Tony-2110 Опубликовано 16 августа, 2022 (изменено) · Жалоба Настраиваю связку Cisco и UTM5 дял доступов клиентов по IPoS. dhcpd и radius используются от utm5. На Cisco настроена авторизация и аккаунтинг через radius. Старутет сессия корерктно, но есть 2 проблемы: 1. Cisco периодически шлет accounting для сессии с разным Acct-Session-Id, UTM воспринимает каждое такое сообщение за отдельную сессию и добавляет к себе (когда приходит время отправлять CoA, он уходит на все сессии из списка...cisco конечно обрабатывает coa, но тонна лишнего трафика). Вопрос - как отсылать всегда один Acct-Session-Id? 2. Если завершить сессию (например абонент выключил устрйоство), то на cisco она завершается корректно и в сторону utm уходит accounting пакет, но в нет не содержится атрибута Acct-Authentic и сессия не сбрасывается (есть другой BRAS, который отпарвляет Acct-Authentic и все ок, отсюда и сужу что проблема в этом). Вопрос - как отсылать Acct-Authentic для IPoE клиентов? P.S. Пробовал хранить тарифы на RADIUS и отсылать на cisco, но Acct-Authentic так-же не приходит. Spoiler version 15.5 service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service unsupported-transceiver no platform punt-keepalive disable-kernel-core platform hardware throughput level 5000000 ! hostname test ! boot-start-marker boot system bootflash:/asr1001-universalk9.03.16.10.S.155-3.S10-ext.bin boot system flash:asr1001-universalk9_npe.03.12.00.S.154-2.S-std.bin boot-end-marker ! ! vrf definition Mgmt-intf ! address-family ipv4 exit-address-family ! address-family ipv6 exit-address-family ! logging buffered 40960 logging rate-limit 10000 except warnings enable secret 5 <pass> ! aaa new-model ! ! aaa group server radius TEST-RADIUS server name TEST-RADIUS-SRV deadtime 1 ! aaa authentication login default group tacacs+ enable aaa authentication enable default group tacacs+ enable aaa authorization console aaa authorization exec default group tacacs+ if-authenticated aaa authorization commands 1 default group tacacs+ if-authenticated aaa authorization commands 15 default group tacacs+ if-authenticated aaa authorization network TEST-AUTH group TEST-RADIUS aaa authorization subscriber-service default local group TEST-RADIUS aaa accounting delay-start aaa accounting update newinfo aaa accounting exec default start-stop group tacacs+ aaa accounting commands 1 default start-stop group tacacs+ aaa accounting commands 15 default stop-only group tacacs+ aaa accounting network TEST-ACCO start-stop group TEST-RADIUS ! ! ! ! ! aaa server radius dynamic-author client <utm-srv> server-key cisco ignore session-key ! aaa session-id common clock timezone Moscow 3 0 no ip source-route no ip gratuitous-arps ip icmp rate-limit unreachable 1000 ip icmp rate-limit unreachable DF 1000 ! ! ! ! ! ! ! ! ! ! ! ip dhcp relay information option ip dhcp relay information policy keep no ip dhcp relay information check ip dhcp relay information trust-all ip dhcp conflict resolution interval 5 ! ! ! no ipv6 source-route ipv6 unicast-routing ipv6 multicast rpf use-bgp ipv6 multicast vrf Mgmt-intf rpf use-bgp ! ! ! ! ! ! subscriber feature prepaid TEST-SUBS-BASIC threshold time 600 seconds threshold volume 0 bytes method-list author subscriber-service method-list accounting TEST-ACCO password cisco ! subscriber service multiple-accept subscriber templating subscriber authorization enable service-policy type control ISG-IP virtual-profile virtual-template 1 ! multilink bundle-name authenticated vpdn enable ! ! ! ! ! ! ! ! ! ! license udi pid ASR1001 sn <sn> license accept end user agreement license boot level advipservices ! spanning-tree extend system-id ! username root secret 5 <pass> ! redundancy mode none redirect server-group REDIR-NOMONEY server ip <lk http> port 80 ! ! ! ! ! ! cdp run ! class-map type traffic match-any HTTP-TO-REDIRECT match access-group input name HTTP-HTTPS match access-group output name HTTP-HTTPS ! class-map