Jump to content
Калькуляторы

Игнорирование неизвестных атрибутов на Cisco

День добрый.

Столкнулся со следующей проблемой:

При получении циской ESR10008 в радиус-пакете неизвестного параметра Cisco AVpair, циска игнорирует радиусовский пакет и выводит для абонента ошибку авторизации. На 7тясячнике такого замечено не было.

Настройки радиуса

radius-server attribute 44 include-in-access-req
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-access-req 
radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
radius-server host A.B.C.D auth-port X acct-port Y key KEY
radius-server retransmit 5
radius-server timeout 30
radius-server directed-request restricted
radius-server vsa send cisco-nas-port
radius-server vsa send accounting
radius-server vsa send authentication

Настройки ааа

aaa authentication ppp default group radius
aaa authorization network default group radius 
aaa accounting update newinfo periodic 3
aaa accounting network default start-stop group radius

Используемый IOS c10k2-p11u2-mz.122-33.SB9.bin.

Для примера- если циска получит пакет, в котором содержится

 

 Cisco AVpair "lcp:interface-config=rate-limit output access-group 2066 614400 115200 230400 conform-action transmit exceed-action drop"

(с10К не знакома с командой rate-limit) она его отбросит.

Можно ли как-то сделать так, чтобы циска игнорировала неизвестные атрибуты?

Share this post


Link to post
Share on other sites

ingress

 

Эта команда по умолчанию выключенна, т.е. отмена ее ничего не дает.

 

 

DelSt

 

Можно создать атрибут лист

radius-server attribute list TEST
attribute 1,20

 

Потом прописать его а ааа

aaa group server radius RAD1
server-private 91.142.158.29 auth-port 1 acct-port 2 key KEY
authorization reply accept TEST
attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU

 

В этом случае при авторизации вообще на этот атрибут смотреть циска не будет. Но для меня это не подходит - у меня номер атрибута, который надо игнорировать и который надо принимать один и тот же.

 

Есть еще вариант с настройками самого радиуса с помощью изменение операторов, например, вмето "=" использовать "+=" ( это какбэ означает, что атрибут можно игнорировать). Но тут у меня все не так гладко получилось - в итоге атрибут игнорировался самим радиусом и тупо не отправлялся на циску.

С этим пока не разобрался, но мне так кажется, что копать именно в эту сторону надо.

Edited by kunla

Share this post


Link to post
Share on other sites

Можете показать RADIUS-Accept пакет, отправляемый при авторизации?

Share this post


Link to post
Share on other sites

terrible

 

 

Dec 23 14:48:28.965: RADIUS: Received from id 1645/3 192.168.1.1:1000, Access-Accept, len 225
Dec 23 14:48:28.965: RADIUS:  authenticator C5 8D 35 26 A1 A5 BC 82 - 53 83 C4 B7 CE B6 4F 85
Dec 23 14:48:28.965: RADIUS:  Acct-Interim-Interva[85]  6   60                        
Dec 23 14:48:28.965: RADIUS:  Service-Type        [6]   6   Framed                    [2]
Dec 23 14:48:28.965: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
Dec 23 14:48:28.965: RADIUS:  Vendor, Cisco       [26]  124 
Dec 23 14:48:28.965: RADIUS:   Cisco AVpair       [1]   118 "lcp:interface-config=rate-limit input access-group 2056 64000 12000 24000 conform-action transmit exceed-action drop"
Dec 23 14:48:28.969: RADIUS:  Vendor, Cisco       [26]  31  
Dec 23 14:48:28.969: RADIUS:   Cisco AVpair       [1]   25  "ip:sub-qos-policy-in=m5"
Dec 23 14:48:28.969: RADIUS:  Vendor, Cisco       [26]  32  
Dec 23 14:48:28.969: RADIUS:   Cisco AVpair       [1]   26  "ip:sub-qos-policy-out=m5"
Dec 23 14:48:28.969: RADIUS(00000011): Received from id 1645/3

Share this post


Link to post
Share on other sites
Dec 23 14:48:28.965: RADIUS: Cisco AVpair [1] 118 "lcp:interface-config=rate-limit input access-group 2056 64000 12000 24000 conform-action transmit exceed-action drop"

Dec 23 14:48:28.969: RADIUS: Cisco AVpair [1] 25 "ip:sub-qos-policy-in=m5"

Dec 23 14:48:28.969: RADIUS: Vendor, Cisco [26] 32

Dec 23 14:48:28.969: RADIUS: Cisco AVpair [1] 26 "ip:sub-qos-policy-out=m5"

Как-то вы одновременно rate-limit и полисинг на интерфейс применяете. В принципе у меня 7206 отлично жует только p:sub-qos-policy-in и p:sub-qos-policy-out - Этого достаточно...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this