Jump to content
Калькуляторы

CISCO и 2 радиус-сервера

Имеется cisco 3725, которая занимается терминацией pptp + rate-limit + авторизация абонентов через RADIUS. Все работает, но настало время внедрения нового биллинга, а в нем радиус встроенный и не понятно, как наша циска с ним подружится. Надо протестировать. Поскольку второй такой циски нет, то хотел прописать на существующей циске 2 радиус-сервера, чтобы она могла часть абонентов (тестовых) авторизовать через тестируемый биллинг и его радиус. Прописать 2 радиуса на циске не проблема. Проблема как заставить ее авторизовать часть абонентов на 2м радиусе. По cisco.com я понял, что 2й радиус включается в работу только если 1й помер. У меня же ситуация другая.

Что-нибудь посоветуете?

Share this post


Link to post
Share on other sites

http://www.cisco.com/en/US/tech/tk59/techn...080093c81.shtml

Что-то похожее на то что вам надо:

Example 2: PPP Authentication using a Specific List

To use a named list rather than the default list, configure the following commands:

    aaa authentication ppp ISDN_USER group radius  
         
    int dialer 0 
      ppp authentication chap ISDN_USER

In this example, the list is ISDN_USER and the method is Radius.

Share this post


Link to post
Share on other sites

отдельную vpdn-группу для тестового адреса лупбека, где будет указан отличный virtual-temlate с aaa-группой второго радиуса

в vpdn-группе указать source-ip

 

аналогично делается для pppoe с тестовым вланом и другой bba-группой

 

 

Edited by vit

Share this post


Link to post
Share on other sites

Сейчас сделано так:

aaa new-model
!
!
aaa group server radius rad_pptp
server-private 87.226.ххх.хх auth-port 1812 acct-port 1813 key 7 хххххххх
ip radius source-interface FastEthernet0/0

aaa authentication ppp PPTP group rad_pptp
aaa authorization exec default local
aaa authorization network PPTP group rad_pptp
aaa accounting delay-start
aaa accounting update periodic 1
aaa accounting network PPTP start-stop group rad_pptp

virtual-profile if-needed
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1

interface Virtual-Template1
description PPTP VPN template interface
ip unnumbered FastEthernet0/0
no ip redirects
ip policy route-map to_rt2
no logging event link-status
autodetect encapsulation ppp
peer default ip address pool to_rtk
ppp authentication pap chap callin PPTP
ppp authorization PPTP
ppp accounting PPTP
ppp ipcp dns 87.226.ххх.х

 

Предлагается добавить:

aaa group server radius rad_lanbilling
server-private 172.21.36.233 auth-port 34009 acct-port 34008 key хххххххх
ip radius source-interface FastEthernet0/0

aaa authentication ppp via_lb group rad_lanbilling
aaa authorization network via_lb group rad_lanbilling
aaa accounting network via_lb start-stop group rad_lanbilling

vpdn-group 10
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 10

interface Virtual-Template10
ip unnumbered FastEthernet0/0
no ip redirects
no logging event link-status
autodetect encapsulation ppp
peer default ip address pool to_rtk
ppp authentication pap chap callin via_lb
ppp authorization via_lb
ppp accounting via_lb
ppp ipcp dns 87.226.ххх.х

 

Так?

"в vpdn-группе указать source-ip" - тут надо указать с какого интерфейса будут идти абоненты для поднятия pptp-туннелей с использованием этой группы?

 

Про loopback не понял. Поясните.

 

Интерфейс, с которого будут идти юзвери и авторизация:

 

interface FastEthernet0/0

ip address 87.226.ххх.х 255.255.255.252

ip address 172.21.36.234 255.255.255.0 secondary

Share this post


Link to post
Share on other sites

Может проще в динамипсе сэумлировать циску и там всё отладить, а не на живых абонентах?

Share this post


Link to post
Share on other sites
в динамипсе
В чем в чем? :)

Эксперимент не на живых абонентах - они будут ходить через старый радиус. Нагрузка на проц циски сейчас процентов 30 в пиках, так что ничего страшного с ней не случится.

 

По циске никто не подскажет?

Share this post


Link to post
Share on other sites

Заниматься эмуляцией циски не хочется.

Раскопал на складе старенькую циску 2514, по фичасету ее ios поддерживает vpdn. Поднял на ней слегка урезанный конфиг с рабочей циски и уже фиг - она даже со старым радиусом не дружит.

Так что отладиться на какой либо "эмуляции", а потом переходить на живую циску - не фонтан.

Вариант с двумя радиус-серверами остается предпочтительней. Кто может подсказать по существу топика?

 

Share this post


Link to post
Share on other sites

Дежа вю.

Я Вам уже ответил, что эмулировать нужно именно Вашу циску, а не какую-то абстрактную, и IOS Вы в эмулятор зальёте тот, что на рабочей циске выполняется. Эксперимент можно считать чистым, даже софтовые баги вылазят те же самые. :)

Share this post


Link to post
Share on other sites

Если у вас freeradius в работе - поднимите где-нибудь rad-relay, accounting полетит, а для биллинга ничего вроде и не надо. или для тестов выдавать имена юзерам в виде user@radius2,

Share this post


Link to post
Share on other sites
Дежа вю.

Я Вам уже ответил, что эмулировать нужно именно Вашу циску, а не какую-то абстрактную, и IOS Вы в эмулятор зальёте тот, что на рабочей циске выполняется. Эксперимент можно считать чистым, даже софтовые баги вылазят те же самые. :)

Ну раз так, то все же попробую. :)

 

Если у вас freeradius в работе - поднимите где-нибудь rad-relay, accounting полетит, а для биллинга ничего вроде и не надо. или для тестов выдавать имена юзерам в виде user@radius2,
Стоит InnerCite RADIUS

Share this post


Link to post
Share on other sites

тогда через user@ip.of.radius.2 авторизация должна уйти на 2-й радиус из конфига циски, а аккаунтинг хз куда...

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this