stop-only group tacacs+ aaa accounting network TEST-ACCO start-stop group TEST-RADIUS ! ! ! ! ! aaa server radius dynamic-author client <utm-srv> server-key cisco ignore session-key ! aaa session-id common clock timezone Moscow 3 0 no ip source-route no ip gratuitous-arps ip icmp rate-limit unreachable 1000 ip icmp rate-limit unreachable DF 1000 ! ! ! ! ! ! ! ! ! ! ! ip dhcp relay information option ip dhcp relay information policy keep no ip dhcp relay information check ip dhcp relay information trust-all ip dhcp conflict resolution interval 5 ! ! ! no ipv6 source-route ipv6 unicast-routing ipv6 multicast rpf use-bgp ipv6 multicast vrf Mgmt-intf rpf use-bgp ! ! ! ! ! ! subscriber feature prepaid TEST-SUBS-BASIC threshold time 600 seconds threshold volume 0 bytes method-list author subscriber-service method-list accounting TEST-ACCO password cisco ! subscriber service multiple-accept subscriber templating subscriber authorization enable service-policy type control ISG-IP virtual-profile virtual-template 1 ! multilink bundle-name authenticated vpdn enable ! ! ! ! ! ! ! ! ! ! license udi pid ASR1001 sn <sn> license accept end user agreement license boot level advipservices ! spanning-tree extend system-id ! username root secret 5 <pass> ! redundancy mode none redirect server-group REDIR-NOMONEY server ip <lk http> port 80 ! ! ! ! ! ! cdp run ! class-map type traffic match-any HTTP-TO-REDIRECT match access-group input name HTTP-HTTPS match access-group output name HTTP-HTTPS ! class-map type traffic match-any CLT-OPEN-GARDEN match access-group input name ACL-TO-OPEN-GARDEN match access-group output name ACL-FROM-OPEN-GARDEN ! class-map type traffic match-any CLT-ANY match access-group output name ACL-ANY match access-group input name ACL-ANY ! class-map type control match-any INTERNET-SERVICE ! policy-map type service OPEN-GARDEN 50 class type traffic CLT-OPEN-GARDEN ! class type traffic default in-out drop ! ! policy-map type service RADIUS-UNREACH service local 900 class type traffic CLT-ANY accounting aaa list TEST-ACCO prepaid config TEST-SUBS-BASIC police input 25600000 1463000 3026000 police output 25600000 1463000 3026000 ! ! policy-map type service DENY-ANY service local ip access-group ACL-DENY-ANY in ip access-group ACL-DENY-ANY out ! policy-map type service TARIFF-5M ip access-group ACL-ALLOW-INTERNET in ip access-group ACL-ALLOW-INTERNET out 900 class type traffic CLT-ANY timeout idle 3600 accounting aaa list TEST-ACCO police input 5120000 960000 1920000 police output 5120000 960000 1920000 ! ! policy-map type service TARIFF-10M ip access-group ACL-ALLOW-INTERNET in ip access-group ACL-ALLOW-INTERNET out class type traffic CLT-ANY timeout idle 3600 accounting aaa list TEST-ACCO police input 10240000 1920000 3840000 police output 10240000 1920000 3840000 ! ! policy-map type service TARIFF-20M ip access-group ACL-ALLOW-INTERNET in ip access-group ACL-ALLOW-INTERNET out 900 class type traffic CLT-ANY timeout idle 3600 accounting aaa list TEST-ACCO police input 20480000 3840000 7680000 police output 20480000 3840000 7680000 ! ! policy-map type service REDIR-NOMONEY service local ip access-group ACL-FROM-OPEN-GARDEN in ip access-group ACL-TO-OPEN-GARDEN out class type traffic HTTP-TO-REDIRECT redirect to group REDIR-NOMONEY police input 5120000 960000 1920000 police output 5120000 960000 1920000 ! class type traffic default output drop ! ! policy-map type control ISG-IP class type control INTERNET-SERVICE event service-stop 1 service-policy type service unapply identifier service-name 50 service deny ! class type control always event session-start 10 authorize aaa list TEST-AUTH password cisco identifier source-ip-address 20 set-timer WAIT-1-MIN 1 30 service-policy type service name REDIR-NOMONEY ! class type control always event session-restart 10 authorize aaa list TEST-AUTH password cisco identifier source-ip-address 20 set-timer WAIT-1-MIN 1 30 service-policy type service name REDIR-NOMONEY ! class type control always event access-reject 10 service-policy type service name REDIR-NOMONEY ! class type control always event radius-timeout 10 service-policy type service name TARIFF-30M 50 set-timer REAUTH-AFTER-5-MIN 5 ! class type control always event account-logon 10 authenticate aaa list TEST-AUTT include-cui ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface Loopback1 ip address <client-gw-ip> no