shasssahs Опубликовано 9 марта, 2011 · Жалоба Коллеги помогите. Делаю ISG c ip subscriber interface. В качестве идентификатора использую nas-port: class type control always event session-start 10 authorize aaa list ISG password cisco identifier nas-port В итоге: RADIUS: User-Name [1] 28 "nas-port:0.0.0.0:0/0/2/810" И все бы не чего, но маршрутизаторов то у меня несколько. И хотелось бы получать что то типа nas-port:10.1.255.1:0/0/2/810. Какую волшебную команду нужно ввести? Маршрутизатор: Cisco 7204VXR IOS: C7200-ADVIPSERVICESK9-M, Version 12.2(33)SRE1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vovan-pmr Опубликовано 9 марта, 2011 · Жалоба посмотрите в сторону команды: radius-server attribute nas-port format ......... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shasssahs Опубликовано 9 марта, 2011 · Жалоба посмотрите в сторону команды: radius-server attribute nas-port format ......... Данная команда меняет только: NAS-Port [5] 6 13074 А то что уходит User-Name остается не измененным. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 9 марта, 2011 · Жалоба Вообще, если заставить циску не удастся, проще на радиусе подстановкой атрибутов баловаться, т.е. формировать поле самому из прилетающих атрибутов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shasssahs Опубликовано 10 марта, 2011 · Жалоба Вообще, если заставить циску не удастся, проще на радиусе подстановкой атрибутов баловаться, т.е. формировать поле самому из прилетающих атрибутов. В просторах интернета, видел статьи по ISG. И в логах User-Name был таким как мне хочется. Да же IOS был тот же, но конфиг был кусками (я не нашел в нем искомых настроек). В идеале, я хотел бы высылать дескриптор порта в поле USER-NAME, но насколько я понял вендоры не догадываются что это удобно. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Eugene Tsepelev Опубликовано 10 марта, 2011 · Жалоба Моё упущение :( gw-regit#sh run | inc radius-server att radius-server attribute 44 include-in-access-req radius-server attribute 44 extend-with-addr radius-server attribute 8 include-in-access-req radius-server attribute 32 include-in-accounting-req radius-server attribute 55 include-in-acct-req radius-server attribute 55 access-request include radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU radius-server attribute 31 mac format unformatted radius-server attribute 31 send nas-port-detail mac-only Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shasssahs Опубликовано 10 марта, 2011 · Жалоба Ни чего не помогает :( Вложил конфиг, может на мысли какие натолкнет. TISG.txt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
p10neer Опубликовано 11 марта, 2011 · Жалоба У меня так class type control always event session-start 20 authorize aaa list AUTHOR_LIST1 identifier circuit-id plus remote-id Cisco IOS Software, 7200 Software (C7200P-ADVIPSERVICESK9-M), Version 12.2(33)SRC6, RELEASE SOFTWARE (fc1) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shasssahs Опубликовано 11 марта, 2011 · Жалоба У меня так class type control always event session-start 20 authorize aaa list AUTHOR_LIST1 identifier circuit-id plus remote-id Сессия стартует по DHCP? Так как если это "интерфейсная сессия" то этих параметров просто нет и сессия просто не стартует. Мы до каждого клиента тянем свой vlan (клиент ip или ставит руками или получает по DHCP). Так как у клиента может быть разное кол-во IP, то все варианты кроме "интерфейсной сессии" отпадают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 22 марта, 2011 · Жалоба У меня так class type control always event session-start 20 authorize aaa list AUTHOR_LIST1 identifier circuit-id plus remote-id Сессия стартует по DHCP? Так как если это "интерфейсная сессия" то этих параметров просто нет и сессия просто не стартует. Мы до каждого клиента тянем свой vlan (клиент ip или ставит руками или получает по DHCP). Так как у клиента может быть разное кол-во IP, то все варианты кроме "интерфейсной сессии" отпадают. Кстати да, интерфейсная сессия тем и полезна, что не тянет за собой радиус, т.к. юрику с веб сервером зависить от провайдерского радиуса это нонсенс. Так что, просто не вешайте политику на интерфейс с взведенной командой ip subscriber interface. Сессия будет все время unathen, но это стандартное поведение о чем сказано в документации. У меня вопрос по интерфейсным сессиям. В чем ее преимущества по сравнению с тупым p-t-p стыком ? То, что якобы можно любое кол-во IP адресов закрепить за интерфейсом, не попадающее в границы подсетей, по моему вздор, т.к. ip unnumbered не поддерживается с ip subscriber interface. Еще вопрос, кто нибудь тестировал спуфинг адресов со стороны клиента в dhcp initiated session и в interface session ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shasssahs Опубликовано 4 апреля, 2011 · Жалоба т.к. юрику с веб сервером зависить от провайдерского радиуса это нонсенс. Здесь я не согласен. Все зависит от кол-ва юриков. Да и пережить без радиус сервера 2-3 часа возможно (потеряете информацию о трафике). Если вы конечно не используете активно для ваших юр. лиц квотирование. То, что якобы можно любое кол-во IP адресов закрепить за интерфейсом, не попадающее в границы подсетей, по моему вздор, т.к. ip unnumbered не поддерживается с ip subscriber interface. Работает, это наша основная схема. Все зависит от прошивки. В последних точно проблем не было. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zzeka Опубликовано 31 октября, 2011 · Жалоба Попробуйте убрать команду "aaa nas port extended" либо обновится до SRE5. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...