Andrei Опубликовано 15 апреля, 2009 · Жалоба Имеется cisco 3725, которая занимается терминацией pptp + rate-limit + авторизация абонентов через RADIUS. Все работает, но настало время внедрения нового биллинга, а в нем радиус встроенный и не понятно, как наша циска с ним подружится. Надо протестировать. Поскольку второй такой циски нет, то хотел прописать на существующей циске 2 радиус-сервера, чтобы она могла часть абонентов (тестовых) авторизовать через тестируемый биллинг и его радиус. Прописать 2 радиуса на циске не проблема. Проблема как заставить ее авторизовать часть абонентов на 2м радиусе. По cisco.com я понял, что 2й радиус включается в работу только если 1й помер. У меня же ситуация другая. Что-нибудь посоветуете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 15 апреля, 2009 · Жалоба http://www.cisco.com/en/US/tech/tk59/techn...080093c81.shtml Что-то похожее на то что вам надо: Example 2: PPP Authentication using a Specific List To use a named list rather than the default list, configure the following commands: aaa authentication ppp ISDN_USER group radius int dialer 0 ppp authentication chap ISDN_USER In this example, the list is ISDN_USER and the method is Radius. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vit Опубликовано 15 апреля, 2009 (изменено) · Жалоба отдельную vpdn-группу для тестового адреса лупбека, где будет указан отличный virtual-temlate с aaa-группой второго радиуса в vpdn-группе указать source-ip аналогично делается для pppoe с тестовым вланом и другой bba-группой Изменено 15 апреля, 2009 пользователем vit Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 23 апреля, 2009 · Жалоба Сейчас сделано так: aaa new-model ! ! aaa group server radius rad_pptp server-private 87.226.ххх.хх auth-port 1812 acct-port 1813 key 7 хххххххх ip radius source-interface FastEthernet0/0 aaa authentication ppp PPTP group rad_pptp aaa authorization exec default local aaa authorization network PPTP group rad_pptp aaa accounting delay-start aaa accounting update periodic 1 aaa accounting network PPTP start-stop group rad_pptp virtual-profile if-needed vpdn enable ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 interface Virtual-Template1 description PPTP VPN template interface ip unnumbered FastEthernet0/0 no ip redirects ip policy route-map to_rt2 no logging event link-status autodetect encapsulation ppp peer default ip address pool to_rtk ppp authentication pap chap callin PPTP ppp authorization PPTP ppp accounting PPTP ppp ipcp dns 87.226.ххх.х Предлагается добавить: aaa group server radius rad_lanbilling server-private 172.21.36.233 auth-port 34009 acct-port 34008 key хххххххх ip radius source-interface FastEthernet0/0 aaa authentication ppp via_lb group rad_lanbilling aaa authorization network via_lb group rad_lanbilling aaa accounting network via_lb start-stop group rad_lanbilling vpdn-group 10 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 10 interface Virtual-Template10 ip unnumbered FastEthernet0/0 no ip redirects no logging event link-status autodetect encapsulation ppp peer default ip address pool to_rtk ppp authentication pap chap callin via_lb ppp authorization via_lb ppp accounting via_lb ppp ipcp dns 87.226.ххх.х Так? "в vpdn-группе указать source-ip" - тут надо указать с какого интерфейса будут идти абоненты для поднятия pptp-туннелей с использованием этой группы? Про loopback не понял. Поясните. Интерфейс, с которого будут идти юзвери и авторизация: interface FastEthernet0/0 ip address 87.226.ххх.х 255.255.255.252 ip address 172.21.36.234 255.255.255.0 secondary Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mschedrin Опубликовано 23 апреля, 2009 · Жалоба Может проще в динамипсе сэумлировать циску и там всё отладить, а не на живых абонентах? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 24 апреля, 2009 · Жалоба в динамипсеВ чем в чем? :)Эксперимент не на живых абонентах - они будут ходить через старый радиус. Нагрузка на проц циски сейчас процентов 30 в пиках, так что ничего страшного с ней не случится. По циске никто не подскажет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 28 апреля, 2009 · Жалоба Заниматься эмуляцией циски не хочется. Раскопал на складе старенькую циску 2514, по фичасету ее ios поддерживает vpdn. Поднял на ней слегка урезанный конфиг с рабочей циски и уже фиг - она даже со старым радиусом не дружит. Так что отладиться на какой либо "эмуляции", а потом переходить на живую циску - не фонтан. Вариант с двумя радиус-серверами остается предпочтительней. Кто может подсказать по существу топика? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 29 апреля, 2009 · Жалоба Дежа вю. Я Вам уже ответил, что эмулировать нужно именно Вашу циску, а не какую-то абстрактную, и IOS Вы в эмулятор зальёте тот, что на рабочей циске выполняется. Эксперимент можно считать чистым, даже софтовые баги вылазят те же самые. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 29 апреля, 2009 · Жалоба 3725 кстати поддерживается: http://www.certbible.org/dynamips-7200-sim...-full-download/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 29 апреля, 2009 · Жалоба Если у вас freeradius в работе - поднимите где-нибудь rad-relay, accounting полетит, а для биллинга ничего вроде и не надо. или для тестов выдавать имена юзерам в виде user@radius2, Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 29 апреля, 2009 · Жалоба Дежа вю.Я Вам уже ответил, что эмулировать нужно именно Вашу циску, а не какую-то абстрактную, и IOS Вы в эмулятор зальёте тот, что на рабочей циске выполняется. Эксперимент можно считать чистым, даже софтовые баги вылазят те же самые. :) Ну раз так, то все же попробую. :) Если у вас freeradius в работе - поднимите где-нибудь rad-relay, accounting полетит, а для биллинга ничего вроде и не надо. или для тестов выдавать имена юзерам в виде user@radius2,Стоит InnerCite RADIUS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 29 апреля, 2009 · Жалоба тогда через user@ip.of.radius.2 авторизация должна уйти на 2-й радиус из конфига циски, а аккаунтинг хз куда... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...