ip redirects no ip unreachables no ip proxy-arp ! interface GigabitEthernet0/0/1.10 description -- uplink encapsulation dot1Q 7 ip dhcp relay information option server-id-override ip address <mgmt-ip> no ip redirects no ip unreachables no ip proxy-arp ! ! interface GigabitEthernet0/0/1.100 description -- test dynamic encapsulation dot1Q 778 ip dhcp relay information trusted ip dhcp relay information option server-id-override ip dhcp relay source-interface GigabitEthernet0/0/1.100 ip unnumbered Loopback1 ip helper-address <utm-srv> no ip redirects no ip unreachables no ip proxy-arp service-policy type control ISG-IP ip subscriber l2-connected initiator dhcp ! ! interface GigabitEthernet0/0/0 mtu 9216 no ip address negotiation auto ! interface GigabitEthernet0/0/1 mtu 9216 no ip address negotiation auto ! interface GigabitEthernet0/0/2 no ip address negotiation auto ! interface GigabitEthernet0/0/3 no ip address negotiation auto ! interface GigabitEthernet0 vrf forwarding Mgmt-intf no ip address negotiation auto ! ip nat translation max-entries 2147483647 ip forward-protocol nd ! no ip http server no ip http secure-server no ip pim dm-fallback ip route <def. route> ip ssh version 2 ! ip access-list standard ACL-ALLOW-INTERNET permit any ip access-list standard ACL-ANY permit any ip access-list standard ACL-DENY-ANY deny any ip access-list standard ANY permit any ! ip access-list extended ACL-FROM-OPEN-GARDEN permit ip host 8.8.8.8 any permit ip host 8.8.4.4 any permit ip host <lk http> any deny ip any any ip access-list extended ACL-TO-OPEN-GARDEN permit ip any host 8.8.8.8 permit ip any host 8.8.4.4 permit ip any host <lk http> deny ip any any ip access-list extended HTTP-HTTPS deny ip any host <lk http> permit tcp any any eq www permit tcp any any eq 443 ! ! ! tacacs-server host <ip> key 7 <key> tacacs-server directed-request ! radius-server attribute 44 include-in-access-req default-vrf radius-server attribute 44 extend-with-addr radius-server attribute 6 on-for-login-auth radius-server attribute 8 include-in-access-req radius-server attribute 32 include-in-access-req radius-server attribute 32 include-in-accounting-req radius-server attribute 55 include-in-acct-req radius-server attribute 55 access-request include radius-server attribute nas-port format b radius-server attribute 31 mac format unformatted radius-server attribute 31 send nas-port-detail radius-server attribute 31 remote-id radius-server attribute 31 append-circuit-id radius-server attribute nas-port-id include remote-id plus circuit-id separator # radius-server dead-criteria time 120 radius-server source-ports extended radius-server retransmit 5 radius-server optional-passwords radius-server vsa send cisco-nas-port ! radius server TEST-RADIUS-SRV address ipv4 <utm-srv> auth-port 1812 acct-port 1813 key cisco ! ! ipv6 access-list ipv6-ANY permit ipv6 any any ! control-plane ! ! line con 0 stopbits 1 line aux 0 transport input telnet stopbits 1 speed 115200 line vty 0 4 access-class 90 in vrf-also exec-timeout 120 0 transport input telnet ssh line vty 5 15 access-class vty-access in ! ntp server <ip> ! end Edited August 16, 2022 by Tony-2110 Вставить ник Quote
YuryD Posted August 16, 2022 Posted August 16, 2022 Для utm -радиуса хватает только start, stop... account-update абсолютно не нужен. Соотв отчего ваша аср шлет апдейт да еще и с разным сессион-ид, это или глюк настройки секции радиус в конфиге, или глюк иос. Там у вас в конфиге кони-люди-мухи-котлеты, то такакс, то радиус... Вставить ник Quote
Tony-2110 Posted August 16, 2022 Author Posted August 16, 2022 >то такакс, то радиус... tacacs для системных пользователей, radius для авторизации абонентов >хватает только start, stop так вот со stop и проблема, что без Acct-Authentic (45 атрибут) utm не завершает сессию Вставить ник Quote
YuryD Posted August 16, 2022 Posted August 16, 2022 В 16.08.2022 в 18:44, Tony-2110 сказал: так вот со stop и проблема, что без Acct-Authentic (45 атрибут) utm не завершает сессию Как может неаутентифицированная сессия состояться-завершится ? Про кривые сессион-ид давно была у меня траблема, но у меня 7206. атрибуты vsa нужны были только для другой 2600/3600, с воип и диалапом. В общем может просто тупо кописпастить из доки по утм куски по радиусу ? Ну и держать две авторизации (патентованный такакс и радиус) одновременно - это на мой взгляд немного перебор. С такаксом имел дело на заре диалапа. Да и по радиусу вполне можно через системных пользователей в utm авторизовать одминов... (знаю что такакс+ фри, но родной от киски меня доставал) Вставить ник Quote
