Перейти к содержимому
Калькуляторы

ISG c identifier nas-port

Коллеги помогите. Делаю ISG c ip subscriber interface.

В качестве идентификатора использую nas-port:

class type control always event session-start

10 authorize aaa list ISG password cisco identifier nas-port

 

В итоге:

RADIUS: User-Name [1] 28 "nas-port:0.0.0.0:0/0/2/810"

 

И все бы не чего, но маршрутизаторов то у меня несколько. И хотелось бы получать что то типа nas-port:10.1.255.1:0/0/2/810.

 

Какую волшебную команду нужно ввести?

 

Маршрутизатор: Cisco 7204VXR

IOS: C7200-ADVIPSERVICESK9-M, Version 12.2(33)SRE1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

посмотрите в сторону команды: radius-server attribute nas-port format .........

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

посмотрите в сторону команды: radius-server attribute nas-port format .........

Данная команда меняет только:

NAS-Port [5] 6 13074

А то что уходит User-Name остается не измененным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вообще, если заставить циску не удастся, проще на радиусе подстановкой атрибутов баловаться, т.е. формировать поле самому из прилетающих атрибутов.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вообще, если заставить циску не удастся, проще на радиусе подстановкой атрибутов баловаться, т.е. формировать поле самому из прилетающих атрибутов.

В просторах интернета, видел статьи по ISG. И в логах User-Name был таким как мне хочется. Да же IOS был тот же, но конфиг был кусками (я не нашел в нем искомых настроек).

 

В идеале, я хотел бы высылать дескриптор порта в поле USER-NAME, но насколько я понял вендоры не догадываются что это удобно. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Моё упущение :(

 

gw-regit#sh run | inc radius-server att

radius-server attribute 44 include-in-access-req

radius-server attribute 44 extend-with-addr

radius-server attribute 8 include-in-access-req

radius-server attribute 32 include-in-accounting-req

radius-server attribute 55 include-in-acct-req

radius-server attribute 55 access-request include

radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU

radius-server attribute 31 mac format unformatted

radius-server attribute 31 send nas-port-detail mac-only

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ни чего не помогает :(

 

Вложил конфиг, может на мысли какие натолкнет. TISG.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня так

 

class type control always event session-start

20 authorize aaa list AUTHOR_LIST1 identifier circuit-id plus remote-id

 

Cisco IOS Software, 7200 Software (C7200P-ADVIPSERVICESK9-M), Version 12.2(33)SRC6, RELEASE SOFTWARE (fc1)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня так

 

class type control always event session-start

20 authorize aaa list AUTHOR_LIST1 identifier circuit-id plus remote-id

Сессия стартует по DHCP? Так как если это "интерфейсная сессия" то этих параметров просто нет и сессия просто не стартует.

Мы до каждого клиента тянем свой vlan (клиент ip или ставит руками или получает по DHCP). Так как у клиента может быть разное кол-во IP, то все варианты кроме "интерфейсной сессии" отпадают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня так

 

class type control always event session-start

20 authorize aaa list AUTHOR_LIST1 identifier circuit-id plus remote-id

Сессия стартует по DHCP? Так как если это "интерфейсная сессия" то этих параметров просто нет и сессия просто не стартует.

Мы до каждого клиента тянем свой vlan (клиент ip или ставит руками или получает по DHCP). Так как у клиента может быть разное кол-во IP, то все варианты кроме "интерфейсной сессии" отпадают.

Кстати да, интерфейсная сессия тем и полезна, что не тянет за собой радиус, т.к. юрику с веб сервером зависить от провайдерского радиуса это нонсенс.

Так что, просто не вешайте политику на интерфейс с взведенной командой ip subscriber interface.

Сессия будет все время unathen, но это стандартное поведение о чем сказано в документации.

 

У меня вопрос по интерфейсным сессиям.

В чем ее преимущества по сравнению с тупым p-t-p стыком ?

То, что якобы можно любое кол-во IP адресов закрепить за интерфейсом, не попадающее в границы подсетей, по моему вздор, т.к. ip unnumbered не поддерживается с ip subscriber interface.

 

Еще вопрос, кто нибудь тестировал спуфинг адресов со стороны клиента в dhcp initiated session и в interface session ?

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

т.к. юрику с веб сервером зависить от провайдерского радиуса это нонсенс.

Здесь я не согласен. Все зависит от кол-ва юриков. Да и пережить без радиус сервера 2-3 часа возможно (потеряете информацию о трафике). Если вы конечно не используете активно для ваших юр. лиц квотирование.

 

То, что якобы можно любое кол-во IP адресов закрепить за интерфейсом, не попадающее в границы подсетей, по моему вздор, т.к. ip unnumbered не поддерживается с ip subscriber interface.

Работает, это наша основная схема. Все зависит от прошивки. В последних точно проблем не было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попробуйте убрать команду "aaa nas port extended" либо обновится до SRE5.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.