type traffic match-any CLT-OPEN-GARDEN match access-group input name ACL-TO-OPEN-GARDEN match access-group output name ACL-FROM-OPEN-GARDEN ! class-map type traffic match-any CLT-ANY match access-group output name ACL-ANY match access-group input name ACL-ANY ! class-map type control match-any INTERNET-SERVICE ! policy-map type service OPEN-GARDEN 50 class type traffic CLT-OPEN-GARDEN ! class type traffic default in-out drop ! ! policy-map type service RADIUS-UNREACH service local 900 class type traffic CLT-ANY accounting aaa list TEST-ACCO prepaid config TEST-SUBS-BASIC police input 25600000 1463000 3026000 police output 25600000 1463000 3026000 ! ! policy-map type service DENY-ANY service local ip access-group ACL-DENY-ANY in ip access-group ACL-DENY-ANY out ! policy-map type service TARIFF-5M ip access-group ACL-ALLOW-INTERNET in ip access-group ACL-ALLOW-INTERNET out 900 class type traffic CLT-ANY timeout idle 3600 accounting aaa list TEST-ACCO police input 5120000 960000 1920000 police output 5120000 960000 1920000 ! ! policy-map type service TARIFF-10M ip access-group ACL-ALLOW-INTERNET in ip access-group ACL-ALLOW-INTERNET out class type traffic CLT-ANY timeout idle 3600 accounting aaa list TEST-ACCO police input 10240000 1920000 3840000 police output 10240000 1920000 3840000 ! ! policy-map type service TARIFF-20M ip access-group ACL-ALLOW-INTERNET in ip access-group ACL-ALLOW-INTERNET out 900 class type traffic CLT-ANY timeout idle 3600 accounting aaa list TEST-ACCO police input 20480000 3840000 7680000 police output 20480000 3840000 7680000 ! ! policy-map type service REDIR-NOMONEY service local ip access-group ACL-FROM-OPEN-GARDEN in ip access-group ACL-TO-OPEN-GARDEN out class type traffic HTTP-TO-REDIRECT redirect to group REDIR-NOMONEY police input 5120000 960000 1920000 police output 5120000 960000 1920000 ! class type traffic default output drop ! ! policy-map type control ISG-IP class type control INTERNET-SERVICE event service-stop 1 service-policy type service unapply identifier service-name 50 service deny ! class type control always event session-start 10 authorize aaa list TEST-AUTH password cisco identifier source-ip-address 20 set-timer WAIT-1-MIN 1 30 service-policy type service name REDIR-NOMONEY ! class type control always event session-restart 10 authorize aaa list TEST-AUTH password cisco identifier source-ip-address 20 set-timer WAIT-1-MIN 1 30 service-policy type service name REDIR-NOMONEY ! class type control always event access-reject 10 service-policy type service name REDIR-NOMONEY ! class type control always event radius-timeout 10 service-policy type service name TARIFF-30M 50 set-timer REAUTH-AFTER-5-MIN 5 ! class type control always event account-logon 10 authenticate aaa list TEST-AUTT include-cui ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface Loopback1 ip address <client-gw-ip> no ip redirects no ip unreachables no ip proxy-arp ! interface GigabitEthernet0/0/1.10 description -- uplink encapsulation dot1Q 7 ip dhcp relay information option server-id-override ip address <mgmt-ip> no ip redirects no ip unreachables no ip proxy-arp ! ! interface GigabitEthernet0/0/1.100 description -- test dynamic encapsulation dot1Q 778 ip dhcp relay information trusted ip dhcp relay information option server-id-override ip dhcp relay source-interface GigabitEthernet0/0/1.100 ip unnumbered Loopback1 ip helper-address <utm-srv> no ip redirects no ip unreachables no ip proxy-arp service-policy type control ISG-IP ip subscriber l2-connected initiator dhcp ! ! interface GigabitEthernet0/0/0 mtu 9216 no ip address negotiation auto ! interface GigabitEthernet0/0/1 mtu 9216 no ip address negotiation auto ! interface GigabitEthernet0/0/2 no ip address negotiation auto ! interface GigabitEthernet0/0/3 no ip address negotiation auto ! interface GigabitEthernet0 vrf forwarding Mgmt-intf no ip address negotiation auto ! ip nat translation