Jump to content
Калькуляторы

ISG c identifier nas-port

Коллеги помогите. Делаю ISG c ip subscriber interface.

В качестве идентификатора использую nas-port:

class type control always event session-start

10 authorize aaa list ISG password cisco identifier nas-port

 

В итоге:

RADIUS: User-Name [1] 28 "nas-port:0.0.0.0:0/0/2/810"

 

И все бы не чего, но маршрутизаторов то у меня несколько. И хотелось бы получать что то типа nas-port:10.1.255.1:0/0/2/810.

 

Какую волшебную команду нужно ввести?

 

Маршрутизатор: Cisco 7204VXR

IOS: C7200-ADVIPSERVICESK9-M, Version 12.2(33)SRE1

Share this post


Link to post
Share on other sites

посмотрите в сторону команды: radius-server attribute nas-port format .........

 

 

Share this post


Link to post
Share on other sites
посмотрите в сторону команды: radius-server attribute nas-port format .........

Данная команда меняет только:

NAS-Port [5] 6 13074

А то что уходит User-Name остается не измененным.

Share this post


Link to post
Share on other sites

Вообще, если заставить циску не удастся, проще на радиусе подстановкой атрибутов баловаться, т.е. формировать поле самому из прилетающих атрибутов.

 

Share this post


Link to post
Share on other sites
Вообще, если заставить циску не удастся, проще на радиусе подстановкой атрибутов баловаться, т.е. формировать поле самому из прилетающих атрибутов.

В просторах интернета, видел статьи по ISG. И в логах User-Name был таким как мне хочется. Да же IOS был тот же, но конфиг был кусками (я не нашел в нем искомых настроек).

 

В идеале, я хотел бы высылать дескриптор порта в поле USER-NAME, но насколько я понял вендоры не догадываются что это удобно. :)

Share this post


Link to post
Share on other sites

Моё упущение :(

 

gw-regit#sh run | inc radius-server att

radius-server attribute 44 include-in-access-req

radius-server attribute 44 extend-with-addr

radius-server attribute 8 include-in-access-req

radius-server attribute 32 include-in-accounting-req

radius-server attribute 55 include-in-acct-req

radius-server attribute 55 access-request include

radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU

radius-server attribute 31 mac format unformatted

radius-server attribute 31 send nas-port-detail mac-only

Share this post


Link to post
Share on other sites

Ни чего не помогает :(

 

Вложил конфиг, может на мысли какие натолкнет. TISG.txt

Share this post


Link to post
Share on other sites

У меня так

 

class type control always event session-start

20 authorize aaa list AUTHOR_LIST1 identifier circuit-id plus remote-id

 

Cisco IOS Software, 7200 Software (C7200P-ADVIPSERVICESK9-M), Version 12.2(33)SRC6, RELEASE SOFTWARE (fc1)

Share this post


Link to post
Share on other sites
У меня так

 

class type control always event session-start

20 authorize aaa list AUTHOR_LIST1 identifier circuit-id plus remote-id

Сессия стартует по DHCP? Так как если это "интерфейсная сессия" то этих параметров просто нет и сессия просто не стартует.

Мы до каждого клиента тянем свой vlan (клиент ip или ставит руками или получает по DHCP). Так как у клиента может быть разное кол-во IP, то все варианты кроме "интерфейсной сессии" отпадают.

Share this post


Link to post
Share on other sites
У меня так

 

class type control always event session-start

20 authorize aaa list AUTHOR_LIST1 identifier circuit-id plus remote-id

Сессия стартует по DHCP? Так как если это "интерфейсная сессия" то этих параметров просто нет и сессия просто не стартует.

Мы до каждого клиента тянем свой vlan (клиент ip или ставит руками или получает по DHCP). Так как у клиента может быть разное кол-во IP, то все варианты кроме "интерфейсной сессии" отпадают.

Кстати да, интерфейсная сессия тем и полезна, что не тянет за собой радиус, т.к. юрику с веб сервером зависить от провайдерского радиуса это нонсенс.

Так что, просто не вешайте политику на интерфейс с взведенной командой ip subscriber interface.

Сессия будет все время unathen, но это стандартное поведение о чем сказано в документации.

 

У меня вопрос по интерфейсным сессиям.

В чем ее преимущества по сравнению с тупым p-t-p стыком ?

То, что якобы можно любое кол-во IP адресов закрепить за интерфейсом, не попадающее в границы подсетей, по моему вздор, т.к. ip unnumbered не поддерживается с ip subscriber interface.

 

Еще вопрос, кто нибудь тестировал спуфинг адресов со стороны клиента в dhcp initiated session и в interface session ?

 

 

 

Share this post


Link to post
Share on other sites

т.к. юрику с веб сервером зависить от провайдерского радиуса это нонсенс.

Здесь я не согласен. Все зависит от кол-ва юриков. Да и пережить без радиус сервера 2-3 часа возможно (потеряете информацию о трафике). Если вы конечно не используете активно для ваших юр. лиц квотирование.

 

То, что якобы можно любое кол-во IP адресов закрепить за интерфейсом, не попадающее в границы подсетей, по моему вздор, т.к. ip unnumbered не поддерживается с ip subscriber interface.

Работает, это наша основная схема. Все зависит от прошивки. В последних точно проблем не было.

Share this post


Link to post
Share on other sites

Попробуйте убрать команду "aaa nas port extended" либо обновится до SRE5.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this