Tony-2110 Posted August 16, 2022 Author Posted August 16, 2022 (edited) >В общем может просто тупо кописпастить из доки по утм куски по радиусу ? Можно ссылку? Сейчас поиском посмотрел что в доках есть по Radius и про настройки ASR или намеков на это атм ни слова >а и по радиусу вполне можно через системных пользователей в utm авторизовать одминов. Знаю, что можно. Но tacacs+ уже есть и был за долго до меня и всех устраивает, а мне и без него есть чем заняться >Как может неаутентифицированная сессия состояться-завершится Из вариантов для aaa authentication только local (это системные пользователи) и ppp (это тоже не ipoe), так что отправить authen с cisco не могу Edited August 16, 2022 by Tony-2110 Вставить ник Quote
YuryD Posted August 18, 2022 Posted August 18, 2022 Для ААА совсем необязательно какой тип сервиса авторизуется для какого-то аутентифицированного юзера . Бумажная книжка на работе, или читать что такое ААА для киско, аутентификация - это проверка юзера, авторизация - это проверка юзера на доступ к сервису, аккаунтинг - это понятно... Вот как выглядит и работает для pptp на 7206 и utm5.x aaa new-model ! ! aaa authentication login default local aaa authentication ppp default group radius local aaa authorization exec default local aaa authorization network default group radius local aaa authorization subscriber-service default local group radius aaa accounting delay-start vrf default aaa accounting update periodic 600 aaa accounting exec default start-stop group radius aaa accounting network default start-stop group radius ну и все это в interface Virtual-Template1 ppp authentication ms-chap-v2 chap Вдогонку - радиус от утм полный кастрат, гибче фрирадиус прикрутить... Вставить ник Quote
Tony-2110 Posted August 19, 2022 Author Posted August 19, 2022 >Вот как выглядит и работает для pptp на 7206 и utm5.x Это прекрасно, но у меня не pptp и аутентификации как таковой нет, соответственно "aaa authentication ppp" ничего не дает при начале ipoe сессии >радиус от утм полный кастрат С этим согласен, топорный и гибкость нулевая, но в целом с задачей авторизовать абонента и кинуть coa в нужный момент справляется Вставить ник Quote
YuryD Posted August 19, 2022 Posted August 19, 2022 В 19.08.2022 в 13:30, Tony-2110 сказал: С этим согласен, топорный и гибкость нулевая, но в целом с задачей авторизовать абонента и кинуть coa в нужный момент справляется Я не сумел в утм соа реализовать от слова вообще, их радиус мне не помог. Про аутентификацию - которой нет, можно подробнее ? Аутентификация - это не только имя и пароль, но или, номер порта или влана например. Это проверка того, что юзер это юзер, как вы это определяете ? Авторизация по киско - это только способ чего-то аутентифицированному уже позволить. Неаутентифицированные либо идут лесом, либо на страничку, где определяют что он=этоон(аутентификация), далее оно выдают авторизацию на доступный оному ресурсы... Или я чего-то в ААА забыл-невыучил.... Вставить ник Quote
Andrei Posted August 19, 2022 Posted August 19, 2022 В 16.08.2022 в 14:13, Tony-2110 сказал: авторизация и аккаунтинг через radius. Тогда как на циске это реализовано для ipoe? Вставить ник Quote
YuryD Posted August 19, 2022 Posted August 19, 2022 В 19.08.2022 в 20:46, Andrei сказал: Тогда как на циске это реализовано для ipoe? Есть разницы? Вставить ник Quote
YuryD Posted August 21, 2022 Posted August 21, 2022 В 19.08.2022 в 20:46, Andrei сказал: Тогда как на циске это реализовано для ipoe? У киско ААА не привязана к типу авторизовного сервиса. ipoe-pptp или еще чего, киске пофиг, аутентифицировался - имеешь право протребить сервис разрешенный, авторизованый, или выданный в соа. Если киска не знает-неумеет атрибуты по радиусу отработать, то не надо ждать, что папуас (зх аутентифицированный хз где) затребует инет в неимоверных количествах. И да, ipoe - это угробище сами знаете от кого... Ничем от pppoe не отличается.... Вставить ник Quote
Tony-2110 Posted August 24, 2022 Author Posted August 24, 2022 On 8/19/2022 at 5:49 PM, YuryD said: Я не сумел в утм соа реализовать от слова вообще, их радиус мне не помог. А что за BRAS был? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.