max-entries 2147483647 ip forward-protocol nd ! no ip http server no ip http secure-server no ip pim dm-fallback ip route <def. route> ip ssh version 2 ! ip access-list standard ACL-ALLOW-INTERNET permit any ip access-list standard ACL-ANY permit any ip access-list standard ACL-DENY-ANY deny any ip access-list standard ANY permit any ! ip access-list extended ACL-FROM-OPEN-GARDEN permit ip host 8.8.8.8 any permit ip host 8.8.4.4 any permit ip host <lk http> any deny ip any any ip access-list extended ACL-TO-OPEN-GARDEN permit ip any host 8.8.8.8 permit ip any host 8.8.4.4 permit ip any host <lk http> deny ip any any ip access-list extended HTTP-HTTPS deny ip any host <lk http> permit tcp any any eq www permit tcp any any eq 443 ! ! ! tacacs-server host <ip> key 7 <key> tacacs-server directed-request ! radius-server attribute 44 include-in-access-req default-vrf radius-server attribute 44 extend-with-addr radius-server attribute 6 on-for-login-auth radius-server attribute 8 include-in-access-req radius-server attribute 32 include-in-access-req radius-server attribute 32 include-in-accounting-req radius-server attribute 55 include-in-acct-req radius-server attribute 55 access-request include radius-server attribute nas-port format b radius-server attribute 31 mac format unformatted radius-server attribute 31 send nas-port-detail radius-server attribute 31 remote-id radius-server attribute 31 append-circuit-id radius-server attribute nas-port-id include remote-id plus circuit-id separator # radius-server dead-criteria time 120 radius-server source-ports extended radius-server retransmit 5 radius-server optional-passwords radius-server vsa send cisco-nas-port ! radius server TEST-RADIUS-SRV address ipv4 <utm-srv> auth-port 1812 acct-port 1813 key cisco ! ! ipv6 access-list ipv6-ANY permit ipv6 any any ! control-plane ! ! line con 0 stopbits 1 line aux 0 transport input telnet stopbits 1 speed 115200 line vty 0 4 access-class 90 in vrf-also exec-timeout 120 0 transport input telnet ssh line vty 5 15 access-class vty-access in ! ntp server <ip> ! end Изменено 16 августа, 2022 пользователем Tony-2110 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 16 августа, 2022 · Жалоба Для utm -радиуса хватает только start, stop... account-update абсолютно не нужен. Соотв отчего ваша аср шлет апдейт да еще и с разным сессион-ид, это или глюк настройки секции радиус в конфиге, или глюк иос. Там у вас в конфиге кони-люди-мухи-котлеты, то такакс, то радиус... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tony-2110 Опубликовано 16 августа, 2022 · Жалоба >то такакс, то радиус... tacacs для системных пользователей, radius для авторизации абонентов >хватает только start, stop так вот со stop и проблема, что без Acct-Authentic (45 атрибут) utm не завершает сессию Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 16 августа, 2022 · Жалоба В 16.08.2022 в 18:44, Tony-2110 сказал: так вот со stop и проблема, что без Acct-Authentic (45 атрибут) utm не завершает сессию Как может неаутентифицированная сессия состояться-завершится ? Про кривые сессион-ид давно была у меня траблема, но у меня 7206. атрибуты vsa нужны были только для другой 2600/3600, с воип и диалапом. В общем может просто тупо кописпастить из доки по утм куски по радиусу ? Ну и держать две авторизации (патентованный такакс и радиус) одновременно - это на мой взгляд немного перебор. С такаксом имел дело на заре диалапа. Да и по радиусу вполне можно через системных пользователей в utm авторизовать одминов... (знаю что такакс+ фри, но родной от киски меня доставал) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tony-2110 Опубликовано 16 августа, 2022 (изменено) · Жалоба >В общем может просто тупо кописпастить из доки по утм куски по радиусу ? Можно ссылку? Сейчас поиском посмотрел что в доках есть по Radius и про настройки ASR или намеков на это атм ни слова >а и по радиусу вполне можно через системных пользователей