Jump to content

Intermediate agent

SanyaZar
 Share

Recommended Posts

SanyaZar

SanyaZar

Posted
Posted

Доброго времени суток!

Есть дисламы Zyxel IES-1248, есть cisco 7206VXR с IOS version 12.2 (33)SB15, есть сервер FreeRadius. Мне нужно заставить дислам присылать данные о портах с которых подключаются пользователи на радис.

Пробовал на циске включить

 

вот кусок конфа кошки:

bba-group pppoe realip2

virtual-template 3

vendor-tag remote-id service

vendor-tag dsl-sync-rate service

nas-port-id format c

sessions per-mac limit 10

sessions auto cleanup

!

 

Вот что пишется в радиус:

ether 0/0/1:4096.2038 0/0/0/0/0/0

 

Подскажите в какое направление рыть.

Ссылки приветствуются.

ghost

ghost

Posted
Posted (edited)

В IES-1248 в последней прошивке таковая возможность ЕСТЬ!

PPPoE ntermediate agent - Именно так и называется.

Есть 2 формата :

TR101 и private

1. Кошка "понимает" только TR101.

2. По информации с сайта циски - это умеет только IOS 12.4T причем начиная с какой-то версии.

 

bba-gr pppoe бла-бла

vendor-tag circuit-id service

 

cisco отправляет сию инфу в атрибутах

Cisco-NAS-port и Attr-87

 

radius-server vsa send cisco-nas-port

 

можно посмотреть tcpdump-ом приходит ли в пакете этот атрибут, т.к. радиус его может и игнорить.

Edited by ghost
p2d

p2d

Posted
Posted

Для начала нужно на DSLAM активировать эту функцию, что на 1248-71, что на 1248-51 в последних версиях ПО эта функция есть.

SanyaZar

SanyaZar

Posted
  • Author
Posted (edited)
Для начала нужно на DSLAM активировать эту функцию, что на 1248-71, что на 1248-51 в последних версиях ПО эта функция есть.
На DSLAMах уже активировано. Вопрос только заставить кошку востпринимать.

Я на кошке увидел :

Apr 27 13:08:05.534: RADIUS: Cisco AVpair [1] 36 "circuit-id-tag=ZARSCA atm 0/7:2.38"

 

Теперь как мне заставить фрирадиус проверять пользователя по данной строке?

Он ведь не понимает такого атрибута. И как мне из него выделить mac?

Edited by SanyaZar
ilgizk

ilgizk

Posted
Posted (edited)
Для начала нужно на DSLAM активировать эту функцию, что на 1248-71, что на 1248-51 в последних версиях ПО эта функция есть.
На DSLAMах уже активировано. Вопрос только заставить кошку востпринимать.

Я на кошке увидел :

Apr 27 13:08:05.534: RADIUS: Cisco AVpair [1] 36 "circuit-id-tag=ZARSCA atm 0/7:2.38"

 

Теперь как мне заставить фрирадиус проверять пользователя по данной строке?

Он ведь не понимает такого атрибута. И как мне из него выделить mac?

Можно включить в конфиге cisco_vsa_hack и добавить в dictionary атрибут circuit-id-tag. После этого можно будет использовать этот check-атрибут при аутентификации.

 

Аналогично с MAC-адресом - если в запросе есть атрибут Cisco-AVpair = "client-mac-address=1122.3344.5566".

 

Ещё один способ для MAC-адреса - включить на BRAS вставку MAC-адреса в атрибут 31 (Calling-Station-Id): radius-server attribute 31 send nas-port-detail mac-only .

 

Edited by ilgizk
SanyaZar

SanyaZar

Posted
  • Author
Posted (edited)

Можно включить в конфиге cisco_vsa_hack и добавить в dictionary атрибут circuit-id-tag. После этого можно будет использовать этот check-атрибут при аутентификации.

Можно с этого места подробнее? В сети ничего толком не отыскал.

Edited by SanyaZar
p2d

p2d

Posted
Posted

Для идентификации и последующей проверки радиусом нужно

- включить добавление тэга pppoe пакеты фазы discovery оборудовании доступа. Это у вас сделано.

- включить обработку этого тэга на bras. Это тоже сделано. Cisco умеет удалять этот тег в отправляемых клиенту ответах, если это не умеет l2 девайс. Juniper тоже умеет.

- отправлять извлеченные данные серверу radius. Например, radius-server vsa send cisco-nas-port и aaa nas port extended - 87 аттрибут, либо вставить в 31-й аттрибут: radius-server attribute 31 remote-id

Можно использовать VSA - атрибуты вендора, но их нужно добавлять в словарь (кончено если их там нет), как написал ilgizk, а так как в значении атрибута есть его имя, то в файле конфигурации включить обрезание его имени, чтобы оставить одно значение.

Проще посмотреть tcpdump'ом

2 ghost - сама фича появилась в 12.2(31)SB.

ilgizk

ilgizk

Posted
Posted (edited)
Можно включить в конфиге cisco_vsa_hack и добавить в dictionary атрибут circuit-id-tag. После этого можно будет использовать этот check-атрибут при аутентификации.
Можно с этого места подробнее? В сети ничего толком не отыскал.

В radiusd.conf:

preprocess {

.............

with_cisco_vsa_hack = yes

.............

}

 

В dictionary:

 

ATTRIBUTE circuit-id-tag 3103 string

ATTRIBUTE client-mac-address 3100 string

ATTRIBUTE parent-session-id 3101 string

ATTRIBUTE disc-cause-ext 3102 string

ATTRIBUTE connect-progress 3104 string

 

Edited by ilgizk
SanyaZar

SanyaZar

Posted
  • Author
Posted
Для идентификации и последующей проверки радиусом нужно

- включить добавление тэга pppoe пакеты фазы discovery оборудовании доступа. Это у вас сделано.

- включить обработку этого тэга на bras. Это тоже сделано. Cisco умеет удалять этот тег в отправляемых клиенту ответах, если это не умеет l2 девайс. Juniper тоже умеет.

- отправлять извлеченные данные серверу radius. Например, radius-server vsa send cisco-nas-port и aaa nas port extended - 87 аттрибут, либо вставить в 31-й аттрибут: radius-server attribute 31 remote-id

Можно использовать VSA - атрибуты вендора, но их нужно добавлять в словарь (кончено если их там нет), как написал ilgizk, а так как в значении атрибута есть его имя, то в файле конфигурации включить обрезание его имени, чтобы оставить одно значение.

Проще посмотреть tcpdump'ом

2 ghost - сама фича появилась в 12.2(31)SB.

Огромное спасибо p2d. Заработало через radius-server attribute 31 remote-id, но возникает новая трабла.

При подключении некоторых пользователей винда (и хардварные роутеры) выдают ошибку подключения. Иногда помогает перезагрузка железа.

Как лечить?

 

  • 9 months later...
survivor

survivor

Posted
Posted

Интересная тема!

у меня ios: c2800nm-adventerprisek9-mz.124-13b.bin

зухель - IES1248-51, включил на нем PPPoE Intermediate Agent, но на циске нет команды vendor-tag:

 

R2811(config)#bba-group pppoe mybilling

R2811(config-bba-group)# virtual-template 2

R2811(config-bba-group)#vendor-tag circuit-id service

% Invalid input detected at '^' marker.

 

и

 

R2811(config)#radius-server attribute 31 remote-id

% Invalid input detected at '^' marker.

 

вроде ios 12.4 или у меня какие-то другие циски? :-) поделитесь секретом плиз!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.