Jump to content

Игнорирование неизвестных атрибутов на Cisco

kunla
 Share

Recommended Posts

kunla

kunla

Posted
Posted

День добрый.

Столкнулся со следующей проблемой:

При получении циской ESR10008 в радиус-пакете неизвестного параметра Cisco AVpair, циска игнорирует радиусовский пакет и выводит для абонента ошибку авторизации. На 7тясячнике такого замечено не было.

Настройки радиуса

radius-server attribute 44 include-in-access-req
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-access-req 
radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
radius-server host A.B.C.D auth-port X acct-port Y key KEY
radius-server retransmit 5
radius-server timeout 30
radius-server directed-request restricted
radius-server vsa send cisco-nas-port
radius-server vsa send accounting
radius-server vsa send authentication

Настройки ааа

aaa authentication ppp default group radius
aaa authorization network default group radius 
aaa accounting update newinfo periodic 3
aaa accounting network default start-stop group radius

Используемый IOS c10k2-p11u2-mz.122-33.SB9.bin.

Для примера- если циска получит пакет, в котором содержится

 

 Cisco AVpair "lcp:interface-config=rate-limit output access-group 2066 614400 115200 230400 conform-action transmit exceed-action drop"

(с10К не знакома с командой rate-limit) она его отбросит.

Можно ли как-то сделать так, чтобы циска игнорировала неизвестные атрибуты?

kunla

kunla

Posted
  • Author
Posted (edited)

ingress

 

Эта команда по умолчанию выключенна, т.е. отмена ее ничего не дает.

 

 

DelSt

 

Можно создать атрибут лист

radius-server attribute list TEST
attribute 1,20

 

Потом прописать его а ааа

aaa group server radius RAD1
server-private 91.142.158.29 auth-port 1 acct-port 2 key KEY
authorization reply accept TEST
attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU

 

В этом случае при авторизации вообще на этот атрибут смотреть циска не будет. Но для меня это не подходит - у меня номер атрибута, который надо игнорировать и который надо принимать один и тот же.

 

Есть еще вариант с настройками самого радиуса с помощью изменение операторов, например, вмето "=" использовать "+=" ( это какбэ означает, что атрибут можно игнорировать). Но тут у меня все не так гладко получилось - в итоге атрибут игнорировался самим радиусом и тупо не отправлялся на циску.

С этим пока не разобрался, но мне так кажется, что копать именно в эту сторону надо.

Edited by kunla
kunla

kunla

Posted
  • Author
Posted

terrible

 

 

Dec 23 14:48:28.965: RADIUS: Received from id 1645/3 192.168.1.1:1000, Access-Accept, len 225
Dec 23 14:48:28.965: RADIUS:  authenticator C5 8D 35 26 A1 A5 BC 82 - 53 83 C4 B7 CE B6 4F 85
Dec 23 14:48:28.965: RADIUS:  Acct-Interim-Interva[85]  6   60                        
Dec 23 14:48:28.965: RADIUS:  Service-Type        [6]   6   Framed                    [2]
Dec 23 14:48:28.965: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
Dec 23 14:48:28.965: RADIUS:  Vendor, Cisco       [26]  124 
Dec 23 14:48:28.965: RADIUS:   Cisco AVpair       [1]   118 "lcp:interface-config=rate-limit input access-group 2056 64000 12000 24000 conform-action transmit exceed-action drop"
Dec 23 14:48:28.969: RADIUS:  Vendor, Cisco       [26]  31  
Dec 23 14:48:28.969: RADIUS:   Cisco AVpair       [1]   25  "ip:sub-qos-policy-in=m5"
Dec 23 14:48:28.969: RADIUS:  Vendor, Cisco       [26]  32  
Dec 23 14:48:28.969: RADIUS:   Cisco AVpair       [1]   26  "ip:sub-qos-policy-out=m5"
Dec 23 14:48:28.969: RADIUS(00000011): Received from id 1645/3

YuryD

YuryD

Posted
Posted
Dec 23 14:48:28.965: RADIUS: Cisco AVpair [1] 118 "lcp:interface-config=rate-limit input access-group 2056 64000 12000 24000 conform-action transmit exceed-action drop"

Dec 23 14:48:28.969: RADIUS: Cisco AVpair [1] 25 "ip:sub-qos-policy-in=m5"

Dec 23 14:48:28.969: RADIUS: Vendor, Cisco [26] 32

Dec 23 14:48:28.969: RADIUS: Cisco AVpair [1] 26 "ip:sub-qos-policy-out=m5"

Как-то вы одновременно rate-limit и полисинг на интерфейс применяете. В принципе у меня 7206 отлично жует только p:sub-qos-policy-in и p:sub-qos-policy-out - Этого достаточно...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.