Macro Posted December 3, 2010 Posted December 3, 2010 (edited) Cisco 7206 Настраиваю доступ в Интернет по ИП, клиент подключается к сети, получает ИП адрес по DHCP, редиректится на страницу авторизации, вводит логин и пароль. Портал отправляет СоА пакет Account-Logon: User-Name = "vasya" Cisco-AVPair = "subscriber:password=vasyapass" Cisco-AVPair = "subscriber:command=account-logon" Cisco-Account-Info = "S192.168.0.130" Клиенты подключены через VRF: interface Loopback1 ip vrf forwarding WIFI ip address 192.168.0.1 255.255.255.0 interface GigabitEthernet0/2.25 encapsulation dot1Q 25 ip vrf forwarding WIFI ip dhcp relay information option-insert ip dhcp relay information check-reply ip dhcp relay information policy-action replace ip unnumbered Loopback1 ip helper-address 192.168.1.2 no ip proxy-arp ip nat inside no cdp enable service-policy type control ISG-WIFI-SESSION ip subscriber routed initiator dhcp ip vrf WIFI Клиент на циске есть в unauth: Router_PPPoE#sh subsc sess | incl IP 1334 IP unauthen Local Term 0026.b611.7b84 00:00:31 Таблица маршрутизации для vrf WIFI: Router_PPPoE#sh ip route vrf WIFI Routing Table: WIFI Gateway of last resort is not set 192.168.0.0/24 is variably subnetted, 4 subnets, 2 masks C 192.168.0.0/24 is directly connected, Loopback1 L 192.168.0.1/32 is directly connected, Loopback1 S 192.168.0.130/32 is directly connected, GigabitEthernet0/2.25 S 192.168.0.137/32 is directly connected, GigabitEthernet0/2.25 192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.1.0/24 is directly connected, GigabitEthernet0/2.26 L 192.168.1.1/32 is directly connected, GigabitEthernet0/2.26 Проблема: циска принимает Account-Logon пакет, но не отправляет Access-Request на указанный радиус сервер и возвращает CoA-NAK. Если уйти от VRF - то работает отлично. Edited December 3, 2010 by Macro Вставить ник Quote
alks Posted December 3, 2010 Posted December 3, 2010 radius-server attribute 44 include-in-access-req [vrf vrf-name] часом не оно? Вставить ник Quote
Macro Posted December 6, 2010 Author Posted December 6, 2010 radius-server attribute 44 include-in-access-req [vrf vrf-name] часом не оно? Циска не отправляет request-access.Складывается ощущение что циске не хватает каких то параметров передаваемых в Account-Logon пакете для идентификации клиента. PBHK или что то в этом роде. Только вот что? Вставить ник Quote
kpeo Posted March 30, 2011 Posted March 30, 2011 Да, нужно использовать PHBK. По-умолчанию на Cisco port-bundle length (PBL) = 4. Нужный идентификатор получается побитовым сдвигом порта, с которого пришел клиентский HTTP-запрос на PBL(4). Добавляется следующим образом: Cisco-Account-Info = "S192.168.0.130:64", т.е. 64 = это число, полученное побитовым сдвигом на 4 числа 1024 Дополнительно можно посмотреть напр. здесь Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.