Jump to content
Калькуляторы

Intermediate agent

Доброго времени суток!

Есть дисламы Zyxel IES-1248, есть cisco 7206VXR с IOS version 12.2 (33)SB15, есть сервер FreeRadius. Мне нужно заставить дислам присылать данные о портах с которых подключаются пользователи на радис.

Пробовал на циске включить

 

вот кусок конфа кошки:

bba-group pppoe realip2

virtual-template 3

vendor-tag remote-id service

vendor-tag dsl-sync-rate service

nas-port-id format c

sessions per-mac limit 10

sessions auto cleanup

!

 

Вот что пишется в радиус:

ether 0/0/1:4096.2038 0/0/0/0/0/0

 

Подскажите в какое направление рыть.

Ссылки приветствуются.

Share this post


Link to post
Share on other sites

imho данный функционал появляется у zyxel'я только в старших моделях, например IES-6000.

Share this post


Link to post
Share on other sites

В IES-1248 в последней прошивке таковая возможность ЕСТЬ!

PPPoE ntermediate agent - Именно так и называется.

Есть 2 формата :

TR101 и private

1. Кошка "понимает" только TR101.

2. По информации с сайта циски - это умеет только IOS 12.4T причем начиная с какой-то версии.

 

bba-gr pppoe бла-бла

vendor-tag circuit-id service

 

cisco отправляет сию инфу в атрибутах

Cisco-NAS-port и Attr-87

 

radius-server vsa send cisco-nas-port

 

можно посмотреть tcpdump-ом приходит ли в пакете этот атрибут, т.к. радиус его может и игнорить.

Edited by ghost

Share this post


Link to post
Share on other sites

Для начала нужно на DSLAM активировать эту функцию, что на 1248-71, что на 1248-51 в последних версиях ПО эта функция есть.

Share this post


Link to post
Share on other sites
Для начала нужно на DSLAM активировать эту функцию, что на 1248-71, что на 1248-51 в последних версиях ПО эта функция есть.
На DSLAMах уже активировано. Вопрос только заставить кошку востпринимать.

Я на кошке увидел :

Apr 27 13:08:05.534: RADIUS: Cisco AVpair [1] 36 "circuit-id-tag=ZARSCA atm 0/7:2.38"

 

Теперь как мне заставить фрирадиус проверять пользователя по данной строке?

Он ведь не понимает такого атрибута. И как мне из него выделить mac?

Edited by SanyaZar

Share this post


Link to post
Share on other sites
Для начала нужно на DSLAM активировать эту функцию, что на 1248-71, что на 1248-51 в последних версиях ПО эта функция есть.
На DSLAMах уже активировано. Вопрос только заставить кошку востпринимать.

Я на кошке увидел :

Apr 27 13:08:05.534: RADIUS: Cisco AVpair [1] 36 "circuit-id-tag=ZARSCA atm 0/7:2.38"

 

Теперь как мне заставить фрирадиус проверять пользователя по данной строке?

Он ведь не понимает такого атрибута. И как мне из него выделить mac?

Можно включить в конфиге cisco_vsa_hack и добавить в dictionary атрибут circuit-id-tag. После этого можно будет использовать этот check-атрибут при аутентификации.

 

Аналогично с MAC-адресом - если в запросе есть атрибут Cisco-AVpair = "client-mac-address=1122.3344.5566".

 

Ещё один способ для MAC-адреса - включить на BRAS вставку MAC-адреса в атрибут 31 (Calling-Station-Id): radius-server attribute 31 send nas-port-detail mac-only .

 

Edited by ilgizk

Share this post


Link to post
Share on other sites

Можно включить в конфиге cisco_vsa_hack и добавить в dictionary атрибут circuit-id-tag. После этого можно будет использовать этот check-атрибут при аутентификации.

Можно с этого места подробнее? В сети ничего толком не отыскал.

