Jump to content

CISCO и 2 радиус-сервера

Andrei
 Share

Recommended Posts

Andrei

Andrei

Posted
Posted

Имеется cisco 3725, которая занимается терминацией pptp + rate-limit + авторизация абонентов через RADIUS. Все работает, но настало время внедрения нового биллинга, а в нем радиус встроенный и не понятно, как наша циска с ним подружится. Надо протестировать. Поскольку второй такой циски нет, то хотел прописать на существующей циске 2 радиус-сервера, чтобы она могла часть абонентов (тестовых) авторизовать через тестируемый биллинг и его радиус. Прописать 2 радиуса на циске не проблема. Проблема как заставить ее авторизовать часть абонентов на 2м радиусе. По cisco.com я понял, что 2й радиус включается в работу только если 1й помер. У меня же ситуация другая.

Что-нибудь посоветуете?

Stak

Stak

Posted
Posted

http://www.cisco.com/en/US/tech/tk59/techn...080093c81.shtml

Что-то похожее на то что вам надо:

Example 2: PPP Authentication using a Specific List

To use a named list rather than the default list, configure the following commands:

    aaa authentication ppp ISDN_USER group radius  
         
    int dialer 0 
      ppp authentication chap ISDN_USER

In this example, the list is ISDN_USER and the method is Radius.

vit

vit

Posted
Posted (edited)

отдельную vpdn-группу для тестового адреса лупбека, где будет указан отличный virtual-temlate с aaa-группой второго радиуса

в vpdn-группе указать source-ip

 

аналогично делается для pppoe с тестовым вланом и другой bba-группой

 

 

Edited by vit
  • 2 weeks later...
Andrei

Andrei

Posted
  • Author
Posted

Сейчас сделано так:

aaa new-model
!
!
aaa group server radius rad_pptp
server-private 87.226.ххх.хх auth-port 1812 acct-port 1813 key 7 хххххххх
ip radius source-interface FastEthernet0/0

aaa authentication ppp PPTP group rad_pptp
aaa authorization exec default local
aaa authorization network PPTP group rad_pptp
aaa accounting delay-start
aaa accounting update periodic 1
aaa accounting network PPTP start-stop group rad_pptp

virtual-profile if-needed
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1

interface Virtual-Template1
description PPTP VPN template interface
ip unnumbered FastEthernet0/0
no ip redirects
ip policy route-map to_rt2
no logging event link-status
autodetect encapsulation ppp
peer default ip address pool to_rtk
ppp authentication pap chap callin PPTP
ppp authorization PPTP
ppp accounting PPTP
ppp ipcp dns 87.226.ххх.х

 

Предлагается добавить:

aaa group server radius rad_lanbilling
server-private 172.21.36.233 auth-port 34009 acct-port 34008 key хххххххх
ip radius source-interface FastEthernet0/0

aaa authentication ppp via_lb group rad_lanbilling
aaa authorization network via_lb group rad_lanbilling
aaa accounting network via_lb start-stop group rad_lanbilling

vpdn-group 10
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 10

interface Virtual-Template10
ip unnumbered FastEthernet0/0
no ip redirects
no logging event link-status
autodetect encapsulation ppp
peer default ip address pool to_rtk
ppp authentication pap chap callin via_lb
ppp authorization via_lb
ppp accounting via_lb
ppp ipcp dns 87.226.ххх.х

 

Так?

"в vpdn-группе указать source-ip" - тут надо указать с какого интерфейса будут идти абоненты для поднятия pptp-туннелей с использованием этой группы?

 

Про loopback не понял. Поясните.

 

Интерфейс, с которого будут идти юзвери и авторизация:

 

interface FastEthernet0/0

ip address 87.226.ххх.х 255.255.255.252

ip address 172.21.36.234 255.255.255.0 secondary

Andrei

Andrei

Posted
  • Author
Posted
в динамипсе
В чем в чем? :)

Эксперимент не на живых абонентах - они будут ходить через старый радиус. Нагрузка на проц циски сейчас процентов 30 в пиках, так что ничего страшного с ней не случится.

 

По циске никто не подскажет?

Andrei

Andrei

Posted
  • Author
Posted

Заниматься эмуляцией циски не хочется.

Раскопал на складе старенькую циску 2514, по фичасету ее ios поддерживает vpdn. Поднял на ней слегка урезанный конфиг с рабочей циски и уже фиг - она даже со старым радиусом не дружит.

Так что отладиться на какой либо "эмуляции", а потом переходить на живую циску - не фонтан.

Вариант с двумя радиус-серверами остается предпочтительней. Кто может подсказать по существу топика?

 

UglyAdmin

UglyAdmin

Posted
Posted

Дежа вю.

Я Вам уже ответил, что эмулировать нужно именно Вашу циску, а не какую-то абстрактную, и IOS Вы в эмулятор зальёте тот, что на рабочей циске выполняется. Эксперимент можно считать чистым, даже софтовые баги вылазят те же самые. :)

YuryD

YuryD

Posted
Posted

Если у вас freeradius в работе - поднимите где-нибудь rad-relay, accounting полетит, а для биллинга ничего вроде и не надо. или для тестов выдавать имена юзерам в виде user@radius2,

Andrei

Andrei

Posted
  • Author
Posted
Дежа вю.

Я Вам уже ответил, что эмулировать нужно именно Вашу циску, а не какую-то абстрактную, и IOS Вы в эмулятор зальёте тот, что на рабочей циске выполняется. Эксперимент можно считать чистым, даже софтовые баги вылазят те же самые. :)

Ну раз так, то все же попробую. :)

 

Если у вас freeradius в работе - поднимите где-нибудь rad-relay, accounting полетит, а для биллинга ничего вроде и не надо. или для тестов выдавать имена юзерам в виде user@radius2,
Стоит InnerCite RADIUS
YuryD

YuryD

Posted
Posted

тогда через user@ip.of.radius.2 авторизация должна уйти на 2-й радиус из конфига циски, а аккаунтинг хз куда...

 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.