shasssahs Опубликовано 9 марта, 2011 Коллеги помогите. Делаю ISG c ip subscriber interface. В качестве идентификатора использую nas-port: class type control always event session-start 10 authorize aaa list ISG password cisco identifier nas-port В итоге: RADIUS: User-Name [1] 28 "nas-port:0.0.0.0:0/0/2/810" И все бы не чего, но маршрутизаторов то у меня несколько. И хотелось бы получать что то типа nas-port:10.1.255.1:0/0/2/810. Какую волшебную команду нужно ввести? Маршрутизатор: Cisco 7204VXR IOS: C7200-ADVIPSERVICESK9-M, Version 12.2(33)SRE1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vovan-pmr Опубликовано 9 марта, 2011 посмотрите в сторону команды: radius-server attribute nas-port format ......... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shasssahs Опубликовано 9 марта, 2011 посмотрите в сторону команды: radius-server attribute nas-port format ......... Данная команда меняет только: NAS-Port [5] 6 13074 А то что уходит User-Name остается не измененным. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 9 марта, 2011 Вообще, если заставить циску не удастся, проще на радиусе подстановкой атрибутов баловаться, т.е. формировать поле самому из прилетающих атрибутов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shasssahs Опубликовано 10 марта, 2011 Вообще, если заставить циску не удастся, проще на радиусе подстановкой атрибутов баловаться, т.е. формировать поле самому из прилетающих атрибутов. В просторах интернета, видел статьи по ISG. И в логах User-Name был таким как мне хочется. Да же IOS был тот же, но конфиг был кусками (я не нашел в нем искомых настроек). В идеале, я хотел бы высылать дескриптор порта в поле USER-NAME, но насколько я понял вендоры не догадываются что это удобно. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Eugene Tsepelev Опубликовано 10 марта, 2011 Моё упущение :( gw-regit#sh run | inc radius-server att radius-server attribute 44 include-in-access-req radius-server attribute 44 extend-with-addr radius-server attribute 8 include-in-access-req radius-server attribute 32 include-in-accounting-req radius-server attribute 55 include-in-acct-req radius-server attribute 55 access-request include radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU radius-server attribute 31 mac format unformatted radius-server attribute 31 send nas-port-detail mac-only Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shasssahs Опубликовано 10 марта, 2011 Ни чего не помогает :( Вложил конфиг, может на мысли какие натолкнет. TISG.txt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
p10neer Опубликовано 11 марта, 2011 У меня так class type control always event session-start 20 authorize aaa list AUTHOR_LIST1 identifier circuit-id plus remote-id Cisco IOS Software, 7200 Software (C7200P-ADVIPSERVICESK9-M), Version 12.2(33)SRC6, RELEASE SOFTWARE (fc1) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shasssahs Опубликовано 11 марта, 2011 У меня так class type control always event session-start 20 authorize aaa list AUTHOR_LIST1 identifier circuit-id plus remote-id Сессия стартует по DHCP? Так как если это "интерфейсная сессия" то этих параметров просто нет и сессия просто не стартует. Мы до каждого клиента тянем свой vlan (клиент ip или ставит руками или получает по DHCP). Так как у клиента может быть разное кол-во IP, то все варианты кроме "интерфейсной сессии" отпадают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 22 марта, 2011 У меня так class type control always event session-start 20 authorize aaa list AUTHOR_LIST1 identifier circuit-id plus remote-id Сессия стартует по DHCP? Так как если это "интерфейсная сессия" то этих параметров просто нет и сессия просто не стартует. Мы до каждого клиента тянем свой vlan (клиент ip или ставит руками или получает по DHCP). Так как у клиента может быть разное кол-во IP, то все варианты кроме "интерфейсной сессии" отпадают. Кстати да, интерфейсная сессия тем и полезна, что не тянет за собой радиус, т.к. юрику с веб сервером зависить от провайдерского радиуса это нонсенс. Так что, просто не вешайте политику на интерфейс с взведенной командой ip subscriber interface. Сессия будет все время unathen, но это стандартное поведение о чем сказано в документации. У меня вопрос по интерфейсным сессиям. В чем ее преимущества по сравнению с тупым p-t-p стыком ? То, что якобы можно любое кол-во IP адресов закрепить за интерфейсом, не попадающее в границы подсетей, по моему вздор, т.к. ip unnumbered не поддерживается с ip subscriber interface. Еще вопрос, кто нибудь тестировал спуфинг адресов со стороны клиента в dhcp initiated session и в interface session ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shasssahs Опубликовано 4 апреля, 2011 т.к. юрику с веб сервером зависить от провайдерского радиуса это нонсенс. Здесь я не согласен. Все зависит от кол-ва юриков. Да и пережить без радиус сервера 2-3 часа возможно (потеряете информацию о трафике). Если вы конечно не используете активно для ваших юр. лиц квотирование. То, что якобы можно любое кол-во IP адресов закрепить за интерфейсом, не попадающее в границы подсетей, по моему вздор, т.к. ip unnumbered не поддерживается с ip subscriber interface. Работает, это наша основная схема. Все зависит от прошивки. В последних точно проблем не было. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zzeka Опубликовано 31 октября, 2011 Попробуйте убрать команду "aaa nas port extended" либо обновится до SRE5. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...