Перейти к содержимому
Калькуляторы

Игнорирование неизвестных атрибутов на Cisco

День добрый.

Столкнулся со следующей проблемой:

При получении циской ESR10008 в радиус-пакете неизвестного параметра Cisco AVpair, циска игнорирует радиусовский пакет и выводит для абонента ошибку авторизации. На 7тясячнике такого замечено не было.

Настройки радиуса

radius-server attribute 44 include-in-access-req
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-access-req 
radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
radius-server host A.B.C.D auth-port X acct-port Y key KEY
radius-server retransmit 5
radius-server timeout 30
radius-server directed-request restricted
radius-server vsa send cisco-nas-port
radius-server vsa send accounting
radius-server vsa send authentication

Настройки ааа

aaa authentication ppp default group radius
aaa authorization network default group radius 
aaa accounting update newinfo periodic 3
aaa accounting network default start-stop group radius

Используемый IOS c10k2-p11u2-mz.122-33.SB9.bin.

Для примера- если циска получит пакет, в котором содержится

 

 Cisco AVpair "lcp:interface-config=rate-limit output access-group 2066 614400 115200 230400 conform-action transmit exceed-action drop"

(с10К не знакома с командой rate-limit) она его отбросит.

Можно ли как-то сделать так, чтобы циска игнорировала неизвестные атрибуты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

попробовать сказать

no radius-server vsa disallow unknown

?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ingress

 

Эта команда по умолчанию выключенна, т.е. отмена ее ничего не дает.

 

 

DelSt

 

Можно создать атрибут лист

radius-server attribute list TEST
attribute 1,20

 

Потом прописать его а ааа

aaa group server radius RAD1
server-private 91.142.158.29 auth-port 1 acct-port 2 key KEY
authorization reply accept TEST
attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU

 

В этом случае при авторизации вообще на этот атрибут смотреть циска не будет. Но для меня это не подходит - у меня номер атрибута, который надо игнорировать и который надо принимать один и тот же.

 

Есть еще вариант с настройками самого радиуса с помощью изменение операторов, например, вмето "=" использовать "+=" ( это какбэ означает, что атрибут можно игнорировать). Но тут у меня все не так гладко получилось - в итоге атрибут игнорировался самим радиусом и тупо не отправлялся на циску.

С этим пока не разобрался, но мне так кажется, что копать именно в эту сторону надо.

Изменено пользователем kunla

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можете показать RADIUS-Accept пакет, отправляемый при авторизации?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

terrible

 

 

Dec 23 14:48:28.965: RADIUS: Received from id 1645/3 192.168.1.1:1000, Access-Accept, len 225
Dec 23 14:48:28.965: RADIUS:  authenticator C5 8D 35 26 A1 A5 BC 82 - 53 83 C4 B7 CE B6 4F 85
Dec 23 14:48:28.965: RADIUS:  Acct-Interim-Interva[85]  6   60                        
Dec 23 14:48:28.965: RADIUS:  Service-Type        [6]   6   Framed                    [2]
Dec 23 14:48:28.965: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
Dec 23 14:48:28.965: RADIUS:  Vendor, Cisco       [26]  124 
Dec 23 14:48:28.965: RADIUS:   Cisco AVpair       [1]   118 "lcp:interface-config=rate-limit input access-group 2056 64000 12000 24000 conform-action transmit exceed-action drop"
Dec 23 14:48:28.969: RADIUS:  Vendor, Cisco       [26]  31  
Dec 23 14:48:28.969: RADIUS:   Cisco AVpair       [1]   25  "ip:sub-qos-policy-in=m5"
Dec 23 14:48:28.969: RADIUS:  Vendor, Cisco       [26]  32  
Dec 23 14:48:28.969: RADIUS:   Cisco AVpair       [1]   26  "ip:sub-qos-policy-out=m5"
Dec 23 14:48:28.969: RADIUS(00000011): Received from id 1645/3

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Dec 23 14:48:28.965: RADIUS: Cisco AVpair [1] 118 "lcp:interface-config=rate-limit input access-group 2056 64000 12000 24000 conform-action transmit exceed-action drop"

Dec 23 14:48:28.969: RADIUS: Cisco AVpair [1] 25 "ip:sub-qos-policy-in=m5"

Dec 23 14:48:28.969: RADIUS: Vendor, Cisco [26] 32

Dec 23 14:48:28.969: RADIUS: Cisco AVpair [1] 26 "ip:sub-qos-policy-out=m5"

Как-то вы одновременно rate-limit и полисинг на интерфейс применяете. В принципе у меня 7206 отлично жует только p:sub-qos-policy-in и p:sub-qos-policy-out - Этого достаточно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.