Edited by SanyaZar

Share this post


Link to post
Share on other sites

Для идентификации и последующей проверки радиусом нужно

- включить добавление тэга pppoe пакеты фазы discovery оборудовании доступа. Это у вас сделано.

- включить обработку этого тэга на bras. Это тоже сделано. Cisco умеет удалять этот тег в отправляемых клиенту ответах, если это не умеет l2 девайс. Juniper тоже умеет.

- отправлять извлеченные данные серверу radius. Например, radius-server vsa send cisco-nas-port и aaa nas port extended - 87 аттрибут, либо вставить в 31-й аттрибут: radius-server attribute 31 remote-id

Можно использовать VSA - атрибуты вендора, но их нужно добавлять в словарь (кончено если их там нет), как написал ilgizk, а так как в значении атрибута есть его имя, то в файле конфигурации включить обрезание его имени, чтобы оставить одно значение.

Проще посмотреть tcpdump'ом

2 ghost - сама фича появилась в 12.2(31)SB.

Share this post


Link to post
Share on other sites

Спасибо учту :)

 

В 28-ой серии - только с 12.4T,

Хотя на cisco.com упомянуты так же 12.4[YB,XW,XE,XC]

Share this post


Link to post
Share on other sites
Можно включить в конфиге cisco_vsa_hack и добавить в dictionary атрибут circuit-id-tag. После этого можно будет использовать этот check-атрибут при аутентификации.
Можно с этого места подробнее? В сети ничего толком не отыскал.

В radiusd.conf:

preprocess {

.............

with_cisco_vsa_hack = yes

.............

}

 

В dictionary:

 

ATTRIBUTE circuit-id-tag 3103 string

ATTRIBUTE client-mac-address 3100 string

ATTRIBUTE parent-session-id 3101 string

ATTRIBUTE disc-cause-ext 3102 string

ATTRIBUTE connect-progress 3104 string

 

Edited by ilgizk

Share this post


Link to post
Share on other sites
Для идентификации и последующей проверки радиусом нужно

- включить добавление тэга pppoe пакеты фазы discovery оборудовании доступа. Это у вас сделано.

- включить обработку этого тэга на bras. Это тоже сделано. Cisco умеет удалять этот тег в отправляемых клиенту ответах, если это не умеет l2 девайс. Juniper тоже умеет.

- отправлять извлеченные данные серверу radius. Например, radius-server vsa send cisco-nas-port и aaa nas port extended - 87 аттрибут, либо вставить в 31-й аттрибут: radius-server attribute 31 remote-id

Можно использовать VSA - атрибуты вендора, но их нужно добавлять в словарь (кончено если их там нет), как написал ilgizk, а так как в значении атрибута есть его имя, то в файле конфигурации включить обрезание его имени, чтобы оставить одно значение.

Проще посмотреть tcpdump'ом

2 ghost - сама фича появилась в 12.2(31)SB.

Огромное спасибо p2d. Заработало через radius-server attribute 31 remote-id, но возникает новая трабла.

При подключении некоторых пользователей винда (и хардварные роутеры) выдают ошибку подключения. Иногда помогает перезагрузка железа.

Как лечить?

 

Share this post


Link to post
Share on other sites

Интересная тема!

у меня ios: c2800nm-adventerprisek9-mz.124-13b.bin

зухель - IES1248-51, включил на нем PPPoE Intermediate Agent, но на циске нет команды vendor-tag:

 

R2811(config)#bba-group pppoe mybilling

R2811(config-bba-group)# virtual-template 2

R2811(config-bba-group)#vendor-tag circuit-id service

% Invalid input detected at '^' marker.

 

и

 

R2811(config)#radius-server attribute 31 remote-id

% Invalid input detected at '^' marker.

 

вроде ios 12.4 или у меня какие-то другие циски? :-) поделитесь секретом плиз!

Share this post


Link to post
Share on other sites

C 12.4T появилась, пост

ghost

выше. Как BRAS кстати, 2811 очень слаба.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this