Jump to content

ISG c identifier nas-port

shasssahs
 Share

Recommended Posts

shasssahs

shasssahs

Posted
Posted

Коллеги помогите. Делаю ISG c ip subscriber interface.

В качестве идентификатора использую nas-port:

class type control always event session-start

10 authorize aaa list ISG password cisco identifier nas-port

 

В итоге:

RADIUS: User-Name [1] 28 "nas-port:0.0.0.0:0/0/2/810"

 

И все бы не чего, но маршрутизаторов то у меня несколько. И хотелось бы получать что то типа nas-port:10.1.255.1:0/0/2/810.

 

Какую волшебную команду нужно ввести?

 

Маршрутизатор: Cisco 7204VXR

IOS: C7200-ADVIPSERVICESK9-M, Version 12.2(33)SRE1

shasssahs

shasssahs

Posted
  • Author
Posted
посмотрите в сторону команды: radius-server attribute nas-port format .........

Данная команда меняет только:

NAS-Port [5] 6 13074

А то что уходит User-Name остается не измененным.

rus-p

rus-p

Posted
Posted

Вообще, если заставить циску не удастся, проще на радиусе подстановкой атрибутов баловаться, т.е. формировать поле самому из прилетающих атрибутов.

 

shasssahs

shasssahs

Posted
  • Author
Posted
Вообще, если заставить циску не удастся, проще на радиусе подстановкой атрибутов баловаться, т.е. формировать поле самому из прилетающих атрибутов.

В просторах интернета, видел статьи по ISG. И в логах User-Name был таким как мне хочется. Да же IOS был тот же, но конфиг был кусками (я не нашел в нем искомых настроек).

 

В идеале, я хотел бы высылать дескриптор порта в поле USER-NAME, но насколько я понял вендоры не догадываются что это удобно. :)

Eugene Tsepelev

Eugene Tsepelev

Posted
Posted

Моё упущение :(

 

gw-regit#sh run | inc radius-server att

radius-server attribute 44 include-in-access-req

radius-server attribute 44 extend-with-addr

radius-server attribute 8 include-in-access-req

radius-server attribute 32 include-in-accounting-req

radius-server attribute 55 include-in-acct-req

radius-server attribute 55 access-request include

radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU

radius-server attribute 31 mac format unformatted

radius-server attribute 31 send nas-port-detail mac-only

p10neer

p10neer

Posted
Posted

У меня так

 

class type control always event session-start

20 authorize aaa list AUTHOR_LIST1 identifier circuit-id plus remote-id

 

Cisco IOS Software, 7200 Software (C7200P-ADVIPSERVICESK9-M), Version 12.2(33)SRC6, RELEASE SOFTWARE (fc1)

shasssahs

shasssahs

Posted
  • Author
Posted
У меня так

 

class type control always event session-start

20 authorize aaa list AUTHOR_LIST1 identifier circuit-id plus remote-id

Сессия стартует по DHCP? Так как если это "интерфейсная сессия" то этих параметров просто нет и сессия просто не стартует.

Мы до каждого клиента тянем свой vlan (клиент ip или ставит руками или получает по DHCP). Так как у клиента может быть разное кол-во IP, то все варианты кроме "интерфейсной сессии" отпадают.

  • 2 weeks later...
rus-p

rus-p

Posted
Posted
У меня так

 

class type control always event session-start

20 authorize aaa list AUTHOR_LIST1 identifier circuit-id plus remote-id

Сессия стартует по DHCP? Так как если это "интерфейсная сессия" то этих параметров просто нет и сессия просто не стартует.

Мы до каждого клиента тянем свой vlan (клиент ip или ставит руками или получает по DHCP). Так как у клиента может быть разное кол-во IP, то все варианты кроме "интерфейсной сессии" отпадают.

Кстати да, интерфейсная сессия тем и полезна, что не тянет за собой радиус, т.к. юрику с веб сервером зависить от провайдерского радиуса это нонсенс.

Так что, просто не вешайте политику на интерфейс с взведенной командой ip subscriber interface.

Сессия будет все время unathen, но это стандартное поведение о чем сказано в документации.

 

У меня вопрос по интерфейсным сессиям.

В чем ее преимущества по сравнению с тупым p-t-p стыком ?

То, что якобы можно любое кол-во IP адресов закрепить за интерфейсом, не попадающее в границы подсетей, по моему вздор, т.к. ip unnumbered не поддерживается с ip subscriber interface.

 

Еще вопрос, кто нибудь тестировал спуфинг адресов со стороны клиента в dhcp initiated session и в interface session ?

 

 

 

  • 2 weeks later...
shasssahs

shasssahs

Posted
  • Author
Posted

т.к. юрику с веб сервером зависить от провайдерского радиуса это нонсенс.

Здесь я не согласен. Все зависит от кол-ва юриков. Да и пережить без радиус сервера 2-3 часа возможно (потеряете информацию о трафике). Если вы конечно не используете активно для ваших юр. лиц квотирование.

 

То, что якобы можно любое кол-во IP адресов закрепить за интерфейсом, не попадающее в границы подсетей, по моему вздор, т.к. ip unnumbered не поддерживается с ip subscriber interface.

Работает, это наша основная схема. Все зависит от прошивки. В последних точно проблем не было.

  • 6 months later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.