Jump to content
Калькуляторы

Cisco ISG COA Account-Logon + VRF

Cisco 7206

Настраиваю доступ в Интернет по ИП, клиент подключается к сети, получает ИП адрес по DHCP, редиректится на страницу авторизации, вводит логин и пароль.

Портал отправляет СоА пакет Account-Logon:

        User-Name = "vasya"
        Cisco-AVPair = "subscriber:password=vasyapass"
        Cisco-AVPair = "subscriber:command=account-logon"
        Cisco-Account-Info = "S192.168.0.130"

Клиенты подключены через VRF:

interface Loopback1
ip vrf forwarding WIFI
ip address 192.168.0.1 255.255.255.0

interface GigabitEthernet0/2.25
encapsulation dot1Q 25
ip vrf forwarding WIFI
ip dhcp relay information option-insert
ip dhcp relay information check-reply
ip dhcp relay information policy-action replace
ip unnumbered Loopback1
ip helper-address 192.168.1.2
no ip proxy-arp
ip nat inside
no cdp enable
service-policy type control ISG-WIFI-SESSION
ip subscriber routed
  initiator dhcp

ip vrf WIFI

 

Клиент на циске есть в unauth:

Router_PPPoE#sh subsc sess | incl IP
1334    IP           unauthen      Local Term   0026.b611.7b84       00:00:31

 

Таблица маршрутизации для vrf WIFI:

Router_PPPoE#sh ip route vrf WIFI

Routing Table: WIFI
Gateway of last resort is not set

      192.168.0.0/24 is variably subnetted, 4 subnets, 2 masks
C        192.168.0.0/24 is directly connected, Loopback1
L        192.168.0.1/32 is directly connected, Loopback1
S        192.168.0.130/32 is directly connected, GigabitEthernet0/2.25
S        192.168.0.137/32 is directly connected, GigabitEthernet0/2.25
      192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.1.0/24 is directly connected, GigabitEthernet0/2.26
L        192.168.1.1/32 is directly connected, GigabitEthernet0/2.26

 

Проблема: циска принимает Account-Logon пакет, но не отправляет Access-Request на указанный радиус сервер и возвращает CoA-NAK.

 

Если уйти от VRF - то работает отлично.

Edited by Macro

Share this post


Link to post
Share on other sites

radius-server attribute 44 include-in-access-req [vrf vrf-name]

 

часом не оно?

Share this post


Link to post
Share on other sites
radius-server attribute 44 include-in-access-req [vrf vrf-name]

 

часом не оно?

Циска не отправляет request-access.

Складывается ощущение что циске не хватает каких то параметров передаваемых в Account-Logon пакете для идентификации клиента.

PBHK или что то в этом роде. Только вот что?

Share this post


Link to post
Share on other sites

Да, нужно использовать PHBK. По-умолчанию на Cisco port-bundle length (PBL) = 4. Нужный идентификатор получается побитовым сдвигом порта, с которого пришел клиентский HTTP-запрос на PBL(4).

Добавляется следующим образом:

Cisco-Account-Info = "S192.168.0.130:64",

т.е. 64 = это число, полученное побитовым сдвигом на 4 числа 1024

Дополнительно можно посмотреть напр. здесь

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this