[shasssahs]

Коллеги помогите. Делаю ISG c ip subscriber interface.

В качестве идентификатора использую nas-port:

class type control always event session-start

10 authorize aaa list ISG password cisco identifier nas-port

 

В итоге:

RADIUS: User-Name [1] 28 "nas-port:0.0.0.0:0/0/2/810"

 

И все бы не чего, но маршрутизаторов то у меня несколько. И хотелось бы получать что то типа nas-port:10.1.255.1:0/0/2/810.

 

Какую волшебную команду нужно ввести?

 

Маршрутизатор: Cisco 7204VXR

IOS: C7200-ADVIPSERVICESK9-M, Version 12.2(33)SRE1

[vovan-pmr]

посмотрите в сторону команды: radius-server attribute nas-port format .........

 

 

[shasssahs]

посмотрите в сторону команды: radius-server attribute nas-port format .........

Данная команда меняет только:

NAS-Port [5] 6 13074

А то что уходит User-Name остается не измененным.

[rus-p]

Вообще, если заставить циску не удастся, проще на радиусе подстановкой атрибутов баловаться, т.е. формировать поле самому из прилетающих атрибутов.

 

[shasssahs]

Вообще, если заставить циску не удастся, проще на радиусе подстановкой атрибутов баловаться, т.е. формировать поле самому из прилетающих атрибутов.

В просторах интернета, видел статьи по ISG. И в логах User-Name был таким как мне хочется. Да же IOS был тот же, но конфиг был кусками (я не нашел в нем искомых настроек).

 

В идеале, я хотел бы высылать дескриптор порта в поле USER-NAME, но насколько я понял вендоры не догадываются что это удобно. :)

[Eugene Tsepelev]

Моё упущение :(

 

gw-regit#sh run | inc radius-server att

radius-server attribute 44 include-in-access-req

radius-server attribute 44 extend-with-addr

radius-server attribute 8 include-in-access-req

radius-server attribute 32 include-in-accounting-req

radius-server attribute 55 include-in-acct-req

radius-server attribute 55 access-request include

radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU

radius-server attribute 31 mac format unformatted

radius-server attribute 31 send nas-port-detail mac-only

[shasssahs]

Ни чего не помогает :(

 

Вложил конфиг, может на мысли какие натолкнет. TISG.txt

[p10neer]

У меня так

 

class type control always event session-start

20 authorize aaa list AUTHOR_LIST1 identifier circuit-id plus remote-id

 

Cisco IOS Software, 7200 Software (C7200P-ADVIPSERVICESK9-M), Version 12.2(33)SRC6, RELEASE SOFTWARE (fc1)

[shasssahs]

У меня так

 

class type control always event session-start

20 authorize aaa list AUTHOR_LIST1 identifier circuit-id plus remote-id

Сессия стартует по DHCP? Так как если это "интерфейсная сессия" то этих параметров просто нет и сессия просто не стартует.

Мы до каждого клиента тянем свой vlan (клиент ip или ставит руками или получает по DHCP). Так как у клиента может быть разное кол-во IP, то все варианты кроме "интерфейсной сессии" отпадают.

[rus-p]

У меня так

 

class type control always event session-start

20 authorize aaa list AUTHOR_LIST1 identifier circuit-id plus remote-id

Сессия стартует по DHCP? Так как если это "интерфейсная сессия" то этих параметров просто нет и сессия просто не стартует.

Мы до каждого клиента тянем свой vlan (клиент ip или ставит руками или получает по DHCP). Так как у клиента может быть разное кол-во IP, то все варианты кроме "интерфейсной сессии" отпадают.

Кстати да, интерфейсная сессия тем и полезна, что не тянет за собой радиус, т.к. юрику с веб сервером зависить от провайдерского радиуса это нонсенс.

Так что, просто не вешайте политику на интерфейс с взведенной командой ip subscriber interface.

Сессия будет все время unathen, но это стандартное поведение о чем сказано в документации.

 

У меня вопрос по интерфейсным сессиям.

В чем ее преимущества по сравнению с тупым p-t-p стыком ?

То, что якобы можно любое кол-во IP адресов закрепить за интерфейсом, не попадающее в границы подсетей, по моему вздор, т.к. ip unnumbered не поддерживается с ip subscriber interface.

 

Еще вопрос, кто нибудь тестировал спуфинг адресов со стороны клиента в dhcp initiated session и в interface session ?

 

 

 

[shasssahs]

т.к. юрику с веб сервером зависить от провайдерского радиуса это нонсенс.

Здесь я не согласен. Все зависит от кол-ва юриков. Да и пережить без радиус сервера 2-3 часа возможно (потеряете информацию о трафике). Если вы конечно не используете активно для ваших юр. лиц квотирование.

 

То, что якобы можно любое кол-во IP адресов закрепить за интерфейсом, не попадающее в границы подсетей, по моему вздор, т.к. ip unnumbered не поддерживается с ip subscriber interface.

Работает, это наша основная схема. Все зависит от прошивки. В последних точно проблем не было.

[zzeka]

Попробуйте убрать команду "aaa nas port extended" либо обновится до SRE5.