Перейти к содержимому
Калькуляторы

Intermediate agent

Доброго времени суток!

Есть дисламы Zyxel IES-1248, есть cisco 7206VXR с IOS version 12.2 (33)SB15, есть сервер FreeRadius. Мне нужно заставить дислам присылать данные о портах с которых подключаются пользователи на радис.

Пробовал на циске включить

 

вот кусок конфа кошки:

bba-group pppoe realip2

virtual-template 3

vendor-tag remote-id service

vendor-tag dsl-sync-rate service

nas-port-id format c

sessions per-mac limit 10

sessions auto cleanup

!

 

Вот что пишется в радиус:

ether 0/0/1:4096.2038 0/0/0/0/0/0

 

Подскажите в какое направление рыть.

Ссылки приветствуются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

imho данный функционал появляется у zyxel'я только в старших моделях, например IES-6000.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В IES-1248 в последней прошивке таковая возможность ЕСТЬ!

PPPoE ntermediate agent - Именно так и называется.

Есть 2 формата :

TR101 и private

1. Кошка "понимает" только TR101.

2. По информации с сайта циски - это умеет только IOS 12.4T причем начиная с какой-то версии.

 

bba-gr pppoe бла-бла

vendor-tag circuit-id service

 

cisco отправляет сию инфу в атрибутах

Cisco-NAS-port и Attr-87

 

radius-server vsa send cisco-nas-port

 

можно посмотреть tcpdump-ом приходит ли в пакете этот атрибут, т.к. радиус его может и игнорить.

Изменено пользователем ghost

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для начала нужно на DSLAM активировать эту функцию, что на 1248-71, что на 1248-51 в последних версиях ПО эта функция есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для начала нужно на DSLAM активировать эту функцию, что на 1248-71, что на 1248-51 в последних версиях ПО эта функция есть.
На DSLAMах уже активировано. Вопрос только заставить кошку востпринимать.

Я на кошке увидел :

Apr 27 13:08:05.534: RADIUS: Cisco AVpair [1] 36 "circuit-id-tag=ZARSCA atm 0/7:2.38"

 

Теперь как мне заставить фрирадиус проверять пользователя по данной строке?

Он ведь не понимает такого атрибута. И как мне из него выделить mac?

Изменено пользователем SanyaZar

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для начала нужно на DSLAM активировать эту функцию, что на 1248-71, что на 1248-51 в последних версиях ПО эта функция есть.
На DSLAMах уже активировано. Вопрос только заставить кошку востпринимать.

Я на кошке увидел :

Apr 27 13:08:05.534: RADIUS: Cisco AVpair [1] 36 "circuit-id-tag=ZARSCA atm 0/7:2.38"

 

Теперь как мне заставить фрирадиус проверять пользователя по данной строке?

Он ведь не понимает такого атрибута. И как мне из него выделить mac?

Можно включить в конфиге cisco_vsa_hack и добавить в dictionary атрибут circuit-id-tag. После этого можно будет использовать этот check-атрибут при аутентификации.

 

Аналогично с MAC-адресом - если в запросе есть атрибут Cisco-AVpair = "client-mac-address=1122.3344.5566".

 

Ещё один способ для MAC-адреса - включить на BRAS вставку MAC-адреса в атрибут 31 (Calling-Station-Id): radius-server attribute 31 send nas-port-detail mac-only .

 

Изменено пользователем ilgizk

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно включить в конфиге cisco_vsa_hack и добавить в dictionary атрибут circuit-id-tag. После этого можно будет использовать этот check-атрибут при аутентификации.

Можно с этого места подробнее? В сети ничего толком не отыскал.

Изменено пользователем SanyaZar

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для идентификации и последующей проверки радиусом нужно

- включить добавление тэга pppoe пакеты фазы discovery оборудовании доступа. Это у вас сделано.

- включить обработку этого тэга на bras. Это тоже сделано. Cisco умеет удалять этот тег в отправляемых клиенту ответах, если это не умеет l2 девайс. Juniper тоже умеет.

- отправлять извлеченные данные серверу radius. Например, radius-server vsa send cisco-nas-port и aaa nas port extended - 87 аттрибут, либо вставить в 31-й аттрибут: radius-server attribute 31 remote-id

Можно использовать VSA - атрибуты вендора, но их нужно добавлять в словарь (кончено если их там нет), как написал ilgizk, а так как в значении атрибута есть его имя, то в файле конфигурации включить обрезание его имени, чтобы оставить одно значение.

Проще посмотреть tcpdump'ом

2 ghost - сама фича появилась в 12.2(31)SB.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо учту :)

 

В 28-ой серии - только с 12.4T,

Хотя на cisco.com упомянуты так же 12.4[YB,XW,XE,XC]

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно включить в конфиге cisco_vsa_hack и добавить в dictionary атрибут circuit-id-tag. После этого можно будет использовать этот check-атрибут при аутентификации.
Можно с этого места подробнее? В сети ничего толком не отыскал.

В radiusd.conf:

preprocess {

.............

with_cisco_vsa_hack = yes

.............

}

 

В dictionary:

 

ATTRIBUTE circuit-id-tag 3103 string

ATTRIBUTE client-mac-address 3100 string

ATTRIBUTE parent-session-id 3101 string

ATTRIBUTE disc-cause-ext 3102 string

ATTRIBUTE connect-progress 3104 string

 

Изменено пользователем ilgizk

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для идентификации и последующей проверки радиусом нужно

- включить добавление тэга pppoe пакеты фазы discovery оборудовании доступа. Это у вас сделано.

- включить обработку этого тэга на bras. Это тоже сделано. Cisco умеет удалять этот тег в отправляемых клиенту ответах, если это не умеет l2 девайс. Juniper тоже умеет.

- отправлять извлеченные данные серверу radius. Например, radius-server vsa send cisco-nas-port и aaa nas port extended - 87 аттрибут, либо вставить в 31-й аттрибут: radius-server attribute 31 remote-id

Можно использовать VSA - атрибуты вендора, но их нужно добавлять в словарь (кончено если их там нет), как написал ilgizk, а так как в значении атрибута есть его имя, то в файле конфигурации включить обрезание его имени, чтобы оставить одно значение.

Проще посмотреть tcpdump'ом

2 ghost - сама фича появилась в 12.2(31)SB.

Огромное спасибо p2d. Заработало через radius-server attribute 31 remote-id, но возникает новая трабла.

При подключении некоторых пользователей винда (и хардварные роутеры) выдают ошибку подключения. Иногда помогает перезагрузка железа.

Как лечить?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Интересная тема!

у меня ios: c2800nm-adventerprisek9-mz.124-13b.bin

зухель - IES1248-51, включил на нем PPPoE Intermediate Agent, но на циске нет команды vendor-tag:

 

R2811(config)#bba-group pppoe mybilling

R2811(config-bba-group)# virtual-template 2

R2811(config-bba-group)#vendor-tag circuit-id service

% Invalid input detected at '^' marker.

 

и

 

R2811(config)#radius-server attribute 31 remote-id

% Invalid input detected at '^' marker.

 

вроде ios 12.4 или у меня какие-то другие циски? :-) поделитесь секретом плиз!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

C 12.4T появилась, пост

ghost

выше. Как BRAS кстати, 2811 очень слаба.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.