SanyaZar Опубликовано 24 апреля, 2009 · Жалоба Доброго времени суток! Есть дисламы Zyxel IES-1248, есть cisco 7206VXR с IOS version 12.2 (33)SB15, есть сервер FreeRadius. Мне нужно заставить дислам присылать данные о портах с которых подключаются пользователи на радис. Пробовал на циске включить вот кусок конфа кошки: bba-group pppoe realip2 virtual-template 3 vendor-tag remote-id service vendor-tag dsl-sync-rate service nas-port-id format c sessions per-mac limit 10 sessions auto cleanup ! Вот что пишется в радиус: ether 0/0/1:4096.2038 0/0/0/0/0/0 Подскажите в какое направление рыть. Ссылки приветствуются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
p10neer Опубликовано 25 апреля, 2009 · Жалоба imho данный функционал появляется у zyxel'я только в старших моделях, например IES-6000. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ghost Опубликовано 25 апреля, 2009 (изменено) · Жалоба В IES-1248 в последней прошивке таковая возможность ЕСТЬ! PPPoE ntermediate agent - Именно так и называется. Есть 2 формата : TR101 и private 1. Кошка "понимает" только TR101. 2. По информации с сайта циски - это умеет только IOS 12.4T причем начиная с какой-то версии. bba-gr pppoe бла-бла vendor-tag circuit-id service cisco отправляет сию инфу в атрибутах Cisco-NAS-port и Attr-87 radius-server vsa send cisco-nas-port можно посмотреть tcpdump-ом приходит ли в пакете этот атрибут, т.к. радиус его может и игнорить. Изменено 25 апреля, 2009 пользователем ghost Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
p2d Опубликовано 26 апреля, 2009 · Жалоба Для начала нужно на DSLAM активировать эту функцию, что на 1248-71, что на 1248-51 в последних версиях ПО эта функция есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SanyaZar Опубликовано 27 апреля, 2009 (изменено) · Жалоба Для начала нужно на DSLAM активировать эту функцию, что на 1248-71, что на 1248-51 в последних версиях ПО эта функция есть.На DSLAMах уже активировано. Вопрос только заставить кошку востпринимать.Я на кошке увидел : Apr 27 13:08:05.534: RADIUS: Cisco AVpair [1] 36 "circuit-id-tag=ZARSCA atm 0/7:2.38" Теперь как мне заставить фрирадиус проверять пользователя по данной строке? Он ведь не понимает такого атрибута. И как мне из него выделить mac? Изменено 27 апреля, 2009 пользователем SanyaZar Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilgizk Опубликовано 28 апреля, 2009 (изменено) · Жалоба Для начала нужно на DSLAM активировать эту функцию, что на 1248-71, что на 1248-51 в последних версиях ПО эта функция есть.На DSLAMах уже активировано. Вопрос только заставить кошку востпринимать.Я на кошке увидел : Apr 27 13:08:05.534: RADIUS: Cisco AVpair [1] 36 "circuit-id-tag=ZARSCA atm 0/7:2.38" Теперь как мне заставить фрирадиус проверять пользователя по данной строке? Он ведь не понимает такого атрибута. И как мне из него выделить mac? Можно включить в конфиге cisco_vsa_hack и добавить в dictionary атрибут circuit-id-tag. После этого можно будет использовать этот check-атрибут при аутентификации. Аналогично с MAC-адресом - если в запросе есть атрибут Cisco-AVpair = "client-mac-address=1122.3344.5566". Ещё один способ для MAC-адреса - включить на BRAS вставку MAC-адреса в атрибут 31 (Calling-Station-Id): radius-server attribute 31 send nas-port-detail mac-only . Изменено 28 апреля, 2009 пользователем ilgizk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SanyaZar Опубликовано 29 апреля, 2009 (изменено) · Жалоба Можно включить в конфиге cisco_vsa_hack и добавить в dictionary атрибут circuit-id-tag. После этого можно будет использовать этот check-атрибут при аутентификации. Можно с этого места подробнее? В сети ничего толком не отыскал. Изменено 29 апреля, 2009 пользователем SanyaZar Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
