Macro Опубликовано 3 декабря, 2010 (изменено) · Жалоба Cisco 7206 Настраиваю доступ в Интернет по ИП, клиент подключается к сети, получает ИП адрес по DHCP, редиректится на страницу авторизации, вводит логин и пароль. Портал отправляет СоА пакет Account-Logon: User-Name = "vasya" Cisco-AVPair = "subscriber:password=vasyapass" Cisco-AVPair = "subscriber:command=account-logon" Cisco-Account-Info = "S192.168.0.130" Клиенты подключены через VRF: interface Loopback1 ip vrf forwarding WIFI ip address 192.168.0.1 255.255.255.0 interface GigabitEthernet0/2.25 encapsulation dot1Q 25 ip vrf forwarding WIFI ip dhcp relay information option-insert ip dhcp relay information check-reply ip dhcp relay information policy-action replace ip unnumbered Loopback1 ip helper-address 192.168.1.2 no ip proxy-arp ip nat inside no cdp enable service-policy type control ISG-WIFI-SESSION ip subscriber routed initiator dhcp ip vrf WIFI Клиент на циске есть в unauth: Router_PPPoE#sh subsc sess | incl IP 1334 IP unauthen Local Term 0026.b611.7b84 00:00:31 Таблица маршрутизации для vrf WIFI: Router_PPPoE#sh ip route vrf WIFI Routing Table: WIFI Gateway of last resort is not set 192.168.0.0/24 is variably subnetted, 4 subnets, 2 masks C 192.168.0.0/24 is directly connected, Loopback1 L 192.168.0.1/32 is directly connected, Loopback1 S 192.168.0.130/32 is directly connected, GigabitEthernet0/2.25 S 192.168.0.137/32 is directly connected, GigabitEthernet0/2.25 192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.1.0/24 is directly connected, GigabitEthernet0/2.26 L 192.168.1.1/32 is directly connected, GigabitEthernet0/2.26 Проблема: циска принимает Account-Logon пакет, но не отправляет Access-Request на указанный радиус сервер и возвращает CoA-NAK. Если уйти от VRF - то работает отлично. Изменено 3 декабря, 2010 пользователем Macro Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 3 декабря, 2010 · Жалоба radius-server attribute 44 include-in-access-req [vrf vrf-name] часом не оно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macro Опубликовано 6 декабря, 2010 · Жалоба radius-server attribute 44 include-in-access-req [vrf vrf-name] часом не оно? Циска не отправляет request-access.Складывается ощущение что циске не хватает каких то параметров передаваемых в Account-Logon пакете для идентификации клиента. PBHK или что то в этом роде. Только вот что? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kpeo Опубликовано 30 марта, 2011 · Жалоба Да, нужно использовать PHBK. По-умолчанию на Cisco port-bundle length (PBL) = 4. Нужный идентификатор получается побитовым сдвигом порта, с которого пришел клиентский HTTP-запрос на PBL(4). Добавляется следующим образом: Cisco-Account-Info = "S192.168.0.130:64", т.е. 64 = это число, полученное побитовым сдвигом на 4 числа 1024 Дополнительно можно посмотреть напр. здесь Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...