Перейти к содержимому
Калькуляторы

CISCO и 2 радиус-сервера

Имеется cisco 3725, которая занимается терминацией pptp + rate-limit + авторизация абонентов через RADIUS. Все работает, но настало время внедрения нового биллинга, а в нем радиус встроенный и не понятно, как наша циска с ним подружится. Надо протестировать. Поскольку второй такой циски нет, то хотел прописать на существующей циске 2 радиус-сервера, чтобы она могла часть абонентов (тестовых) авторизовать через тестируемый биллинг и его радиус. Прописать 2 радиуса на циске не проблема. Проблема как заставить ее авторизовать часть абонентов на 2м радиусе. По cisco.com я понял, что 2й радиус включается в работу только если 1й помер. У меня же ситуация другая.

Что-нибудь посоветуете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

http://www.cisco.com/en/US/tech/tk59/techn...080093c81.shtml

Что-то похожее на то что вам надо:

Example 2: PPP Authentication using a Specific List

To use a named list rather than the default list, configure the following commands:

    aaa authentication ppp ISDN_USER group radius  
         
    int dialer 0 
      ppp authentication chap ISDN_USER

In this example, the list is ISDN_USER and the method is Radius.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

отдельную vpdn-группу для тестового адреса лупбека, где будет указан отличный virtual-temlate с aaa-группой второго радиуса

в vpdn-группе указать source-ip

 

аналогично делается для pppoe с тестовым вланом и другой bba-группой

 

 

Изменено пользователем vit

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сейчас сделано так:

aaa new-model
!
!
aaa group server radius rad_pptp
server-private 87.226.ххх.хх auth-port 1812 acct-port 1813 key 7 хххххххх
ip radius source-interface FastEthernet0/0

aaa authentication ppp PPTP group rad_pptp
aaa authorization exec default local
aaa authorization network PPTP group rad_pptp
aaa accounting delay-start
aaa accounting update periodic 1
aaa accounting network PPTP start-stop group rad_pptp

virtual-profile if-needed
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1

interface Virtual-Template1
description PPTP VPN template interface
ip unnumbered FastEthernet0/0
no ip redirects
ip policy route-map to_rt2
no logging event link-status
autodetect encapsulation ppp
peer default ip address pool to_rtk
ppp authentication pap chap callin PPTP
ppp authorization PPTP
ppp accounting PPTP
ppp ipcp dns 87.226.ххх.х

 

Предлагается добавить:

aaa group server radius rad_lanbilling
server-private 172.21.36.233 auth-port 34009 acct-port 34008 key хххххххх
ip radius source-interface FastEthernet0/0

aaa authentication ppp via_lb group rad_lanbilling
aaa authorization network via_lb group rad_lanbilling
aaa accounting network via_lb start-stop group rad_lanbilling

vpdn-group 10
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 10

interface Virtual-Template10
ip unnumbered FastEthernet0/0
no ip redirects
no logging event link-status
autodetect encapsulation ppp
peer default ip address pool to_rtk
ppp authentication pap chap callin via_lb
ppp authorization via_lb
ppp accounting via_lb
ppp ipcp dns 87.226.ххх.х

 

Так?

"в vpdn-группе указать source-ip" - тут надо указать с какого интерфейса будут идти абоненты для поднятия pptp-туннелей с использованием этой группы?

 

Про loopback не понял. Поясните.

 

Интерфейс, с которого будут идти юзвери и авторизация:

 

interface FastEthernet0/0

ip address 87.226.ххх.х 255.255.255.252

ip address 172.21.36.234 255.255.255.0 secondary

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может проще в динамипсе сэумлировать циску и там всё отладить, а не на живых абонентах?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в динамипсе
В чем в чем? :)

Эксперимент не на живых абонентах - они будут ходить через старый радиус. Нагрузка на проц циски сейчас процентов 30 в пиках, так что ничего страшного с ней не случится.

 

По циске никто не подскажет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Заниматься эмуляцией циски не хочется.

Раскопал на складе старенькую циску 2514, по фичасету ее ios поддерживает vpdn. Поднял на ней слегка урезанный конфиг с рабочей циски и уже фиг - она даже со старым радиусом не дружит.

Так что отладиться на какой либо "эмуляции", а потом переходить на живую циску - не фонтан.

Вариант с двумя радиус-серверами остается предпочтительней. Кто может подсказать по существу топика?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дежа вю.

Я Вам уже ответил, что эмулировать нужно именно Вашу циску, а не какую-то абстрактную, и IOS Вы в эмулятор зальёте тот, что на рабочей циске выполняется. Эксперимент можно считать чистым, даже софтовые баги вылазят те же самые. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3725 кстати поддерживается:

http://www.certbible.org/dynamips-7200-sim...-full-download/

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если у вас freeradius в работе - поднимите где-нибудь rad-relay, accounting полетит, а для биллинга ничего вроде и не надо. или для тестов выдавать имена юзерам в виде user@radius2,

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дежа вю.

Я Вам уже ответил, что эмулировать нужно именно Вашу циску, а не какую-то абстрактную, и IOS Вы в эмулятор зальёте тот, что на рабочей циске выполняется. Эксперимент можно считать чистым, даже софтовые баги вылазят те же самые. :)

Ну раз так, то все же попробую. :)

 

Если у вас freeradius в работе - поднимите где-нибудь rad-relay, accounting полетит, а для биллинга ничего вроде и не надо. или для тестов выдавать имена юзерам в виде user@radius2,
Стоит InnerCite RADIUS

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

тогда через user@ip.of.radius.2 авторизация должна уйти на 2-й радиус из конфига циски, а аккаунтинг хз куда...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.