p2d Опубликовано 29 апреля, 2009 · Жалоба Для идентификации и последующей проверки радиусом нужно - включить добавление тэга pppoe пакеты фазы discovery оборудовании доступа. Это у вас сделано. - включить обработку этого тэга на bras. Это тоже сделано. Cisco умеет удалять этот тег в отправляемых клиенту ответах, если это не умеет l2 девайс. Juniper тоже умеет. - отправлять извлеченные данные серверу radius. Например, radius-server vsa send cisco-nas-port и aaa nas port extended - 87 аттрибут, либо вставить в 31-й аттрибут: radius-server attribute 31 remote-id Можно использовать VSA - атрибуты вендора, но их нужно добавлять в словарь (кончено если их там нет), как написал ilgizk, а так как в значении атрибута есть его имя, то в файле конфигурации включить обрезание его имени, чтобы оставить одно значение. Проще посмотреть tcpdump'ом 2 ghost - сама фича появилась в 12.2(31)SB. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ghost Опубликовано 30 апреля, 2009 · Жалоба Спасибо учту :) В 28-ой серии - только с 12.4T, Хотя на cisco.com упомянуты так же 12.4[YB,XW,XE,XC] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilgizk Опубликовано 5 мая, 2009 (изменено) · Жалоба Можно включить в конфиге cisco_vsa_hack и добавить в dictionary атрибут circuit-id-tag. После этого можно будет использовать этот check-атрибут при аутентификации.Можно с этого места подробнее? В сети ничего толком не отыскал. В radiusd.conf:preprocess { ............. with_cisco_vsa_hack = yes ............. } В dictionary: ATTRIBUTE circuit-id-tag 3103 string ATTRIBUTE client-mac-address 3100 string ATTRIBUTE parent-session-id 3101 string ATTRIBUTE disc-cause-ext 3102 string ATTRIBUTE connect-progress 3104 string Изменено 5 мая, 2009 пользователем ilgizk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SanyaZar Опубликовано 7 мая, 2009 · Жалоба Для идентификации и последующей проверки радиусом нужно - включить добавление тэга pppoe пакеты фазы discovery оборудовании доступа. Это у вас сделано. - включить обработку этого тэга на bras. Это тоже сделано. Cisco умеет удалять этот тег в отправляемых клиенту ответах, если это не умеет l2 девайс. Juniper тоже умеет. - отправлять извлеченные данные серверу radius. Например, radius-server vsa send cisco-nas-port и aaa nas port extended - 87 аттрибут, либо вставить в 31-й аттрибут: radius-server attribute 31 remote-id Можно использовать VSA - атрибуты вендора, но их нужно добавлять в словарь (кончено если их там нет), как написал ilgizk, а так как в значении атрибута есть его имя, то в файле конфигурации включить обрезание его имени, чтобы оставить одно значение. Проще посмотреть tcpdump'ом 2 ghost - сама фича появилась в 12.2(31)SB. Огромное спасибо p2d. Заработало через radius-server attribute 31 remote-id, но возникает новая трабла. При подключении некоторых пользователей винда (и хардварные роутеры) выдают ошибку подключения. Иногда помогает перезагрузка железа. Как лечить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 2 марта, 2010 · Жалоба Интересная тема! у меня ios: c2800nm-adventerprisek9-mz.124-13b.bin зухель - IES1248-51, включил на нем PPPoE Intermediate Agent, но на циске нет команды vendor-tag: R2811(config)#bba-group pppoe mybilling R2811(config-bba-group)# virtual-template 2 R2811(config-bba-group)#vendor-tag circuit-id service % Invalid input detected at '^' marker. и R2811(config)#radius-server attribute 31 remote-id % Invalid input detected at '^' marker. вроде ios 12.4 или у меня какие-то другие циски? :-) поделитесь секретом плиз! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
p2d Опубликовано 3 марта, 2010 · Жалоба C 12.4T появилась, пост ghost выше. Как BRAS кстати, 2811 очень слаба. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...