в utm авторизовать одминов. Знаю, что можно. Но tacacs+ уже есть и был за долго до меня и всех устраивает, а мне и без него есть чем заняться >Как может неаутентифицированная сессия состояться-завершится Из вариантов для aaa authentication только local (это системные пользователи) и ppp (это тоже не ipoe), так что отправить authen с cisco не могу Изменено 16 августа, 2022 пользователем Tony-2110 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 18 августа, 2022 · Жалоба Для ААА совсем необязательно какой тип сервиса авторизуется для какого-то аутентифицированного юзера . Бумажная книжка на работе, или читать что такое ААА для киско, аутентификация - это проверка юзера, авторизация - это проверка юзера на доступ к сервису, аккаунтинг - это понятно... Вот как выглядит и работает для pptp на 7206 и utm5.x aaa new-model ! ! aaa authentication login default local aaa authentication ppp default group radius local aaa authorization exec default local aaa authorization network default group radius local aaa authorization subscriber-service default local group radius aaa accounting delay-start vrf default aaa accounting update periodic 600 aaa accounting exec default start-stop group radius aaa accounting network default start-stop group radius ну и все это в interface Virtual-Template1 ppp authentication ms-chap-v2 chap Вдогонку - радиус от утм полный кастрат, гибче фрирадиус прикрутить... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tony-2110 Опубликовано 19 августа, 2022 · Жалоба >Вот как выглядит и работает для pptp на 7206 и utm5.x Это прекрасно, но у меня не pptp и аутентификации как таковой нет, соответственно "aaa authentication ppp" ничего не дает при начале ipoe сессии >радиус от утм полный кастрат С этим согласен, топорный и гибкость нулевая, но в целом с задачей авторизовать абонента и кинуть coa в нужный момент справляется Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 19 августа, 2022 · Жалоба В 19.08.2022 в 13:30, Tony-2110 сказал: С этим согласен, топорный и гибкость нулевая, но в целом с задачей авторизовать абонента и кинуть coa в нужный момент справляется Я не сумел в утм соа реализовать от слова вообще, их радиус мне не помог. Про аутентификацию - которой нет, можно подробнее ? Аутентификация - это не только имя и пароль, но или, номер порта или влана например. Это проверка того, что юзер это юзер, как вы это определяете ? Авторизация по киско - это только способ чего-то аутентифицированному уже позволить. Неаутентифицированные либо идут лесом, либо на страничку, где определяют что он=этоон(аутентификация), далее оно выдают авторизацию на доступный оному ресурсы... Или я чего-то в ААА забыл-невыучил.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 19 августа, 2022 · Жалоба В 16.08.2022 в 14:13, Tony-2110 сказал: авторизация и аккаунтинг через radius. Тогда как на циске это реализовано для ipoe? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 19 августа, 2022 · Жалоба В 19.08.2022 в 20:46, Andrei сказал: Тогда как на циске это реализовано для ipoe? Есть разницы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 21 августа, 2022 · Жалоба В 19.08.2022 в 20:46, Andrei сказал: Тогда как на циске это реализовано для ipoe? У киско ААА не привязана к типу авторизовного сервиса. ipoe-pptp или еще чего, киске пофиг, аутентифицировался - имеешь право протребить сервис разрешенный, авторизованый, или выданный в соа. Если киска не знает-неумеет атрибуты по радиусу отработать, то не надо ждать, что папуас (зх аутентифицированный хз где) затребует инет в неимоверных количествах. И да, ipoe - это угробище сами знаете от кого... Ничем от pppoe не отличается.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tony-2110 Опубликовано 24 августа, 2022 · Жалоба On 8/19/2022 at 5:49 PM, YuryD said: Я не сумел в утм соа реализовать от слова вообще, их радиус мне не помог. А что за BRAS был? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...