shasssahs Posted March 9, 2011 · Report post Коллеги помогите. Делаю ISG c ip subscriber interface. В качестве идентификатора использую nas-port: class type control always event session-start 10 authorize aaa list ISG password cisco identifier nas-port В итоге: RADIUS: User-Name [1] 28 "nas-port:0.0.0.0:0/0/2/810" И все бы не чего, но маршрутизаторов то у меня несколько. И хотелось бы получать что то типа nas-port:10.1.255.1:0/0/2/810. Какую волшебную команду нужно ввести? Маршрутизатор: Cisco 7204VXR IOS: C7200-ADVIPSERVICESK9-M, Version 12.2(33)SRE1 Share this post Link to post Share on other sites
vovan-pmr Posted March 9, 2011 · Report post посмотрите в сторону команды: radius-server attribute nas-port format ......... Share this post Link to post Share on other sites
shasssahs Posted March 9, 2011 · Report post посмотрите в сторону команды: radius-server attribute nas-port format ......... Данная команда меняет только: NAS-Port [5] 6 13074 А то что уходит User-Name остается не измененным. Share this post Link to post Share on other sites
rus-p Posted March 9, 2011 · Report post Вообще, если заставить циску не удастся, проще на радиусе подстановкой атрибутов баловаться, т.е. формировать поле самому из прилетающих атрибутов. Share this post Link to post Share on other sites
shasssahs Posted March 10, 2011 · Report post Вообще, если заставить циску не удастся, проще на радиусе подстановкой атрибутов баловаться, т.е. формировать поле самому из прилетающих атрибутов. В просторах интернета, видел статьи по ISG. И в логах User-Name был таким как мне хочется. Да же IOS был тот же, но конфиг был кусками (я не нашел в нем искомых настроек). В идеале, я хотел бы высылать дескриптор порта в поле USER-NAME, но насколько я понял вендоры не догадываются что это удобно. :) Share this post Link to post Share on other sites
Eugene Tsepelev Posted March 10, 2011 · Report post Моё упущение :( gw-regit#sh run | inc radius-server att radius-server attribute 44 include-in-access-req radius-server attribute 44 extend-with-addr radius-server attribute 8 include-in-access-req radius-server attribute 32 include-in-accounting-req radius-server attribute 55 include-in-acct-req radius-server attribute 55 access-request include radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU radius-server attribute 31 mac format unformatted radius-server attribute 31 send nas-port-detail mac-only Share this post Link to post Share on other sites
shasssahs Posted March 10, 2011 · Report post Ни чего не помогает :( Вложил конфиг, может на мысли какие натолкнет. TISG.txt Share this post Link to post Share on other sites
p10neer Posted March 11, 2011 · Report post У меня так class type control always event session-start 20 authorize aaa list AUTHOR_LIST1 identifier circuit-id plus remote-id Cisco IOS Software, 7200 Software (C7200P-ADVIPSERVICESK9-M), Version 12.2(33)SRC6, RELEASE SOFTWARE (fc1) Share this post Link to post Share on other sites
shasssahs Posted March 11, 2011 · Report post У меня так class type control always event session-start 20 authorize aaa list AUTHOR_LIST1 identifier circuit-id plus remote-id Сессия стартует по DHCP? Так как если это "интерфейсная сессия" то этих параметров просто нет и сессия просто не стартует. Мы до каждого клиента тянем свой vlan (клиент ip или ставит руками или получает по DHCP). Так как у клиента может быть разное кол-во IP, то все варианты кроме "интерфейсной сессии" отпадают. Share this post Link to post Share on other sites
rus-p Posted March 22, 2011 · Report post У меня так class type control always event session-start 20 authorize aaa list AUTHOR_LIST1 identifier circuit-id plus remote-id Сессия стартует по DHCP? Так как если это "интерфейсная сессия" то этих параметров просто нет и сессия просто не стартует. Мы до каждого клиента тянем свой vlan (клиент ip или ставит руками или получает по DHCP). Так как у клиента может быть разное кол-во IP, то все варианты кроме "интерфейсной сессии" отпадают. Кстати да, интерфейсная сессия тем и полезна, что не тянет за собой радиус, т.к. юрику с веб сервером зависить от провайдерского радиуса это нонсенс. Так что, просто не вешайте политику на интерфейс с взведенной командой ip subscriber interface. Сессия будет все время unathen, но это стандартное поведение о чем сказано в документации. У меня вопрос по интерфейсным сессиям. В чем ее преимущества по сравнению с тупым p-t-p стыком ? То, что якобы можно любое кол-во IP адресов закрепить за интерфейсом, не попадающее в границы подсетей, по моему вздор, т.к. ip unnumbered не поддерживается с ip subscriber interface. Еще вопрос, кто нибудь тестировал спуфинг адресов со стороны клиента в dhcp initiated session и в interface session ? Share this post Link to post Share on other sites
shasssahs Posted April 4, 2011 · Report post т.к. юрику с веб сервером зависить от провайдерского радиуса это нонсенс. Здесь я не согласен. Все зависит от кол-ва юриков. Да и пережить без радиус сервера 2-3 часа возможно (потеряете информацию о трафике). Если вы конечно не используете активно для ваших юр. лиц квотирование. То, что якобы можно любое кол-во IP адресов закрепить за интерфейсом, не попадающее в границы подсетей, по моему вздор, т.к. ip unnumbered не поддерживается с ip subscriber interface. Работает, это наша основная схема. Все зависит от прошивки. В последних точно проблем не было. Share this post Link to post Share on other sites
zzeka Posted October 31, 2011 · Report post Попробуйте убрать команду "aaa nas port extended" либо обновится до SRE5. Share this post Link to post Share on other sites
