kunla Опубликовано 14 декабря, 2010 · Жалоба День добрый. Столкнулся со следующей проблемой: При получении циской ESR10008 в радиус-пакете неизвестного параметра Cisco AVpair, циска игнорирует радиусовский пакет и выводит для абонента ошибку авторизации. На 7тясячнике такого замечено не было. Настройки радиуса radius-server attribute 44 include-in-access-req radius-server attribute 8 include-in-access-req radius-server attribute 32 include-in-access-req radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU radius-server host A.B.C.D auth-port X acct-port Y key KEY radius-server retransmit 5 radius-server timeout 30 radius-server directed-request restricted radius-server vsa send cisco-nas-port radius-server vsa send accounting radius-server vsa send authentication Настройки ааа aaa authentication ppp default group radius aaa authorization network default group radius aaa accounting update newinfo periodic 3 aaa accounting network default start-stop group radius Используемый IOS c10k2-p11u2-mz.122-33.SB9.bin. Для примера- если циска получит пакет, в котором содержится Cisco AVpair "lcp:interface-config=rate-limit output access-group 2066 614400 115200 230400 conform-action transmit exceed-action drop" (с10К не знакома с командой rate-limit) она его отбросит. Можно ли как-то сделать так, чтобы циска игнорировала неизвестные атрибуты? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DelSt Опубликовано 16 декабря, 2010 · Жалоба нашел решение? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 16 декабря, 2010 · Жалоба попробовать сказать no radius-server vsa disallow unknown ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kunla Опубликовано 17 декабря, 2010 (изменено) · Жалоба ingress Эта команда по умолчанию выключенна, т.е. отмена ее ничего не дает. DelSt Можно создать атрибут лист radius-server attribute list TEST attribute 1,20 Потом прописать его а ааа aaa group server radius RAD1 server-private 91.142.158.29 auth-port 1 acct-port 2 key KEY authorization reply accept TEST attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU В этом случае при авторизации вообще на этот атрибут смотреть циска не будет. Но для меня это не подходит - у меня номер атрибута, который надо игнорировать и который надо принимать один и тот же. Есть еще вариант с настройками самого радиуса с помощью изменение операторов, например, вмето "=" использовать "+=" ( это какбэ означает, что атрибут можно игнорировать). Но тут у меня все не так гладко получилось - в итоге атрибут игнорировался самим радиусом и тупо не отправлялся на циску. С этим пока не разобрался, но мне так кажется, что копать именно в эту сторону надо. Изменено 17 декабря, 2010 пользователем kunla Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 17 декабря, 2010 · Жалоба Можете показать RADIUS-Accept пакет, отправляемый при авторизации? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kunla Опубликовано 23 декабря, 2010 · Жалоба terrible Dec 23 14:48:28.965: RADIUS: Received from id 1645/3 192.168.1.1:1000, Access-Accept, len 225 Dec 23 14:48:28.965: RADIUS: authenticator C5 8D 35 26 A1 A5 BC 82 - 53 83 C4 B7 CE B6 4F 85 Dec 23 14:48:28.965: RADIUS: Acct-Interim-Interva[85] 6 60 Dec 23 14:48:28.965: RADIUS: Service-Type [6] 6 Framed [2] Dec 23 14:48:28.965: RADIUS: Framed-Protocol [7] 6 PPP [1] Dec 23 14:48:28.965: RADIUS: Vendor, Cisco [26] 124 Dec 23 14:48:28.965: RADIUS: Cisco AVpair [1] 118 "lcp:interface-config=rate-limit input access-group 2056 64000 12000 24000 conform-action transmit exceed-action drop" Dec 23 14:48:28.969: RADIUS: Vendor, Cisco [26] 31 Dec 23 14:48:28.969: RADIUS: Cisco AVpair [1] 25 "ip:sub-qos-policy-in=m5" Dec 23 14:48:28.969: RADIUS: Vendor, Cisco [26] 32 Dec 23 14:48:28.969: RADIUS: Cisco AVpair [1] 26 "ip:sub-qos-policy-out=m5" Dec 23 14:48:28.969: RADIUS(00000011): Received from id 1645/3 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 23 декабря, 2010 · Жалоба Dec 23 14:48:28.965: RADIUS: Cisco AVpair [1] 118 "lcp:interface-config=rate-limit input access-group 2056 64000 12000 24000 conform-action transmit exceed-action drop"Dec 23 14:48:28.969: RADIUS: Cisco AVpair [1] 25 "ip:sub-qos-policy-in=m5" Dec 23 14:48:28.969: RADIUS: Vendor, Cisco [26] 32 Dec 23 14:48:28.969: RADIUS: Cisco AVpair [1] 26 "ip:sub-qos-policy-out=m5" Как-то вы одновременно rate-limit и полисинг на интерфейс применяете. В принципе у меня 7206 отлично жует только p:sub-qos-policy-in и p:sub-qos-policy-out - Этого достаточно... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...